実証講座

システムセキュリティ構築実証講座 報告書

■日 程:
2019年10月28日(月)9:00~13:00
2019年10月29日(火)9:00~13:00
2019年10月30日(水)9:00~13:00

■会 場:国際電子ビジネス専門学校 住所:〒900-0025 沖縄県那覇市壺川3丁目5−3

■受講者:国際電子ビジネス専門学校 学生25名(1年次15名 2年次5名 4年次5名)

■目 標:システムセキュリティの知識・技術の習得

■実施内容:

○1日目【10月28日(月)】

時間 内容
9:00
  • 講座概要の説明
  • 不正アタック対策(第4章)

[ユーザ認証]
パスワードについて学ぼう
パスワードとは知識
共有による認証
パスワードを使った認証の外観
パスワードを考えてみよう
パスワードにまつわる誤解
定期的に変更することは安全か?
パスワードの現状
弱いパスワード
使い回すパスワード
盗まれるパスワード
個人のデバイスから
サービスのサーバーから
顧客データ流出でサービス停止
盗まれたパスワード
パスワードの処理フロー
暗号学的ハッシュ関数
クラック辞書を回避するためのパラメータ
パスワード処理関数の実装の紹介
多要素認証
Google公式アプリ Google認証システム
まとめ

[ソフトウェアの脆弱性]
ソフトウェアの脆弱性とは
モリスワームの社会的影響
JVN 脆弱性の登録推移
国内の脆弱性管理サイト JVN
iTerm2 における任意のコマンド実行が可能な脆弱性
複数のApple製品における脆弱性に対するアップデート
LINE (Android版) における複数の整数オーバーフローの脆弱性
OpenSSLに複数の脆弱性
Microsoftからのセキュリティ通知
完璧なソフトウェアは存在しない
脆弱性を放置するとどうなるのか?
Apache Struts2 CVE-2017-5638
脆弱性をもったコンピュータをみつける
セキュリティ・アップデート
経営リスク管理として捉える
ソフトウェアのライフサイクル
まとめ

[マルウェア]
用語の確認
マルウェア感染プロセス
マルウェアの感染経路モデル
C&Cと感染端末(ボット)との関係
マルウェアの自律的感染拡大
感染拡大モデルの違い
蔓延するランサムウェア
急激にランサムウェアが増えた理由
公開鍵暗号法
ランサムウェアのモデル
ダークウェブの登場
FBIも手を焼くマルウェアGameover ZeuS
サイバー犯罪のためのマルウェアZeus
FBIがおこなった2010年の壊滅作戦
サーバ・クライアントがP2Pに進化
2014年6月の撲滅作戦
スローガンを叫ぶのはむしろ危険
まとめ

[TCP/IPとフィルタリング]
TCP/IP
レイヤー化されているプロトコル
プロトコルは層になっている
パケットは入れ子になっている(TCP)
インターネット・プロトコル
IPアドレス
ローカルなネットワークで使うアドレス
NAT(Network Address Translation)
ルーターとNATの違い
NAT (1対多)
NAT (内部からの接続のみ)
トランスミッション・コントロール・プロトコル
ポート番号
TCP 3-ウェイ・ハンドシェイク
TCP 3-ウェイ・ハンドシェイクの脆弱性
SYN flood攻撃
TCP/IPの接続開始
SYN floodへの対応
UDP
ICMP
アプリケーションとTCP/IP
Webに使われるプロトコル
リモートログインで使われるプロトコル
アドレス管理に使われるプロトコル
メールに使われるプロトコル
ファイアウォールとパケット・フィルタリング
パケット・フィルタリング
ルータを挟んだネットワークトポロジー
ブリッジを挟んだネットワークトポロジー
ルータ/ブリッジ上でフィルタリング
ホストベースのフィルタリング
フィルタリングのルールを考える
フィルタリングのデフォルトは拒否
パケットフィルタの設定の考え方
ステートフルパケットフィルタリング
ネットワーク・フィルタリングを動的に行うツールと併用パケット・インスペクション
実際のパケット・フィルタリング
CentOS7 (GNU/Linux)の仕組み
IDS(不正侵入検知システム)
IPS(不正侵入防止システム)
ネットワーク型とホスト型
シグニチャー方式とアノマリ方式
まとめ

13:00 終了

○2日目【10月29日(火)】

時間 内容
9:00 ●情報セキュリティマネージメント(第6章)

[ISMS]
ISMS(Information Security ManagementSystem)とは
C.I.A
情報セキュリティマネジメントシステム適合性評価制度
ISMS適合性評価制度における認証基準
JIS Q 27001(ISO/IEC 27001):2014
これまでの規格の流れ
規格の変化
物理的セキュリティも定義
ISMS適合性評価制度の運用
ISMSクラウドセキュリティ認証
情報セキュリティマネジメントとPDCAサイクル
情報セキュリティポリシーの策定
リスクアセスメントとリスク対応
リスクへの対応・4つの考え方
脆弱性対策
日常的なセキュリティ監視と情報の収集
情報セキュリティ対策の評価
実務においてのISMS
まとめ

[インシデントとCSIRT]
インシデントとは
標的型攻撃
標的型サイバー攻撃事例
マルウェアの進入経路
水飲み場攻撃
マルウェアの感染リスクは高い
マルウェアの挙動を理解する
マルウェア感染後
C&Cとマルウェア
情報窃取のボット
スタックスネットStuxnet
特定目標をターゲットとしたマルウェア
世界最初の兵器級マルウェア
大きく分類すると3つの機能
利用された脆弱性
ゼロデイ攻撃
バックドア・遠隔操作
LAN内での感染拡大
rootkit
Rootkit感染後のマルウェアは検知可能か?
高度化するマルウェア
ランサムウェア
フランチャイズ化したランサムウェア
CryptoLocker
CTB-Locker
DoS/DDoS攻撃
日本国内の複数ECサイトをターゲットとしたDDoS攻撃
DNS水責め攻撃
NTPサーバを使ったDDoS
トラフィック計測による管理サイトの確認
CSIRT
CERT/CC
JPCERT/CC
IPA
IPA 情報セキュリティ届出・相談・情報提供
CSIRTの重要性
インシデント対応が可能なチーム
日本シーサート協議会
まとめ

[脆弱性流通とその仕組み]
ソフトウェアの脆弱性とは
任意のコマンド実行
ソフトウェアのライフサイクル
脆弱性情報流通
脆弱性の発見
脆弱性情報ハンドリングの必要性
MITREによる脆弱性情報管理
NISTの運用する脆弱性データベース
日本国内の脆弱性情報流通
ベンダーにとっての脆弱性情報流通
ユーザーにとっての脆弱性情報流通
Apache Struts2の脆弱性を狙った攻撃
脆弱性の影響度指標 CVSS
脆弱性対応をめぐる議論
脆弱性をもつIoT機器を探索し警告する試み
NOTICE / NICTとは
不正アクセス行為の禁止等に関する法律をめぐる議論
通称NICT法の改正
NOTICE・今度の予想と問題点
まとめ

[DDoS攻撃とMirai(第4章)]
DoS攻撃とは
アクセス量・データ量を極端に増やす
Distributed(分散)DoS攻撃
IoTボットによるDDoS攻撃 MIRAI
インターネット史上最大級のDDoS攻撃
IoT機材がDDoS攻撃ノードに
監視カメラ/ビデオレコーダーの乗っ取り
DVR (Digital Video Recorder)
CCTV(Closed-circuit Television)
中身は組み込み型Linux
組み込みLinuxシステムを乗っ取る
telnetをオープンにしている
外部から管理者権限でログイン
Miraiが公開
HiSilicon IP Camera Root Password
Miraiのアカウント・パスワード例
インターネットに接続する機器すべてを検索可能にするSHODAN
小型化するLinux対応ハードウェア
360° を見渡せる知識?
DDoS攻撃の対処
まとめ

13:00 終了

○3日目【10月30日(水)】

時間 内容
9:00 ●セキュアプログラミング(第11章)

[セキュアプログラム概論]
概論
コーディング・スタイル(規約)
プログラムがリリースされるまで
今回のセキュア・プログラミングの範囲
バッファオーバフロー
コード例
バッファサイズをはみ出すのを防ぐ
対策
メモリ境界を越えてのアクセス
コード例
mallocは色々な問題を引き起こす
SQLインジェクション
コード例
テーブルをまるごと消す
文字列の検査
クロスサイト・スクリプティング
XSSがあるかどうかのチェック例
対応例
Apache Commons
クロスサイトリクエストフォージェリ
コード例
対応例
パス・トラバーサル
コード例
対応例
Mitreによる脆弱性の分類
まとめ

[Javaセキュリティ(実習)]
数値データの取り扱い
入力値の検査
JavaのI/Oの注意点
まとめ

13:00 終了

 

平成30年度に作成られた「システムセキュリティ構築」教材の実証検証のため、第4章、第6章、第11章を中心に講座を実施した。

事例等を紹介しながら、教材に記載されている内容の理解が深まるように講義を進め、各項目ごとにまとめと質疑応答の時間を設けた。

受講者は、専門学校 1年次15名、2年次5名、4年次5名の25名であった。情報処理の基礎学習が途中である1年次には、レベルが高く、理解に時間がかかった。2年次、4年次の学生については、講義内容はおおむね理解できていた。教材のレベルとしては適切であると思われる。

最後に理解を深めるために行った実習については、講義中心の教材を補完するための試みであった。学生がこれまでに学習している内容と今回の講座の内容を踏まえJavaのセキュリティを取り入れたプログラム実習を実施した。講義内容・レベルが高かった1年次についても大きな滞りは無く実習を完了した。技術教育において、実際に自身で体験する実習・演習が理解を高めるために重要であると考えられる。

 

 

システムセキュリティ構築実証講座

■日 程:
2019年11月19日(火)9:30~16:00  6時間 休憩30分
2019年11月20日(火)9:30~16:00  6時間 休憩30分

■会 場:専門学校穴吹コンピュータカレッジ 住所:香川県高松市番町2-4-14

■受講者:専門学校学生

■目 標:システムセキュリティの知識・技術の習得

■参加者:29名

■実施内容:

○1日目【11月20日(月)】

時間 内容
9:30 ●講座概要の説明
●不正アタック対策(第4章)[ユーザ認証]
マルウェア
用語の確認
マルウェア感染プロセス
マルウェアの感染経路モデル
C&Cと感染端末(ボット)との関係
マルウェアの自律的感染拡大
感染拡大モデルの違い
蔓延するランサムウェア
急激にランサムウェアが増えた理由
公開鍵暗号法
ランサムウェアのモデル
ダークウェブの登場
FBIも手を焼くマルウェアGameover ZeuS
サイバー犯罪のためのマルウェアZeus
FBIがおこなった2010年の壊滅作戦
サーバ・クライアントがP2Pに進化
2014年6月の撲滅作戦
スローガンを叫ぶのはむしろ危険
まとめ[ソフトウェアの脆弱性]
ソフトウェアの脆弱性とは
モリスワームの社会的影響
JVN 脆弱性の登録推移
国内の脆弱性管理サイト JVN
iTerm2 における任意のコマンド実行が可能な脆弱性
複数のApple製品における脆弱性に対するアップデート
LINE (Android版) における複数の整数オーバーフローの脆弱性
OpenSSLに複数の脆弱性
Microsoftからのセキュリティ通知
完璧なソフトウェアは存在しない
脆弱性を放置するとどうなるのか?
Apache Struts2 CVE-2017-5638
脆弱性をもったコンピュータをみつける
セキュリティ・アップデート
経営リスク管理として捉える
ソフトウェアのライフサイクル
まとめ[マルウェア]
用語の確認
マルウェア感染プロセス
マルウェアの感染経路モデル
C&Cと感染端末(ボット)との関係
マルウェアの自律的感染拡大
感染拡大モデルの違い
蔓延するランサムウェア
急激にランサムウェアが増えた理由
公開鍵暗号法
ランサムウェアのモデル
ダークウェブの登場
FBIも手を焼くマルウェアGameover ZeuS
サイバー犯罪のためのマルウェアZeus
FBIがおこなった2010年の壊滅作戦
サーバ・クライアントがP2Pに進化
2014年6月の撲滅作戦
スローガンを叫ぶのはむしろ危険
まとめ
12:00 休憩
12:30 [TCP/IPとフィルタリング]
TCP/IP
レイヤー化されているプロトコル
プロトコルは層になっている
パケットは入れ子になっている(TCP)
インターネット・プロトコル
IPアドレス
ローカルなネットワークで使うアドレス
NAT(Network Address Translation)
ルーターとNATの違い
NAT (1対多)
NAT (内部からの接続のみ)
トランスミッション・コントロール・プロトコル
ポート番号
TCP 3-ウェイ・ハンドシェイク
TCP 3-ウェイ・ハンドシェイクの脆弱性
SYN flood攻撃
TCP/IPの接続開始
SYN floodへの対応
UDP
ICMP
アプリケーションとTCP/IP
Webに使われるプロトコル
リモートログインで使われるプロトコル
アドレス管理に使われるプロトコル
メールに使われるプロトコル
ファイアウォールとパケット・フィルタリング
パケット・フィルタリング
ルータを挟んだネットワークトポロジー
ブリッジを挟んだネットワークトポロジー
ルータ/ブリッジ上でフィルタリング
ホストベースのフィルタリング
フィルタリングのルールを考える
フィルタリングのデフォルトは拒否
パケットフィルタの設定の考え方
ステートフルパケットフィルタリング
ネットワーク・フィルタリングを動的に行うツールと併用パケット・インスペクション
実際のパケット・フィルタリング
CentOS7 (GNU/Linux)の仕組み
IDS(不正侵入検知システム)
IPS(不正侵入防止システム)
ネットワーク型とホスト型
シグニチャー方式とアノマリ方式
まとめ●情報セキュリティマネージメント(第6章)[ISMS]
ISMS(Information Security ManagementSystem)とは
C.I.A
情報セキュリティマネジメントシステム適合性評価制度
ISMS適合性評価制度における認証基準
JIS Q 27001(ISO/IEC 27001):2014
これまでの規格の流れ
規格の変化
物理的セキュリティも定義
ISMS適合性評価制度の運用
ISMSクラウドセキュリティ認証
情報セキュリティマネジメントとPDCAサイクル
情報セキュリティポリシーの策定
リスクアセスメントとリスク対応
リスクへの対応・4つの考え方
脆弱性対策
日常的なセキュリティ監視と情報の収集
情報セキュリティ対策の評価
実務においてのISMS
まとめ[インシデントとCSIRT]
インシデントとは
標的型攻撃
標的型サイバー攻撃事例
マルウェアの進入経路
水飲み場攻撃
マルウェアの感染リスクは高い
マルウェアの挙動を理解する
マルウェア感染後
C&Cとマルウェア
情報窃取のボット
スタックスネットStuxnet
特定目標をターゲットとしたマルウェア
世界最初の兵器級マルウェア
大きく分類すると3つの機能
利用された脆弱性
ゼロデイ攻撃
バックドア・遠隔操作
LAN内での感染拡大
rootkit
Rootkit感染後のマルウェアは検知可能か?
高度化するマルウェア
ランサムウェア
フランチャイズ化したランサムウェア
CryptoLocker
CTB-Locker
DoS/DDoS攻撃
日本国内の複数ECサイトをターゲットとしたDDoS攻撃
DNS水責め攻撃
NTPサーバを使ったDDoS
トラフィック計測による管理サイトの確認
CSIRT
CERT/CC
JPCERT/CC
IPA
IPA 情報セキュリティ届出・相談・情報提供
CSIRTの重要性
インシデント対応が可能なチーム
日本シーサート協議会
まとめ
16:00 終了

○2日目【11月20日(火)】

時間 内容
9:00 ●情報セキュリティマネージメント(第6章)

[脆弱性流通とその仕組み]
ソフトウェアの脆弱性とは
任意のコマンド実行
ソフトウェアのライフサイクル
脆弱性情報流通
脆弱性の発見
脆弱性情報ハンドリングの必要性
MITREによる脆弱性情報管理
NISTの運用する脆弱性データベース
日本国内の脆弱性情報流通
ベンダーにとっての脆弱性情報流通
ユーザーにとっての脆弱性情報流通
Apache Struts2の脆弱性を狙った攻撃
脆弱性の影響度指標 CVSS
脆弱性対応をめぐる議論
脆弱性をもつIoT機器を探索し警告する試み
NOTICE / NICTとは
不正アクセス行為の禁止等に関する法律をめぐる議論
通称NICT法の改正
NOTICE・今度の予想と問題点
まとめ

[DDoS攻撃とMirai(第4章)]
DoS攻撃とは
アクセス量・データ量を極端に増やす
Distributed(分散)DoS攻撃
IoTボットによるDDoS攻撃 MIRAI
インターネット史上最大級のDDoS攻撃
IoT機材がDDoS攻撃ノードに
監視カメラ/ビデオレコーダーの乗っ取り
DVR (Digital Video Recorder)
CCTV(Closed-circuit Television)
中身は組み込み型Linux
組み込みLinuxシステムを乗っ取る
telnetをオープンにしている
外部から管理者権限でログイン
Miraiが公開
HiSilicon IP Camera Root Password
Miraiのアカウント・パスワード例
インターネットに接続する機器すべてを検索可能にするSHODAN
小型化するLinux対応ハードウェア
360° を見渡せる知識?
DDoS攻撃の対処
まとめ

12:00 休憩
12:30 ●セキュアプログラミング(第11章)

[セキュアプログラム概論]
概論
コーディング・スタイル(規約)
プログラムがリリースされるまで
今回のセキュア・プログラミングの範囲
バッファオーバフロー
コード例
バッファサイズをはみ出すのを防ぐ
対策
メモリ境界を越えてのアクセス
コード例
mallocは色々な問題を引き起こす
SQLインジェクション
コード例
テーブルをまるごと消す
文字列の検査
クロスサイト・スクリプティング
XSSがあるかどうかのチェック例
対応例
Apache Commons
クロスサイトリクエストフォージェリ
コード例
対応例
パス・トラバーサル
コード例
対応例
Mitreによる脆弱性の分類
まとめ

[Javaセキュリティ(実習)]
数値データの取り扱い
入力値の検査
JavaのI/Oの注意点
まとめ

16:00  終了

2018年度に作成られた「システムセキュリティ構築」教材の実証検証のため、第4章、第6章、第11章を中心に講座を実施した。

事例等を紹介しながら、教材に記載されている内容の理解が深まるように講義を進め、項目ごとにまとめと質疑応答の時間を設けた。

受講者は、専門学校 情報システム学科1年・ネットワークセキュリティ学科1年 29名であった。情報処理の基礎学習が途中である1年次には、レベルが高く、理解に時間がかかった。

1年次であることを考慮し、講義中心の構成とした。最後に学生がこれまでに学習している内容と今回の講座の内容を踏まえJavaのセキュリティを取り入れたプログラム実習を実施したが、Javaの学習がまだ基礎技術のみであったため、実習のレベルが高く、最後まで行うことができた受講者はいなかった。技術教育においは、実際に自身で体験する実習・演習が理解を高めるために重要であるが、受講の前提となる知識・技術と実施する演習・実習のレベル的なバランスを考慮することが求められる。本講座で使用した教材は、情報セキュリティとしては基礎領域であるが、情報処理の基礎から応用の学習を習得した専門学校2年次の後期、3年次の教育カリキュラムに位置付けるレベルである。1年次を対象にした本講座で、座学レベルではついてこられる受講者も実習は、難しかったことにより、教材のレベルの検証ができた。

Society5.0に対応した情報セキュリティ人材養成のモデルカリキュラム開発・実証事業