情報セキュリティの体系化
偉い人からのデッカイボールに対応するためのメモメモ。。
情報セキュリティの目的
- 機密性(Confidentiality)
- アクセス権を持つ者だけが、情報にアクセスできることを確実にすること
- アクセス制御、パスワード認証、暗号化、入退室管理
- アクセス権を持つ者だけが、情報にアクセスできることを確実にすること
- 完全性(Integrity)
- 情報及び処理方法が正確であることおよび完全であることを保護すること
- デジタル署名、メッセージダイジェストによる改竄防止
- 情報及び処理方法が正確であることおよび完全であることを保護すること
- 可用性(Availability)
- 責任追跡生 / 説明可能性(Accountability)
- システムが、いつ、誰に利用されたかを追跡できること
- アクセスログの記録、デジタル署名による否認防止
- システムが、いつ、誰に利用されたかを追跡できること
- 真正性 / 認証性(Authenticity)
- 情報の作成者や送信者が(なりすまし/偽物ではなく)本物であることを保証すること
- デジタル署名、パスワード認証
- 情報の作成者や送信者が(なりすまし/偽物ではなく)本物であることを保証すること
- 信頼性(Reliability)
- システムやプロセスが矛盾なく動作すること、一貫して動作すること
- ネットワークやシステムの2重化による呼称対策、サーバ室での温度管理、負荷監視
- システムやプロセスが矛盾なく動作すること、一貫して動作すること
前半の3つを「セキュリティのCIA」と呼ぶ。最近は、後半の3つを追加して6大要素とすることもある。
セキュリティの機能
- 抑制
- セキュリティの存在が、犯罪・事故などを牽制・抑止する
- ホスティング、外部委託、不要なサービスの停止、監視カメラ、規則・契約書への明記
- セキュリティの存在が、犯罪・事故などを牽制・抑止する
- 予防
- 検知
- 事故・障害・不正などを速やかに発見・通知する
- ログの監視、侵入検知システム、SNMPによるネットワーク管理
- 事故・障害・不正などを速やかに発見・通知する
- 回復
- 事故・障害から正常な状態に回復する
- バックアップ、代替機の確保、復旧対応マニュアルの作成
- 事故・障害から正常な状態に回復する
セキュリティの対策
- 物理的対策
- 建物・設備基準
- 技術的対策
- 技術基準:ツール導入など
- 運用管理対策
- 運用基準:セキュリティポリシー、人、教育など
情報セキュリティの指す範囲
- 情報セキュリティ
- コンピュータ・セキュリティ
- ネットワーク・セキュリティ
- (建物・設備などの)物理セキュリティ
- コンピュータ・セキュリティ
情報セキュリティの技術的対策
- 監査(Audit)
- 他の5階層全体を指し、導入した製品自身に設定ミスがないか、利用者がルールどおりに使用しているかなどを監視し、監査証跡を記録する製品およびサービス
- 暗号化(Encryption)
- 特権定義(Priviledge Definition / Single Sign On)
- 個人の属性に対して定義されたシステムへのアクセス権限を管理運営する認可の製品およびサービス
- 認証(Authentication)
- ネットワークやサーバにアクセスする際の、本人性を確認する製品およびサービス
- 通信規制(Access Control)
- インターネットに接続するする際に必要なファイアウォール製品およびサービス
- データ保護(Data Protection / Data Integrity)
- アンチウィルスに関する製品およびサービス
時系列で見た考え方
- 事前対策
- ファイアウォール、ウィルス対策サーバ、安全なWebアプリ開発、ハードディスク暗号化、サーバ室での安定稼働、パッチ適用
- 発生時の対策
- ネットワークからの切り離し、社内への周知、ホームページ上での公表、政府機関への連絡、HDDやメモリ内の証拠保全作業
- 発生後の対応、見直し
- 発生したインシデントのレビュー、ポリシーの改定や新たな対応策の導入
- 日常の運用
- 社員の教育、ログの監視、定期的バックアップ、脆弱性情報の収集、アカウント登録削除の管理徹底
脅威の分類
情報セキュリティのInputまとめ
この数年、情報セキュリティって何やった?を自分向けメモにまとめて振り返ってみる。
- 本を読んだ
- ネットを見た
- セキュリティ系ニュースサイト
- セキュリティ系情報サイト
- 資格
- 公開資料
- 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構
- IPA セキュア・プログラミング講座
- Linuxセキュリティ標準教科書 無料ダウンロード LPI-Japan PICレベル3対応|Linux技術者認定機関 LPI-Japan [エルピーアイジャパン]
- IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法の紹介」の公開:IPA 独立行政法人情報処理推進機構
- 『Androidアプリのセキュア設計・セキュアコーディングガイド』【2015年6月1日版】を公開しました。 | JSSEC
- 「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を一般公開しました - 財団法人 地方自治情報センター(LASDEC)
- 2015年3月20日号 15.04の開発・イギリス政府のセキュリティガイド・UWN#407・#408:Ubuntu Weekly Topics|gihyo.jp … 技術評論社
- Cross-Site Scripting – Application Security – Google
- セキュリティ系組織
- セキュリティ系個人サイト
- プレゼン資料/技術メモ
- ヤフーにおけるインプットバリデーション「何も信じるな」 - Yahoo! JAPAN Tech Blog
- とある診断員と色々厄介な脆弱性達
- フリーでやろうぜ!セキュリティチェック!
- とある診断員とSQLインジェクション
- 他人事ではないWebセキュリティ
- Management for Security Life Cycle (日本語版)
- これからのWebセキュリティ フロントエンド編 #seccamp
- サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ - naoeの日記
- セキュリティエンジニア向けツール(Windows編)
- そこそこセキュアなlinuxサーバーを作る
- TLS(SSL)のハンドシェイクの安全性について - きままにものづくり
- ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法 - Web Application Security Memo
- 2009-05-31 自作検査ツール - SQLインジェクション編 - T.Teradaの日記
- AWSにおけるセキュリティとコンプライアンスのベストプラクティスを読んでみた | Developers.IO
- リセット後のパスワードをメール送信するパスワードリセット方式の注意点 | 徳丸浩の日記
- 暗号化とトークナイゼーション:データを置くなら知っておきたい、クラウドセキュリティの基本 (1/2) - @IT
- 実録!ボットネット撃退最前線 - 第5回 情報漏えいが発生したら管理者はどうしたらいい?:ITpro
- セキュリティ系ML
- ツール・サービス
- 勉強会・カンファレンス
- 人に会った
- 資格を取った
- ITスペシャリスト(情報セキュリティ)
- やってみた
Dockerを使ったMongoDBの導入
前回に引き続きローカル開発環境で軽くMongoDBを導入して試したい、という場合にVagrant上でMongoDBをインストールしてゴニョゴニョってやってたけど、Dockerではデフォルトのインストールイメージが公開されているので導入がメチャ楽だ、というシリーズですウス。
MongoDB のDockerイメージ
MongoDB - Docker Hub https://hub.docker.com/_/mongo/
Dockerfileはこれ github.com
以下、公式ガイドのまんまですが解説。
MongoDB on Dockerコンテナーの起動
$ docker run --name my-mongo -d mongo
my-mongo という名称でバックグラウンドでDockerサーバが起動し、27017ポートでリッスン状態になる。
MongoDB shellで接続してみる
$ docker run -it --link my-mongo:mongo --rm mongo sh -c 'exec mongo "$MONGO_PORT_27017_TCP_ADDR:$MONGO_PORT_27017_TCP_PORT/test"' MongoDB shell version: 3.2.0 connecting to: 172.17.0.2:27017/test Welcome to the MongoDB shell. For interactive help, type "help". For more comprehensive documentation, see http://docs.mongodb.org/ (中略) > show dbs local 0.000GB > use mydb switched to db mydb > db.createCollection('users'); { "ok" : 1 }
ちゃんと使えていますね。終わるときは、Ctrl-Cで抜けます。
MongoDB on Dockerコンテナーの停止
$ docker stop my-mongo
以上!前回同様に便利だから、今後は意識した作業としての「ミドルウェアをインストールする」ということが少なくなっていくかもしれませんな。
Dockerを使ったRedisの導入
ローカル開発環境で軽くRedisを導入して試したい、という場合にVagrant上でRedisをインストールしてゴニョゴニョってやってたけど、Dockerではデフォルトのインストールイメージが公開されているので導入がメチャ楽だ、という話ですウス。
Redis のDockerイメージ
Redis - Docker Hub
https://hub.docker.com/_/redis/
Dockerfileはこれ github.com
以下、上記サイトのガイドのまんまですが解説。
Redis on Dockerコンテナーの起動
$ docker run --name my-redis -d redis
my-redis という名称でバックグラウンドでDockerサーバが起動し、6379ポートでリッスン状態になる。
redis-cli で接続してみる
$ docker run -it --link my-redis:redis --rm redis sh -c 'exec redis-cli -h "$REDIS_PORT_6379_TCP_ADDR" -p "$REDIS_PORT_6379_TCP_PORT"' 172.17.0.2:6379[1]> set key1 11111 OK 172.17.0.2:6379[1]> get key1 "11111"
ちゃんと使えていますね。終わるときは、Ctrl-Cで抜けます。
Redis on Dockerコンテナーの停止
$ docker stop my-redis
以上!チョー簡単で便利な世の中になったもんですな。
よりコンパクトで軽量なコンテナー仮想化環境へシフト中
VagrantもDockerも軽くかじっていたのですが、DockerはLinux上でしか動作してくれなかったのでVagrantのLinux上でDockerとかダルいなーと思ってVagrantをメインに使っていたワシですウス。
ですが、気がついたらDockerがMac/Windows上でも動いてくれる環境が整っていたようなので、チマチマとVagrantで構築していた仮想環境をDockerコンテナーに移行中。。。
Vagrantボックスの掃除に使っているコマンド
カレントディレクトリ配下のVagrantfileから、ボックス名をgrepする
$ find . -name Vagrantfile | xargs grep "config.vm.box " ./centosMongoDB/Vagrantfile: config.vm.box = "CentOS-6.4" ./ubuntuGrunt/Vagrantfile: config.vm.box = "hashicorp/precise32" ./ubuntuRedis/Vagrantfile: config.vm.box = "ubuntu/trusty64"
Vagrant ボックス名を一覧して、ボックスを削除する
$ vagrant box list hashicorp/precise32 (virtualbox, 1.0.0) precise32 (virtualbox, 0) ubuntu/trusty64 (virtualbox, 20150609.0.10) $ vagrant box remove [boxname]
これからは軽量なコンテナーで仮想化だ
素敵だDocker☆
Get Started with Docker (for Mac)
https://docs.docker.com/mac/
Mac環境の Java8 を update66 にバージョンアップ
以前導入した JDK8u20 から JDK8u66 にバージョンアップしたのでメモメモ。
現状のJavaバージョンの確認(キホン)
$ java -version java version "1.8.0_20" Java(TM) SE Runtime Environment (build 1.8.0_20-b26) Java HotSpot(TM) 64-Bit Server VM (build 25.20-b23, mixed mode)
インストールされている全てのjavaの確認
$ /usr/libexec/java_home -V Matching Java Virtual Machines (1): 1.8.0_20, x86_64: "Java SE 8" /Library/Java/JavaVirtualMachines/jdk1.8.0_20.jdk/Contents/Home /Library/Java/JavaVirtualMachines/jdk1.8.0_20.jdk/Contents/Home
新しいJDKをインストール
Java SE - Downloads | Oracle Technology Network | Oracle
からDownloadしたdmg→pkg→インストールOK
バージョンアップ確認
$ java -version java version "1.8.0_66" Java(TM) SE Runtime Environment (build 1.8.0_66-b17) Java HotSpot(TM) 64-Bit Server VM (build 25.66-b17, mixed mode)
インストールされている全てのjavaの確認(再)
$ /usr/libexec/java_home -V Matching Java Virtual Machines (2): 1.8.0_66, x86_64: "Java SE 8" /Library/Java/JavaVirtualMachines/jdk1.8.0_66.jdk/Contents/Home 1.8.0_20, x86_64: "Java SE 8" /Library/Java/JavaVirtualMachines/jdk1.8.0_20.jdk/Contents/Home /Library/Java/JavaVirtualMachines/jdk1.8.0_66.jdk/Contents/Home
1.8.0_20はもう不要になったのでアンインストールしたい。
旧バージョンJDKのアンインストール
$ sudo rm -rf /Library/Java/JavaVirtualMachines/jdk1.8.0_20.jdk
参考にしたサイト
Mac(OS X)におけるJava8(jdk8)等のインストール、アップデート、アンインストール方法
http://javaworld.helpfulness.jp/post-50/
国内gitホスティングサービスの codebreak; おつ
国内gitホスティングサービスの codebreak; が2016年1月末でサービス終了だそうな。これで無料プライベートリポジトリはBitBucketだけだな、と思って諸々のリポジトリを引っ越そうかと思ったらBitBucket落ちてる。おぃ大丈夫か、その可用性は。。。
サービス終了のお知らせ - codebreak;
https://codebreak.com/ja/contents/closure/#inform_closure
BitBucket - (500 Internal Server Error)
https://bitbucket.org/
