セキュリティ関連 用語説明

セキュリティ関連 用語説明

+エレシークとは
Webサイト、Webアプリケーションの脆弱性を診断する無料のセキュリティ診断ツールです。オンラインで完結し簡易的な診断結果を無料でご利用頂けます。本格的なセキュリティ診断は”エレシークVA”をご利用ください。
+エレシークVAとは
本格的な脆弱性診断をセキュリティ専門のエキスパートエンジニアが貴社のWebアプリケーションの内容をヒアリングさせて頂いた上で行います。同業他社にはない診断パターンを有し(6万強)、他社では検出されない脆弱性も網羅的に発見しクライアントの抜本的なセキュリティ対策に繋げるレポートを提供します。
+FQDN
Fully Qualified Domain Nameの略。DNSにおけるホスト名、ドメイン名(サブドメイン名)などすべてを省略せずに指定した記述形式のこと。www.eleseek.com.とreport.eleseek.com. は異なるFQDNにあたる。
+IPA
独立行政法人情報処理機構のこと。情報セキュリティ関連では、ITシステムの情報セキュリティの啓発活動、脆弱性対策情報について発信する行政機関。
+JVN
"Japan Vulnerability Notes"の略。日本で使用されているソフトウェア等の脆弱性関連情報とその対策情報を提供する脆弱性対策情報のデータベースサイト。
JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営している。
+JVN-IDとは
脆弱性情報識別番号のこと。脆弱性情報を特定するために割り振られる一意な番号。
日本国内で報告された脆弱性情報には、JVN#ABCD1234 のような番号が割り振られます。US-CERT Technical Cyber Security Alert や US-CERT Vulnerability Note には、JVNTA00-001A、JVNVU#123456 のような番号が割り振られます。CPNI からの情報に関しては、CPNI-123456 のような番号が割り振られます。
各組織と同一の番号を使用することで、同じ脆弱性に関する内容であることがわかります。
+CVE
CVE:Common Vulnerabilities and Exposures。脆弱性を識別するための共通脆弱性識別子のこと(http://cve.mitre.org/)。
共通脆弱性識別子CVEは、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。
個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。
エレシークではJVNに該当しない脆弱性情報がマッチングされた場合、CVEの脆弱性情報を拠出します(英文ですがご容赦ください)
+CVSS
「共通脆弱性評価システム」と呼ばれる。「Common Vulnerability Scoring System」の略。米国インフラストラクチャ諮問委員会(NIAC=National Infrastructure Advisory Council)で作成された特定のベンダーに依存しない脆弱性評価システム。

CVSSは、以下の3つの指標で脆弱性の度合いを判断する。
1.基本評価基準:外部から攻撃されるかどうかの影響を評価する。
2.現状評価基準:攻撃コードの出現有無や、対策情報が利用可能かどうかを評価する。
3.環境評価基準:攻撃を受けた場合の2次的な被害の大きさや、組織内での対象製品の使用状況を把握する。

このCVSSによって、特定のベンダーに依存しない評価方法を確立することが可能となり、脆弱性の”深刻度”を同一基準で比較することができる。現在では、各評価項目の値や算出式を改善したCVSS v2がある。
+CVSS深刻度
エレシークではIPAも採用したCVSSを採用した3段階で「レベル3(危険)」「レベル2(警告)」「レベル1(注意)」と脆弱性の深刻度を示している。

レベル3には、OSコマンドインジェクションやSQLインジェクション、バッファオーバーフローによる任意のコマンド実行など、リモートからシステムが”完全に制御されたり”、”大部分のデータが改ざん”される問題が含まれる。レベル2には”重要な情報の漏洩やサービス停止”につながる脅威、レベル1としては、システムの一部に被害が発生する脅威や攻撃に当たって複雑な条件が必要となる脅威が含まれる。
+マルウェア
マルウェアとは、ウイルスを含む、ワーム、バックドア、キーロガー、トロイの木馬、WordやExcelのマクロウイルス、ブートセクタウイルス、スクリプトウイルス (BAT、Windowsシェル、JavaScriptなど)、クライムウェア、スケアウェア、スパイウェア、悪質なアドウェア、ミスリーディングアプリケーション等、悪質なコードの総称です。
マルウェアはシステムの脆弱性を悪用して、密かに侵入するなど、遠隔地のコンピュータに侵入したり攻撃したりするソフトウェアや、コンピュータウイルスのようにコンピュータに侵入して他のコンピュータへの感染活動や破壊活動を行ったり、情報を外部に漏洩させたりする有害なソフトウェアなど、致命的なダメージを被るものなどがあります。
Webサイトがマルウェアに感染することで、閲覧に訪れたユーザーにマルウェアを拡散するなどサイト運営者としては第三者に被害を与えないために十分に対策をする必要があります。
+承認系のセキュリティ診断
エレシークでは、セッション情報、cookie情報の設定が適切かどうか、第三者に推測されやすいかどうかなどの脆弱性を検出します。脆弱性有りと判定されると、システムの高い権限へのアクセスをされるなど、攻撃者が他の管理者やユーザーに成りすます危険性があります。
+認証系のセキュリティ診断
エレシークでは、ID,passを有するroot権限からBasic認証周りについて脆弱性について検出します。脆弱性有りと判定されると、管理者やユーザへの成りすましや情報漏えいの危険性があります。
+情報漏えいのセキュリティ診断
エレシークでは、サイトの中で取得しうる情報漏えい情報、および情報漏えいに繋がる情報について検出します。脆弱性有りと判定されると、管理者やユーザへの成りすまし、情報漏えいの危険性があります。
+外部・内部リンク、内部ファイル
エレシークでは貴サイト内の外部・内部リンク、内部ファイルの種類を抽出しています。予期せぬリンク先、ファイルなどを確認頂き不正な飛び先、予期せぬ飛び先が確認されないかを確認頂けます。
+webページ改ざん
IPAセキュリティセンターでも、「ウェブ改ざん」の被害が多発していることを注意喚起しています。
最近の手口はウェブサーバーを標的としウェブサーバーの弱点を突き、ウェブ改ざんを試みる事例が多発しています。ウェブサーバーの脆弱性が悪用されてサーバーに侵入されたりすることで、改ざんされてしまいます。
ガンプラ―であった「ウェブ改ざん」のためにクライアントパソコンを狙うだけでなく、ウェブサーバーも標的としていることを踏まえ定期的なセキュリティ診断の実施、十分な対策を打たれることをお勧めします。
+OSミドルウェア
Webアプリケーションの土台となる部分であり、ここに脆弱性を有していると全体への影響が大きい可能性が高いと言えます。脆弱性が都度更新され新しいバージョンが発表されるためパッチ更新が大変ではあるものの、脆弱性を有したまま運営するのは非常に危険と言えます。脆弱性の脅威をIPS,IDS,WAF等で防御したとしても、Webアプリケーションの更新改善等で人的ミスからセキュリティホールが発生するなどリスクを継続的に内包した状態となります。
当該階層におけるリスク回避としては次の点が重要です。
1.セキュリティ情報を収集する
2.定期的にセキュリティ診断を行なう
+Basic認証
basic認証とは、HTTPで定義される認証方式の一つ。ほぼ全てのWebサーバおよびブラウザで対応しているため、広く使われている。閲覧に使うプロトコル「HTTP」が備える認証であり、Webブラウザでユーザ名とパスワードの入力を求め、入力情報がマッチするとページを閲覧することができる。
診断を始める
上に戻る ↑