情報セキュリティマネジメント試験・セキュリティ対策~ネットワークセキュリティ・データべース編~
セキュリティ対策の中で、一番プロっぽいwのが、このネットワークセキュリティではないでしょうか。ネットワークセキュリティのところになると、少し専門性が高くなります。
ネットワークセキュリティ構築経験がなくても、全体の内容と用語をしっかり抑えて試験に挑みましょう!
同じようにデータベースの部分もそんなに出る所はありません。「情報セキュリティ」の考え方がしっかり身についていれば、データベースの部分も理解でき、解けるレベルです。
では、今回は一気にネットワークとデータベースの部分、2つ行きましょう!
- プロトコル
- ネットワーク
- データベース
- 業務アプリケーション
前回はプロトコルについて書きました。そちらも参考にぜひ見てください。
情報セキュリティ対策~ネットワーク全体を監視する~
情報セキュリティマネジメント試験に出る~ネットワーク監視~
情報セキュリティマネジメント試験に出るネットワーク監視の技術は、あまりありません。用語と内容だけ覚えてたらすんなりクリアできます。・・・はず。
フィルタリング機能
悪いものは通さない。ネットワークの中にはフィルタリング機能があります。
パケットフィルタリング
ファイルウォール、ルーターなどの機器はネットワーク上の通信をさせるかさせないか、つまりパケットを通すか通さないかの判断を行います。このことをパケットフィルタリングと言います。
MACアドレスフィルタリング
ネットワークの認証に関する技術
RADIUS
ネットワーク認証と使った事実を記録する仕組みのことです。サーバーで管理するのが一般的です。
RADIUSはサーバーとクライアントで動作し、各クライアントからの認証情報がサーバーに送られサーバーば認証してよいかどうか応答します。
RADIUSサーバーは、クライアントからの認証から、クライアントが使えるサービスを確認しています。
IEEE802.1Ⅹ
LAN接続の認証規格のこと。無線・有線に関係なく使われる認証規格です。認証に使われるプロトコルは、EAP(Extensible Authentication Protocol)です。
サプリカント
IEEE802.1Xで認証するコンピュータ(クライアント)に導入するソフトウェアです。認証機能を持つスイッチや無線LANアクセスポイントとの認証を行います。
オーセンティケータ
ネットワーク機器です。無線LANアクセスポイントや認証スイッチが具体的な機器になります。IEEE802.1Xの機能を持つ機器(無線LANアクセスポイントや、認証スイッチ)のことを総称してオーセンティケータと言います。
IEEE802.1Ⅹを使った認証はこんなイメージ
IEEE802.1Xを使ったときのサプリカント、オーセンティケータ、RADIUSの構成イメージはこんな感じです。

- サプリカントはPCに導入するソフトウェア
- オーセンティケータはスイッチや無線アクセスポイントなどの物理的ネットワーク機器のこと
- ポート毎に認証を行う。
- 認証に成功したらオーセンティケータはポートを使って良いよ、と許可する。
- 使うプロトコルはEAP(Extensible Authentication Protocol)
VLAN
LANの中で仮想敵なネットワークを構築する技術のことです。VLANを使って物理的に1つのスイッチに接続している機器を論理的に2つのネットワークに分けることができます。
VLANとIEEE802.1Xを組み合わせて使うことで、認証に許可されたコンピュータのみ業務アプリケーションにアクセスする、などの構築ができるようになります。
情報セキュリティ対策~データベースセキュリティ~
データベースのセキュリティ対策はどうする?
複数のセキュリティ対策技術を組み合わせる
データベース内に格納された大事なデータを守るには、データベースが持つ独自のセキュリティ対策だけでなく、さまざまなセキュリティ対策技術と組み合わせるのが大事です。
具体的なセキュリティ対策技術は次のものがあります。
暗号化
データベースに格納されたデータを暗号化します。
- 利点:データベース(ストレージそのもの)が盗まれたときはデータを守れる
- 欠点:プログラムからデータベースにアクセスされたときは複合されてしまう。SQLインじぇんくションなどの攻撃には対応できない
アクセス制御
データベースにログインするアカウントのアクセス制御を正しく設定する。具体的にはデータベースにアクセスするユーザーの認証を行う、ログインされたアカウントにロール(役割)を設定し、データへのアクセス制御を行う、等です。責務の分離の考え方をデータベースにも用います。
データベースそのもののセキュリティ対策ではなく、情報セキュリティの考え方にそった基本的な対策です。情報セキュリティの基本を理解していればすんなり理解できる内容です。
ログの取得・定期的なバックアップ
その他、データベースでもシステムと同じようにアクセスログの取得や、定期的なバックアップを行い情報を守るようにすることが大切です。
まとめ・ネットワークとデータベースは難しい。だから出ない?だけど出る
情報セキュリティマネジメント試験では、ネットワーク監視とデータベースでのセキュリティは難しいと感じます。「セキュリティ対策ってなんだっけ?」という基本に立ち返れば、どちらも解ける問題しか出ません。
ネットワーク監視、データベース、難しい内容と言葉に惑わされず基本をとらえて解いて行くとよいですね。
データベースと言えば、Oracleを思い浮かべてしまいます。「今度のお客さん、Oracleらしいよ!」って時に備えてデータベースとは何ぞや?と学んでみるのもよいですね。
資格は無駄ですが、勉強は無駄になりません。
–こんなブログで勉強してはいけません。試験突破したいなら絶対本を買ってください—
もちろん私もセキュリティ構築経験なんてないですよー(威張り)