SA.06:セキュリティ

SA.06.1 認証認可とアクセス制御

重要度:☆☆☆(3)

概要

  • 外部を含む複数サービス間や異種 OS 間での一元的な認証・認可や多要素認証について、適切な方式を選択できるとともに、OSS を用いて具体的に設定・構築できる。
  • アクセス制御の種々の方式を比較でき、Linux におけるアクセス制御機能を適切に設定できる。

詳細

  • シングルサインオンの実装方式の違いを理解している。
    • フェデレーション方式: OAuth、OpenID Connect、SAML
    • リバースプロキシ方式
    • 代理認証方式
  • 多要素認証や多段階認証の主要な実装例を理解している。
    • ワンタイムパスワード: Time-Based One-Time Password (TOTP)
  • パスワードレス認証、FIDO認証の仕組みを理解している。
  • Linux サーバーを用いた認証システムを構築・運用する。
    • ワンタイムパスワードの生成と管理
  • Samba を用いて Active Directory と連携する。
    • Linux 上での Active Directory サーバーの構築
    • Linux マシンの Active Directory への参加
  • アクセス制御の種々の方式の特徴を理解している。任意アクセス制御 (DAC) との比較を含む。
    • 強制アクセス制御 (MAC)
    • ロールベースアクセス制御 (RBAC)
    • 属性ベースアクセス制御 (ABAC)
  • Linux のアクセス制御の機能を目的に応じて使い分ける。
    • SELinux
    • AppArmor
    • seccommp/bpf

SA.06.2 セキュリティの予防措置

重要度:☆☆☆(3)

概要

  • システム停止や情報の盗難・漏洩・改ざんに至る主要な攻撃方法を理解している。
  • ネットワーク・アプリケーション・プラットフォーム・データそれぞれに対して多層的に診断や予防ができる。

詳細

  • 特にシステム側に被害を与える典型的な攻撃の手法について、その原理を理解している。
    • 種々の DoS/DDoS 攻撃手法: リフレクション攻撃、SYN flood、オープンリゾルバ
    • DoS/DDoS で使われるアプリケーション: Memcached、NTP、DNS
    • 不正アクセス手法: SQL や OS コマンドのインジェクション、ディレクトリトラバーサル、バッファオーバーラン、リスト型攻撃
  • 脆弱性診断ツールの動作原理や機能の違いを把握した上で、設定と実行、検出結果の解釈及び対処を行う。また、修正の要不要やタイミング、チェック頻度などを判断し脆弱性を管理する。
    • ペネトレーションテストの実施: GVM、ZAP
    • 脆弱性の報告されたパッケージ (パッチ) の検出: Clair、Katello、Vuls
    • 規格への適合確認: OpenSCAP
    • コンテナイメージのスキャン: Trivy
  • 正規の通信やアクセスのみを許可する設計を導入し、脅威を予防する。
    • WAF、DMZ、UTM
    • パケットシグネチャを使用したフィルタリング、DPI
    • 証明書を利用した認証
  • 攻撃や情報流出に対する緩和策を用意する。
    • DDoS Mitigation Device、ISP の Routing Blackhole
    • レートリミット
    • サンドボックス
    • 暗号化ファイルシステム、ストレージ: LUKS、dm-crypt、TPM
    • 外部アクセスポート/デバイスの制限 (USB ポートの利用制限など)
  • 使用しない機能や設定を削除し、潜在的な脆弱性を低減する。
    • 不要なユーザー・アクセス権の削除
    • 使用していないサービスやソフトウェアの検出
    • 仮想マシン/コンテナに対する権限、リソース設定

SA.06.3 セキュリティインシデントの検出

重要度:☆☆☆(3)

概要

  • システムのセキュリティ異常検知について、主要な方式の動作原理や適用可能範囲を理解している。また、これに関する Linux 機能や OSS の選定および運用方法の設計ができる。

詳細

  • Linux 監査フレームワーク (Audit) で取得できる情報の範囲や基本的な運用の流れを理解している。
    • 監視対象の選定: ファイルアクセス監視、システムコール監視
    • 監査ログのクエリ、レポート出力
  • ホスト型侵入検知システム (HIDS) の動作原理を理解しシステムに組み込む。
    • ファイル改ざん検知: AIDE、Tripwire の設定及び自動化
    • マルウェア検知: chkrootkit、rkhunter の設定及び使用
    • OSSEC の構成要素と機能
    • アンチウィルスソフトの設定 (監視対象の選定など)
  • ネットワーク型侵入検知システム (NIDS) の動作原理を理解しシステムに組み込む。
    • Snort の設定及びルール管理
  • モニタリングツールを用いて異常の詳細を分析する。
    • トラフィック分析: tcpdump、Wireshark
  • セキュリティ情報・イベント管理解析ツール (SIEM) の機能概要を知っている。
    • 複数ソースから集約したログの正規化
    • 相関分析によるインシデント判定