IT の Security -Firewallで不正アクセス防止
Information security
会社の Information に対する Security。ITを導入することで利便性は高まるが、新たな Threat にさらされる。
Security
System の Reliability の基盤。Security procedures として以下のようなものがある。
- Information の Integrity を Provide
- Sensitive information の Confidentiality と Privacy を Protect
- Authorized uses の Access のみに Restrict
- Hacks and attacks に対して Protect
Components
Information security では、以下の要素が重要になる。
- Confidentiality
- Integrity
- Availability
CIA!こわい。
Malware
マルウェア。Malicious(悪意のある) software 、Malicious app 。
User の意図に反して勝手なことをする。パスワードやデータを盗んだり壊したりと迷惑極まりない。
- Computer viruses
- Worm
- Sniffers
- Trojan Horse
- Virus Hoax
Computer viruses
ウイルス。
User の意図に反した Data の変更や紛失などを行うプログラム。Replicate(増殖)するが単体では存在できず、内部のファイルに寄生する必要がある。
どの User でもアクセスできるような Public-domain から Software を Download することは、Computer virus の Exposure が高まる。
Anti virus software
アンチウイルスソフト。感染前の状態に戻してくれる。しかし、次から次へと新種の Computer viruses が出てくるのでイタチゴッコとなる。
Worm
ワーム、虫。Viruses と同じように User の意図に反してデータの破壊などを行う。Viruses と違って Independently に存在できて Replicate を行う。勝手に Other system に Send することも可能。
メールに添付してある Worm を開くと感染する。また、ネットワークに接続してあるだけでも感染する。
Sniffers
Packet sniffers 。Network の中の Data を盗み見る。User names 、Passwords 、IP addresses など様々な Information が気づかれないうちに知られている。
Trojan Horse
神話のトロイの木馬になぞらえたマルウェア。 Legitimate program(正当なプログラム)をもつ Benign file に見せておいて、Destructive capability をもつ Program が隠されている。いくつかのタイプがある。
Virus Hoax
Hoax(デマ)な Virus の警告をメールで流す。
Zombie computer
Malware により遠隔操作が可能になっているコンピューター。持ち主が無自覚のまま悪用される。Botnet 。
Password crackers
Password cracking software 。System に Access するために、Large number の Potential password をGenerate して Test できる。
Denial of service attack
Dos Attack、DOS攻撃。Net の Traffic を増やし、Server に負荷をかけて Crash させる。過去には Yahoo や Amazon もくらっている。しばしばZombie computer も DOS攻撃のために悪用される。F5アタックや田代砲もDOS攻撃に含まれる。
Piggyback
便乗。偽者の Software や Net の無断接続が含まれる。情けない Threat。
Spoofing
IPのなりすまし。Another user に Pretend 。Masquerading 。
Salami fraud
Calculation の Remainders を Perpetrator(犯罪者)の Account にひそかに Accumulate する詐欺。一回の Transaction からぬきとる金額は極少額なので気づきにくいが、チリも積もれば山となる。
Logic bomb
Specific future date や Specific period の経過により悪さをする Programme 。
Back door
System に不正侵入したものが、再び侵入する際に Normal login procedures を Sidestep(回避する)ための裏口となる Software program。
Software piracy
不正コピー。
Superzapping
スーパーザッピング。Normal の Access control を Bypass や Violate することで、Secure information に Access したり、Utility programs の Unauthorized use を行ったりする。
Masquerading
なりすまし。他人のIP address を使って Network に Access。
Social engineering
Employee をだまして Information を手に入れる一連の Techniques 。盗み見や詐称による聞き出しなど、主にアナログな手法をさす。
Brownout
停電,、電圧低下。Electrical system の Voltage が Reduce。
Network security
ネットワークに対する Security 。General control のひとつ。
Firewall
Computer や Network を、外部からの不正アクセスから守ってくれる Software や Hard ware。
Firewall is an electronic device that separates or isolates a network segment from the main network while maintaining the connection between networks.
Firewall is a network node that is used to improve network traffic and to set up as a boundary that prevents traffic from one segment to cross over to another.
Security problem の Detect や Security policies の Enforce に役立つ。
Firewall は Password を設定することで、Firewall の Vulnerability(脆弱性) の Risk を低減させられる。
Application firewall
アプリケーションを対象としたファイアフォール。Network firewall に追加することで、Network 単体よりさらに対象を広げ、Unauthorized user のアクセスを妨げる。
Intrusion detection system
侵入検知システム、IDS。Network への Attack や Penetration(侵入)といった不正アクセスを検知して証拠を集める。Firewallを補足する。
Encryption protection
データの暗号化。離れた Location での Transaction の Transmit では必須。
Digital signatures
デジタルシグネチャ、デジタル署名。Digital certificates work に用いられる。
Digital signatures によって、Data に Authentication を与えることができる。誰が作ったか Data かわかる。
また、Encryption feature(暗号化機能)があるので、Transmission の間の Document などの Tamper(改ざん)を防ぐことができる。
Encryption software は、System の処理時間や消費メモリなどの Overhead を増やす。
Private key
Secret key、秘密鍵。Data をEncryption する。通信を Encryption するならば、Sender と Receiver が Private key を保有してなければならない。最近は、暗号通貨でもよく耳にする。漏れたらやられる。
The principle of privacy
Privacy の IT security principle 。Organization の System の Personal information のとりあつかいについて定める。
General Accepted Privacy Principles
GAPP。CPA が Privacy risk の Manage や Effective な Privacy program を Create することをたすける Principles 。AICPA が定めた。
