質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

IoT

IoT(Internet of Things)とは、インターネットがコンピュータなどの情報・通信機器のネットワークだけでなく、世の中のある様々なモノに接続されて自動認識・自動制御・遠隔計測などの能力を備えることです。「モノのインターネット」と一般的にいわれます。

情報セキュリティスペシャリスト

情報セキュリティスペシャリスト試験 (SC)は、IPA 独立行政法人 情報処理推進機構の実施している国家資格です。

Q&A

解決済

2回答

411閲覧

H28秋 SC午後1 セキュアなファームウェア更新手法について

ma-yu

総合スコア57

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

SSH

SSH(Secure Shell)は、セキュアチャネルを通してデータを交換するためのネットワークプロトコルです。リモートサーバーへのコマンド実行やファイル転送を行う時に一般的に使用されます。

Linux

Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

IoT

IoT(Internet of Things)とは、インターネットがコンピュータなどの情報・通信機器のネットワークだけでなく、世の中のある様々なモノに接続されて自動認識・自動制御・遠隔計測などの能力を備えることです。「モノのインターネット」と一般的にいわれます。

情報セキュリティスペシャリスト

情報セキュリティスペシャリスト試験 (SC)は、IPA 独立行政法人 情報処理推進機構の実施している国家資格です。

0グッド

2クリップ

投稿2018/08/28 07:24

セキュアなファームウェア更新手法について

H28秋 情報セキュリティスペシャリスト試験 午後1 問題1では、
ファームウェアの更新について議論されています。

ここで、設問に入る前、最後にE君が
「セキュリティに関する仕様を明確化し~~」と述べています。

設問では触れられていませんが、これはどんな仕様にすべきなのでしょうか?

試験問題:
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2016h28_2/2016h28a_sc_pm1_qs.pdf

質問の経緯

実践的なSSHを用いたセキュアなファームウェアの更新について知りたいです。

特に、以下について考慮しながらご回答いただけると幸いです。

・直接rootでログインできないようにすべきか(PermitRootLogin No にすべき?)
→suでrootに成り上がるためのパスワードは設定する?個体毎に違うパスワードになる?

・ホスト鍵は工場出荷時に機器に埋め込んでおくのか否か
→個体ごとに違う鍵を埋め込むとしたらペア鍵の管理が大変すぎないか?

・「TCP Wrappersを使って送信元IPアドレスを監視端末のIPアドレスに限定」とあるが、この送信元IPアドレスは固定値なのか?
→相手が正規のものかをIPアドレスのみで判断するのはいかがなものでは?

このほかにも注意すべき点があれば御教授ください。
どうぞよろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ベストアンサー

これはどんな仕様にすべきなのでしょうか?

問題文や回答例に書かれていることが全てではないし、どのようなセキュリティ仕様を盛り込むかはシステムに依存するので、こんな仕様にすべき、裏を返せばこんな仕様にすれば万事OKなどという銀の弾丸はございません。
設問では一般論として中間者攻撃や辞書式攻撃への標準的な対応策が書かれています。
これらを踏まえたうえで、構築するシステムごとの特徴を考えてセキュリティ設計をする必要があると考えます。

以下は経緯のほうに書かれていた内容に対する私の考えです。

直接rootでログインできないようにすべきか

最低限リモートでrootログインは禁止すべきでしょう。用途を考えるとsudoerも必要ないでしょう。
ルータの設定変更は専用の権限をもったユーザーを用意するのみです。
なお、サービスメンテナンスのため直接コンソールを接続して管理者権限でログインするのはアリでしょう。

ホスト鍵は工場出荷時に機器に埋め込んでおくのか否か

設問のルータを単体で販売することはなく、センサ類とセットでシステム構築作業するでしょうから、工場出荷時ではなく顧客引き渡し時にセットするので良いかと思われます。

この送信元IPアドレスは固定値なのか?

固定値が望ましいでしょう。別に1アドレスに限定することもないですし。

相手が正規のものかをIPアドレスのみで判断するのはいかがなものでは?

IPアドレスに関して言えば、接続はプライベートLANの中からのみとなりますし(監視端末からもVPNです)、IPSecなのでパケットの改ざんも難しい。192.168.で始まるいくつかを許可すればよいでしょう。
また、相手が正規の人か判定するため、この後に証明書による認証を行うわけなので、IPアドレスのみで判断している、というわけではないと考えます。

ほかに考慮すべき点

配信されたファームウェアが真正なものであっても、思いもよらないエラーで更新処理が中断してしまうかもしれません。万一新しいファームウェアへの更新が失敗しても現行のファームウェアに戻せるような仕組みがあればなおベターかも、と思います。

また、顧客に対してもセキュアな運用をしてもらえるようにマニュアルやチェックリスト類が充実しているとより良いと思います。

投稿2018/08/28 13:13

hope_mucci

総合スコア4447

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ma-yu

2018/08/29 07:36

ご回答ありがとうございます。 1点、確認させてください。 また、相手が正規の人か判定するため、この後に証明書による認証を行うわけなので、IPアドレスのみで判断している、というわけではないと考えます。 →SSHで証明書によるユーザー認証ができるのでしょうか?
hope_mucci

2018/08/30 03:37 編集

公開鍵認証によるSSHログインができるということは、その端末にログインする資格があるということなので、正規ユーザーが操作していると考えられます。 もし秘密鍵が盗まれてしまっていたら?ログインする端末は別になるのでIPアドレスでの判断で弾けるでしょう。加えて、その端末を操作するには端末を置いてある場所に入らねばならず、一般的な企業ならもちろん入退室管理は行なっているでしょう。端末にログインする方法もID/パスワード方式だけでなく、ICカードでの認証、指紋、ワンタイムパスワードなど色々な認証方法が考えられます。これらをトータルに勘案するのがセキュリティ対策ということになります。
ma-yu

2018/08/29 23:55

ご回答ありがとうございます。 すみません。SSHでは鍵認証とパスワード認証の2種類の認証があると把握していたのですが、 証明書によるユーザー認証も可能なのでしょうか? お手数ですが御教授ください。
hope_mucci

2018/08/30 03:36

ああう、すみません。公開鍵認証のことです。コメントは修正します。ボケていました。申し訳ないです。
ma-yu

2018/08/30 04:12

ご回答ありがとうございます。 ではログインする端末が不正アクセスされると...などと考えているとキリがないのでしょうか。 どんな脅威の対策をするか、事前に考える必要があるのだと思いました。 ありがとうございました。 まずは想定される脅威を洗い出してみます。
guest

0

以下の動画を理解することをおすすめします。

https://youtu.be/XFyuHxC1l6I

投稿2018/08/29 02:28

YouheiSakurai

総合スコア6142

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ma-yu

2018/08/29 07:37

ご回答ありがとうございます。 恥ずかしながら、英語のリスニング能力不足でして... 概要等、分かるものがありましたら御教授いただけないでしょうか?
YouheiSakurai
ma-yu

2018/08/29 23:58

ご回答、概要説明ありがとうございます。 プロフィール閲覧させていただきました。 私も支援士を目指しているので、より実践的な情報セキュリティについてしっかり勉強していきたい所存です。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問