質問編集履歴
1
質問の範囲が広すぎたため、範囲を狭めた内容に修正しました。
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -3,21 +3,34 @@
|
|
|
3
3
|
顧客情報・個人情報等を取り扱いをするため、外部(グローバルネットワーク)からの不正アクセスを防ぎたい。
|
|
4
4
|
サーバー(ファイル)へのアクセス可能範囲はプライベートネットワーク内だけに設定したい。
|
|
5
5
|
|
|
6
|
-
Apacheのhttpd.confにてアクセスを許可したいPCのIPを指定する方式を想定した。
|
|
6
|
+
Apacheのhttpd.confにてアクセスを許可したいPCのIPのみを指定する方式を想定した。
|
|
7
7
|
|
|
8
|
-
この方式で想定される
|
|
8
|
+
この方式で想定される漏洩経路・手段はどのようなものがありますでしょうか?
|
|
9
|
-
また、ほかの良い方法などありませんでしょうか?
|
|
10
9
|
|
|
11
|
-
※私が考えた攻撃手段、漏洩経路としては、
|
|
12
|
-
・プライベートネットワーク内のPC(サーバーではない)を乗っ取る等してサーバーへのアクセスを試みる方法
|
|
13
|
-
・プライベートネットワーク内の実線のLANに接続してアクセスする方法
|
|
14
|
-
を想定しました。
|
|
15
10
|
|
|
16
|
-
|
|
17
11
|
初めての投稿で、不備・不足等ございましたら遠慮なくご指摘お願いいたします。
|
|
18
12
|
|
|
19
13
|
お忙しいところ恐縮ですがご教授いただけたら幸いです。
|
|
20
14
|
|
|
15
|
+
### 前提条件
|
|
16
|
+
作成する「電話の応対システム(PHP+MySQLにて作成する範囲)」には「セキュリティ上の不備はない」こととします
|
|
17
|
+
|
|
18
|
+
下記については今回の質問内容について考慮しません
|
|
19
|
+
・サーバーPCのOSの未知のバグ
|
|
20
|
+
・サーバーPCのOSの未知のセキュリティの脆弱性
|
|
21
|
+
・Apacheの未知のバグ
|
|
22
|
+
・Apacheの未知のセキュリティの脆弱性
|
|
23
|
+
・ネットワーク盗聴による漏洩
|
|
24
|
+
・悪意を持ってリアル側でサーバー用PCを直接操作して情報を漏洩させること。(スパイウェアの設置、改ざん、データの不正送信、USBなどのデバイスへのコピーして持ち出しによるデータ流出)
|
|
25
|
+
・悪意を持ってリアル側で正規のプライベートネットワーク内のPCを使用して故意に情報を漏洩させること。(スパイウェアの設置、改ざん、データの不正送信、USBなどのデバイスへのコピーして持ち出しによるデータ流出)
|
|
26
|
+
・サーバー用PCを全部または一部物理的に盗難されることによる漏洩
|
|
27
|
+
・作業用データメディアの紛失による流出
|
|
28
|
+
・バックアップメディアの紛失による流出
|
|
29
|
+
・正規のプライベートネットワーク内のPCにスパイウェアが入っていた場合、そのスパイウェアからの漏洩
|
|
30
|
+
・正規のプライベートネットワーク内のPCを使用している善意のユーザーが、偽サイトに入力してしまった場合の漏洩(クリックジャッキング、フィッシングサイト等)
|
|
31
|
+
・プライベートネットワーク内の実線LANに物理接続して不正アクセスをすること
|
|
32
|
+
|
|
33
|
+
|
|
21
34
|
### 該当のソースコード
|
|
22
35
|
|
|
23
36
|
Apacheのhttpd.confの設定例
|
|
@@ -34,10 +47,24 @@
|
|
|
34
47
|
OS:Windows10
|
|
35
48
|
Xampp:7.4.20
|
|
36
49
|
PHP:8.0.7
|
|
50
|
+
MariaDB:10.4.19
|
|
37
51
|
|
|
38
52
|
電話の応対システムのサーバー役PCはインターネットへ接続が可能な状態
|
|
39
53
|
電話の応対システムのサーバー役PCは固定IP
|
|
40
54
|
電話の応対システムのサーバー役PCは有線接続
|
|
41
55
|
電話の応対システムへアクセスしたいPCはインターネットへ接続が可能な状態
|
|
42
56
|
電話の応対システムへアクセスしたいPCは固定IP設定済
|
|
43
|
-
電話の応対システムへアクセスしたいPCは全て有線接続
|
|
57
|
+
電話の応対システムへアクセスしたいPCは全て有線接続
|
|
58
|
+
|
|
59
|
+
|
|
60
|
+
「攻撃による情報の流出」を含むために表現しておりましたが、
|
|
61
|
+
・「情報漏洩」以外のいたずら・データ改ざん・業務妨害等の様々な要素が多い
|
|
62
|
+
・ご回答いただける方の想定する範囲が広すぎてしまうこと
|
|
63
|
+
・今回の質問の意図が、「想定される情報漏洩経路の特定」からズレてしまっていること
|
|
64
|
+
・すでに記載してある「漏洩経路・手段」の内容に「攻撃による情報の流出」が含まれること
|
|
65
|
+
により「攻撃手段」を削除し、「漏洩経路・手段」一本化した。(2021/06/22)
|
|
66
|
+
|
|
67
|
+
前提条件を追加しました。(2021/06/22)
|
|
68
|
+
質問内容に「想定される攻撃手段」を記載しておりましたが、主たる目的が「漏洩経路・手段」の特定であるため「攻撃手段」を削除しました。(2021/06/22)
|
|
69
|
+
「また、ほかの良い方法などありませんでしょうか?」を削除しました。(2021/06/22)
|
|
70
|
+
DBの種類とバージョンを追加しました。(2021/06/22)
|