データ参照:CISP公式
目次
- クラウドコンピューティングのセキュリティ
- ビッグデータセキュリティ
- モバイルインターネットセキュリティ
- IoTセキュリティ
- 産業用インターネットセキュリティ
1. クラウドコンピューティングのセキュリティ
1. クラウドコンピューティングの定義
クラウド コンピューティングとは、ネットワークを介してスケーラブルで柔軟な物理または仮想の共有リソース プールにアクセスし、オンデマンドでリソースをセルフサービスで取得および管理するモードを指します。クラウド コンピューティングでは、コンピューティング リソースには、コンピューティング能力、ストレージ容量、ネットワーク帯域幅が含まれており、ユーザーは、ハードウェア機器への投資や保守を行うことなく、ニーズに応じていつでもこれらのリソースを取得および解放できます。————「情報セキュリティ技術クラウドコンピューティングサービスセキュリティガイドライン」(GB/T 31167-2014)
2. 計算機能
◇ オンデマンドセルフサービス
- クラウドサービスへの参加人員が不要または少ない場合、お客様はリソース占有時間や占有量を独自に決定するなど、ニーズに合わせて必要なコンピュータリソースを取得できます。
◇ ユビキタスアクセス
- 標準的なアクセス機構により、お客様はパソコン、携帯電話、タブレットなどのさまざまな端末から、ネットワークを介して、いつでもどこでもサービスをご利用いただけます。
◇ リソースプーリング
- クラウド サービス プロバイダーは、リソース (コンピューティング リソース、ストレージ リソース、ネットワーク リソースなど) を複数の顧客に提供し、これらの物理リソースおよび仮想リソースは、顧客のニーズに応じて動的に割り当てまたは再割り当てされます。
◇ 迅速な拡張性
- お客様は、必要に応じてコンピューティング リソースを迅速、柔軟、かつ便利に取得および解放できます。顧客にとって、このリソースは「無制限」であり、いつでも必要な量のリソースを入手できます。
◇ 測定可能なサービス
- クラウド コンピューティングは、さまざまな測定方法 (従量課金制や再充電など) に従ってリソースを自動的に制御または定量化できます。測定の対象には、ストレージ容量、コンピューティング能力、ネットワーク帯域幅、アカウントなどがあります。等
3. クラウドコンピューティングサービス形態
現在、クラウドコンピューティングの主なサービス形態は以下の通りです。
- SaaS (Software as a Service)、サービスとしてのソフトウェア。
- PaaS (サービスとしてのプラットフォーム)、サービスとしてのプラットフォーム。
- IaaS(サービスとしてのインフラストラクチャ)、インフラストラクチャ サービス。
4. クラウド コンピューティング プラットフォームのセキュリティ脅威
5. クラウドコンピューティングセキュリティ技術体系の枠組み
6. 信頼できるクラウドコンピューティング
2. ビッグデータのセキュリティ
1. ビッグデータの定義
2. ビッグデータの特徴
3. ビッグデータのセキュリティの脅威
4. ビッグデータのセキュリティリスク
5. ビッグデータのライフサイクルセキュリティ
- データ収集段階:データソースの特定と記録、データの法的収集、データ標準化管理、データ管理責任の定義、データの分類と分類、データ保持コンプライアンスの特定。
- データストレージ段階:ストレージアーキテクチャセキュリティ、論理ストレージセキュリティ、ストレージアクセスセキュリティ、データコピーセキュリティ、データアーカイブセキュリティなど。
- データ処理段階:データ分散処理セキュリティ、データ解析セキュリティ、データ暗号化処理、データ非感作処理、データトレーサビリティ等
- データ配信段階:データ送信セキュリティ、データアクセス制御、データ非感作処理など
- データ削除段階:メタデータ、オリジナルデータとコピーの削除、外部とのリアルタイムデータフローリンクの切断など。
6. ビッグデータのセキュリティ保護管理要件
4.1 ビッグデータのセキュリティ管理目標を体系化することで、データのセキュリティを確保しながらビッグデータの価値を実現します。組織は次のことを行う必要があります。
- a) 個人情報保護およびデータ保護に関する法令および基準の要求事項を満たすため
- b) ビッグデータ関連当事者のデータ保護要件を満たします。
- c) 技術的および管理的手段を通じて、独自の制御および管理下にあるデータ セキュリティ リスクが制御可能であることを確認します。
4.2 ビッグデータのセキュリティ管理の主な内容は次のとおりです。
- a)明確なデータセキュリティ要件: 組織は、ビッグデータ環境におけるデータの機密性、完全性、可用性が直面する新たな問題を分析し、ビッグデータ活動が国家安全保障、社会的影響、公共の利益、個人の生活と財産に及ぼす可能性のある影響を分析する必要があります。安全性などの影響を検討し、それらの問題や影響に対処するためのデータ セキュリティのニーズを指定します。
- b)データの分類と分類:組織はまずデータを分類して分類し、さまざまなデータ分類に従って適切なセキュリティ対策を選択する必要があります。
- c)ビッグデータ活動のセキュリティ要件を明確にする: 組織は、主要なビッグデータ活動の特性、関係する可能性のあるデータ操作を理解し、主要なデータ活動のセキュリティ要件を明確にする必要があります。
- d)ビッグデータのセキュリティリスクの評価:情報システムのセキュリティリスク評価の実施に加えて、組織は、潜在的なシステムの脆弱性、悪意のある使用、影響、およびビッグデータ環境におけるその他の悪影響の観点からビッグデータのセキュリティリスクも評価する必要があります。対策として。
これらの内容に関するガイダンスについては、「GB/37393-2019 情報セキュリティ技術ビッグデータセキュリティ管理ガイドライン」を参照してください。このガイドラインは、組織がビッグ データの価値を実現しながらデータ セキュリティを確保できるように、ビッグ データのセキュリティ管理に関する特定の要件とガイダンスを提供します。
7. ビッグデータセキュリティ保護技術
1) データ公開匿名性保護技術
- データを匿名化し、機密情報と個人情報を隠し、データの公開と共有のプロセスでプライバシーを確実に保護します。
2) ソーシャルネットワークの匿名性保護技術
- ソーシャル ネットワーク データの場合、プライバシー保護アルゴリズムを使用してユーザーの ID 情報と関連データが匿名化され、個人のプライバシーが漏洩するのを防ぎます。
3) データ透かし技術
- ビッグデータに固有の識別情報を埋め込み、データの著作権保護、データの真正性検証、データの透かし検出・抽出によるデータのトレーサビリティなどの機能を実現します。
4) データトレーサビリティ技術
- データの追跡と監視を通じて、データのソースを特定して復元し、データの追跡可能性と説明責任を実現します。
5) ロールマイニング技術
- ビッグデータ内の役割と行動パターンを分析およびマイニングすることにより、潜在的な異常で危険な行動が特定され、早期に警告を発してセキュリティの脅威に対応します。
6) リスク適応型アクセス制御
- ビッグデータ分析と機械学習テクノロジーを通じて、ユーザーの行動特性とリスク状態をリアルタイムで動的に評価し、アクセス権を動的に調整し、不正アクセスや悪意のある行為からデータを保護します。
3. モバイルインターネットセキュリティ
1. モバイルインターネットの概念
モバイル インターネットは、デスクトップ インターネットの開発およびコラボレーション機能と、モバイル インターネットのリアルタイム、プライバシー、可搬性、正確性、位置特定性の特性を継承しています。
技術レベルでは、モバイル インターネットはコア テクノロジーとしてブロードバンド IP を採用しており、音声、データ、マルチメディアなどのビジネス サービスを同時に提供できるオープンな基本通信ネットワークです。
端末レベルでは、モバイル インターネットは、広義には、携帯電話、ネットブック、ノートブックなどのモバイル端末を使用して、モバイル ネットワークを通じてモバイル通信やインターネット サービスを利用するユーザーを指します。狭義には、モバイル端末を使用してインターネット サイトを閲覧するユーザーを指します。モバイル ネットワークを介したモバイル Web サイト、その他のデータ サービスやマルチメディアやカスタマイズされた情報などの情報サービスを取得するため。
モバイルインターネットの発展と普及は、人々により便利で豊かな情報交換、エンターテイメント、ビジネスサービス体験をもたらし、モバイルアプリケーションの革新と開発を促進し、人々の生活と働き方を変えました。
2. モバイル インターネット セキュリティの脅威
3. モバイル インターネット セキュリティのリスク
オープンチャネルのセキュリティリスク
無線通信チャネルがオープンであるため、通信内容が盗聴されたり、改ざんされたり、ユーザーの身元が偽装されたりする可能性があります。攻撃者はこれらの脆弱性を悪用して機密情報を取得したり、詐欺行為を行ったりする可能性があります。
モバイル インターネット アプリケーションのセキュリティ リスク
モバイルインターネットは比較的新しい分野であるため、関連法規制が完全ではなく、セキュリティリスクに対する業界の理解も不十分です。多くのモバイルアプリケーション開発ではセキュリティへの配慮が欠如しており、ソフトウェアのライフサイクルにセキュリティが組み込まれておらず、ビジネスプロセスなどにおけるセキュリティリスク分析が不足しているため、脆弱なビジネスシステムが多数存在し、より多くのユーザーの個人的利益を侵害しています。そしてより多くのユーザー。
モバイルインターネットユーザー端末のセキュリティリスク
モバイル デバイスの機能が増え続けることで、セキュリティ リスクが蓄積されています。攻撃者はモバイル デバイスの弱点や脆弱性を悪用して、ユーザーの個人情報にアクセスしたり、デバイスを制御したりする可能性があります。
オペレーティングモデルによって引き起こされるセキュリティ問題
ユーザーのクリックと保持を引き付けるために、一部のアプリでは、不快なコンテンツ (ポルノ、虚偽、誇張、または違法な表現など) を含むコンテンツを追加したり、ユーザーが送信することを暗黙的に許可したりする場合があります。これにより、ユーザーが誤解されたり気分を害したりする可能性があります。
4. モバイルインターネットのセキュリティ保護
5. モバイルインターネット端末のセキュリティ
6. モバイルインターネットネットワークのセキュリティ
4. IoTセキュリティ
1. モノのインターネットの概念
モノのインターネットは、インターネットを介してさまざまなアイテムを接続し、情報交換と通信を実現し、インテリジェントな識別、測位、追跡、監視、管理を実現するネットワークです。モノのインターネットを通じて、物理世界のさまざまなデバイス、センサー、オブジェクトをインターネットに接続し、デバイス間のデータ送信、遠隔監視と制御を実現できます。
モノのインターネットの中心的な考え方は、物理世界のさまざまなモノやデバイスをインターネットに接続して、データの収集、送信、保存、分析を実現することです。これにより、物体の状態や状況をリアルタイムに取得・監視し、機器の遠隔制御・管理を実現します。IoT テクノロジーには幅広い用途があり、ホーム オートメーション、スマート シティ、産業オートメーション、インテリジェント交通などの多くの分野をカバーしています。
モノのインターネットの発展は多くの革新と利便性をもたらしましたが、プライバシーとセキュリティの問題、標準と相互運用性などのいくつかの課題にも直面しています。したがって、モノのインターネットの発展を促進するには、対応する標準を策定し、ネットワークのセキュリティ保護を強化し、さまざまなデバイスやシステム間の相互運用性とデータセキュリティを促進する必要があります。
2. IoTのセキュリティリスク
プライバシー漏洩問題
- モノのインターネットの多数のセンサーとデバイスは、位置、健康状態、生活習慣などの機密情報を含む大量の個人データを収集および送信します。これらのデータが権限のない個人または組織によって取得された場合、重大なプライバシー漏洩の問題が発生する可能性があります。
プラットフォームのセキュリティの脆弱性
- IoT プラットフォームやクラウド サービスのセキュリティの脆弱性は、データ漏洩、デバイスの遠隔制御、または悪意のある攻撃につながる可能性があります。攻撃者はこれらの脆弱性を悪用して機密情報を取得したり、IoT システムの通常の動作を妨害したりする可能性があります。
端末のモビリティと情報セキュリティ管理
- IoT端末はモバイルであり、いつでもどこでもインターネットに接続できます。これにより、エンドデバイスが信頼できないネットワークに接続し、安全でないネットワーク経由でアクセスされるリスクに直面する可能性があるため、情報セキュリティ管理の難しさが増します。
メンテナンスの困難と機器の脆弱性
- モノのインターネットにおけるデバイスの数は急速に増加しており、これらのデバイスの更新と保守が困難になっています。端末機器の脆弱性は長期間にわたって修正されない可能性があり、攻撃者に脆弱性を悪用される機会が与えられ、システム攻撃のリスクが高まります。
こうしたセキュリティリスクに対処するために、IoTでは一連のセキュリティ対策を講じる必要があります。これには、暗号化された通信、強力なパスワードと認証、安全なクラウド サービスとプラットフォーム、デバイスのファームウェアとソフトウェアの定期的な更新と修正、機密情報の保護とプライバシー慣行の開発と実施が含まれます。また、ユーザーや組織もセキュリティ意識を強化し、個人情報やIoTシステムのセキュリティを守るために適切な対策を講じる必要があります。
3. モノのインターネットのセキュリティ アーキテクチャ
4. 知覚層のセキュリティ
知覚層の構造的特徴
-
センシング ユニット、特にワイヤレス センサー エレメントの機能は限られています。通常、知覚ユニットはコンピューティング能力とストレージ能力が低く、エネルギー供給も限られています。これにより、その機能と処理能力が制限され、リソースに制約のある環境向けに設計を考慮する必要があります。
-
複数のセンシング ユニットがローカル センサー ネットワークを形成します。より包括的な情報と範囲を取得するために、通常、複数のセンシング ユニットがローカル センサー ネットワークを形成します。これらのユニットは通信および連携して、データの収集、共有、処理を実現できます。
認識層におけるセキュリティの脅威には次のようなものがあります。
-
認識層のゲートウェイ ノードが悪意をもって制御されています。ゲートウェイ ノードは、認識層と他のネットワーク層を接続します。これが悪意をもって制御されると、認識層全体のセキュリティが失われ、攻撃者がデータを改ざんしたり、プライバシーを盗んだり、その他の悪意のある行為を実行する可能性があります。
-
認識層の通常のノードが悪意を持って制御されます。認識層の通常のノードは攻撃者によって制御される可能性があり、攻撃者がノードの鍵を取得したり、ノードの動作を改ざんしたりすることで、認識ネットワークの正常な動作やデータの信頼性に影響を与える可能性があります。
-
知覚層の通常のノードがキャプチャされます。通常のノードが悪意を持って制御されていない場合でも、ノードが物理的に捕捉されると、攻撃者はノードに保存されているデータを取得したり、その他の形式の攻撃を実行したりする可能性があります。
-
認識層のノードはネットワークから DoS 攻撃を受けます。アウェアネス層のノードは、分散型サービス拒否 (DoS) 攻撃のターゲットになる可能性があり、攻撃者は大量のリクエストや悪意のあるトラフィックを送信して、ノードが正常に動作できないようにします。
5. トランスポート層のセキュリティ
● トランスポート層のセキュリティメカニズム
- エンドツーエンドの機密性: 認証メカニズム、鍵合意メカニズム、機密性アルゴリズム選択メカニズム、および鍵管理メカニズム
- ノード間の機密性: 認証、鍵の合意、消費電力、効率
● トランスポート層セキュリティフレームワーク
- ノード認証メカニズムの確立、データの機密性と完全性のメカニズムの確立、要件に応じたデータ フローの機密性メカニズムの確立、DDoS 攻撃の検出および防止メカニズムの確立
- IMSI ベースの互換性または一貫性、モバイル ネットワークの AKA メカニズムのクロスドメイン/ネットワーク認証
- 対応する暗号化技術: キー管理、エンドツーエンド暗号化とポイントツーポイント暗号化、暗号化アルゴリズムとプロトコルなど。
- ブロードキャストおよびマルチキャスト通信の機密性、認証、整合性メカニズムを確立する
6. 処理層のセキュリティ
● 処理層のセキュリティ アーキテクチャ
- 強力なデータ機密性と完全性サービス
- 侵入検知とウイルス検知
- 信頼性の高い高度なインテリジェントな処理手段
- PKI と対称キーの組み合わせを含む、信頼性の高いキー管理メカニズム
- 信頼性の高い認証メカニズムと鍵管理スキーム
- 暗号文クエリ、データマイニング、安全なマルチパーティコンピューティング、安全なクラウドコンピューティングなど。
- 悪意のある命令の分析と防止、アクセス制御および災害復旧メカニズム
- 機密ログの追跡と動作分析、悪意のある動作モデルの確立
- モバイルデバイスの識別、位置および追跡メカニズム
- モバイルデバイスファイルのバックアップと復元
7. アプリケーション層のセキュリティ
● アプリケーション層のセキュリティ アーキテクチャ
- 効果的なデータベース アクセス制御とコンテンツ フィルタリング メカニズム
- さまざまなシーンにおけるプライバシー情報保護技術
- 安全なデータ破壊技術
- 効果的なデータフォレンジック技術
- 裏切り追跡およびその他の情報漏洩追跡メカニズム
- 安全なエレクトロニクスとソフトウェアのための知的財産保護技術
5.産業用インターネットセキュリティ
1. イラン原子力発電所における「Stuxnetウイルス事件」
2. ウクライナの送電網がウイルス攻撃を受けた
3. 産業用制御ネットワークのセキュリティは国家安全保障を危険にさらす
4. 産業用制御システム用語の解説
産業用制御システム (産業用制御システム、ICS と呼ばれる)
- これは、インフラストラクチャの自動運用、プロセス制御、監視を保証するために使用される、さまざまな自動制御コンポーネントとリアルタイム データ収集および監視コンポーネントで構成されるビジネス プロセス制御システムです。
プログラマブル ロジック コントローラー (PLC)
- プログラム可能なデジタルまたはアナログの入出力を介して、さまざまな種類の機械や生産プロセスを制御できるデバイスです。
分散制御システム (略して DCS)
- 集中管理システムに対して新しいタイプのコンピュータ制御システムであり、集中管理システムをベースに開発・進化し、分散型の特徴を持っています。
データ収集および監視制御システム (Supervisory Control And Data Acquisition、SCADA と呼ばれる)
- これは、コンピュータベースの DCS および電力自動化監視システムです。広く使用されており、電力、冶金、石油、化学工業、ガス、鉄道などの分野におけるデータ収集、監視制御、プロセス制御などの多くの分野で使用できます。
これらのシステムは産業において重要な役割を果たし、自動化、効率性、安全性の実現に貢献します。これらは、機器、生産プロセス、およびリアルタイムのデータ取得を制御および監視することにより、産業プロセスの包括的な管理および制御機能を提供します。この統合システムは、生産プロセスを最適化し、リソースの利用率を向上させ、タイムリーなデータ監視および警告機能を通じて安全性と信頼性を確保します。
5. 産業用制御ネットワークの特徴
産業用制御ネットワークの特性により、オフィス ネットワークやインターネット設計に基づいた情報セキュリティ保護対策 (ファイアウォール、ウイルス駆除など) では産業用制御ネットワークのセキュリティを効果的に保護できないことがわかります。
さまざまなネットワーク通信プロトコル
- 多くの産業用制御システムはプライベート プロトコルを使用しています
システムの安定性に対する高い要件
- サイバーセキュリティは誤検知と同等の攻撃を生み出す
システムの動作環境が異なります
- 産業用制御システムの動作環境は比較的遅れている
更新に費用がかかる
- オフィスネットワークやインターネットのようにセキュリティ問題にパッチを適用することはできません
高いネットワーク構造と動作安定性
- インターネットやオフィスネットワークの頻繁な変更とは異なり、
6. 産業用制御システムネットワークのカバー範囲
7. 産業用制御システムに対するサイバー脅威の発生源
8.産業用インターネットセキュリティシステム
● 7 つの主なタスク:
- 産業用インターネットセキュリティ責任の履行を促進する。
- 産業用インターネットセキュリティ管理システムを構築する
- 企業の産業用インターネットセキュリティ保護のレベルを向上させます。
- 産業用インターネットのデータセキュリティ保護機能の強化
- 国家産業用インターネットセキュリティ技術手段を構築する。
- 産業用インターネットセキュリティのための公共サービス機能を強化する
- 産業用インターネットセキュリティ技術の革新と産業の発展を促進します。
● 4 つの安全対策
- 組織のリーダーシップを強化し、作業メカニズムを改善します。
- サポートを強化し、イノベーション環境を最適化します。
- 市場の役割を十分に発揮し、各方面の力を結集する。
- 広報・教育を強化し、人材育成を加速する。