情報システムのセキュリティ対策のために多様なセキュリティ対策方式を組み合わせることのできるシステム
#研究 #セキュリティ
いったん雑メモ。
https://gyazo.com/d8ac0763bcb72ce4c08be5a0aa976283
三宅 悠介, 阿部 博, 栗林 健太郎, なめらかなセキュリティを目指して, 研究報告インターネットと運用技術(IOT), Vol.2019-IOT-47, pp.1-7, Sep 2019.
やりたいことの概要
セキュリティ対策をほどこしたい内容は多様。
WAF的な内容
認証(ゼロトラスト的な)
キャプチャや多要素認証の要求
重要な情報へのアクセスについては再度認証をもとめる
などなど
上記のセキュリティ対策を(1)リクエストごとに、(2)動的に実施できるようにする
上記のセキュリティ対策を自由に組み合わせることができる
アーキテクチャ
アーキテクチャとして、(1)プロクシ型、(2)バックエンド型、(3)非同期型がある。
(1)プロクシ型: WAFのように、情報システムの前段にいる形
メリット: 利用が楽、守りが堅い
デメリット: ご検知について情報システム側でハンドリングできない
(2)バックエンド型: 情報システムのうけとったリクエストをプロクシされて、セキュリティ判断を行う
メリット: 多様なセキュリティ対策方式を組み込みやすい、情報システム側で結果をハンドリングできる
デメリット: 情報システムにバックエンドとのやりとりをするコードを組み込む必要あり
(3)非同期型: ログ等でリクエストとは非同期に状況を把握する
メリット: 情報システムと独立に利用可能
デメリット: 一発目から攻撃があった場合にとめられない
上記の「(1)リクエストごとに、(2)動的に実施できる」を満たさないので、今回は考慮しない
方式の組み合わせ方
セキュリティ対策方式の組み合わせ方として、(1)直列型、(2)並列型がある。
(1)直列型: セキュリティ対策方式を直列にならべ、AND条件のようにはたらく(最初から順に通して、ひとつでもだめならNG)
(2)並列型: セキュリティ対策方式を並列に並べ、OR条件のようにはたらく(通過必須・オプショナルなものがあったり、全体としていくつ以上通過してたらOKとする等)
さらに、方式の組み合わせの種類は、(1)全体でひとつ、(2)ある単位ごとで複数がある
(1)全体でひとつ: どんなリクエストに対しても同一の組み合わせを適用する
(2)ある単位ごとで複数: 認証ユーザとゲストとで組み合わせを変える等
方式の仕様
入力
プロクシ形
HTTPリクエストをそのまま入力にする
バックエンド型
Web APIへの特定の入力をあたえる
出力
判定結果
ログ出力(オプショナル、あるいはログは集約するほうがいい?)