Web

Size: px

Start display at page:

Download "Web"

ありさわしあし
5 years ago
Views:

2 Web LAN i

3 6.1.2 LAN ii

4 SSL VPN LAN LAN LAN LAN LAN LAN LAN iii

5 36 LAN SA iv

6 LAN LAN LAN SA v

7 Windows NT Server UNIX Web LAN LAN Web vi

8 vii

9 1 1.1 (PSEC) 11 PSEC WG1 DCS(Distributed Control System) LAN LAN DCS PSEC 1

10 [ 中間報告書 ] モデルシステム [ 実地適用研究報告書 ] モデルシステム [ 中間報告書 ] セキュリティポリシー制御系ネットワークのオープン化動向モデルシステム策定作業 [ 実地適用研究報告書 ] セキュリティポリシー作業項目 [ 成果物名称 ] 成果物 [ 中間報告書 ] 侵入経路別の脅威 [ 中間報告書 ] セキュリティ対策 [ 要件定義書 ] モデルシステムセキュリティポリシー策定作業中間成果物 [ 実地適用研究報告書 ] ニーズ / 脅威 / 対策 [ 最終報告書 ] 要件定義全体要件定義作業 [ 要件定義書 ] セキュリティポリシー既存の成果物技術開発コンソーシアム公開報告書 ( 第 1/2 分冊 ) 高信頼性 / 高セキュリティ制御システムの研究報告書 [ 要件定義書 ] セキュリティ機能要件個別要件定義作業 ISO/IEC15408 セキュリティ機能要件体系認証外部設計作業秘匿通信外部設計作業ファイアウォールマイクロプロキシ外部設計作業外部設計作業 [ 外部設計書 ] 機能仕様監視外部設計作業運用管理外部設計作業 1 (1) (i) (ii) PSEC WG3 2

11 (iii) (iv) (2) (2) 2 2 セキュリティポリシー現場機器情報系システムセキュリティ運用管理フレームワークセキュリティ監視フレームワーク制御機器専用マイクロプロキシ制御系保護専用ファイアウォール制御系セキュアフレームワーク 1 認証フレームワーク 2 秘匿通信フレームワーク操作者認証機器認証通信内容の秘匿非改ざん性保証 2 3

12 1.3 (1) (2) (3) (4) (5) (6) 4

13 2 (1) LAN DCS (2) LAN LAN 5

14 Internet Web サーバデータサーバコントローラ 3 (3) 6

15 (4) Internet 4 7

17 2 2 LAN LAN LAN 5 (1) LAN 5 LAN 5 LAN LAN LAN LAN LAN LAN (2) LAN 5 A 9

18 LAN LAN LAN LAN IP 5 (3) GUI (4) LAN LAN LAN LAN LAN LAN LAN LAN 5 (5) LAN 5 10

19 Internet 5

20 (1) 6 IP 6 (a) (d) 6 (a) (b) (c) (d) 12

21 (2) 7 7 (c) (d) 7 (c) (d) 13

22 (3) 8 8 (a) 8 (a) 14

23 IP (1) 9 15

24 9 LAN LAN LAN LAN LAN LAN 16

25 (i) IP 4 4 IP CL CL DS WS EN OP OP IP LAN LAN IP (ii) 5 5 Web 17

26 (iii) 6 6 Web CL001, CL002 DS010 EN012 OP020, OP021 WS011 (iv) 7 OK OK OK OK OK OK NG OK NG OK Web (*1) 7 Web OK NG NG NG NG NG OK OK OK OK OK OK OK OK OK NG OK OK NG OK OK NG OK OK NG NG NG NG OK NG OK OK OK OK OK NG NG NG OK OK NG NG OK NG OK NG NG NG NG OK NG OK OK OK OK NG 18

27 7 OK 10 7 OK OK NG 10 (2) Windows UNIX LAN LAN LAN LAN 19

28 8 8 enguser opeuser monuser opeuser (opeuser) opeuser 20

29 opeuser (i) 9 9 enguser enguser2 enguser3 opeuser opeuser2 opeuser3 monuser monuser2 monuser IC (ii)

30 (iii) enguser, enguser2, enguser3 opeuser, opeuser2, opeuser3 monuser, monuser2, monuser3 (iv) (*2) OK (NG) OK OK Web OK (NG) (NG) (*2) NG (NG) OK (*2) NG (NG) OK OK NG (NG) (NG) OK NG (NG) (NG) 1 2 LAN LAN (NG) OK OK NG OK NG (NG) 12 22

31 Web (NG) OK NG monuser NG OK monuser (3) LAN LAN LAN LAN (4)

32 GUI 12 (5) IP (6) LAN LAN LAN LAN LAN 24

33 13 LAN 13 LAN LAN LAN LAN 25

34 (7) 3.3. Web LAN LAN (a)(h) (a) enguser enguser (b) (c) (d) (e) 26

35 (f) (g) (h) (a)(m) (a) opeuser opeuser (b) opeuser 27

36 (c) opeuser (d) (e) (f) (g) (h) opeuser (i) (j) (k) (l) (m) 28

37 Web LAN (Web ) Web Web Web Web URL Web Web Web SSL(Secure Sockets Layer) 16 Web Web 29

38 16 SSL SSL TCP/IP SSL TCP/IP Microsoft Internet Explorer Netscape Netscape Navigator Web SSL SSL Web SSL TCP/IP SSL 16 Web SSL SSL Web Web Web Web SSL LAN Web SSL Web 16 (a)(i) (a) Web URL Web HTML (b) SSL 30

39 (c) Web (d) Web (e) (f) Web (e) (g) Web (h) Web SSL (b) SSL (i) Web Web Web Web LAN LAN 17 31

40 17 VPN(Virtual Private Network) 18 VPN 18 LAN VPN VPN VPN 18 VPN 32

41 19 (a)(h) (a) (b) VPN (c) VPN (b) VPN (d) (e) (f) (e) (g) (h) 19 33

42 20 (a)(h) (a) (b) (c) (d) (c) (e) (f) VPN (g) VPN (f) VPN (h) 20 34

43 4 4.1 (1) (i) (ii) DoS (2) (i) LAN LAN 19 InitiatorClient 35

44 13 LAN C AS AS C C AS AS C AS C C:Client AS:Authentication Server 14 LAN I R R I I:Initiator R:Responder 36

45 宛先機器 Responder 送信元機器 Initiator 認証秘匿通信サーバ Authentication Server 認証開始要求認証開始応答初期認証要求初期認証応答接続要求接続応答 21 LAN 37

46 (ii) LAN LAN SA Security Association SA 15 LAN SA SA Security Association I R SA SA R I I R R I I R R I I:Initiator R:Responder 38

47 送信元機器 Initiator 宛先機器 Responder SA 交換要求 SA 交換応答データ交換要求データ交換応答認証データ送信認証データ応答 22 LAN 39

48 (3) (i) LAN LAN 16 40

49 (ii) LAN ID 17 ID ID 41

50 4.2 (1) (i) IPv6 end-to-end (ii) Salt IPv6 IPsec AH ESP (2) 18 SND RCV SND: RCV: 42

51 SA 19 SA SA SA SA SAM AFW SA SA SA AFW SAM SA SA SA AFW SAM SAM:SA AFW: 20 LOG SWA LOG: SWA: 21 STM AFW AFW STM AFW STM AFW: STM: 43

52 (3) (i) IPv6 AH ESP IPv6 AH SPI ESP SPI IV 44

53 22 IPv6 6 AH AH AH SPI ESP SPI IV ESP 45

54 SA IPv6 SA IPv6 SA Path MTU 23 IPv6 22 IPv6 IPv6 SA ON SA SA Path MTU 46

55 IPv6 24 IPv6 22 IPv6 IPv6 25 IPv6 22 IPv6 47

56 4.3 (1) (i) HTTP (ii) HTTPS HTTP over TLS SSL SocksV5 IPSec IPSec (2) 48

57 A M M A M A A M A M M A M A A M M A A M A M M A M A A M M A A M A:Agent M:Manager

58 (3) (i) ID ID ID 50

59 27 26 ID ID ID ID ID ID X 51

61 4.4 (1) (i) HTTP (ii) HTTPS HTTP over TLS SSL SocksV5 IPSec IPSec (2) 53

62 A M M A M A A M A M M A M A A M M A A M M A A M A M M A A:Agent

63 M:Manager (3) (i) ID ID ID 55

64 ID ID ID ID ID ID 32 X 56

66 4.5 (1) (i) VPN HTTPS HTTP Web HTTPS HTTP 34 TCP VPN HTTPS HTTP Web TCP TCP Web HTTPS HTTP TCP 58

67 (ii) VPN SSL(Secure Sockets Layer) SSL Web SSL 35 Web Web VPN SSL +SOCKS +SSL (2) External Internal Internal External (3) 59

68 (1) (i) TCP UDP (ii) (2) 36 C D D C C: D: 60

69 (3) (i) ID ID ID

70 5 5.1 LAN LAN LAN LAN 5.2 (1) (2) (3) LAN LAN 62

71 (4) (5) LAN LAN LAN LAN LAN Web (6) LAN LAN 63

72 LAN SA(Security Association)SA IV(Initial Vector) SPI(Security Parameter Index) SA SA SA LAN LAN LAN LAN LAN LAN SA LAN LAN LAN 64

73 (1) LAN LAN LAN SA LAN 運用管理サーバ機器ポリシーポリシーポリシー管理情報取得機能機器秘密情報認証フレームワーク機器識別情報問い合わせ情報ポリシー秘密鍵証明書などメッセージ制御機能メッセージ SA 情報メッセージペイロードペイロード SA 情報ペイロード制御機能鍵交換情報鍵機器識別情報機器識別機能秘匿通信連携機能鍵交換処理機能ログ出力機能メッセージ SA メッセージログ秘匿通信フレームワークセキュリティ監視エージェントログ出力機能への入力は各機能からログ情報が入力される 24 LAN 65

74 (i) (ii) SA Security Association (iii) SA (iv) SA (v) SA (vi) (vii) 66

75 (2) LAN LAN LAN 認証サーバセキュリティポリシーエージェントセキュリティ監視エージェント認証フレームワーク利用者情報機器情報アクセス権限情報利用者情報機器情報アクセス権限情報管理情報取得機能ログログ出力機能アクセス許可情報発行制御機能利用者情報機器情報発行情報発行命令アクセス許可情報発行機能認証結果アクセス許可情報認証制御機能メッセージ機器ログ出力機能への入力は各機能からログ情報が入力される 25 LAN 67

76 (i) (ii) (iii) (iv) (v) 68

77 (3) LAN LAN SA LAN 機器認証フレームワーク認証子個人情報格納機能認証子生成機能アクセス許可情報認証子生成鍵アクセス許可情報制御機能アクセス許可情報認証子検証結果アクセス許可情報検証機能認証子生成鍵利用者秘密情報利用者認証制御機能アクセス許可情報認証子認証子生成鍵アクセス許可情報認証子検証結果機器秘密情報機器識別情報利用者認証ペイロード利用者識別結果メッセージ制御機能機器認証ペイロード機器認証制御機能機器識別情報機器識別機能利用者識別機能メッセージ SA 情報メッセージ生体識別装置ログイン情報秘匿通信連携機能ログ出力機能利用者識別情報メッセージ SA メッセージログアプリケーション秘匿通信フレームワークセキュリティ監視エージェントメッセージログ出力機能への入力は各機能からログ情報が入力される認証秘匿通信サーバ 26 LAN 69

78 (i) SA Security Association (ii) SA (iii) (iv) (v) (vi) (vii) (viii) 70

79 (ix) (x) OS SA(Security Association) SA SA SA SA SA SA OS 71

80 アプリケーションアプリケーションデータデータ OS セキュリティ監視エージェント OS データログログデータパケット制御機能平文 SA 管理情報問合せログ出力機能ログ出力機能パケット制御機能管理情報問合せ復号化後データ管理情報返却データ暗号化機能 SA 問合せ秘匿通信管理機能秘匿通信管理機能データ復号化機能平文暗号化後データ SA 検証後データ SA 平文データ認証機能認証後データ SA 管理機能 SA 管理機能 SA 問合せ SA 返却データ検証機能入力データ SA データ送信機能秘匿通信ポリシー問合せ SA 問合せ SA 返却 SA 問合せ SA 返却秘匿通信ポリシー問合せデータ受信機能認証フレームワーク通信路ログ出力機能には細破線中の全ての機能から入線があるしかし簡単のため省略 27 SA (i) Outbound SA Inbound (ii) 72

81 (iii) SA (iv) Outbound (v) Outbound (vi) (vii) 73

82 (viii) Inbound (ix) Inbound (x) ISO/IEC

83 セキュリティ運用管理フレームワークセキュリティポリシーエージェント機能ポリシー連携機能レポート生成機能ログ改ざん検知機能フィルタ管理機能イベント分析機能ログ管理機能セキュリティ監視マネージャ通信機能セキュリティ監視マネージャ認証秘匿通信フレームワークセキュリティ監視エージェント通信機能セキュリティ監視エージェントログ通信機能ログ分析機能イベント通信機能ログ情報ログ取得機能ログ管理機能フィルタ設定機能 28 (1) Web 75

84 (i) (ii) (iii) (iv) (v) (vi) (vii) (2) 76

85 (i) (ii) (iii) (iv) (v) (vi) (vii) 77

86 5.3.4 セキュリティポリシーエージェントポリシーエージェント通信機能認証秘匿通信フレームワークセキュリティポリシーマネージャポリシーマネージャ通信機能認証フレームワーク連携機能監視フレームワーク連携機能ファイアウォール連携機能構成管理機能利用者情報ポリシー管理機能アクセス権限情報監視 GUI 機能ログファイル利用者情報機器情報アクセス権限情報機器情報ファイアウォール設定フィルタ情報レホートイヘントファイアウォール設定機器情報フィルタ情報ファイアウォール設定イベントファイル認証秘匿通信サーハ ( 認証秘匿通信フレームワーク ) セキュリティ監視マネーシャ ( セキュリティ監視フレームワーク ) 制御系保護専用ファイアウォール GUI 画面 GUI 画面 GUI 画面自フレームワーク自機能フロック他フレームワーク 29 (1) 78

87 GUI (i) (ii) (iii) GUI (iv) (2) (i) 79

88 (ii) (iii) (iv) 80

89 5.3.5 LAN LAN LAN LAN LAN LAN 81

90 ホストコンピュータ監視端末 (Web クライアント ) NIC (External) 市販ファイアウォール製品プロキシ機能パケットフィルタ機能リバースプロキシ機能ログ出力機能フィルタ設定機能セキュリティ監視エージェントセキュリティポリシーエージェント認証フレームワーク秘匿通信フレームワーク NIC (Internal) プロコン Web サーバ 30 82

91 (i) (ii) (iii) (iv) (v) 83

92 5.3.6 LAN LAN LAN CPU 31 84

94 (1) LAN LAN

95 (2) 33 87

96 (i) (ii)

97 89

98 6 6.1 (1) SA(Security Association)SA IV(Initial Vector) SPI(Security Parameter Index) SA LAN LAN LAN LAN LAN LAN LAN LAN LAN 90

99 SA LAN LAN LAN LAN 91

100 (2) 運用管理サーバ機器ポリシーポリシーポリシー管理情報取得機能機器秘密情報認証フレームワーク機器識別情報問い合わせ情報ポリシー秘密鍵証明書などメッセージ制御機能メッセージ SA 情報メッセージペイロードペイロード SA 情報ペイロード制御機能鍵交換情報鍵機器識別情報機器識別機能秘匿通信連携機能鍵交換処理機能ログ出力機能メッセージ SA メッセージログ秘匿通信フレームワークセキュリティ監視エージェントログ出力機能への入力は各機能からログ情報が入力される 34 LAN 92

101 認証サーバセキュリティポリシーエージェントセキュリティ監視エージェント認証フレームワーク利用者情報機器情報アクセス権限情報利用者情報機器情報アクセス権限情報管理情報取得機能ログログ出力機能アクセス許可情報発行制御機能利用者情報機器情報発行情報発行命令アクセス許可情報発行機能認証結果アクセス許可情報認証制御機能メッセージ機器ログ出力機能への入力は各機能からログ情報が入力される 35 LAN 93

102 利用者認証制御機能利用者識別機能利用者識別情報利用者秘密情報認証子生成機能機器識別機能機器識別情報機器認証制御機能アクセス許可情報制御機能秘匿通信連携機能アクセス許可情報検証機能機器認証ペイロード機器識別情報利用者識別結果利用者認証ペイロードアクセス許可情報認証子生成鍵秘匿通信フレームワーク機器秘密情報アクセス許可情報認証子 SA 情報メッセージ SA メッセージ認証子セキュリティ監視エージェントログ出力機能ログ生体識別装置個人情報格納機能検証結果アプリケーションログイン情報機器メッセージメッセージアクセス許可情報認証子認証子生成鍵アクセス許可情報認証子検証結果認証フレームワーク認証子生成鍵ログ出力機能への入力は各機能からログ情報が入力されるログ出力機能への入力は各機能からログ情報が入力されるログ出力機能への入力は各機能からログ情報が入力されるログ出力機能への入力は各機能からログ情報が入力されるメッセージ制御機能認証秘匿通信サーバメッセージ 36 LAN

103 6.1.1 LAN (1) (i) 機器ポリシーポリシー管理情報取得機能問い合わせ情報ポリシーメッセージ制御機能 37 (ii) 95

104 (iii) 96

105 (2) (i) SA 機器メッセージ制御機能メッセージ SA 情報メッセージ秘匿通信連携機能 SA メッセージメッセージ秘匿通信フレームワーク 38 (ii) SA SA SA SA (iii) SA SA IV(Initial Vector) 97

106 (3) (i) SA SA SA SA SA 機器管理情報取得機能ポリシー問い合わせ情報メッセージ制御機能 SA 情報メッセージメッセージ秘匿通信連携機能ペイロード SA 情報ペイロードペイロード制御機能 39 98

107 (ii) SA SA SA SA SA (iii) SA SA SA SA SA 99

108 (4) (i) SA SA 機器機器秘密情報秘密鍵証明書などメッセージ制御機能ペイロードペイロード SA 情報ペイロード制御機能機器識別情報機器識別機能鍵交換情報鍵鍵交換処理機能 40 (ii) SA pre-shard ID 100

109 (iii) SA SA SA SA Diffie-Hellman 101

110 (5) (i) SA 機器鍵交換処理機能鍵交換情報鍵ペイロード制御機能 41 (ii) Diffie-Hellman (iii) 102

111 (6) (i) 機器ペイロード制御機能機器識別情報機器識別機能機器識別情報 42 (ii) IP (iii) 103

112 (7) (i) 機器認証フレームワークの各機能ログ情報ログ出力機能ログセキュリティ監視エージェント 43 (ii) (iii) LAN

113 6.1.2 LAN (1) (i) 認証秘匿通信サーバセキュリティポリシーエージェント利用者情報機器情報アクセス権限情報管理情報取得機能利用者情報機器情報アクセス権限情報利用者情報機器情報認証制御機能アクセス許可情報発行制御機能 44 (ii)

114 41 106

115 (iii)

116 (2) (i) 認証秘匿通信サーバ管理情報取得機能利用者情報機器情報アクセス許可情報発行機能アクセス許可情報認証制御機能認証結果アクセス許可情報発行制御機能メッセージ機器 45 (ii) 108

117 44 45 (iii) 109

118 (3) 機器アクセス許可情報制御機能個人情報格納装置アクセス許可情報認証子認証子生成鍵アクセス許可情報認証子検証結果利用者認証制御機能利用者認証ペイロード機能メッセージ制御機能機器認証ペイロード機器認証制御機能メッセージ SA 情報メッセージ秘匿通信連携機能 46 (i) 110

119 (ii) SA SA SA 111

120 (4) (i) 生体識別装置個人情報格納装置機器利用者識別情報利用者識別機能利用者識別結果利用者認証制御機能 47 (ii) PIN (iii) 112

121 (5) (i) pre-shard ID 個人情報格納装置機器認証子生成機能認証子生成鍵利用者秘密情報利用者認証制御機能利用者認証ペイロードメッセージ制御機能利用者識別結果ログイン情報アプリケーション利用者識別機能生体識別装置

122 (ii) pre-shard ID (iii) 114

123 (6) (i) 機器機器識別情報機器識別機能機器識別結果機器認証制御機能 49 (ii) IP (iii) 115

124 (7) (i) preshard ID 機器機器秘密情報メッセージ制御機能機器認証ペイロード機器認証制御機能機器識別情報機器識別機能 50 (ii) pre-shard ID 116

125 (iii) 117

126 (8) (i) 認証秘匿通信サーバ管理情報取得機能利用者情報機器情報アクセス権限情報アクセス許可情報発行制御機能認証結果認証制御機能発行情報発行命令アクセス許可情報発行機能 51 (ii)

127 47 (iii) 119

128 (9) (i) 認証秘匿通信サーバアクセス許可情報発行制御機能発行情報発行命令アクセス許可情報発行機能アクセス許可情報認証制御機能 52 (ii) (iii) 120

129 (10) (i) 個人情報格納機能機器認証子認証子生成機能アクセス許可情報認証子生成鍵アクセス許可情報制御機能認証子生成鍵利用者認証制御機能機器秘密情報 53 (ii) pre-shard ID 121

130 (iii) 122

131 (11) (i) 個人情報格納装置機器認証子認証子生成機能アクセス許可情報認証子生成鍵アクセス許可情報制御機能アクセス許可情報認証子検証結果アクセス許可情報検証機能アクセス許可情報認証子認証子生成鍵アクセス許可情報認証子検証結果メッセージ制御機能

132 (ii) (iii) 124

133 (12) (i) SA 機器機器秘密情報アクセス許可情報検証機能アクセス許可情報認証子検証結果アクセス許可情報制御機能 55 (ii) pre-shard ID (iii) 125

134 (13) (i) SA 機器メッセージ制御機能メッセージ SA 情報メッセージ秘匿通信連携機能 SA メッセージメッセージ秘匿通信フレームワーク 56 (ii) SA SA SA IV(Initial Vector) (iii) SA IV(Initial Vector) 126

135 (14) (i) 機器および認証秘匿通信サーバ認証フレームワークの各機能ログ情報ログ出力機能ログセキュリティ監視エージェント 57 (ii) (iii) LAN

136 49 128

137 6.2 OS SA(Security Association) SA SA SA SA SA SA SA SA SA SA SA SA SA SA SA 129

138 アプリケーションアプリケーションデータデータ OS セキュリティ監視エージェント OS データログログデータパケット制御機能平文 SA 管理情報問合せログ出力機能ログ出力機能パケット制御機能管理情報問合せ復号化後データ管理情報返却データ暗号化機能 SA 問合せ秘匿通信管理機能秘匿通信管理機能データ復号化機能平文暗号化後データ SA 検証後データ SA 平文データ認証機能認証後データ SA 管理機能 SA 管理機能 SA 問合せ SA 返却データ検証機能入力データ SA データ送信機能秘匿通信ポリシー問合せ SA 問合せ SA 返却 SA 問合せ SA 返却秘匿通信ポリシー問合せデータ受信機能認証フレームワーク通信路ログ出力機能には細破線中の全ての機能から入線があるしかし簡単のため省略

139 (1) (i) out-bound discard bypass apply apply SA Security Association SA SA SA SA in-bound discard OS OS エラーログログ出力機能ログ出力機能エラーログデータデータ管理情報問合せ管理情報返却秘匿通信管理機能秘匿通信管理機能管理情報問合せ管理情報返却パケット制御機能パケット制御機能平文平文 SA データ暗号化機能 SA 問合せ SA 返却 SA 管理機能復号化後データデータ復号化機能平文データ送信機能データ受信機能

140 (ii) SA Security Association (iii) SA SA Security Association SA SA OS 132

141 (2) (i) discard, bypass, apply ログ出力機能エラーログパケット制御機能管理情報問合せ管理情報返却秘匿通信管理機能秘匿通信ポリシー問合せ認証フレームワーク 60 (ii) (iii) 133

142 (3) SA (i) SA Security Association SA SA ログ出力機能ログ出力機能エラーログエラーログ SA 問合せ SA 返却 SA 問合せ SA 返却パケット制御機能 SA 管理機能 SA 管理機能データ受信機能 SA 問合せ SA 返却 SA 問合せ SA 返却認証フレームワーク 61 SA (ii) SA SA SA SA SA (iii) SA IV SA SPI SA SA SA 134

143 (4) (i) SA SA SA SA CBC パケット制御機能平文 SA データ暗号化機能エラーログログ出力機能暗号化後データ SA データ認証機能 62 (ii) SA Security Association IV SPI (iii) SA Security Association Salt 135

144 (5) (i) SA データ暗号化機能暗号化後データ SA データ認証機能エラーログログ出力機能認証後データデータ送信機能 63 (ii) SA Security Association Salt (iii) 136

145 (6) (i) パケット制御機能平文データ認証機能ログ出力機能認証後データデータ送信機能エラーログ通信データデータ受信機能 64 (ii) (iii) 137

146 (7) (i) SA SA SA SA SA パケット制御機能データ検証機能ログ出力機能エラーログ入力データ SA 平文データ送信機能 SA 管理機能通信データ SA 問合せ SA 返却データ受信機能 65 (ii) SA SA Security Association (iii) SA SA Security Association SA SA SA 138

147 (8) (i) SA SA ログ出力機能データ復号化機能検証後データ SA エラーログデータ検証機能入力データ SA データ受信機能 66 (ii) SA Security AssociationSalt (iii) SA Security AssociationIV SPI 139

148 (9) (i) SA SA ログ出力機能パケット制御機能復号化後データエラーログデータ復号化機能検証後データ SA データ検証機能 67 (ii) SA Security Association IV SPI (iii) 140

149 (10) (i) セキュリティ監視エージェントログエラー - ログエラーログログ出力機能エラーログエラーログエラーログエラーログパケット制御機能データ暗号化機能秘匿通信管理機能 SA 管理機能データ認証機能データ送信機能 68 (ii) (iii) Source Destination IP IP 141

150 (1) (i) Web (ii) Windows NT Server 4.0Windows NT Server 2 Windows NT Server 142

151 51 Windows NT Server ID UNIX syslogd 52 UNIX PID ID 143

152 53 warning err abort timeout timed out refused reject not permitted denied fail incorrect invalid /phf /php /test-cgi null connection eof received authentication failed repeated login failures login incorrect passwd CGI Web Windows NT Server UNIX syslogd 144

153 Web Web IIS NES Web 54 Web HTTP URI DNS IP OS Universal Resource Identifier 145

154 55 Source Destination IP IP LAN LAN

155 57 58 Source Destination IP IP LAN LAN 59 LAN LAN Source Destination IP IP (iii) 6.3.1(1)(ii) 147

156 (2) (i) Web (ii) 6.3.1(1)(iii) (iii) 6.3.1(1)(iii) 148

157 (3) (i) Web Web 149

158 (ii) 6.3.1(2)(iii) (iii) 6.3.1(2)(iii) (4) (i) Web 150

159 (ii) 6.3.1(3)(iii) (iii) 6.3.1(4)(ii) (5) (i) (ii) (iii) 6.3.1(5)(ii) 151

160 (6) (i) Web (ii) 6.3.2(4)(iii) (iii) 152

161 (7) (i) (ii) 6.3.1(4)(iii) 6.3.1(5)(iii) 6.3.2(4)(iii) (iii) 6.3.1(7)(ii) 153

162 6.3.2 (1) (i) Web (ii) 6.3.1(4)(iii) (iii) 6.3.2(1)(ii) 154

163 (2) (i) (ii) 6.3.1(5)(iii) (iii) 60 (3) (i) 155

164 (ii) 61 LAN IP LAN IP Web (iii) 6.3.2(3)(ii) (4) (i) (ii) 6.3.2(2)(iii) 6.3.2(3)(ii) 156

165 (iii) 62 LAN IP LAN IP Web (5) (i) (ii) 6.3.2(1)(ii) (iii)

166 (6) (i) Web (ii) 6.3.2(1)(ii) 158

167 (iii) 64 ID Windows NT Server 159

168 Web Web 65 Web HTTP URI DNS IP OS Universal Resource Identifier 160

169 66 Source Destination LAN LAN

170 68 LAN LAN 69 Source Destination IP IP (7) (i) (ii) 6.3.1(7)(iii) 6.3.2(4)(iii) 162

171 (iii) 6.3.2(7)(ii) 163

172 (1) (i) (ii) 70 IP IP

173 73 (iii) (iv) 74 IP IP IP 165

174

175 77 (2) (i) 167

176 (ii) Web

177 Web IP IP IP IP 169

178 (iii) (iv)

179

180

181

182 90 IP IP IP IP IP IP

183 92 93 x x x x (3) GUI (i) 175

184 (ii) (iii) 97 ID 176

185 (iv) ID (4) (i) 177

186 GUI GUI (ii) 100 (iii) 178

187 6.4.2 (1) (i) (ii) 101 (iii) 82 (2) (i) 179

188 (ii) 102 (iii) 82 (3) (i) (ii) 180

189 103 (iii) 82 (4) (i) (ii)

190 104 (iii)

191 6.5 LAN LAN LAN LAN LAN LAN LAN Web LAN Web LAN LAN 183

192 ホストコンピュータ監視端末 (Web クライアント ) NIC (External) データ要求パケットフィルタ機能 http 要求イベント通知プロキシ機能データ配信リバースプロキシ機能フィルタリングルールイベント通知イベント通知ログ出力機能データ配信フィルタ設定機能ログデータセキュリティ監視エージェント http 要求フィルタ定義ファイルセキュリティポリシーエージェントデータ要求認証フレームワーク秘匿通信フレームワーク NIC (Internal) プロコン Web サーバ

193 (1) (i) LAN LAN TCP/IP Web https/https 185

194 NIC (External) パケットログ出力機能拒否イベントパケットフィルタ機能フィルタリングルールフィルタ設定機能パケット NIC (Internal) 70 (ii) (iii) 186

195 (2) (i) LAN LAN (IP ) LAN SOCKS SOCKS SOCKS ホストコンピュータ要求 ( 代理送信 ) 応答 ( 代理受信 ) 制御系保護専用ファイアウォールプロキシ機能 SOCKS 要求応答 SOCKS プロコン 71 (ii) 187

196 (iii) 188

197 (3) (i) LAN Web LAN Web LAN IP LAN Web SSL(Secure Sockets Layer) VPN(Virtual Private Network) VPN VPN ホストコンピュータ VPN 監視端末 (Web クライアント ) SSL 要求応答 ( 代理受信 ) ( 代理送信 ) http 要求 ( 代理受信 ) http 応答 ( 代理送信 ) 制御系保護専用ファイアウォール VPN リバースプロキシ機能要求応答 http 要求 http 応答 SSL プロコン Web サーバ

198 (ii) https https http (iii) https Web https http 190

199 (4) (i) パケットフィルタ機能フィルタリングルールフィルタ設定機能フィルタ定義ファイル設定完了通知セキュリティポリシーエージェント 73 (ii) (iii) 191

200 (5) (i) 各機能イベントデータログ出力機能ログデータセキュリティ監視エージェント LAN LAN (ii) 192

201 (iii) 107 Source Destination IP IP LAN LAN 193

202

203

204 6.6.1 LAN LAN (i) LAN (i) LAN LAN LAN 75 (1) (i)

205 (ii) Source Destination IP IP (iii) 6.6.3(1)(ii) (2) (i)

206 77 (ii) 6.6.3(1)(iii) (iii) 6.6.3(2)(ii) 198

207 7 7.1 (1) LAN LAN LAN LAN LAN LAN (2) (3) (4) 199

208 (5) (6) (7) 200

209 7.2 (1) SA SA SA (2) (3) SA (4) (5) SA 201

210 (6) AH (7) SA SA 7.3 (1) HTTP SNMP (2) IETF IDWG Intrusion Detection Working Group (3) 202

211 (4) 203

212 7.4 (1) ISO/IEC15408 ISO/IEC15408 ISO/IEC15408 (2) DCS (3) GUI GUI (4) (5) (6) GUI 204

213 (7) 205

214 7.5 (1) TCP/IP (2) Web,VPN SOCKS SSL (3) (4) SOCKS OS SOCKS OS SOCKS 206

215 7.6 (1) OS (2) (3) (4) 207

216 8 8.1 LAN LAN LAN LAN LAN LAN 208

217 8.2 (1) IPv6 IP IP CPU IPv4 IPv6 LAN IPv6 (2) LAN 209

218 (3) LAN OS OS 210

IPsec徹底入門

IPsec徹底入門本資料について本資料は下記書籍を基にして作成されたものです文章の内容の正確さは保障できないため正確な知識を求める方は原文を参照してください書籍名 :IPsec 徹底入門著者 : 小早川知明発行日 :2002 年 8 月 6 日発売元 : 翔泳社 1 IPsec 徹底入門名城大学理工学部渡邊研究室村橋孝謙 2 目次第 1 章 IPsec アーキテクチャ第 2 章 IPsec Security