1.1 レイヤ 1 - 物理層: 明白な脅威#

• ネットワーク エンジニアの見解: この層は、ケーブル、光ファイバー、スイッチ、ハブの世界です。 主な懸念事項は、物理的な接続、信号の整合性、およびハードウェアのプロビジョニングです。 それはすべてが構築される基礎です。
• ハッカーの見解: 物理層は、アクセス可能な場合、究極の攻撃ベクトルとなります。 攻撃はしばしば厚かましいですが、非常に効果的です。
• 盗聴: ネットワーク ケーブルに直接接続して、暗号化されていないトラフィックを傍受する[2]。
• ハードウェア インプラント: 悪意のあるデバイス (Raspberry Pi など) をファイアウォールの背後の安全なネットワーク内に配置し、永続的な C2 (コマンド アンド コントロール) チャネルを確立します。
• ポート アクセス: 会議室またはロビーにある安全ではないアクティブなネットワーク ジャックにラップトップを接続するだけです。
• 防御者の見解: 物理的セキュリティはネットワーク セキュリティです。 防御は手順的かつ物理的です。サーバー ルームのロック、未使用の壁ポートの無効化、厳格なアクセス制御ポリシー、ハードウェアの改ざん防止シールなどです。 技術的な観点から見ると、IEEE 802.1X ネットワーク アクセス コントロール (NAC) を実装して、ネットワークに物理的に接続するデバイスからの認証を要求できます。[3]。

1.2 レイヤ 2 - データ リンク レイヤ: ローカル ネットワークの戦場#

• ネットワーク エンジニアの見解: これは、MAC アドレス、スイッチ、およびローカル エリア ネットワーク (LAN) の領域です。 主なプロトコルはイーサネットと ARP (アドレス解決プロトコル) で、IP アドレス (レイヤー 3) を MAC アドレス (レイヤー 2) にマッピングします。[4]。 この層は、同じローカル ネットワーク セグメント上の正しいデバイスにフレームを取得する役割を果たします。
• ハッカーの見解: レイヤ 2 は暗黙的信頼モデルで設計されているため、攻撃に適した環境です。
• ARP スプーフィング/ポイズニング: 攻撃者は、偽造した ARP メッセージを LAN に送信します。 彼らは、攻撃者の MAC アドレスが被害者の IP に属していることをネットワーク ゲートウェイに伝え、また攻撃者の MAC アドレスがゲートウェイの IP に属していることを被害者に伝えることができます。 これにより、攻撃者は会話の途中に置かれ (中間者、MitM)、被害者のトラフィックをすべて傍受または変更できるようになります。[5]。
• MAC フラッディング: ネットワーク スイッチに対する攻撃。 攻撃者は、異なる送信元 MAC アドレスを持つイーサネット フレームを大量に送信し、スイッチの CAM (Content Addressable Memory) テーブルをいっぱいにします。 テーブルがいっぱいになると、スイッチは特定のポートにフレームをインテリジェントに転送できなくなり、「フェールオープン」モードに入り、ハブのように機能し、すべてのフレームをすべてのポートにブロードキャストします。 これにより、攻撃者はスイッチド ネットワーク上のすべてのトラフィックを盗聴できるようになります。[6]。
• VLAN ホッピング: ある VLAN に接続している攻撃者が、アクセスできないはずの別の VLAN 上のトラフィックにアクセスする攻撃。 これは多くの場合、誤って設定されたトランク ポートを悪用することによって行われます。[7]。
• 防御者の視点: スイッチは、これらの攻撃に対抗するための多数のセキュリティ機能を提供します。
• ポート セキュリティ: 単一スイッチ ポートで使用できる MAC アドレスの数を制限し、特定の MAC アドレスのみを許可するように構成できます。[8]。
• DHCP スヌーピング: 不正な DHCP サーバーがネットワークに導入されるのを防ぎます。
• ダイナミック ARP インスペクション (DAI): ネットワーク内の ARP パケットを検証し、ARP 要求/応答を DHCP スヌーピング バインディング テーブルと比較することで ARP スプーフィングを防止します。

1.3 レイヤー 3 - ネットワーク層: ルーティング チェス盤#

• ネットワーク エンジニアの見解: これは、IP アドレスとルーティングの層です。 異なるネットワーク間でパケットを移動することです。 ルーターはこの層で動作し、宛先 IP アドレスに基づいてパケットを最終宛先に転送するかどうかを決定します。 ICMP (ping およびtraceroute 用) や IGMP などのプロトコルがここに存在します[9]。
• ハッカーの見解: レイヤ 3 攻撃は、ルーティングの妨害と ID のスプーフィングに重点を置いています。
• IP スプーフィング: 攻撃者は、偽造した送信元 IP アドレスを使用して IP パケットを作成します。 これは、サービス拒否 (DoS) 攻撃で使用される主な手法です。 Smurf 攻撃では、攻撃者はネットワークのブロードキャスト アドレスに大量の ICMP エコー リクエスト (ping) を送信し、送信元 IP を被害者の IP に偽装します。 その後、ネットワーク上のすべてのホストが被害者に応答し、被害者を圧倒します。[10]。
• ルート ハイジャッキング (BGP ハイジャッキング): 攻撃者がインターネット ルーティング テーブル、特に ボーダー ゲートウェイ プロトコル (BGP) によって維持されているルーティング テーブルを破壊することによって、IP アドレスのグループを不正に制御する高度な攻撃。 これはトラフィックのリダイレクトに使用でき、スパイ活動や大規模な MitM 攻撃の強力なツールになります。[11]。
• 防御者の見解: この層での防御は、フィルタリングと検証に関するものです。
• 入力/出力フィルタリング: ファイアウォールは、内部ネットワーク内からの送信元 IP アドレスを持つインターネットからの受信パケットをドロップするように構成する必要があります (入力フィルタリング)。 また、内部ネットワーク内から送信元 IP を持たない発信パケットをドロップするように構成する必要もあります (出力フィルタリング)。 これは、BCP 38 / RFC 2827 に記載されているように、IP スプーフィングの防止に役立ちます。[12]。
• アクセス コントロール リスト (ACL): ルーターとファイアウォールは ACL を使用して、送信元/宛先 IP、ポート、プロトコルに基づいてトラフィックを許可または拒否します。 これは、ネットワーク アクセス制御の基本的な構成要素です。

1.4 レイヤ 4 - トランスポート層: 接続コントラクト#

• ネットワーク エンジニアの見解: この層は、ホスト間の通信サービスを提供します。 2 つの最も重要なプロトコルは、TCP (伝送制御プロトコル) と UDP (ユーザー データグラム プロトコル) です。[13]。
• TCP: 接続指向、信頼性の高い、順序付けられた配信。 3 ウェイ ハンドシェイク (SYN、SYN-ACK、ACK) を介して接続を確立し、すべてのデータが正しく到着することを保証します。 HTTP、FTP、SMTP に使用されます。
• UDP: コネクションレス、信頼性が低く、順序付けされていません。 これは「ファイア・アンド・フォーゲット」プロトコルであり、はるかに高速ですが、配信の保証はありません。 DNS、VoIP、オンラインゲームに使用されます。
• ハッカーの見解: この層での攻撃は、多くの場合、リソースの枯渇と偵察に焦点を当てています。
• TCP SYN フラッド: 古典的な DoS 攻撃。 攻撃者は、送信元 IP アドレスを偽装して、大量の TCP SYN パケットを被害者のサーバーに送信します。 サーバーは SYN-ACK で応答し、新しい接続にリソースを割り当て、最終 ACK を待ちますが、最終 ACK は到着しません (送信元 IP が偽であるため)。 これにより、多数の半オープン接続が残り、サーバーの接続テーブルが枯渇し、正規のユーザーが接続できなくなります。[14]。
• ポート スキャン: 攻撃者は nmap などのツールを使用して、ターゲット ホスト上のポート範囲にプローブを送信し、実行されているサービスを検出します。 「オープン」ポートは、悪用の潜在的なターゲットとなる可能性があるリスニング サービスを示します。[15]。
• 防御者の見解: 防御は状態管理とスキャン検出に重点を置いています。
• ステートフル ファイアウォール: これらのファイアウォールは、TCP 接続の状態を追跡します。 対応する SYN パケットを見た場合にのみ SYN-ACK パケットの通過を許可し、SYN-ACK を見た場合にのみ ACK を許可します。 これにより、ステートレス パケット フィルターよりもはるかに安全になります。
• SYN Cookie: SYN フラッドを軽減する技術。 サーバーは、SYN の受信時にリソースを割り当てる代わりに、接続に関する情報を SYN-ACK パケットのシーケンス番号にエンコードして送り返します。 クライアントが「Cookie」を含む最終 ACK を送信した場合にのみリソースを割り当て、それが正当なソースであることを証明します。[16]。
• 侵入検知システム (IDS): IDS は、ポート スキャン アクティビティを検出して警告するように構成でき、防御側に潜在的な攻撃を早期に警告します。

2.1 セグメンテーションの原則: 内壁の構築#

• ネットワーク エンジニアの見解: セグメンテーションとは、ネットワークをより小さな独立したサブネットワークに分割する手法です。 これは以下を使用して実現されます。
• サブネット化: 大きな IP アドレス ブロックを小さなブロックに分割します。 トラフィックがサブネット間を移動するにはルーターが必要です。
• VLAN (仮想 LAN): 同じ物理スイッチング インフラストラクチャ上に論理的に別個のネットワークを作成する方法。 VLAN 10 のポートが、異なる物理スイッチ上にある場合でも、VLAN 10 の他のポートとのみ通信できるようにスイッチを設定できます。[18]。
• 階層型アーキテクチャ: アプリケーションの機能に基づいてネットワークを分離する古典的な設計パターンで、多くの場合、インターネットに接続されたサービス用に DMZ (非武装地帯) が作成されます。[19]。
• Web 層 (DMZ): インターネットからアクセスできる最も外側の層。 Web サーバーとリバース プロキシが含まれます。
• アプリケーション層: 中間層。Web 層からのみアクセスできます。 アプリケーションサーバーとビジネスロジックが含まれます。
• データ層: 最も内側で最も保護された層であり、アプリケーション層からのみアクセスできます。 データベースが含まれます。
• 防御者の見解: セグメンテーションは 多層防御 の基礎です。 最小特権の原則をネットワーク レベルで直接サポートします。 Web サーバーはドメイン コントローラーと直接通信する必要がないため、ファイアウォール ルールでその通信パスをブロックする必要があります。 Web サーバーが侵害された場合、攻撃者の横方向への移動能力は大幅に制限されます。 目標は、攻撃者にとって、DMZ からアプリ層、アプリ層からデータ層に至るすべてのステップを、困難で厳重に監視されるチョークポイントにすることです。

2.2 マイクロセグメンテーションとゼロトラスト#

• ネットワーク エンジニアの見解: マイクロセグメンテーションは、セグメンテーションをさらに細かく進化させたものです。 大規模なゾーン (VLAN) ごとにセグメント化する代わりに、個々のワークロードまたはアプリケーションの周囲にセキュリティ境界を作成できます。 仮想化環境またはクラウド環境では、これは多くの場合、ソフトウェア定義ネットワーキング (SDN) と仮想ファイアウォールを使用して実装されます。
• サイバーセキュリティ専門家の見解: マイクロセグメンテーションは、ゼロトラスト ネットワーク アーキテクチャの究極の表現です。 ゼロ トラストの中核となる理念は、「決して信頼せず、常に検証する」です。 攻撃者がすでにネットワーク内にいると想定しています[20]。 したがって、2 つの仮想マシン間の通信は、それらが同じサブネット上にある場合でも、暗黙的に信頼されません。 セキュリティ ポリシーによって明示的に許可される必要があります。 これにより、攻撃者にとって横方向の動きが非常に困難になります。
• ソフトウェア エンジニアの見解: これは開発者に影響を与えます。 アプリケーションは、ネットワーク接続が保証されていないことを前提に設計する必要があります。 接続障害に対する回復力があり、正しいサービス検出メカニズムを使用して構成されている必要があります。 Kubernetes ネットワーク ポリシーは、開発者がコード (YAML) でマイクロセグメンテーション ルールを定義し、どのポッドが他のどのポッドと通信できるかを指定する代表的な例です。[21]。

3.1 ファイアウォール: ネットワーク ゲートキーパー#

• ステートレスとステートフル: 第 1 章で説明したように、ステートフル ファイアウォールは接続のコンテキストを理解するため、非常に優れています。
• 次世代ファイアウォール (NGFW): NGFW は、単純なポート/プロトコル検査を超えた「ディープ パケット インスペクション」ファイアウォールです。 次のような機能が含まれています。
• アプリケーション認識: ポート番号だけでなく、アプリケーションに基づいてトラフィックを識別および制御できます (例: Facebook をブロックするが Salesforce は許可する) (多くのアプリケーションはポート 443 で実行されるため)。[22]。
• 統合侵入防御 (IPS): 既知の攻撃シグネチャに一致するトラフィックをアクティブにブロックできます。
• 脅威インテリジェンス フィード: クラウドベースの脅威インテリジェンス サービスと統合して、既知の悪意のある IP アドレスまたはドメインからのトラフィックをブロックできます。
• Web アプリケーション ファイアウォール (WAF): WAF は、レイヤー 7 (アプリケーション層) で動作する特殊なファイアウォールです。 OWASP トップ 10 にリストされているような一般的な Web ベースの攻撃から Web アプリケーションを保護するように設計されています。[23]。
• 開発者の見解: WAF は重要な防御層ですが、安全なコーディングの代わりとなるものではありません。 それはセーフティネットです。 WAF は、次のような基本的な SQL インジェクション攻撃をブロックする可能性があります。OR 1=1ただし、熟練した攻撃者は、エンコード、難読化、またはより複雑なクエリを使用して WAF ルールをバイパスする方法を見つけることがよくあります。 主な防御策はコード自体にある必要があります (パラメーター化されたクエリを使用)。
• ハッカーの見解: WAF 回避は確立された規律です。 攻撃者はツールを使用して WAF を調査し、ベンダーとルール セットを特定し、構文的には有効だが WAF の署名をトリガーしないペイロードを作成します。[24]。

3.2 IDS/IPS: ネットワーク監視塔#

• 侵入検知システム (IDS): 受動的監視デバイス。 ネットワーク トラフィックのコピーを分析し、不審なアクティビティを検出した場合はアラートを送信します。 交通を妨げません。
• 侵入防御システム (IPS): アクティブなインライン デバイス。 トラフィックを分析し、悪意のあるシグネチャに一致するパケットをターゲットに到達する前にアクティブにブロックまたはドロップできます。
• 検出方法:
• 署名ベース: ウイルス対策ソフトウェアのように機能します。 既知の攻撃パターン (「シグネチャ」) のデータベースがあります。 これは既知の脅威に対しては非常に効果的ですが、新しい「ゼロデイ」攻撃を検出することはできません。
• 異常ベース: システムはまず、「通常の」ネットワーク トラフィックがどのようなものであるかのベースラインを構築します。 その後、このベースラインから大きく逸脱するアクティビティがあればアラートを発します。 これにより新たな攻撃を検出できますが、多くの場合、高率の誤検知が発生する傾向があります。[25]。
• ハッカーの見解: 回避手法には、パケットの断片化、暗号化の使用 (計算コストがかかる SSL/TLS 復号化を実行しない限り、IDS/IPS は暗号化されたトラフィックを検査できません)、既知の署名との一致を避けるための攻撃ペイロードの変更が含まれます。

4.1 城塞の層#

中世の城は完璧な例えを提供します。

1. 堀 (境界警備): これは防御の第一線です。 境界ルーターや境界ファイアウォールに対応します。 その役割は、単純で日和見的な攻撃者を排除することです。
2. 外壁 (ネットワーク セキュリティ): より強力な障壁。 これは、内部セグメンテーション、IDS/IPS、および強力なアクセス制御リストに対応します。 境界を突破する脅威を封じ込めるように設計されています。
3. 壁の射手 (監視と検出): これらは番兵です。 これは、セキュリティ オペレーション センター (SOC)、SIEM システム、ログ分析に対応します。 彼らは攻撃の兆候を積極的に探しています。
4. The Inner Keep (ホストおよびエンドポイント セキュリティ): 厳重に強化された要塞。 これは、サーバーおよびワークステーション自体のセキュリティ制御に対応します。エンドポイント検出と応答 (EDR)、ホストベースのファイアウォール、ウイルス対策、ファイル整合性監視などです。
5. 王冠の宝石 (アプリケーションとデータ セキュリティ): 最強のコントロールによって保護された究極の賞品。 これは、安全なアプリケーション コード、堅牢な認証と認可、保存中および転送中のデータ暗号化に対応します。
6. 警備員 (人材、プロセス、およびポリシー): 人間の要素。 これには、セキュリティ意識向上トレーニング、インシデント対応計画、強力な運用セキュリティ手順が含まれます。

• ハッカーの見解: 攻撃者は、これらの層を克服すべき一連の障害と見なします。 彼らの目標は、各層で最も弱いリンクを見つけることです。 従業員がフィッシング リンクをクリックした場合 (境界層とネットワーク層をバイパスした場合)、強力なファイアウォールは役に立ちません。 セキュリティで保護されたアプリケーションは、ホスト層で侵害される可能性があるパッチが適用されていないサーバー上で実行される場合は役に立ちません。

5.1 STRIDE 方法論#

Microsoft によって開発された STRIDE は、脅威を分類するためのニーモニックです[28]:

• Spoofing: 別のユーザーまたはコンポーネントの ID を不正に仮定すること。
• 防御: 強力な認証 (MFA)、デジタル署名。
• Tアンペアリング: 転送中または保存中のデータの不正な変更。
• 防御: ハッシュ、アクセス制御、データ暗号化。
• Repudiation: ユーザーがアクションを実行したときにそれを否定すること。
• 防御: 監査ログ、デジタル署名を保護します。
• I情報の開示: 権限のない個人に対する機密情報の公開。
• 防御: 暗号化、アクセス制御。
• サービスの停止: 正規のユーザーがシステムにアクセスできないようにします。
• 防御: レート制限、負荷分散、回復力のあるアーキテクチャ。
• **特権の昇格: ユーザーまたはコンポーネントが、資格のない権限を取得します。
• 防御: 最小特権の原則、堅牢な認可チェック。

5.2 実践的な脅威モデリング演習#

• ソフトウェア エンジニアの見解: ユーザーのプロファイルを更新するための単純な API エンドポイントを想像してください。PUT /api/users/{id}。 開発チームはセキュリティ専門家と協力して脅威モデルを実行します。

1. アプリケーションを分解します: データ フロー図を描きます。 ユーザーのブラウザは HTTPS リクエストを API ゲートウェイに送信し、API ゲートウェイはそのリクエストをユーザー サービスに転送し、PostgreSQL データベースを更新します。
2. STRIDE を使用して脅威を特定する:

• (スプーフィング): あるユーザーは、別のユーザーのプロファイルを変更することで更新できますか?{id}URLにある？ (これは典型的な認証の欠陥です)。
• (改ざん): MitM の立場にいる攻撃者は、転送中のプロファイル データを変更できますか? (防御: HTTPS/TLS がこれを防ぎます)。
• (情報開示): API 応答により、ユーザーのパスワード ハッシュやその他の PII などの機密データが漏洩しますか?
• (サービス拒否): 攻撃者は、このエンドポイントに大量のリクエストを大量に送信して、サービスまたはデータベースを圧倒する可能性がありますか? (防御: レート制限)。
• (権限の昇格): 更新ロジックに、攻撃者が管理者権限を取得できる脆弱性 (SQL インジェクションなど) はありますか?

このプロセスは、セキュリティを抽象的な概念からエンジニアリング タスクとテスト ケースの具体的なリストに変換します。

6.1 SOC の中核: SIEM#

• セキュリティ情報およびイベント管理 (SIEM): SIEM は、SOC の中枢神経系です。 その仕事は次のとおりです。

1. ログの集約: 数百または数千のソース (ファイアウォール、サーバー、アプリケーション、クラウド サービスなど) からログ データを収集します。
2. データの正規化: これらの異なるログ形式を共通のスキーマに解析します。
3. イベントの関連付け: これが重要な機能です。 SIEM は相関ルールを使用して、さまざまなソースからの一見無害に見える個々のイベントを意味のあるセキュリティ インシデントに結び付けます。
4. アラート: 相関ルールがトリガーされると、SIEM はセキュリティ アナリストが調査できるように忠実度の高いアラートを生成します。[29]。

• 開発者の見解: アプリケーションのログは、SIEM にとって重要なデータ ソースです。 適切なロギングはセキュリティ機能です。 ログは構造化され (JSON など)、関連するコンテキスト (ユーザー ID、ソース IP、リクエスト ID) を含み、セキュリティ関連の成功と失敗の両方のイベント (ログイン、パスワード変更、認証の失敗など) を記録する必要があります。

6.2 インシデント対応ライフサイクル#

アラートが実際のインシデントであると確認されると、SOC は構造化されたインシデント対応 (IR) 計画に従います。多くの場合、NIST のようなフレームワークに基づいています。[30]:

1. 準備: インシデントが発生する「前」に行われる作業 (計画、ツール、訓練を受けた担当者がいる)。
2. 識別: イベントがセキュリティ インシデントであるかどうかを判断します。
3. 封じ込め: 当面の優先事項は出血を止めることです。 これには、侵害されたホストをネットワークから隔離するか、侵害されたユーザー アカウントを無効にすることが含まれる場合があります。
4. 根絶: 環境から脅威を除去すること (例: マルウェアの削除、脆弱性へのパッチ適用)。
5. リカバリ: システムを通常の動作に復元します。
6. 教訓: インシデントの根本原因を特定し、再発を防ぐための改善点を特定するための事後分析。

8.1 基本を超えた Web アプリケーションの脆弱性#

• サーバー側リクエスト フォージェリ (SSRF): 攻撃者がサーバー側アプリケーションに任意のドメインへの HTTP リクエストを強制できる脆弱性。 クラウド環境では、これを使用してクラウド プロバイダーのメタデータ サービスにアクセスすることができ、一時的なセキュリティ認証情報が漏洩する可能性があります。[32]。
• 開発者の見解: SSRF 脆弱性は、アプリケーションがユーザー指定の URL を取得し、適切な検証を行わずにそこからコンテンツを取得するときに発生します。 防御策は、アプリケーションが要求を許可されているドメインとプロトコルの厳格な許可リストを維持することです。
• 安全でない逆シリアル化: この脆弱性は、アプリケーションが適切な検証を行わずに、信頼できないユーザー提供のデータを逆シリアル化した場合に発生します。 攻撃者は悪意のあるシリアル化されたオブジェクトを作成し、逆シリアル化するとリモートでコードが実行される可能性があります。[33]。

8.2 人間的要素: ソーシャル エンジニアリング#

• ハッカーの見解: 多くの場合、人間が最も弱い部分になります。 ソーシャル エンジニアリングは、人々を操作してアクションを実行させたり、機密情報を漏洩させたりする技術です。
• フィッシング: 正当な送信元からのように見える詐欺メールを送信し、被害者を騙して機密情報を漏らしたり、マルウェアを展開させたりすること。 スピア フィッシング は、特定の個人または組織を対象とした、高度に標的を絞ったフィッシング形式です。[34]。
• プリテキシング: 被害者の信頼を得るために捏造されたシナリオ (口実) を作成すること。
• 防御者の見解: ソーシャル エンジニアリングに対する防御は多層構造になっています。
• 技術的制御: 悪意のあるリンクと添付ファイルをスキャンする電子メール ゲートウェイ。
• ユーザー トレーニング: 最も重要な防御策。 定期的なセキュリティ意識向上トレーニング。
• プロセス: 機密性の高いアクションには複数人の承認が必要です。

11.1 認証と認可の詳細#

• 認証 (あなたは誰ですか?):
• 多要素認証 (MFA): アカウントを保護するための単一の最も効果的な制御。 さまざまなカテゴリの 2 つ以上の検証要素が必要です。知っているもの (パスワード)、持っているもの (電話)、またはあなた自身であるもの (生体認証)[40]。
• 承認 (何が許可されていますか?):
• 開発者の見解: ここで多くの重大なバグが発生します。 一般的な欠陥は、安全でない直接オブジェクト参照 (IDOR) と呼ばれます。 これは、アプリケーションが認可チェックを実行せずに、ユーザー指定の識別子を使用してリソースにアクセスした場合に発生します。[41]。 この修正は、現在認証されているユーザーに、要求されたリソースへのアクセス許可があることを常に確認することです。

11.2 開発者のための暗号化: 基本ルール#

• ルール 1: 独自の暗号を作成しないでください。 暗号を正しく理解するのは非常に困難です。 常に十分に精査された標準ライブラリを使用してください (例: Google の Tink、Libsodium)[42]。
• ルール 2: 強力な標準アルゴリズムを使用します。 パスワードのハッシュには、Argon2 のような最新の低速アルゴリズムを使用してください。[43]。 対称暗号化の場合は、AES-256-GCM を使用します。 非対称暗号化の場合は、RSA-4096 または楕円曲線暗号を使用します。
• ルール 3: 鍵管理がすべてです。 暗号化システムのセキュリティは、鍵の機密性に完全に依存します。 専用のキー管理システム (KMS) またはハードウェア セキュリティ モジュール (HSM) を使用して暗号キーを保存および管理する[44]。

11.3 サプライチェーンのセキュリティ: 新たなフロンティア#

• ソフトウェア エンジニアの見解: 最新のアプリケーションは、何百ものオープンソースの依存関係から組み立てられています。 これらの依存関係の 1 つだけにおける脆弱性が、アプリケーションの脆弱性になります。 これはサプライチェーン攻撃です。
• Log4Shell (例): Log4j の脆弱性は壊滅的な例でした。 ユビキタスな単一のログ ライブラリにリモートでコードが実行される重大な脆弱性があり、数百万のアプリケーションが即座に脆弱になります[45]。
• 防御:
• ソフトウェア部品表 (SBoM): アプリケーション内のすべての依存関係の完全なインベントリを維持します。[46]。
• 脆弱性スキャン: Snyk、Dependabot、Trivy などのツールを使用して、依存関係を継続的にスキャンして既知の脆弱性を探します。

12.1 コンテナのセキュリティ#

• 安全なベース イメージ: 最小限の信頼できるベース イメージから始めます (例:distrolessまたはalpine) 攻撃対象領域を減らすため[47]。
• ルートとして実行しないでください: デフォルトでは、コンテナはルートとして実行されます。rootユーザー。 を使用します。USERDockerfile に、非特権ユーザーとしてアプリケーションを実行するための命令を追加します。
• イメージ スキャン: Trivy や Clair などのツールを CI/CD パイプラインに統合して、レジストリにプッシュされる前にコンテナ イメージをスキャンして既知の脆弱性を探します。

12.2 Kubernetes セキュリティ#

Kubernetes は強力ですが、攻撃対象領域が大きい複雑なシステムです。

• ロールベースのアクセス制御 (RBAC): RBAC を使用して、クラスター内のユーザーとサービス アカウントの両方に最小権限の原則を適用します。[48]。
• ネットワーク ポリシー: デフォルトでは、クラスター内のすべてのポッドは他のすべてのポッドと通信できます。 実装する必要がありますNetworkPolicy「デフォルトで拒否」のスタンスに基づいて通信を制限するためのリソース。
• シークレット管理: シークレットをプレーン テキストとして ConfigMap に保存しないでください。 組み込みの Kubernetes Secrets オブジェクトを使用しますが、セキュリティを強化するには、HashiCorp Vault などの外部シークレット マネージャーと統合します。[49]。
• ポッド セキュリティ標準: ポッド セキュリティ標準を使用して、ルートとして実行したり、ホストのネットワークにアクセスしたりするなど、危険な構成でポッドが実行されるのを防ぎます。[50]。

12.3 コードとしてのインフラストラクチャ (IaC) セキュリティ#

• 開発者の見解: Terraform などの IaC ツールを使用すると、コードでインフラストラクチャを定義できます。 このコードは、展開される「前」に構成ミスがないかスキャンできます。
• IaC の静的分析: CI/CD パイプラインで Checkov や tfsec などのツールを使用して、Terraform コードをスキャンして、インターネット全体からの SSH を許可するパブリックにアクセス可能な S3 バケットやセキュリティ グループの作成などの一般的なセキュリティ問題を調べます (0.0.0.0/0）[51]。