3.2 セキュリティ考慮事項
前のページへ
次のページへ

3.2.3 セキュリティ脅威の洗い出しと評価

本モデルには、次のようなセキュリティ脅威が考えられる。

1)アクティブ(Active)攻撃による脅威

アクティブ攻撃とは、悪意のある者(攻撃者)が、ターゲットとなるサーバーへ直接的に被害を与える行為である。この攻撃により発生する脅威は、大きく2つに分類することができる。

ア)侵入攻撃による脅威

侵入攻撃とは、悪意ある者がターゲットサーバーのアクセス権を不正に取得することを目的とした攻撃である。侵入攻撃によって、発生する被害(脅威)には以下のようなものがある。

イ)サービス使用妨害攻撃による脅威

サービス妨害(DoS:Denial of Service)攻撃とは、何らかの方法により、攻撃のターゲットとなるサーバーやネットワークの提供するサービスを妨害する行為である。DoS攻撃によって、発生する被害(脅威)には以下のようなものがある。

2) トロイの木馬による待ち伏せ攻撃による脅威

トロイの木馬による待ち伏せ攻撃による脅威とは、悪意のある者(攻撃者)が直接被害者に攻撃を行うのではなく、攻撃者が周到に用意したトラップに被害者が引っ掛かることによって被害を受けるものである。

ア)クロスサイトスクリプティング(CSS:Cross-Site Scripting)攻撃による脅威

このCSS攻撃により、脆弱性を抱えるWebサーバーで発生する被害(脅威)には以下のようなものがある。

イ)盗聴による脅威

盗聴とは、ターゲットとなるサーバーまたはネットワークの情報を盗み取るものである。盗聴により入手した情報を基に、侵入攻撃など行うことが可能になる。この盗聴により、発生する被害(脅威)には以下のようなものがある。

 

前のページへ
目次へ
次のページへ
脆弱性の洗い出し
第3章の目次
セキュリティ方針の決定


Copyright ©   2002 Information-technology Promotion Agency, Japan.  All rights  reserved.