石村達雄 (tatsuoishimura) — Translations

INTRUSION DETECTION AND MONITORING

Maintaining Internet gateway security requires ongoing and comprehensive system operation, support and surveillance to oversee the prevention, detection, response and escalation of any irregular, abnormal or suspicious activities or incidents. This can be achieved by proper manual procedures such as reviewing and analysing log or statistics, and testing the incident handling procedures.

If possible, IDS/IPS tools should be installed and used at strategic locations to collect and examine information continuously for suspicious activity. Both network based and host based IDS/IPS tools could be used.

侵入検出とモニタリング

インターネット・ゲートウェイ・セキュリティを維持するには、あらゆる不規則、異常、または疑わしい活動または事象の、防止、検知、および反応ならびに段階的拡大を監視する、継続的、かつ広範囲のシステム運用、サポート、および監視が求められます。これは、適正な手作業によって達成することができ、そうした作業には、ログや統計の点検と分析、およびそうした事象を取り扱う手順のテストがあります。

できれば、IDS/IPSツールを、疑わしい動きがないか継続的に情報を集め、調べるため、戦略的拠点にインストールし、使用するべきです。ネットワーク・ベースとホスト・ベースのIDS/IPSツールが、ともに有用です。

The former type examines network packets in the network while the latter one monitors the system configuration and application activities on a single host system.

Improper configuration and use of these tools may disclose information to attackers and result in a false sense of security.

• IDS/IPS tools should be used to identify suspicious activities on both the network and the host machines, in particular the web server and the mail server.

• Automatic generation of notifications or alerts by electronic messages or mobile paging should be set up to warn system administrators when symptoms of attacks are detected.

前者のタイプはネットワーク内でネットワーク・パケットを調べ、一方、後者は一つのホストシステム上のシステム構成とアプリケーション活動をモニターします。

これらのツールの不適正な設定や使用は、情報を攻撃者に明らかにし、間違った安心感に終わる可能性があります。

• IDS/IPSツールが、ネットワークとホスト・マシンの両方、特にウェブサーバとメール・サーバー上のを疑わしい動きを特定するために用いられなければなりません。

• 攻撃の徴候が検出された場合に、システム管理者に警告するため、電子メッセージまたはモバイル・ページングによる通知、または警報の自動生成のセットアップをしておくべきです。

• If applicable, systems or functions capable of reacting to suspicious network activity should be implemented to disconnect or block these connections in the first place and record them for subsequent analysis.

• These tools should be properly tested and verified before going operation.

• The use, administration and management of these tools should
be properly controlled and restricted.

• Firewall system should be properly configured to protect and hide such tools as far as possible.

• The attack signature files should be kept up-to-date.

• Proper operating, administrative and monitoring procedures should be established for using these tools.

• 適用できるなら、疑わしいネットワーク活動に反応できるシステムまたは機能を実装し、まず、これらの接続を遮断するかブロックし、以降の分析のためにそれらを記録することをすべきです。

• これらのツールは、運用の前に、適正にテストされ、点検されなければなりません。

• これらのツールの使用、管理、および操作は、適正にコントロールされ、制限されなければなりません。

• ファイアウォール・システムは、適正に設定され、できる限りそのようなツールを保護し、隠すようにしなければなりません。

• 攻撃シグナチャー・ファイルは、最新の情報にしておかれなければなりません。

• 適正な操作、管理、およびモニター手順を、これらのツールを使用するに当たって、確立するべきです。

DOMAIN NAME SYSTEM (DNS) SERVERS

A Domain Name System (DNS) server provides support for mapping and translation between domain names and IP addresses. The DNS server can provide information such as the IP addresses lists of hosts in a given domain, IP address-to-hostname mapping, and email address.

To protect the DNS servers, the following guidelines should be observed and followed:

• Use the latest DNS server software or service pack.

• Apply security protection mechanisms on the DNS server such as access control on DNS database files and use of strong encryption system.

• Maintain a record of IP addresses assignment information such as host location and host information.

ドメインネーム・システム（DNS）サーバー

ドメインネーム・システム（DNS）サーバーは、ドメイン名とIPアドレスの間のマッピングと翻訳のサポートを行います。DNSサーバーは、所定のドメインにおけるホストのIPアドレス・リスト、対ホストネーム・IPアドレス・マッピング、および電子メール・アドレスのような情報を提供できます。

DNSサーバーを保護するため、以下のガイドラインを守り、適用しなければなりません。

• 最新のDNSサーバー・ソフトウェア、またはサービス・パックを使用してください。

• DNSサーバーには、 DNSデータベース・ファイルのアクセス制御や、強い暗号化システムの使用などの、セキュリティ保護メカニズムを使用してください。

• ホスト位置ならびにホスト情報などの、IPアドレス割当て情報記録を保持してください。

This record acts as an inventory list for backup, verification and audit in case the DNS server is compromised.

Domain Name System Security Extensions (DNSSEC) is designed to protect DNS resolvers (clients) from forged DNS data, such as that created by DNS cache poisoning. All answers in DNSSEC are digitally signed. By checking the digital signature, a DNS resolver is able to check if the information is identical (correct and complete) to the information on the authoritative DNS server. DNSSEC is progressively rolled out to add security to the existing DNS infrastructure. Our departments should plan and prepare for DNSSEC deployment.

DNSサーバーが危殆化する場合に備え、この記録が、バックアップ、確認、および監査のためのの在庫表の働きをします。

DNSセキュリティ拡張（DNSSEC）は、DNSキャッシュ汚染によってつくられたデータなどの偽造DNSデータから、DNSレゾルバ（クライアント）を保護するように設計されています。
DNSSECのすべての回答は、デジタル署名されています。デジタル署名をチェックすることによって、DNSレゾルバは、情報が信頼すべきDNSサーバー上の情報と一致する（正しく、かつ完全である）かどうかを調べることができます。DNSSECは、既存のDNS基盤のセキュリティを高めるため次第に拡張されて行きます。我々の部門では、DNSSEC配備の準備をしなければなりません。

Deep learning is set of algorithms in machine learning that attempt to learn layered models of inputs, commonly neural networks. The layers in such models correspond to distinct levels of concepts, where higher-level concepts are defined from lower-level ones, and the same lower-level concepts can help to define many higher-level concepts.
Deep learning is part of a broader family of machine learning methods based on learning representations. An observation (e.g., an image) can be represented in many ways (e.g., a vector of pixels), but some representations make it easier to learn tasks of interestfrom examples, and research in this area attempts to define what makes better representations and how to learn them.

ディープ・ラーニング（Deep learning）は、一般に神経ネットワークである、入力の層状モデルを学ぼうとする機械学習の一連のアルゴリズムです。
そのようなモデルの層は、概念のはっきり異なる各レベルにつながっており、そこでは、より高レベルの概念はより低レベルのものから定義され、同一のより低レベルの概念が、多くのより高レベルの概念の定義を助けることができます。
ディープ・ラーニングは、より幅広い族の、学習表明に基づく機械学習方法の部分です。
ある観察（例えば、あるイメージ）は、様々な方法（例えば、あるピクセルのベクトル）で表明されることができますが、その中には、例から関心のある課題を学ぶことをより容易にする表明があり、この領域の研究は、何がより良い表明となり、かつ、どのようにそれを学ぶべきかを定義しようとするものです。

The term "deep learning" gained traction in the mid-2000s after a publication by Geoffrey Hinton[2][3] showed how a many-layered neural network could be effectively trained one layer at a time, treating each layer in turns as a restricted Boltzmann machine. Although the backpropagation algorithm had been available for training neural networks since 1986, it was often considered too slow for practical use.[2] As a result, neural networks fell out of favor in practical machine learning and simpler models such as support vector machines dominated much of the field in the 1990s.

「ディープ･ラーニング（深い学習、deep learning）」という用語は、2000年代半ばに勢いを増しました。ジェフリー・ヒントン[2][3]による公表文献が、どのようにして、多層状のニューラル・ネットワークが、同時に、効率的に訓練された1枚の層でありえるかを示した後のことです。それは、各々の層を、順番に、制限されたボルツマン機械として扱うというものでした。1986年以降、誤差逆伝播アルゴリズムがニューラル・ネットワークの訓練に利用できたのですが、しばしば、実際の使用にはあまりに遅すぎるとみなされました.[2] 結果として、ニューラル・ネットワークは実際の機械学習での支持を落とし、サポートベクターマシンのようなより単純なモデルが、1990年代にこの分野の大半を支配しました。

The web server including its components such as the web server's operating system (OS), the network, application programs/software, and all resided information are subject to attacks from the Internet.

Since the web server is facing the Internet, strong host and network security protection should be employed. The security guidelines on web security described in this section should be observed and followed.

WEB SERVER CONFIGURATION AND ADMINISTRATION

Web server software is an application running on a host system, often facing the Internet, to provide information or web services to users. The below designs and configurations are important for deploying a secure web server.

ウェブサーバーのオペレーティングシステム（OS）、ネットワーク、アプリケーション・プログラム/ソフトウェアのようなその構成要素、およびそこにあるすべての情報を含め、ウェブサーバーはインターネットからの攻撃にさらされています。

ウェブサーバーはインターネットに対峙しているので、強力なホストおよびネットワーク・セキュリティ保護がなされなければなりません。本節で説明する、ウェブ・セキュリティに関するセキュリティ・ガイドラインが、守られ、適用されなければなりません。

ウェブサーバ設定と管理

ウェブサーバー・ソフトウェアは、ホストシステムで使われているアプリケーションで、しばしばインターネットに対峙しながら、情報やウェブ・サービスをユーザーに提供しています。
下記の設計、および設定は、安全なウェブサーバーを配備するうえで重要です。

• The web server should be configured not to start up any SMTP service allowing external users to relay mails through the web server.
• All server software and application should be running with the least privilege, especially it should not be running with 'administrator', 'superuser' or 'root' privilege.
• Proper access permissions should be set for directories, files and web pages in the web server.
• All unnecessary network services, applications, or internet protocols should not be running on the web server by default.
• Turn off any potentially dangerous server-side executable codes such as cookies and applets as far as possible.

• ウェブサーバーは、外部のユーザーがウェブサーバーによってメールを中継することを許しているいかなるSMTPサービスも立ち上げられないように、設定するべきです。
• すべてのサーバー・ソフトウェアとアプリケーションが、特権を最少にして作動しなければなりません、特に『管理者』、『スーパーユーザー』または『ルート』特権で作動すべきではありません。
• 適正なアクセス許可が、ウェブサーバーのディレクトリ、ファイル、およびウェブ・ページに設定されなければなりません。
• 不必要なすべてのネットワーク・サービス、アプリケーション、またはインターネット・プロトコルが、初期設定で、ウェブサーバー上で作動している必要はありません。
• クッキーやアプレットといった、潜在的に危険なサーバー側実行可能コードからはできるだけ遠ざかってください。

• If routers are used with firewalls, they should be consistent with the firewall policy.

MAIL SERVER DESIGN AND CONFIGURATION

• A mail server should be run behind a firewall system, which helps to restrict the access to the mail server and provide various security protections.
• Properly configure firewalls or routers to block unwanted traffic such as traffic from particular IP addresses of known spammers, into the mail server or gateway.
• The email system should not disclose names or IP addresses of internal network or systems.
• The email system should be properly configured to avoid disclosing internal systems or configurations information in email headers.

• ルーターをファイアウォールに対して使うのであれば、それらにはファイアウォール指針との一貫性がなければなりません。

メール・サーバー設計と設定

• ファイアウォール・システムの背後で、メール・サーバーが実行されていなければなりません。これが、メール・サーバーへのアクセスを制限し、いろいろなセキュリティ保護を提供するするための助けになります。
• ファイアウォールまたはルータは適正に設定し、メール・サーバーもしくはゲートウェイへの、名の知られたスパマーの特定のIPアドレスからのトラフィックのような、不必要なトラフィックはブロックするようにしてください。
• 電子メール・システムは、内部ネットワーク、もしくはシステムの名前やIPアドレスを公開してはなりません。
• 電子メール・システムは、適正に設定され、電子メール・ヘッダーに含まれる内部システム、および設定情報の公開を避けるようにしなければなりません。

• Directories of internal email addresses should not be made publicly accessible.
• Mail gateway should be capable for logging all emails exchanges for auditing. It should provide information such as how, when and where an email is entered or left.
• If there are email bombs or spam emails, identify the source or origin of emails and configure the router or firewall to block or drop the emails.
• Mail relay functions for non-authorised users should be disabled.

• 内部の電子メール・アドレスのディレクトリは、公開されるべきではありません。
• メール・ゲートウェイは、監査のため、すべての電子メールのやりとりを記録する能力がなければなりません。電子メールがいかにして、いつ、またどこで入り、出て行くかの情報を提供しなければなりません。
• 電子メール爆弾やスパム電子メールが送られてきたら、電子メールの発信元を確認し、ルータやファイアウォールをその電子メールをブロック、もしくは削除するよう設定してください。
• 非許可ユーザーのためのメール・リレー機能は、無効化しなければなりません。

In doing so, proper security measures, such as using temporary IP addresses to inhibit user activities profiling, should be considered.

• The firewall should be configured to enable content filtering, and computer virus and malicious code scanning capabilities.
• The firewall should be properly configured for IP level filtering.
• The firewall should be configured to block unused ports and filter unnecessary traffic, e.g. unnecessary incoming or outgoing Internet Control Message Protocol (ICMP) traffic.
• The firewall itself should be physically secured.
• The firewall policy established should be flexible for future growth and adaptable to changes on security requirements.

その際に、適正なセキュリティ対策、たとえばユーザー活動プロファイリングを抑制するための一時的なIPアドレス使用など、が考慮されなければなりません。

• ファイアウォールはコンテンツ・フィルタリング、およびコンピュータ・ウイルスと悪質なコードのスキャニング能力を可能にするように設定されているべきです。
• ファイアウォールは、IPレベル・フィルタリングのために適正に設定されていなければなりません。
• ファイアウォールは、使われていないポートをブロックし、不必要なトラフィック、例えば不必要な入って来る、または出て行くインターネット・コントロール・メッセージ・プロトコル（ICMP）トラフィック、にフィルターをかけるように設定されていなければなりません。
• ファイアウォール自身が、物理的に保護されているべきです。
• 確立されるファイアウォール指針は、将来の成長に合わせて柔軟で、セキュリティ要件の変化に適応できなければなりません。

• Correctly set and assign file permissions on firewall. Permissions on system files should be as restrictive as possible.
• A firewall should be thoroughly tested, and its configuration should be properly verified before going production.
• A firewall test is necessary after major change or upgrade to the firewall.
• If necessary, FTP or TELNET originated within the internal departmental network may be allowed to go through the firewall to the Internet.
• All software and OS installed on the firewall should be maintained with proper version by periodically revisiting the vendor sources and upgrading with patches and bug fixes.
• Real-time alerts should be set up for emergency incidents.

• ファイアウォール上に、正しく、ファイル・パーミッションをセットし割り当ててください。
システム・ファイルの許可は、できるだけ制限的であるべきです。
• ファイアウォールは、十分テストされるべきであり、そして、その設定は生産に入る前に適正に確認されるべきです。
• ファイアウォールへの大きな変更、またはアップグレードの後では、ファイアウォール・テストが必要です。
• 必要であれば、内部部門ネットワークの中で創出されたFTPやTELNETは、ファイアウォールを経由してインターネットに行かせてもよいかもしれません。
• ファイアウォール上にインストールされるすべてのソフトウェア、およびOSは、定期的にベンダーもとを再訪し、パッチ当てやバグを修正によるグレードアップを行って、適正なバージョンを維持されなければなりません。
• 緊急事件備えて、リアルタイム警報がセットアップされているべきです。

Referring to Figure 2, an authentication server can be used to authenticate remote dial-in users before they are granted access rights to the network.
• The information stored in the authentication database should be encrypted and be well protected from unauthorised access or modification.
• A single dedicated machine, which is securely protected, should be used.
• The server should be properly configured to log administrative transactions, usage accounting information and authentication transactions such as failed login attempts.
• If more than one authentication servers are used for resilience, make sure that the information stored in the authentication databases is propagated to all other replicas.

図2に関しては、、認証サーバーは、ネットワークにアクセス権を受ける前の遠隔ダイアルイン・ユーザーを認証するのに用いことができます。
• 認証データベースに保管される情報は、暗号化され、未許可のアクセスや修正から十分保護されければなりません。
• 確実に保護されている単独の専用の機械が、使われなければなりません。
• サーバーは、管理業務、使用会計情報、ならびにログイン未遂のような認証業務をログできるよう、適正に構成されていなければなりません。
• 複数の認証サーバーが復元力として使われる場合は、認証データベースに保管される情報が、他の全てのレプリカに広がっていることを認かめてください。

• System log files should be reviewed periodically to detect any unauthorised account creation or privilege modification.

FIREWALLS

A firewall can be considered as a security measure for protecting an organisation's resources against intruders. It is an important component of a security infrastructure. It should be reminded that the design and setup of a firewall requires thorough understanding about the firewall features, functions, capabilities and limitations as well as the threats and vulnerabilities associated with the Internet.

• 全ての未許可の口座づくりや特権修正を検知するために、システムログ・ファイルは、定期的に見直さなければなりません。

ファイアウォール

ファイアウォールは、組織の資源を侵入者から保護するセキュリティ手段と考えることができます。それは、セキュリティ・インフラの重要な構成要素です。ファイアウォールのデザインと設定には、インターネットと関連したファイアウォール機能、効用、能力および限界、そしてまた脅威と脆弱さについての完全な理解を必要とすることを再認識しなければなりません。

• Do not solely rely on IDS/IPS to protect the network. IDS/IPS are only real-time detection tools to alert users on abnormal or suspicious activities. More importantly, the network should be properly configured with all necessary security protection mechanisms. The whole network should be closely monitored and regularly reviewed so that security loopholes or misconfiguration can be identified promptly.

Firewalls

Depending on the security requirements, the use of two or more firewalls or routers in serial helps to provide an additional level of defence.

• IDS/IPSだけを頼りに、ネットワークを保護しようとしてはいけません。IDS/IPSは、異常もしくは疑わしい動きについてユーザーに警告する、リアルタイムの検出ツールでしかありません。また、ネットワークには、すべての必要なセキュリティ保護メカニズムが、きちんと設定している必要があります。セキュリティの抜け穴や間違った設定がすぐに確認されるよう、ネットワーク全体をしっかりとモニターし、定期的に点検しなければなりません。

ファイアウォール

セキュリティの必要条件に応じた、続き番号の二つ以上のファイアウォールやルータの使用は、防御のレベル・アップをもたらすのに役立ちます。

For example, two firewalls in serial (one internally connected with the internal router and one externally connected with the external router) may be required to provide different protections. If there is one RAS connected to the DMZ and placed between the internal and external firewall, the external firewall may aim at blocking malicious traffic from the Internet while the internal one may aim at blocking malicious traffic from the internal network users and the remote access users connected to RAS. If multiple firewalls are used in parallel for load balancing or performance reasons, the configuration of each firewall should be aligned.

たとえば、異なる保護を提供するためには、続き番号の2つのファイアウォール（内部ルータと中でつながるものと、外で外部ルータとつながるもの）が必要なのかもしれません。もしDMZに接続している1RASがあって、内部と外部のファイアウォールの間にセットされていたら、外部のファイアウォールは、インターネットからの悪意のある行き来を妨げることを目指し、一方で、内部のファイアウォールは内部のネットワーク・ユーザーと、RASに接続しているリモート・アクセス・ユーザーの悪意のある行き来を妨げることを目指すのかもしれない。もし複数のファイアウォールが、負荷分散、またはパフォーマンス上の理由で同時に使われる場合、各ファイアウォールの設定も調節しなければなりません。

If performed manually, system and application logs should be properly kept, reviewed and analysed for all critical components. Reviewing and monitoring procedures should be properly established and followed. If performed automatically, network IDS or IPS tools can be used.

An IDS passively monitors traffic by listening to and examining the packets within a network. Signatures of known attack attempts will be compared against traffic pattern to trigger an alert.

An IPS provides a more proactive approach beyond an IDS because it can be configured to stop the attack from damaging or retrieving data from the target victim upon detection of an attack pattern.

手動で実行する場合は、システムならびにアプリケーション・ログを、すべての重要な構成要素について、きちんと保存、見直し、また分析しなければなりません。点検ならびにモニタリングの手順を、適正に整備し、遵守しなければなりません。自動で実行する場合は、、ネットワークIDSまたはIPSツールを使うことができます。

IDSは、ネットワークの中のパケットをリッスンし、調べることにより、トラフィックを受動的にモニターします。既知の襲撃未遂のシグナチャーは、警報を作動するトラフィック・パターンと比較することになります。

IPSは、IDSを越えたより積極的なアプローチを提供します。設定によって、攻撃パターンを探知すると同時に、ターゲットからのデータにダメージを与えたり、検索させたりさせないようにすることができるからです。

Similar to a firewall, an IPS can intercept and forward packets and can thus block attacks in real-time.

These tools reside in the networks or hosts to detect any suspicious activities, and monitor the network traffic or system activities. Some suggestions are listed as follows:

• IDS/IPS should be placed in the DMZ to detect external attacks. Additional IDS/IPS can be placed in the internal network to detect internal attacks if required.

• The operation of the IDS/IPS should be as stealth as possible. It should be hidden and protected by the firewall system to protect it from attacks.

ファイアウォールと同じ様に、IPSはパケットを傍受し、転送することができるので、これによりリアルタイムで攻撃をブロックすることができます。

これらのツールは、ネットワークまたはホストにあって、あらゆる疑わしい動きを検出し、ネットワーク・トラフィックやシステム活動をモニターします。以下、いくつかの提案をリストアップします。

• IDS/IPSは、外部からの攻撃を検知するため、DMZ内に置かなければなりません。必要となれば、追加のIDS/IPSを内部ネットワーク内に置き、内部からの攻撃を検知することができます。

• IDS/IPSの稼動は、できるだけ秘密としなければなりません。
これを、ファイアウォール・システムによって隠し、保護して、攻撃から保護しなければなりません。

A firewall system, intrusion detection mechanism and computer virus scanning tools should be maintained to provide security protection for Internet access service. Depending on the services to be provided, the following network devices may be deployed with:

• Authentication servers (for user identification and access control)
• Remote Access Server (RAS) and modem pools (for remote dial-in and access)
• Domain Name System (DNS) servers (for host name and address mapping)
• Simple Mail Transfer Protocol (SMTP) gateway and mail servers (for Internet email)
• Web servers (for information publishing)
• Proxy servers (for caching, network address hiding, access control)

ファイアウォール・システム、侵入検出メカニズム、およびコンピュータ・ウイルス・スキャニング・ツールを維持し、インターネット接続サービスに対してセキュリティ保護を提供しなければなりません。提供サービスによって、以下のネットワーク機器を配備することができます。

• 認証サーバー（ユーザー識別とアクセス制御）
• リモートアクセス・サーバー（RAS）とモデム・プール（リモート・ダイアルイン、リモート・アクセス）
• ドメインネーム・システム（DNS）サーバー（ホスト・ネームおよびアドレス・マッピング）
• シンプルメール転送プロトコル（SMTP）ゲートウェイ、メール・サーバー（インターネット電子メール）
• ウェブサーバ（情報パブリッシング）
• プロキシサーバー（キャッシング、ネットワーク・アドレス隠蔽、アクセス制御）