安全な Web アプリケーションのデプロイメントに推奨されるアーキテクチャは、多層セットアップです。
DMZ 内の Web サーバー (公開)
内部ネットワーク上のアプリケーションサーバー
内部ネットワーク上のデータベースサーバー
この設計により、重要なコンポーネントの露出が制限されます。Webサーバーのみがインターネットに公開され、アプリケーションサーバーとデータベースサーバーはファイアウォールで保護され、内部からのみアクセス可能となります。
参考資料 - CEH v13 公式学習ガイド:
モジュール10: Webサーバーのハッキング
引用：
「Web サーバーを DMZ に配置し、アプリケーション サーバーとデータベース サーバーを内部ネットワーク内に保持します。
これにより、攻撃対象領域が縮小され、階層化されたセキュリティが実現します。」
誤ったオプションの説明:
A) 内部に配置すると、外部からアクセスできなくなります。
C および D。データベースまたはすべてのサーバーをインターネットに公開すると、重大なリスクが生じます。

個人デバイスの使用を過度に制限することなく、同様の攻撃を防ぐ最善の対策は、フィッシング攻撃に焦点を当てたサイバーセキュリティ意識向上トレーニングを定期的に実施することです。サイバーセキュリティ意識向上トレーニングは、フィッシング、マルウェア、ランサムウェア、データ侵害などのサイバー脅威から従業員自身と組織を守るためのベストプラクティスと行動について、従業員に教育し、その能力を高めるプロセスです。サイバーセキュリティ意識向上トレーニングは、以下のメリットを提供することで、組織がフィッシングインシデントのリスクを軽減するのに役立ちます12。
* 送信者、件名、内容、添付ファイル、メッセージの URL をチェックしたり、応答またはクリックする前にメッセージの正当性と信頼性を確認したりすることで、フィッシング詐欺のメール、メッセージ、またはリンクを識別して回避する方法に関する従業員の知識とスキルを高めることができます。
* 疑わしい活動や悪意のある活動を報告したり、セキュリティ ポリシーやガイドラインに従ったり、疑問やトラブルがあったときに支援や指導を求めたりすることを従業員に奨励するなど、サイバーセキュリティの重要性と責任に関する従業員の姿勢と文化を高めることができます。
* 従業員にデバイスやアプリケーションの更新、強力で固有のパスワードの使用、多要素認証の有効化、データの定期的なバックアップを促すなど、フィッシング インシデントの主な原因となる人為的エラーや過失を軽減できます。
他のオプションは、次の理由によりオプション D ほど最適ではありません。
* A. 業務関連業務のために企業所有デバイスを従業員に提供する：この選択肢は、従業員が業務関連業務に個人所有デバイスを使用することを許可するBYODポリシーに反するため、実現不可能です。企業所有デバイスを従業員に提供するには、デバイスの購入、保守、セキュリティ確保、従業員への使用方法のトレーニングとサポートなど、組織は追加のコストとリソースを負担する必要があります。さらに、企業所有デバイスを従業員に提供しても、フィッシングインシデントを必ずしも防ぐことはできません。組織がデバイスに厳格なセキュリティ管理とポリシーを実装しない限り、フィッシングメール、メッセージ、またはリンクによってデバイスが侵害される可能性があり、ユーザーの自律性と生産性が制限される可能性があります3。
* B. 承認されていないアプリケーションのインストールを制限するモバイルデバイス管理ソリューションを実装する: このオプションは、従業員が個人所有のデバイスを私用と業務用の両方で使用することを許可する BYOD ポリシーの下で、ユーザーの自律性とプライバシーを侵害するため、望ましくありません。承認されていないアプリケーションのインストールを制限するモバイルデバイス管理ソリューションを実装するには、組織が従業員のデバイスを監視および制御する必要があり、データの所有権、同意、コンプライアンスなどの法的および倫理的問題が発生する可能性があります。さらに、承認されていないアプリケーションのインストールを制限するモバイルデバイス管理ソリューションを実装しても、従業員は承認されたアプリケーションを通じてフィッシングメール、メッセージ、またはリンクを受信する可能性があるため、フィッシングインシデントを完全に防止することはできません。組織がアプリケーションに対して厳格なセキュリティ制御とポリシーを実装しない限り、ユーザーエクスペリエンスと機能に影響を与える可能性があります4。
* C. すべての従業員デバイスでインターネット アクセスに会社提供の VPN を使用することを必須にする: このオプションは、フィッシング インシデントの根本原因である人的要因に対処していないため、十分ではありません。
従業員の全デバイスに会社提供のVPNを使用してインターネットにアクセスすることを義務付けると、ネットワークトラフィックの暗号化、IPアドレスの秘匿化、地域制限の回避といったメリットが得られます。しかし、従業員の全デバイスに会社提供のVPNを使用してインターネットにアクセスすることを義務付けても、フィッシング詐欺の被害を防ぐことはできません。従業員は、悪意のあるウェブサイトやアプリケーションに誘導するフィッシングメール、メッセージ、リンクの被害に遭う可能性があり、組織がVPNに厳格なセキュリティ管理とポリシーを導入していない限り、ネットワークのパフォーマンスと信頼性に影響を与える可能性があります。
参考文献:
1：サイバーセキュリティ意識向上トレーニングとは？ | 定義、メリット、ベストプラクティス | カスペルスキー
2：セキュリティ意識向上トレーニングでフィッシング攻撃を防ぐ方法 | Infosec
3: BYODと企業所有デバイス：メリットとデメリット | Bitglass
4: モバイルデバイス管理 (MDM) | OWASP Foundation
5：VPNとは何か？なぜ必要なのか？知っておくべきことすべて | ZDNet

CEH v13では、フラグメンテーション攻撃が一般的なIDS回避戦略であると詳述されています。シグネチャベースのIDSシステムは、悪意のあるパターンを検出するためにパケットの再構成に依存しています。攻撃者がTCPヘッダーを小さなセグメントに断片化すると、IDSは元のパケットシーケンスを再構成できなくなる可能性があります。特に、再構成バッファを混乱させるように意図的に断片化されている場合は顕著です。一方、標的ホストは通常​​、断片を正しく再構成するため、スキャンやペイロードは検出されずに通過します。この手法は、フラグメンテーションによって完全なパケット検査が妨げられるIDS回避手法の項​​で具体的に説明されています。
オプションAとBは、IPスプーフィングやMACスプーフィングといった無関係な回避メカニズムを指し、オプションCはIDSの再構築に根本的な影響を与えません。テスターは明らかにパケットの断片化を利用して検出を回避しながら、開いているポートのマッピングに成功しています。