information-security
WEB, 基礎知識

ネットワークを安全に利用するための情報セキュリティ基礎知識5選

コメントをどうぞ

遠隔操作ウイルス」に関するニュースが連日報じられている。しかし、対策として自己防衛が強調されるなど、現状は利用者自身が知識を得ることでしか解決は望めないようである。ここでは、きたみりゅうじ氏の「ITパスポート」と独立行政法人情報処理推進機構のシラバスを参考に、ブログ初心者が覚えておくべきセキュリティ基礎知識を5つ解説する。

1 ネットワークに潜む脅威

外部とつながれたネットワークには、様々な脅威が存在する。例えば悪意を持った人間が自社のネットワークに侵入する、情報の漏洩や重要なデータやファイルを破壊される、大量の電子メールを送りつけてサーバの処理能力をパンクさせる妨害行為などである。

また、シラバスでは、「61.情報セキュリティ」「62.情報セキュリティ管理」「63.情報セキュリティ対策・情報セキュリティ実装技術」と対応している。本稿の1、2、5は主に人的セキュリティ対策について、3、4は技術的セキュリティ対策について述べている(2に物理的セキュリティ対策の一部)。

 

セキュリティマネジメントの3要素

安全性と利便性の観点から、以下の3要素を管理し、うまくバランスさせることが重要だとされている。

  • 機密性:情報が漏洩しないようにすること
  • 完全性:情報が書き換えられたりしないこと
  • 可用性:利用者が必要なときに必要な情報資産を使用できること

 

セキュリティポリシー

セキュリティポリシーとは、企業として情報セキュリティをどのように取り組むかを明文化したものである。基本方針、対策基準、実施手順という3段階から成り立っている。

 

個人情報保護法とプライバシーマーク

個人情報保護法とは、個人情報を事業者が適切に取り扱うためのルールを定めたものである。個人情報とは、氏名、住所、生年月日といった個人を特定できる情報およびそれに結びつけられた各種個人データのことである。

個人情報に関する認定制度として、プライバシーマーク制度がある。これは「JIS Q 15001(個人情報保護マネジメントシステム—要求事項)」に適合して、個人情報の適切な保護体制が整備できている事業者を認定するものである。

 

2 ユーザ認証とアクセス管理

コンピュータシステムの利用にあたっては、ユーザ認証(本人確認)を行うことでセキュリティを保っている。

 

ユーザ認証の手法

ユーザ認証には次のような方法がある。

  • ユーザIDとパスワードによる認証
  • バイオメトリクス認証(生体認証。指紋や声紋、虹彩などを用いる)
  • ワンタイムパスワード(一度限り有効の使い捨てのパスワードを用いる)
  • コールバック(アクセス後回線を切り、サーバ側から再発信させること)

 

アクセス権の設定

アクセス権とは、社内で共有している書類を「許可された人だけが閲覧できるようにする」というように設定できることである。例えば読取り、修正、追加、削除などがある。

 

ソーシャルエンジニアリング

ソーシャルエンジニアリングとは、コンピュータシステムとは関係のないところで、人の心理的不注意を付いて情報資産を盗み出す行為のことである。例えば肩越しにパスワードを盗み見するショルダーハッキング、ゴミ箱をあさって有用な情報を盗み出したりするスキャビンジングなどがある。

 

3 コンピュータウイルスの脅威

第三者のデータなどに対して、意図的に被害を及ぼすよう作られたプログラムがコンピュータウイルスである。

 

コンピュータウイルスの種類

種類はさまざまではあるが、例えば以下の4つがある。

  • 狭義のウイルス:他のプログラムに寄生して、その機能を利用する形で発病するもの
  • マクロウイルス:アプリケーションの持つマクロ機能を悪用したもので、ワープロソフトや表計算ソフトのデータファイルに寄生して感染を広げる
  • ワーム:単独で複製を生成しながら、ネットワークなどを介してコンピュータ間に感染を広めるもの。作成が容易
  • トロイの木馬:有用なプログラムであるように見せかけてユーザに実行を促し、その裏で不正な処理(データのコピーやコンピュータの悪用など)を行うもの

また、マルウェア(コンピュータウイルスを含む悪意のあるソフトウェア全般をさす言葉)の一種として以下の2つにも注意が必要である。

  • スパイウェア:情報収集を目的としたプログラムで、コンピュータ利用者の個人情報を収集して外部に送信する。他の有用なプログラムにまぎれてインストールされていることが多い
  • ボット:感染した第三者のコンピュータを、ボット作成者の指示どおりに動かすもの。迷惑メールの送信、他のコンピュータを攻撃する踏み台に利用される恐れがある

 

ウイルス対策ソフトと定義ファイル

こういったコンピュータウイルスに対して効力を発揮するのがウイルス対策ソフトである。このソフトウェアの役割は、コンピュータに入ってきたデータを最初にスキャンして、そのデータに問題がないか確認する予防、コンピュータの中のウイルス感染チェックを行う検査、すでに感染してしまったファイルの修復という3つがある。

ウイルスは常に新種が発見されているため、既知ウイルスの特徴を記録したウイルス定義ファイル(シグネチャファイル)を、常に最新の状態に保つことが大切である。

 

ウイルスの予防と感染時の対処

コンピュータウイルスの感染経路としては、電子メールの添付ファイルやファイル交換ソフトなどを通じたものが、現在は最も多いとされている。これらのウイルスの予防には以下の5つの取り組みが有効である。

  • ウイルス対策ソフトを導入して、常時動かしておく
  • ウイルス定義ファイルは常に最新の状態にしておく
  • ハードディスク内を定期的にウイルスチェックしておく
  • 不用意にインターネットからファイルをダウンロードしない
  • ダウンロードしたファイル、メールの添付ファイル、USBメモリなどで外から持ち込んできたファイルなどは、必ずウイルスチェックしてから使用する

それでももし感染してしまった場合は、以下の3つの対処を行うことが大切である。

  • 感染の拡大を防ぐためにネットワークから切り離す
  • ウイルス対策ソフトを使い、問題のあったコンピュータのウイルスチェックを行う
  • ウイルスが発見されたら、その旨をシステム管理社に伝えて指示をあおぐ

 

4 ネットワークのセキュリティ対策

ネットワークのセキュリティ対策は、壁を設けて通信を遮断するところから始まる。

 

ファイアウォール

ファイアウォールとは防火壁のことである。本来は「火災時の延焼を防ぐ耐火構造の壁」をさす言葉だが、「外からの不正なアクセスを火事とみなして、それを食い止める存在」という意味で使っている。インターネットのような外のネットワークとLANとの間に置いて、外からの不正なアクセスを防ぐ役割を持つ。主な実現方法として、パケットフィルタリングとアプリケーションゲートウェイがある。

 

パケットフィルタリング

パケットフィルタリングとは、パケットを無条件に通過させるのではなく、あらかじめ指定されたルールにしたがって通過させるか否かを制御する機能である。この機能では、パケットのヘッダ情報(送信元IPアドレスや宛先IPアドレス、プロトコル種別、ポート番号など)を見て、通貨の可否を判定する。通常アプリケーションが提供するサービスはプロトコルとポート番号で区別されるため、この指定は「どのサービスを通過させるか」を決めたことになる。

 

アプリケーションゲートウェイ

アプリケーションゲートウェイとは、LANの中と外の間に位置して外部とのやりとりを代行して行う機能である。プロキシサーバ(代理サーバ)とも呼ばれる。外のコンピュータからはプロキシサーバしか見えないため、LAN内のコンピュータが不正アクセスの標的になることを防ぐことができる。

 

5 暗号化技術とデジタル署名

インターネットは「荷物が丸裸で運ばれている」ようなものである。そのため暗号化やデジタル署名で荷物に鍵をかけるのである。

 

盗聴・改ざん・なりすましの危険

ネットワークの通信経路上に潜む危険の代表的なものは、以下の3つである(メールに例えて説明)。

  • 盗聴:データのやりとり自体は正常に行えるが、途中で内容を第三者に盗み読まれること
  • 改ざん:データのやりとりは正常に行えているように見えながら、実際は途中で第三者に内容を書き換えられてしまっていること
  • なりすまし:第三者が別人になりすまし、データを送受信できてしまうこと

 

暗号化と復号

盗聴・改ざん・なりすましのような危険性を回避するために考え出されたのが、暗号化と復号である。暗号化とは、データの中身を第三者にはわからない形へと変換することである。復号とは、暗号化されたデータを元の形に戻すことである。

 

盗聴を防ぐ暗号化(共通鍵暗号方式)

暗号化や復号を行うために使うデータをと呼ぶ。送り手(暗号化する側)と受けて(復号する側)が同じ鍵を用いる暗号化方式を、共通鍵暗号方式(秘密鍵暗号方式)と呼ぶ。この鍵は第三者に知られると意味がなくなるため、秘密にしておく必要がある。

 

盗聴を防ぐ暗号化(公開鍵暗号方式)

公開鍵暗号方式とは、送り手は受信者の公開鍵を用いて暗号化を行い、受け手は自分の秘密鍵を用いて復号を行うというものである。秘密鍵と公開鍵という公開用の鍵の2つを持つことが最大の特徴で、暗号化に使う鍵と復号に使う鍵が別物である。公開鍵では暗号化しかできないため、途中でデータを盗聴される危険性はなくなるのである。

ただし、共通鍵暗号方式に比べて、公開鍵暗号方式は暗号化や復号に大変処理時間を要するため、利用形態に応じて双方を使い分けるのが一般的である。

 

改ざんを防ぐデジタル署名

デジタル署名とは、公開鍵暗号方式の技術を応用することで、改ざんの危険性を回避するものである。公開鍵暗号方式では、公開鍵で暗号化したものはペアとなる秘密鍵でしか復号できない。この逆も真であり、秘密鍵で暗号化したものはペアとなる公開鍵を使わないと復号できないのである。つまり、Aさんの公開鍵で復号できたということは、Aさんが暗号化した後は誰もデータの中身を変更していないといえるのだ。

実際には本文全体を暗号化するのではなく、ハッシュ化という手法で短い要約データ(メッセージダイジェスト)を作成し、それを暗号化することでデジタル署名とする。

 

なりすましを防ぐ認証局(CA)

認証局(Certificat Authority:CA)とは、なりすましを防ぐためにデジタル証明書の発行やその正当性の確認を行う機構である。認証局は以下の流れで公開鍵の正当性を保証する。

  • 公開鍵を認証局に登録しておく
  • 認証局に登録した鍵によって身分を保証する

 

最後に

情報セキュリティ基礎知識として、ネットワークに潜む脅威、ユーザ認証とアクセス管理、コンピュータウイルスの脅威、ネットワークのセキュリティ対策、暗号化技術とデジタル署名の5つについてまとめた。

スマホの普及に伴って、LINEやcommなど、無料で通話ができるサービスが出てきている。しかし、個人情報の漏洩等セキュリティの観点については気にしておく必要があろう。著者のきたみりゅうじ氏に感謝したい。

次回はネットワークに関してまとめる。

キタミ式イラストIT塾 「ITパスポート」 平成24年度 CBT対応
LINEで送る
このエントリーをはてなブックマークに追加

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>