ともすた ネットワークセキュリティの基本
-
1-1 情報セキュリティの脅威
情報セキュリティの脅威には、「物理的脅威」「技術的脅威」「人的脅威」の3種類があります。 -
1-2 情報のCIA
情報セキュリティを考える場合は「情報のCIA」という観点から考える必要があります。これは、「Confidentiality(機密性)」「Integrity(完全性)」と「Availability(可用性)」の頭文字を取ったもの。 -
1-3 脆弱性
先に紹介した情報セキュリティの脅威に対し対策が十分でなく、脅威が現実になり得る状態のことを「脆弱性がある」といいます。 情報セキュリティにとって、脆弱性がある状態のシステムは非常に危険であり、これを1つ1つ対策してなくしていくことが大切です。それぞれ紹介していきましょう。 -
1-4 ハッカーとクラッカー
高い技術力を持ったエンジニアを「ハッカー」呼びますが、 この中の一部の悪意を持った者のことをクラッカーと呼びます。クラッカーはパスワードや個人情報を窃取したり、遠隔ログインなどを試みたりします。 -
1-5 不正アクセス
パスワードを不正に入手して、本来はアクセスしてはならないシステムにアクセスすることで、「不正アクセス禁止法」によって処罰されます。 -
1-6 通信の盗聴
ネットを通じて、さまざまな情報が行き交う現在、データを途中で盗聴されてしまうことにも注意が必要です。ここでは、通信の盗聴について紹介していきましょう。 -
1-7 なりすまし
攻撃を、攻撃者自身ではなくて、他の第三者になりすまして攻撃を加える方法です。攻撃を発見することが難しくなる上、外部からの攻撃を防ぐ手立てが役に立たなくなってしまうなど、被害が大きくなってしまうことがあります。 -
1-8 DoS(Denial of Services:サービス妨害)
DoS(Denial of Services)は不正アクセスや盗聴などと違って、サーバーの多大な負荷をかけて、動作不能に陥らせたり、故障させることを狙う攻撃です。 営業妨害などの他、負荷が高まったサーバーに発生するセキュリティホールなどを狙って行うこともあります。 -
1-9 ソーシャルエンジニアリング
情報セキュリティにおいて、意外と見落とされがちなのが、利用者の不注意などでうっかり漏れてしまう情報です。いくつか紹介しましょう。 -
1-10 その他の攻撃手法
ここまでに紹介した攻撃方法の他にも、さまざまな攻撃があります。紹介していきましょう。
暗号化技術とデジタル署名
-
2-1 暗号化と複合化、共通鍵暗号
暗号とは、元の内容(これを、平文といいます)を1文字ずつなどバラバラに入れ替えてしまい、他人が見ても元の内容が分からないようにするというものです。 -
2-2 公開鍵暗号方式
共通鍵暗号方式は、手軽な半面、鍵の交換や保管などが煩雑になります。そこで、もう1つの暗号化方式である「公開鍵暗号方式」という暗号方式も使われます。「RSA」や「楕円曲線暗号」などの種類があります。 -
2-3 デジタル署名
文書のやり取りなどに起こるリスクの1つに、改ざんのリスクがあります。送信した文書の内容が、途中で書き換えられてしまって、別の内容になって相手に届いてしまうというもの。 そこで、「デジタル署名(電子署名)」という方法を使って、内容の完全性を保つことができます。
認証技術
-
3-1 パスワード認証
本人しか知り得ないパスワードをアカウント情報(IDやメールアドレス)などと一緒に入力してもらうことで、本人であることを認証します。手軽な半面、気をつけて扱わないと漏洩などにつながってしまいます。 -
3-2 より強力な認証
パスワード認証は、パスワードの漏洩やブルートフォース攻撃などで破られてしまう危険性があることから、近年ではさまざまな防御策が考え出されています。それぞれ紹介しましょう。 -
3-3 多要素認証
パスワードの「知識」を利用した認証方法は、どうしても情報が漏れたり予測されたりすると、突破されてしまう危険性と隣り合わせです。そこで、より重要な手続きなどには、別の「要素」を加えた認証を行います。
リスクマネジメント
-
4-1 リスクマネジメント
リスクを減らすための対策には、コストがかかります。そこで、企業にはどこに重点的に資源を投入し、どこのコストをカットするかといった「リスクマネジメント」が必要になります。この時、検討の材料となるのは次の「リスクの危険度」です。 -
4-2 リスクアセスメント
リスクマネジメントを行うには先の通り、リスクを分析し、評価をしなければなりません。これを「リスクアセスメント」といいます。 -
4-3 リスク対応
ここまでに紹介したリスクアセスメントの結果を基に、リスクに対応していく作業が必要です。次のような方法があります。 -
4-4 情報セキュリティポリシー
企業は自社の情報資産などを、先のリスクマネジメントなどで洗い出した後、それらを各関係者(ステークホルダー)がどのように扱うべきかなどを定めた「情報セキュリティポリシー」を策定する必要があります。 -
4-5 ISMSの認証とガイドライン
ISMSを定めた後は、それが正しく運用されているかを確認する必要があります。そこで、ISMSの第三者による認証というしくみがあります。日本では日本情報処理開発協会(JIPDEC)が評価制度を運用していて、各種認証機関によって認証を受けることができます
システム監査
-
5-1 セキュリティ評価
セキュリティや脆弱性を評価する際、参考にできる枠組みがあります。 -
5-2 CSIRT
どんなに情報セキュリティに取り組んでいても、攻撃を受けてしまうことがあります。そのような場合は、事故(インシデント)に対応するチームが必要となります。情報セキュリティマネジメントでは、このようなチームを「Computer Security Incident Response Team」の頭文字を取って(CSIRT:シーサート)等と呼びます。 -
5-3 システム監査
情報セキュリティは、常に正しく運用されているか、新しい対策はないかなどをチェックしていかなければ、いつの間にか対策が曖昧になってしまっていたり、新しい脅威に対応できなくなっているケースもあります。 そこで、定期的なシステム監査を実施することが求められます。
セキュリティ対策
-
6-1 マルウェアとは
「マルウェア」という言葉は、「ウィルス」に比べると一般的ではないかもしれませんが、コンピュータウィルスを含んだ攻撃用のソフトウェアの総称を指します。 -
6-2 マルウェア対策
マルウェアの対策には、一番はネットから切断してしまう環境にすることです。機密情報を保管するコンピュータなどは、あえてインターネットには接続せずに、社内からのみ参照するとかコンピュータを実際に操作しなければ確認ができないという方法にすることもあります。 -
6-3 端末管理
どれほど社内の端末でセキュリティ対策をしていても、外部から持ち込んだ個人端末などが、マルウェアに感染してしまっていたりすると、そこから二次被害につながってしまったりする恐れがあります。そこで、社内の端末は厳重に管理することが重要になります。 -
6-4 ファイアウォール
不正アクセスを防ぐ方法として、最も基本的な対策が「ファイアウォール」を設置するというものです。 -
6-5 DMZ(De Militarized Zone)
ネットワークセキュリティにおけるDMZというのは、外部のセキュリティが施されていないネットワーク環境と、強固なセキュリティが施された内部のセキュリティの中間地点に、公開サーバーを設置すること -
6-6 その他のセキュリティ対策
ここまでに紹介したセキュリティ対策の他にも、さまざまなセキュリティ対策があります。紹介していきましょう。 -
6-7 情報漏洩対策
情報をノートPC等に保存して持ち歩いたり、USBメモリなどのストレージに入れて運ぶのは非常に危険です。そこで、情報自体は社内のコンピュータなどに蓄積しておき、外出先などで情報を見たい場合は、社内のコンピュータに「リモートアクセス」という手段でログインをして、そこで情報を見たりすることがあります。 -
6-8 SSL/TLS
Webサイトを閲覧するときに利用できる暗号化通信技術。フォームなどで送信するときの情報や、ログイン後のページなどで個人情報を確認するときなどにも、情報を暗号化して送信することができます。 -
6-9 VPN(Virtual Private Network)
VPN(Virtual Private Network)は、仮想的な社内ネットワークを実現するためのしくみです。 IPsecという通信方法(プロトコルといいます)などを利用し、認証できたユーザーの通信内容を暗号化してVPNを実現することができます。 -
6-10 人的対策
情報セキュリティの脅威の中でも、内部犯行は最も防ぎにくく、見つけにくい脅威の一つです。これを防ぐには、地道な人的対策をしていくしかありません。
この講座をまとめて受講しよう
