情報セキュリティ技術(セキュリティ)
学習のポイント
情報セキュリティ技術は、さまざまな脅威から情報資産を守るためにあります。盗聴のリスク対応である「暗号化」、なりすまし・改ざん検出の対応である「ディジタル署名」、3種類の「認証方式」、PKIを構成する3つの要素、ファイアウォールのパケットフィルタリング、DMZの仕組み、SSLの仕組み、マルウェアの種類と対策、VPN、ケルベロス認証など、セキュリティの根幹の部分を理解しましょう。
| 1. 暗号化 | ||||||||||||||||||||||||
| 暗号化は平文を暗号文にして送受信するため、「盗聴」の脅威の対策のためにあります。暗号化には、以下の3種類があります。 ●共通鍵暗号方式 この方式では、暗号化と複合に同じ鍵を使用します。「対称鍵方式」とも言います。代表的な例に「NISTが公募したAES」があります。共通鍵暗号方式では、相手に鍵を渡す必要があり、また相手の数だけ鍵を用意する必要があります。 ・利点としては、暗号・複合の時間が早い。データの送受信に適しています。 ・欠点としては鍵の管理が大変です。 ●公開鍵暗号方式 この方式では、暗号化に使用する鍵と複合の鍵が異なる方式です。「非対象鍵方式」とも言います。暗号化する鍵を公開して「公開鍵」といい、複合する鍵を秘密にして「秘密鍵」といいます。公開鍵で暗号化した暗号文は、対の秘密鍵でしか復号することがてきません。鍵の管理が容易であるが、暗号化・復号に時間がかかります。「RSA」が代表的です。 ・利点としては、鍵の管理が容易。 ・欠点としては、暗号・複合に共通鍵方式の1000倍以上かかる。一般的に共通鍵の配布のために利用されます。 ●ハイブリット暗号方式 上記の2つの方式を同時に利用する方法です。共通鍵暗号方式で「データを暗号化して送信」し、この共通鍵暗号方式の「共通鍵」を公開鍵暗号方式の秘密鍵で暗号化して送信します。受信側では、相手の公開鍵で暗号化された「共通鍵」を復号して、得られた共通鍵よりデータを復号します。 ●鍵の個数 1000人のユーザが互いに通信する時の鍵の個数は、 秘密鍵方式 1000×999÷2=499500個(1000から2種類選ぶ組合せ:1000 C 2) 公開鍵方式 1000×2=2000個 |
||||||||||||||||||||||||
| 2. 認証とアクセス制御 | ||||||||||||||||||||||||
| ●アクセス管理 「アクセス管理」とは、「本人であることを確認(認証)」と「アクセスを妥当な範囲で制限する(アクセス制御)」を含めた概念を言います。 ●認証の種類 1. 知識による認証 本人しか知りえない情報で認証を行います。ユーザーID・パスワードによる認証が代表的です。 2. 所有物による認証 本人が所有しているという前提で認証を行います。ICカードやクレジットカードが代表的です。 3. 生体情報による認証(バイオメトリクス認証) 本人の生体情報をもとに認証を行います。指紋・静脈・顔などの生体情報を利用します。本人なのに認証が拒否される「本人拒否率」と本人でないのに認証されてしまう「他人受入率」があります。 ●知識による認証の種類 (1)ユーザIDとパスワードを使用する方法 (2)ワンタイムパスワードによる方法 利用することに異なるパスワードを使用します。方式として「チャレンジレスポンス方式」「時刻同期方式(タイムスタンプ方式)」があります ■チャレンジレスポンス方式
2. サーバはそれに対しランダムな数値列「チャレンジ」を返信します。 3. クライアントは、ユーザが入力した「パスワード」と受信した「チャレンジ」をハッシュ関数より「レスポンス」と呼ばれる数値列を作成し、サーバに送信します。 4. サーバ側では、送信した「チャレンジ」とあらかじめ登録されているユーザの「パスワード」から同じようにハッシュ関数より「レスポンス」を作成します。 5. 送られてきたレスポンスとサーバで作成してレスポンスを比較します。両者のレスポンスが一致すれば、パスワードは正しいことになり、認証成功とします。 ※ネットワーク上にパスワードが直接流れないのが大きな特徴です。 ■時刻同期方式(タイムスタンプ方式) ワンタイムパスワードを生成する「トークン」というものを使用して認証を行います。 トークンは、一定時刻ごとに異なるパスワードを生成します。利用者と認証するサーバ側でトークンを使用してパスワードが一致するかで認証を行います。
●アクセス制御 アクセス制御は利用者と資源の間にアクセス権を設定することです。通常は、「読込み」「書込み」「削除」「実行」「アクセス権の変更」「所有権」などを設定します。 ●電子透かし 画像や音声を認証するために、それそのものに作成者の識別子などを埋め込む技術のこと。 |
||||||||||||||||||||||||
| 3. PKI | ||||||||||||||||||||||||
| ●PKIとは? Public Key Infrastructure(PKI)は、一般的には「公開鍵暗号基盤」または「公開鍵暗号方式を利用したセキュリティインフラ」のことです。 具体的には、以下の3つが柱となっています。 ■ ディジタル証明書 ■ 認証局(CA) ■ リポジトリ ●ディジタル署名 ディジタル署名は、「本人確認」と「データの改ざん有無」を確認できます。つまり、「なりすまし」と「データの改ざん」の脅威の対策のためにあります。仕組みとしては以下のように行います。前提として、共通鍵は送信者・受信者は取得しているものとします。 1. 送信者は送信メッセージからハッシュ関数を用いてハッシュ値を作成する。 2. ハッシュ値を「送信者の秘密鍵」で暗号化してディジタル署名を作成する。 3. メッセージの盗聴を防ぐため、メッセージを「共通鍵」で暗号化してディジタル署名を添付して送信する。 4. 受信者は、暗号文を「共通鍵」で複合する。 5. 複合したメッセージからハッシュ関数を用いて、改めてハッシュ値を作成する。 6. ディジタル署名を「送信者の公開鍵」で複合してハッシュ値を得る。 7. 5.と6.で得た値が等しい時に限り、メッセージを認証する。 ※「ハッシュ値」とは、メッセージからハッシュ関数を仕様して生成したコードのことで、元のメッセージに戻すことはできません。 ●ディジタル証明書とは? 上記のディジタル署名は、送信者の「公開鍵」が本当に本人のものか確認はとれてません。偽装した可能性も秘めています。そこで、本人の公開鍵で間違いないという証明書が「ディジタル証明書」ということです。ディジタル証明書を利用すると、本人確認ができると同時に、通信の暗号化も実現できます。理由は、ディジタル証明書の中には、情報を暗号化するための「本人の公開鍵」が含まれているためです。 ●認証局(CA)とは? 「信頼できる第三者機関」であって、利用者に代わって利用者の公開鍵を作成して、それを証明する「ディジタル証明証」を発行する機関のことです。申請者は、認証局(CA)へ「身分証明書」と共に「ディジタル証明書」の申請を行います。以下参照。
●リポジトリとは? ディジタル証明書とその他の関連情報を公開するためのデータベースです。従って、CAから個人や企業に発行された電子証明書は、そのCAのリポジトリでも確認することができます。 |
||||||||||||||||||||||||
| 4. 守る技術 | ||||||||||||||||||||||||
| ●ファイアウォール ファイアウォールは、組織の「内部ネットワーク」と「外部ネットワーク」の境界に設置し、双方のアクセスを監視します。監視の方法として代表的な「パケットフィルタリング」機能があります。 ●パケットフィルタリング ネットワーク上をを流れる通信データの「パケット」の内容「IPアドレス」「ポート番号」をもとに通信の許可・拒否を決めます。内容の判断材料として「ポート番号」「IPアドレス」を使用します。あらかじめ設定された「フィルタリングルール」に基づいて通信の可否を判断します。 過去問題より確認しましょう。 平成25年春期 午前 問42
この場合は、1は合致しない、2は合致しない、3が合致します。よって、3の設定より通過許可となります。 ●DMZ 外部ネットワークと内部ネットワークのどちらかでもアクセス可能な領域をDMZ(非武装地帯)といいます。Webサーバやメールサーバはここに設置されます。
●WAF(Web Application Firewall)ワフ Webサーバ・Webアプリケーションのぜい弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。Webサーバーの前段に設置して通信を「解析・検査」し、攻撃からWebサイトを保護し、不正ログインを防ぐ役割で用いられます。
●S/MIME・PGP 電子メールの「盗聴・なりすまし・改ざん」のリスクのために使用されます。共通鍵暗号方式、公開鍵暗号方式と、ハッシュ関数を組み合わせて使って実現してされています。 ●SSL 米Netscape社が開発したセキュリティプロトコルで公開鍵と共通鍵方式のハイブリット暗号方式を採用しています。
1.ユーザーのブラウザからSSLのリスエストを送信します。「https」で「ポート番号443」となります。 ●脆弱性対策 OSやアプリケーションに欠陥である「脆弱性(セキユリティホール)」があると攻撃者は、その脆弱性を利用して攻撃を仕掛けてきます。つまり、コンピュータに穴が開いているような状態です。これを回避するために「修正パッチ」という「脆弱性の修正プログラム」をインストールする必要があります。 ●パスワード漏洩を防ぐ ユーザーが入力したパスワードとサーバのパスワードを比較して、一致していたら認証させます。両方とも暗号化されていれば問題はありませんが、現在では、サーバにパスワードのハッシュ値を登録して、ユーザーからのパスワードからハッシュ値を生成して比較する方法があります。これだと、仮に、サーバのパスワードが漏洩したも、正規のパスワードを攻撃者は入手することはできません。※ハッシュ値は、一方向関数といって、ハッシュ化したものは、元に戻すことはできないためです。 |
||||||||||||||||||||||||
| 5. コンピュータウィルス | ||||||||||||||||||||||||
●特徴
コンピュータウィルスを発見して、駆除するプログラムのこと。通常は、メモリに常駐して監視し、サーバより最新の「パターンファイル」を入手して、最新のウィルスに対応できるようにしておく必要があります。 ●感染防止策 ・最新のワクチンソフトを常駐させる。 ・電子メールに注意する。 ・違法コピーや海賊版のソフトの使用はしない。 ●感染した時の処置 直ちに感染したコンピュータをネットワークから切り離し、ネットワーク管理者へ連絡する。また、IPA(情報処理振興事業協会)へ届け出る。 ※最近では、悪意のあるプログラムを総称して「マルウェア」と呼んでいます。 ●マルウェアの種類
|
||||||||||||||||||||||||
| 6. ウィルス対策 | ||||||||||||||||||||||||
●ウイルス検出の方法
|
||||||||||||||||||||||||
| 7. VPN | ||||||||||||||||||||||||
| ●VPNとは? VPN(Virtual Private Nework)とは、仮想的なプライベートネットワーク接続のことで、安価なFTTHの広帯域な回線をWANとして利用できます。 |
||||||||||||||||||||||||
| ●VPNの種類
1. インターネットVPN(IPsec-VPN)…IPsecで、インターネットを利用したVPN |
||||||||||||||||||||||||
| ●IPsecとは? インターネットなどのTCP/IPネットワークで「暗号通信」を行うためのプロトコルで、ネットワーク層のIPのレベルで送受信内容を暗号化します。 |
||||||||||||||||||||||||
| ●MPLSとは? MPLSは、「ラベル」という短い固定情報をパケットに付加して、高速に転送する技術です。 通常のルーティングのようにIPアドレスを見る代わりに、ラベルという固定情報を見てパケットを送るため、高速な送受信が可能になります。 |
||||||||||||||||||||||||
| 8. ケルベロス認証 | ||||||||||||||||||||||||
| ●ケルベロス認証とは? ケルベロス認証とは、ネットワーク越しでアクセスするユーザーを認証するプロトコルで、マイクロソフトのActive Directoryなどが対応してします。 ケルベロス認証では、「チケット」と呼ぶデータを認証に使う。 ユーザーがサーバーにアクセスしようとすると、サーバーはアクセス権を持っているユーザーかどうかを判断します。このとき、ケルベロス認証では、「クライアントのID・タイムスタンプ・有効期限」が含まれる「チケット」と呼ぶデータを使って認証します。こうすることで、アカウント情報を漏洩しにくくします。 |
