データ伝送web講座

10. セキュリティ

line

10.1. セキュリティとは

◆ 最近の通信の発達は、まことにめざましく、あらゆるところに、使われています。通信の中には、公開され、誰が見ても差し支えないものもありますが、当事者以外には見せることが許されない情報もあります。このような情報は、特定の人だけが見ることができるように、制限する必要があります。この点、電話網は、特定の人ではありませんが、ハードウェア(電話機)と、電話番号とが1 対 1 で対応していますから、問題が限定されます。
一般の通信では、情報が途中で改竄されることが無いように措置したり、正しい発信者であることや、内容が正しいことを、証明することが必要な場合があります。
◆ とくに、最近では、ネットワークを使った、犯罪や妨害(たとえば、コンピュータウィルス)が多くなっています。さらに、このような、犯罪や妨害を行う者が、他人のネットワークを踏み台にして、自分を秘匿しようとします。もし、自分のネットワークが、踏み台にされて、第三者に対して不正なアクセスが行われた場合には、身に覚えがないことであっても、結果として、第三者に損害を与えることになります。損害賠償で訴えられる恐れすら、あり得るのです。
このような、問題に対処するのが、セキュリティ です(図.1)。セキュリティを強化するためには、設備と運用にコストが掛かります。また、使い勝手も悪くなります。セキュリティを、強化すればするほど良い、というものではありません。しかし、インターネット等を利用する場合には、ある程度のセキュリティ対策が必須です。

[図.1] セキュリティ

セキュリティ

◆ セキュリティは、いくつかの技術から成り立っています。まず第 1 が、物理的な隔離です。住宅には、扉や窓がありますから、そこから侵入される恐れがあります。その対策として、扉や窓には、鍵を掛けます。通信設備や、コンピュータも、まず、同様な対策が必要です。鍵をかけることができる、部屋に収容します。常時施錠して、出入を許可されてた人だけが、鍵を保持するようにします。
コンピュータ自体も施錠できるタイプのものが、あります。また、ノートパソコンなど、容易に搬出できるコンピュータを、机などに固定するロック装置や、ソフトウェアでロックして、特定の解錠をしないと、使用できないものなどがあります。
外部に漏らしてはならない情報の流出は、悪意の無い内部の者のによるものも、大きな比重を占めます。外部に対する対策だけでは、不充分です。また、この意味で、セキュリティに関するする社内教育が重要です。
◆ 通信では、通信路上を流れている情報を、不正に盗み見することが、比較的容易です。盗み見を防ぎ、特定の人だけがアクセスできるようにするのが、パスワードです。盗み見されても、内容が分からないようにするのが、暗号です。また、偽って本人に成りすまして、偽の情報を送りつけられたり、内容を改竄されたりしたときに、それを検出し、正しい情報であるときは、それを証明する、認証があります。



10.2. 暗   号

10.2.(1) 概   要

◆ 昔は、暗号というと、スパイ映画を連想しましたが、現在では、意識していなくても、暗号が日常的に使われています。暗号 は、1 種の、コード変換です。一般には、符号変換 と呼ばれていますが、この講座での言葉の定義に従うと、コード変換です。
暗号の簡単な例を、図.2 に示します。

[図.2] 簡単な暗号の例

簡単な暗号の例

◆ 元の文字を平文 、暗号化された文字を暗号文 といいます。そして、平分を暗号文に変換し、逆に暗号文を平分に変換する規則が、暗号のです。この例は、単純な鍵ですから、容易に鍵を推定することができ、解読されてしまいます。実際には、解読され難い鍵を使用する必要があります。鍵を持たないで、暗号を解読することは、暗号文を十分な量確保すれば、総当り式に試みれば可能です。鍵が長いと、総当りは、時間が飛躍的に増加しますから、鍵が長いことが有効です。
暗号を利用する目的は、大きく 2 つに分けられます(図.3)。

[図.3] 暗号の利用目的

暗号の利用目的
共通鍵

◆ 暗号は、鍵の方式によって、2 つに分けられます。

[図.4] 鍵の方式

鍵の方式
共通鍵方式   公開鍵方式

10.2.(2) 共通鍵方式

◆ 共通鍵方式 は、暗号の基本です。送り側と受け側とで、同じを使用します(図.5)。この鍵を第三者に盗まれると、暗号文を解読されてしまいます。双方の鍵を秘密にしておくことが必要です。このことから、この共通鍵方式のことを、秘密鍵方式 とも言います。

[図.5] 共通鍵方式

共通鍵方式

◆ この、共通鍵方式は、多数の相手とやり取りするときは、各々の秘密を保持するためには、それぞれの相手ごとに、異なった鍵を持つことが必要です(図.6)。相手の数が多いときは、多数の鍵を持っていなければなりません。

[図.6] 相手ごとに異なる鍵が必要

相手ごとに異なる鍵が必要

10.2.(3) 公開鍵方式

◆ 公開鍵方式 は、多数の相手から暗号文を送って貰うのに適した方式です。共通鍵方式は、鍵を安全な経路で送る必要があります。公開鍵方式は、送る鍵を公開できるので、共通鍵のような問題はありません。公開鍵方式では、掛ける鍵と、開ける鍵とが異なります(図.7)。暗号を受け取る人は、自分だけの開ける鍵を持ちます。

[図.7] 公開鍵方式

公開鍵方式

◆ これに対して、暗号を送る人は、共通の掛ける鍵を持ちます(図.8)。

[図.8] 送り側の鍵は共通で良い

送り側の鍵は共通で良い

◆ 掛ける鍵を使っても、開けることはできません。また、掛ける鍵から開ける鍵を求めることは、できません。したがって、送る人が共通の鍵を持っていても、送ることができるだけで、他の人が送った暗号を解読することはできません。
受ける鍵は、盗まれると、暗号を解読されてしまいますから、秘密にしておくことが必要です。しかし、送る鍵は、公開しておくことができますから、公開鍵と呼ばれています。この公開鍵方式が開発されたことによって、暗号は、非常に使いやすくなりました。
ただし、公開鍵方式は、手間(時間)が掛かります。したがって、短文を送るのに適しており、長文には向きません。このため、メッセージは、共通鍵によって暗号化し、共通鍵を公開鍵で暗号化して、添付する方式が使用されます。



10.3. 認   証

◆ 認証 には、本人であることを確認する本人認証と、文書が本物であるかどうかを確認するメッセージ認証とがあります(図.9)。

[図.9] 認   証

認証

10.3.(1) 本人認証

◆ 本人認証 は、本人であることを確認する認証です。本人認証によって、第 3 者の、なりすましを防止することができます。本人認証の手段として、広く使われているのが、パスワード です。予めパスワードを登録しておき、ログイン のとき、パスワードを入力します。入力したパスワードが、登録されているパスワードと一致することによって、認証を行います。
さらに信頼性が高い方式として、代表的なものが、暗号の公開鍵による認証です(10.3.(2)参照)。
また、これとは別の手法として、バイオメトリクス と呼ばれる、個人に固有な身体的特徴を利用する方式があります。指紋 は、その代表例ですが、その他に、眼の虹彩、掌の静脈などを利用した製品が、あります。

10.3.(2) メッセージ認証

◆ メッセージ認証 は、暗号公開鍵を使用して、行うことができます(図.10)。

[図.10] 公開鍵による認証

公開鍵による認証

◆ メッセージ認証では、公開鍵を逆向きに使用します(図.11)。秘密鍵が盗まれない限り、第 3 者によって改竄されたり、偽者を作られたりすることは、ありません。

[図.11] 公開鍵を逆向きに使用する

公開鍵を逆向きに使用する

◆ 電子署名 は、文字や記号、マークなどを電子的に表現して署名を行なうこと、全般を指す言葉です。したがって、電子署名は、セキュリティを保証するものでは、ありません。電子署名の 1 つとして、ディジタル署名 があります。ディジタル署名は、公開鍵方式を利用した署名で、文書の作成者を証明し、かつ、その文書が改竄されていないことを、保証します。



10.4. 侵入防止

10.4.(1) ファイアウォール

◆ セキュリティ対策で、もう 1 つ重要かつ実用性が高いのが、ファイアウォール です(図.12)。文字通り防火壁の役目をし、ネットワーク間のセキュリティを守ります。ファイアウォールは、強化されたセキュリティ機能を持つ、ゲートウェイです。ルータが、関所の役割を持つことは、すでに述べました。この関所の役割を大幅に強化したものが、ファイアウォールです。ブロードバンドルータと呼ばれている製品は、ファイアウォール機能を持っています。

[図.12] ファイアウォール

ファイアウォール

◆ ファイアウォールは、必要な場所に設けますが、特に多く使用されているのが、ブロード(たとえばインターネット)とローカルとのインターフェースです(図.13)。ブロード向けのサーバー(たとえばウェブサーバー)を設置する場合には、(b)のように、サーバをファイアウォールの外側に設けます。セキュリティ機能をさらに強化する場合には、図の(b)のルータのところも、ファイアウォールにします。

[図.13] ブロードとのインターフェースに設ける

ブロードとのインターフェースに設ける

◆ ファイアウォールの機能は、基本的には、パケットフィルタです。パケットフィルタ には、2 通りのやり方があります。一つは、パケットの通過を原則許容して、特定のパケットの通過を阻止します。もう一つは、パケットの通過を原則として押さえて、特定のパケットだけを通過させます。後者の方が、セキュリティが高い方式です。パケットフィルタの基本は、IP アドレスによる選別です。多くの製品では、これに加えて、TCPポートアドレスによるフィルタリングを併用できます(図.14)。このためには、ゲートウェイを使用します。ただし、ルータを使用しても、TCP の中を見ることは、不可能ではありません(図の(a))。

[図.14] パケットフィルタリングを行う場所

パケットフィルタリングを行う場所

10.4.(2) コンピュータウィルス

◆ 悪意のある侵入者の、代表例が、コンピュータウィルス です(通常、単にウィルス と呼んでいます。ウィルスの被害を防ぐためには、ウィルス対策ソフトウェア を使用します。ウィルス対策ソフトウェアでは、ウィルスを検出し、検出したウィルスを、ワクチン で無力化して、削除することができます。
ウィルスの侵入個所は、通常は、インターネット、とくにメールがほとんどです。ウィルスは、メールの添付文書の形になっていますから、添付文書を開かなければ、感染することはありません。ただし、メールを開いただけで、感染するウィルスもあります。
インターネットは、もともと、仲間内の通信から始まったものなので、そのプロトコル(TCP/IP)は、不正に対しては、ほとんど無防備です。ウィルス対策ソフトウェア無しで、メールを使用することは、極めて危険です。ただし、最近では、プロバイダ側で、メールのウィルスを駆除するサービスを行ってくれるものがあります(通常は、そのように設定することが必要です)。
◆ ウィルス対策ソフトウェアでは、既知のウィルスのパターン を用意して、そのパターンと一致するものを、ウィルスとして検出します。新種のウィルスが、次々に現れますから、ウィルス検出用のパターンファイル を、常時アップデートして置かないと、効果がありません。ウィルス対策ソフトで、アップデートの自動通知を、頻繁に受け取るようにし、通知を受けたら、速やかにアップデートしなければなりません。
ウィルスには、いくつかの種類があります(図.15)。

[図.15] ウィルスの種類

ウィルスの種類

◆ 狭義のウィルスは、コンピュータに侵入し、第 3 者のプログラムやデータベースに対して、意図的に何らかの被害を及ぼすプログラムであり、図.16 に示す機能を 1 つ以上持つものです。
トロイの木馬は、有益なプログラムに見せかけて、ユーザーの個人情報やアカウントを盗んだり、ディスクをフォーマットしたり、ファイルを破壊したりします。ウィルスのような、感染や、自己増殖は行いません。
ワームは、単独で自己増殖する不正なプログラムで、ネットワークを利用して感染します。ネットワーク環境にあるシステムが稼動していれば、急激に増殖することが可能です。この意味では、最も悪性です。

[図.16] 狭義のウィルス

狭義のウィル


目次に戻る   前に戻る   次に進む