ネットワークを利用するシステムでは,外部からの攻撃や不正アクセスからシステムを守るための対策が欠かせません。暗号化通信や認証プロトコル,ファイアウォールなど,さまざまなしくみが組み合わされて安全な通信環境が構築されています。ネットワークのセキュリティの全体像を正しく理解できていますか?
ネットワークのセキュリティ=通信の暗号化・認証,アクセス制御などにより,ネットワークを安全に利用するためのしくみ
ネットワークのセキュリティでは,アクセス制御(ファイアウォールやIDS/IPSなど)による通信の管理,Webや電子メールの安全な利用,無線LANの暗号化や認証,さらにSSH・SSL/TLS・IPsecなどのセキュリティプロトコルを組み合わせることで,ネットワーク全体の安全性を確保します。
ネットワークのセキュリティとは(概要と目的)
内部ネットワークなどからインターネットに接続する場合,悪意のある第三者からの攻撃で被害を受けないように対策する必要があります。
アクセス制御とは(通信制限と防御)
ファイアウォールとは(通過制御と境界防御)
ファイアウォールとは,必要な通信のみを通過(不必要な通信は遮断)させる,アクセス制御の概念のことをいいます。サーバーでソフトウェアとして動作するものや,専用の機器として提供されるものがあり,セキュリティレベルが異なるネットワークの間(セキュリティ境界)に設置されます。
※ ファイアウォールは,ルーターなどに,機能の一つとして実装されることもある。OSなどに含まれることもある
※ ファイアウォールの詳細は,「ファイアウォールの基礎まとめ」を参照
侵入検知システム(IDS)と侵入防止システム(IPS)とは
侵入検知システム(IDS;Intrusion Detection System)とは(検知と通知)
侵入検知システムは,ホストやネットワークの通信を監視し,不正アクセスを検知するシステムです。不正アクセスを検知した場合,(メールなどで)システム管理者に通知し,ログを記録します。
※ 不正アクセスを防止することはできない
侵入防止システム(IPS;Intrusion Prevention System)とは(検知と防止)
侵入防止システムは,ホストやネットワークの通信を監視し,不正アクセスを検知した場合に侵入を防止する(攻撃を未然に防ぐ)システムです。
※ 侵入検知システムを発展させたシステム
※ 侵入検知システム(IDS)と侵入防止システム(IPS)の詳細は,「侵入検知システム(IDS)と侵入防止システム(IPS)の基礎まとめ」を参照
検疫ネットワークとは(隔離と安全確認)
検疫ネットワークとは,外部から持ち込んだPCなどや外部に持ち出したPCなどを内部ネットワークに接続する際に,安全性(マルウェアに感染していないか)を調べる(隔離された)専用のネットワークのことをいいます。
※ 検疫ネットワークで安全性が確認されたら内部ネットワークに接続することができる(安全性が確認されなかった場合は,(改善するまで)内部ネットワークに接続することができない)
※ 認証スイッチで検疫ネットワーク用のVLANと内部ネットワーク用のVLANを構築し,新たにPCなどを接続する際は検疫ネットワークに接続させ,安全性が確認されたら内部ネットワーク用のVLAN-IDを通知して,内部ネットワークに接続できるようにする
※ VLAN(Virtual LAN)…一つのLAN内に仮想的なグループを設定し,それぞれを一つのLANのように運用する技術
※ 認証DHCPサーバーを使用する方式もある(新たにPCなどを接続 ⇒ 検疫ネットワーク用のIPアドレスを設定し安全性を確認 ⇒ 安全性が確認されたら内部ネットワーク用のIPアドレスを設定し内部ネットワークに接続できるようにする)
ハニーポットとは(攻撃誘引と分析)
ハニーポットとは,DMZなどに設置される囮のシステムのことをいいます。脆弱性のあるシステムを敢えて公開したり,重要な情報が入っているように見えるデータベースを設置したりして攻撃者を引き寄せることで,侵入を検知したり,(重要な部分で)被害を出さないようにすることができます。また,攻撃者の行動を調べることで,インシデントへの対応や,攻撃手法の研究をすることもできます。
広告
Webのセキュリティとは(脅威と対策)
Webのセキュリティについては,Webのアクセス制御,Webサイトでの認証,HTTPヘッダーによるセキュリティ対策などを行います。詳細は,「WWWの基礎まとめ(Webのセキュリティとは)」を参照してください(HTTPSについても説明しています)。
電子メールのセキュリティとは(脅威と対策)
電子メールのセキュリティについては,電子メール送信時の対策,電子メールの暗号化,電子メールの通信経路の暗号化,メールサーバーの不正中継対策などを行います。詳細は,「電子メールの基礎まとめ(電子メールのセキュリティとは)」を参照してください。
無線LANのセキュリティとは(接続保護と暗号化)
MACアドレスフィルタリングとは(端末制限)
無線LANアクセスポイントに,接続を許可する端末のMACアドレスを登録しておき,登録されている端末からの接続要求についてのみ許可する方式です(登録されていない端末からの接続要求については拒否します)。
無線LANのセキュリティ規格一覧
WEP(Wired Equivalent Privacy)とは
WEPは,Wi-Fiなどの無線LAN通信におけるセキュリティ規格です。暗号化にはRC4を使用します。
※ WEPは,IEEE802.11に標準で実装されている
※ WEPには脆弱性があり,十分な安全性を確保できないため,現在は,ほとんど使用されていない
WPA(Wi-Fi Protected Access)とは
WPAは,Wi-Fiなどの無線LAN通信におけるセキュリティ規格です。暗号化には,WEPを改良したTKIPを採用しています。利用者認証の機能もあります。
※ WEPに脆弱性が見つかり,IEEE802.11i(WPA2)の策定をはじめたが,かなりの時間が必要だったため,先取りする形で策定された。そのため,既存の無線LAN機器のまま,ソフトウェアアップグレードで対応可能
※ WPAでは,十分な安全性を確保できないため,現在では,非推奨となっている
WPA2(Wi-Fi Protected Access 2)とは
WPA2は,Wi-Fiなどの無線LAN通信におけるセキュリティ規格です。暗号化には,CCMPを採用しています。利用者認証の機能もあります。
※ WPAの後継プロトコルで,IEEE802.11iに準拠している
WPA3(Wi-Fi Protected Access 3)とは
WPA3は,Wi-Fiなどの無線LAN通信におけるセキュリティ規格です。暗号化には,CCMPとGCMPを採用しています。利用者認証の機能もあります。
※ WPA2の後継プロトコルで,IEEE802.11iに準拠している
無線LANのセキュリティ規格の比較
| WEP | WPA | WPA2 | WPA3 | |
|---|---|---|---|---|
| 時期 | 1997年 | 2002年 | 2004年 | 2018年 |
| 暗号方式 | WEP | TKIP | CCMP | パ,エ:CCMP エ:GCMP |
| 暗号アルゴリズム | RC4 | RC4 | AES-CCMP | パ,エ:AES-CCMP エ:AES-GCMP |
| 鍵の配布 | 同じSSID内の無線アクセスポイントと,すべての端末で,同一のWEPキーを共有 | パ:同じSSID内の端末で事前共有鍵(PSK)を共有する エ:IEEE802.1x認証に基づく認証サーバーから端末ごとに異なるキーを配布する | ||
| 鍵長 | 40ビット,104ビット | 104ビット | 128ビット | パ,エ:128ビット エ:192ビット |
| 完全性検証方式 | CRC-32 | Michael | CBC-MAC | GMAC |
| 認証方式 | オープン認証,PSK | パ:PSK エ:EAP(IEEE802.1x) | パ:SAE エ:EAP-TLS(IEEE802.1x) | |
| 安全性 | × | × | ○ | ◎ |
※ パ:パーソナルモード,エ:エンタープライズモード
※ TKIP(Temporal Key Integrity Protocol)…WPAで採用されたプロトコル。データの暗号化にはRC4を,完全性の検証にはMichaelにより生成したMICを使用する
※ CCMP(Counter mode with CBC-MAC Protocol)…WPA2で採用されたプロトコル。データの暗号化にはAES(CCMモード)を,完全性の検証にはCBC-MACにより生成したMICを使用する
※ GCMP(Galois/Counter Mode Protocol)…WPA3のWPA3-Enterprise 192-bit modeで採用されたプロトコル。データの暗号化にはAESを,完全性の検証にはGCMにより生成したGMACを使用する
※ RC4,AESについては,「暗号化の基礎まとめ(代表的な暗号方式一覧)」を参照
※ PSK(Pre-Shared Key)…事前共有鍵を使用する認証方式
※ SAE(Simultaneous Authentication of Equals)…利用者が入力したパスワードと,乱数を使用して,楕円曲線暗号により認証する方式
※ EAP(Extensible Authentication Protocol)…クライアントと認証サーバーの間で行う認証手順を定めたもの。IEEE802.1xなどで採用されている
※ 無線LANのセキュリティ規格の詳細は,「WEP・WPA・WPA2・WPA3の基礎まとめ」を参照
広告
セキュリティプロトコルとは(階層別概要)
アプリケーション層のセキュリティプロトコル
| SSH | 遠隔地のコンピューターを,ネットワーク経由で遠隔操作するためのプロトコル。暗号や認証技術を利用でき,安全性が確保されている |
トランスポート層のセキュリティプロトコル
| SSL/TLS | インターネット上でデータを暗号化して送信するプロトコル。通信内容の暗号化や,サーバー認証,クライアント認証といった機能を提供する(トランスポート層とアプリケーション層の間で動作する) |
ネットワーク層のセキュリティプロトコル
| IPsec | IPネットワークでセキュリティ機能を提供するプロトコル。鍵交換を行うIKE,認証を行うAH,暗号化や認証を行うESPなど,複数のプロトコルで構成されている |
データリンク層のセキュリティプロトコル
| PAP | ネットワークへの接続時に,認証サーバーへユーザーIDとパスワードを平文で送信して利用者認証を行うプロトコル |
| CHAP | チャレンジ/レスポンス方式を利用した認証プロトコル |
| RADIUS | ネットワーク上で利用者認証を行うプロトコル。認証サーバーを(1台,または,複数台の)RADIUSクライアント(アクセスサーバー)とRADIUSサーバーに分ける構成になっている。RADIUSクライアントで,さまざまなネットワークからの認証要求を受け付け,RADIUSサーバーで,利用者認証情報を一元管理する |
| IEEE802.1x | コンピューターなどの端末がIEEE802.1xに対応したスイッチや無線アクセスポイントなどに接続する際に,利用者認証を行う規格 |
| EAP | データリンク層において,さまざまな認証プロトコルを利用できるようにするための技術 |
まとめ
今回は,ネットワークのセキュリティについて,シンプルにまとめてみました。ネットワークのセキュリティでは,通信の暗号化や認証,アクセス制御など,複数のしくみを組み合わせて安全性を確保することが重要です。基本情報技術者試験をはじめとする情報処理技術者試験で頻出しますので,それぞれのしくみの役割を整理して理解しておきましょう。
理解が進んだら,基本情報技術者試験の過去問題等にも挑戦してみてください。
