ネットワークのセキュリティ -情報処理シンプルまとめ

ネットワークのセキュリティに関するブログのアイキャッチ画像 セキュリティ

 基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,ネットワークのセキュリティについてシンプルにまとめています。アクセス制御(ファイアウォール,侵入検知システム(IDS)と侵入防止システム(IPS),ハニーポット),Webのセキュリティ,電子メールのセキュリティについて,その概要を説明しています。ここで,全体像をつかむようにしましょう。また,各内容の詳細については,リンクを貼っていますので,そちらも参照してみてください。

ネットワークのセキュリティ

 内部ネットワークなどからインターネットに接続する場合,悪意のある第三者からの攻撃で被害を受けないように対策する必要があります。

アクセス制御

ファイアウォール

 ファイアウォールとは,必要な通信のみを通過(不必要な通信は遮断)させる,アクセス制御の概念のことをいいます。サーバーでソフトウェアとして動作するものや,専用の機器として提供されるものがあり,セキュリティレベルが異なるネットワークの間(セキュリティ境界)に設置されます。

※ ファイアウォールは,ルーターなどに,機能の一つとして実装されることもある。OSなどに含まれることもある

※ ファイアウォールの詳細は,「ファイアウォール -情報処理シンプルまとめ」を参照

ファイアウォール -情報処理シンプルまとめ
基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,ファイアウォールについてシンプルにまとめています。ファイアウォールの概要と機能の説明からはじめ,DMZ,バリアセグメント,ファイアウォールの構成(ファイアウォールを1台設置し公開サーバーをバリアセグメントに設置する場合,ファイアウォールを1台設置し公開サーバーをDMZに設置する場合,ファイアウォールを1台設置し公開サーバーをバリアセグメントに設置する場合,ファイアウォールを2台設置する場合),公開サーバー,ファイアウォールの分類(パケットフィルタリング方式(ACL(アクセス制御リスト),静的フィルタリング(スタティックパケットフィルタリング),動的フィルタリング(ダイナミックパケットフィルタリング),ステートフルインスペクション),サーキットゲートウェイ(トランスポートゲートウェイ)方式,アプリケーションレベルゲートウェイ方式(プロキシサーバー,リバースプロキシサーバー)),ファイアウォールの管理(ACLの管理,ログの管理(ログサーバー,syslog)),ファイアウォールの付加機能(認証と暗号化,侵入検知と侵入防止,ウイルススキャン,スパムメールフィルタリング),WAF(ブラックリスト方式,ホワイトリスト方式,シグネチャベース方式,ルールベース方式)を説明しています。いろいろありますので定着には時間がかかると思いますが,じっくり読んでみましょう。

侵入検知システム(IDS)と侵入防止システム(IPS)

侵入検知システム(IDS;Intrusion Detection System)

 侵入検知システムは,ホストやネットワークの通信を監視し,不正アクセスを検知するシステムです。不正アクセスを検知した場合,(メールなどで)システム管理者に通知し,ログを記録します。

※ 不正アクセスを防止することはできない

侵入防止システム(IPS;Intrusion Prevention System)

 侵入防止システムは,ホストやネットワークの通信を監視し,不正アクセスを検知した場合に侵入を防止する(攻撃を未然に防ぐ)システムです。

※ 侵入検知システムを発展させたシステム

※ 侵入検知システム(IDS)と侵入防止ステム(IPS)の詳細は,「侵入検知システム(IDS)と侵入防止システム(IPS) -情報処理シンプルまとめ」を参照

ハニーポット

 ハニーポットとは,DMZなどに設置されるおとりのシステムのことをいいます。脆弱性のあるシステムを敢えて公開したり,重要な情報が入っているように見えるデータベースを設置したりして攻撃者を引き寄せることで,侵入を検知したり,(重要な部分で)被害を出さないようにすることができます。また,攻撃者の行動を調べることで,インシデントへの対応や,攻撃手法の研究をすることもできます。

ハニーポットに関する説明画像

Webのセキュリティ

 Webのセキュリティについては,Webのアクセス制御,Webサイトでの認証,HTTPヘッダーによるセキュリティ対策などを行います。詳細は,「WWW-Webのセキュリティ -情報処理シンプルまとめ」を参照してください(HTTPSについても説明しています)。

電子メールのセキュリティ

 電子メールのセキュリティについては,電子メール送信時の対策,電子メールの暗号化,電子メールの通信経路の暗号化,メールサーバーの不正中継対策などを行います。詳細は,「電子メール-電子メールのセキュリティ -情報処理シンプルまとめ」を参照してください。

電子メール -情報処理シンプルまとめ
基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,電子メールについてシンプルにまとめています。はじめに,電子メールの概要と,仕組み,MIMEの説明をし,その後,メールアドレス,メールソフト,電子メールの送受信,電子メールのフォーマット(メールヘッダー(From,To,Cc,Bcc,Subject,Date,Received,Return-Path,Message-IDなど),MIMEヘッダー(MIME-Version,Content-Typeなど)),メールサーバー(SMTPサーバー,POPサーバー,IMAPサーバー),MUA,MSA,MTA,MDA,MRAの説明をしています。また,SMTP(電子メールの送信・転送,SMTPのコマンド(HELO,EHLO,MAIL FROM,RCPT TO,DATA,QUIT,RSETなど),SMTPリプライコード(220 サービス準備完了,250 コマンドが正常に終了など)),POP(POPの特徴,電子メールの取り出し,POPのコマンド(USER,PASS,STAT,LIST,RETR,DELE,QUITなど),POPのリプライ(+OK,-ERR)),IMAP(IMAPの特徴,電子メールの取り出しなどの操作(電子メールの取り出し,フォルダーの作成・変更・削除,電子メールの検索・削除など)),Webメール,電子メールのセキュリティ(電子メール送信時の対策,電子メールの暗号化(S/MIME),電子メールの通信経路の暗号化(SMTPS,POPS,IMAPS),メールサーバーの不正中継対策(配送規則,利用者認証(POP before SMTP,SMTP-AUTH),ドメイン認証(SPF,DKIM),OP25B))についても説明しています。たくさんありますので,一つ一つ丁寧に取り組むようにしましょう。

無線LANのセキュリティ

MACアドレスフィルタリング

 無線LANアクセスポイントに,接続を許可する端末のMACアドレスを登録しておき,登録されている端末からの接続要求についてのみ許可する方式です(登録されていない端末からの接続要求については拒否します)。

無線LANのセキュリティ規格

WEP(Wired Equivalent Privacy)

 WEPは,WiFiなどの無線LAN通信におけるセキュリティ規格です。暗号化にはRC4を使用します。

※ WEPは,IEEE802.11に標準で実装されている

※ WEPには脆弱性があり,十分な安全性を確保できないため,現在は,ほとんど使用されていない

※ WEPの詳細は,「」を参照

WPA(Wi-Fi Protected Access)

 WPAは,WiFiなどの無線LAN通信におけるセキュリティ規格です。暗号化には,WEPを改良したTKIPを採用しています。利用者認証の機能もあります。

※ WEPに脆弱性が見つかり,IEEE802.11i(WPA2)の策定をはじめたが,かなりの時間が必要だったため,先取りする形で策定された。そのため,既存の無線LAN機器のまま,ソフトウェアアップグレードで対応可能

※ WPAでは,十分な安全性を確保できないため,現在では,非推奨となっている

※ WPAの詳細は,「」を参照

WPA2(Wi-Fi Protected Access 2)

 WPA2は,WiFiなどの無線LAN通信におけるセキュリティ規格です。暗号化には,CCMPを採用しています。利用者認証の機能もあります。

※ WPAの後継プロトコルで,IEEE802.11iに準拠している

※ WPA2の詳細は,「」を参照

WPA3(Wi-Fi Protected Access 3)

 WPA3は,WiFiなどの無線LAN通信におけるセキュリティ規格です。暗号化には,CCMPとGCMPを採用しています。利用者認証の機能もあります。

※ WPA2の後継プロトコルで,IEEE802.11iに準拠している

※ WPA3の詳細は,「」を参照

無線LANのセキュリティ規格の比較
WEPWPAWPA2WPA3
時期1997年2002年2004年2018年
暗号方式WEPTKIPCCMPパ,エ:CCMP
エ:GCMP
暗号アルゴリズムRC4RC4AES-CCMPパ,エ:AES-CCMP
エ:AES-GCMP
鍵の配布同じSSID内の無線アクセスポイントと,すべての端末で,同一のWEPキーを共有パ:同じSSID内の端末で事前共有鍵(PSK)を共有する
エ:IEEE802.11x認証サーバーから端末ごとに異なるキーを配布する
鍵長40ビット,104ビット104ビット128ビットパ,エ:128ビット
エ:192ビット
完全性検証方式CRC-32MichaelCBC-MACGMAC
認証方式オープン認証,PSKパ:PSK
エ:EAP(IEEE802.1x)
パ:SAE
エ:EAP-TLS(IEEE802.1x)
安全性××

※ パ:パーソナルモード,エ:エンタープライズモード

※ TKIP(Temporal Key Integrity Protocol)…WPAで採用されたプロトコル。データの暗号化にはRC4を,完全性の検証にはMichaelにより生成したMICを使用する

※ CCMP(Counter mode with CBC-MAC Protocol)…WPA2で採用されたプロトコル。データの暗号化にはAESを,完全性の検証にはCCNにより生成したMIC使用する

※ GCMP(Galois/Counter Mode Protocol)…WPA3のWPA3-Enterprise 192-bit modeで採用されたプロトコル。データの暗号化にはAESを,完全性の検証にはGCMにより生成したGMACを使用する

※ RC4,AESについては,「暗号化-暗号方式の種類 -情報処理シンプルまとめ」を参照

※ PSK(Pre-Shared Key)…事前共有鍵を使用する認証方式

※ SAE(Simultaneous Authentication of Equals)…利用者が入力したパスワードと,乱数を使用して,楕円曲線暗号により認証する方式

※ EAP(Extensible Authentication Protocol)…クライアントと認証サーバーの間で行う認証手順を定めたもの。IEEE802.1xなどで採用されている

※ 無線LANのセキュリティ規格の詳細は,「」を参照

セキュリティプロトコル

アプリケーション層のセキュリティプロトコル

SSH遠隔地のコンピューターを,ネットワーク経由で遠隔操作するためのプロトコル。暗号や認証技術を利用でき,安全性が確保されている

トランスポート層のセキュリティプロトコル

SSL/TLSインターネット上でデータを暗号化して送信するプロトコル。通信内容の暗号化や,サーバー認証,クライアント認証といった機能を提供する(トランスポート層とアプリケーション層の間で動作する)

ネットワーク層のセキュリティプロトコル

IPsecIPネットワークでセキュリティ機能を提供するプロトコル。鍵交換を行うIKE,認証を行うAH,暗号化や認証を行うESPなど,複数のプロトコルで構成されている

データリンク層のセキュリティプロトコル

PAPネットワークへの接続時に,認証サーバーへユーザーIDとパスワードを平文で送信して利用者認証を行うプロトコル
CHAPチャレンジ/レスポンス方式を利用した認証プロトコル
RADIUSネットワーク上で利用者認証を行うプロトコル。認証サーバーを(1台,または,複数台の)RADIUSクライアント(アクセスサーバー)とRADIUSサーバーに分ける構成になっている。RADIUSクライアントで,さまざまなネットワークからの認証要求を受け付け,RADIUSサーバーで,利用者認証情報を一元管理する
IEEE802.1xコンピューターなどの端末がIEEE802.1xに対応したスイッチや無線アクセスポイントなどに接続する際に,利用者認証を行う規格
EAPデータリンク層において,さまざまな認証プロトコルを利用できるようにするための技術

まとめ

 今回は,ネットワークのセキュリティについて,シンプルにまとめてみました。どれも大切な内容で,確実に知っておかなければなりません。頑張りましょう。