以下の文はOCRで読込んだもの。誤字脱字があります。
再点検 あなたの会社のネットワーク・セキュリティ
身近になった常時接続環境で増す不正アクセスの危険
CATVインターネットや、xDSL(デジタル加入者線)サービス、
NTTのISDN回線によるIP接続サービス「フレッツ・ISDN」などのサービスが
低料金で提供されるようになり、
いよいよ小規模事業所やSOHOでもインターネットの常時接続が身近なものとなってきた。
ダイヤルアップから常時接続へと接続環境が変わることで、
Webサーバやメールサーバ、FTPサーバの開設など、
インターネット本来の使い方ができるようになり、
インターネットの本格的なビジネス活用が可能となるわけだ。
しかし、同時にセキュリティ対策も強く求められるようになる。
インターネットはオーブンなネットワークなので、情報の共有化が容易に行え、
ビジネス展開の帽を拡大するというメリットがある一方、
オープンであるがゆえにセキュリティ対策を施さなければ
社内のシステムを外部へ無防備のままさらけだすことになるのである。
この危険性は実はダイヤルアップでも常時接続でも当てはまることだ。
実際、ダイヤルアップ環境でもインターネットヘの接続時に、
Windowsのファイル共有に関するセキュリティを警告するメッセージが表示されて、
漠然とした不安を感じた経験を持つ人も少なくないだろう。
これはWindowsのファイル共有がインターネットのプロトコルと同じTCP/IPで行われるため、
ファイル共有の設定をしたたままインターネットに接続すると、
目分のパソコンのファイルが外部から見えてしまう危倹性を示している。
ただ、ダイヤルアップの場合は接続時間が短く、
IPアドレスも接続するたぴに割り当てられるので、
実際上は不正アクセスを受ける危険性は低いといえる。
ところが、ダイヤルアップでもNTTのフレッツ・ISDNのように接続時間を気にすることなく
定額料金で長時間インターネットを利用できるようになると、
実質的には専用線による常時接続と同じ状態となり、
不正アクセスの危険性もそれだけ増すのである。
セキュリティ対策は従来、専用線でインターネットと接続し、
自社サーバを運営したり、イントラネットやエクストラネットを構築したりするように、
企業が考えるものとの認識が一般にはあった。
しかし、フレッツ・ISDNや、xDSLサービス、CATVインターネットなど少ないコストで
利用できる常時接続環境が登場してきたことで、
小規模事業所やSOHOでも、
これらのサービスを利用する場合には
セキュリティを考慮したインターネット活用が求められているわけだ。
不正アクセス対策としてのIPアドレス変換機能では、
不正アクセスにはどのようなセキュリティ対策を施せばいいのか。
先に述べたように常時接続環境になれば、
たとえパソコンl台のシステムであっても、
何のセキュリテイ対策も施さずにインターネットに接続すれば
自社のパソコンが外部から丸見えの状態になってしまう。
そうなれば、知らないうちにパソコン内のファイルが読み出されたり、
書き替えられたり、消去されたりする危険性があるのだ。
パソコン1台だけならファイル共有の設定を解除すれば済むが、
SOHOなどパソコンが複数台ある環境やLAN環境では、
ファイル共有の設定を解除するのは業務効率を低下させることにもなってしまう。
こうした環境でインターネット接続をするなら、
IPルータを利用するのが便利だ。
NTT束日本およびNTT西日本が販売するダイヤルアップルータ「IPMATE1400RD」
このlPルータとは、インターネット上で使用するグローバルIPアドレスと
社内で使用するプライベートIPアドレスを相互に変換する機能を持つ中継装置のことで、
IPアドレスの変換が行われることにより、
インターネット上から社内のパソコンに直接アクセスすることはできなくなる。
したがって、LAN上で安心してファイル共有が行えるようになる。
ISDN回線によるフレッツ・ISDNで常時接続環境を構築する場合には、
lPルータの機能を持つダイヤルアップルータを使用することになる。
ダイヤルアップルータはLANのハプ機能も備えているので、
パソコンが数台という小規模事業所なら、
これ1台を備えることで小規模なLANも構築できてしまう。
さらに、製品によってはRAS(リモート・アクセス・サーバ)機能を備えているものもある。
RAS機能を使えば自宅や外出先から公衆回線を通じて社内LANに接続すること
もできるので、モバイル利用もできるようになる。
インターネットのセキユリティ対策と合わせて一石三鳥となり、
導入するメリットは高いわけだ。
このように、LANのような内部のネットワークとインターネットのような
外部のネットワークとの間に壁を設けて、
外部からの不正なアクセスを防ぐシステムのことを「ファイアウォール」(防火壁)と呼び、
IPルータやダイヤルアップルータも簡易なファイアウォールの一種として位骨づけられる。
ファイアウォールは2段構えで構築するのが効果的
ところで、不王アクセスということでは、
今年1月に中央省庁のホームページにハッカーが侵入し、
ファイルを消去したり、青き替えたりする事件(別項参照)が相次いで問題となった。
そして、これら不正アクセスを受けたホームページのWebサーバは
ファイアウォールの外にあったため侵人されたとの指摘もあった。
不正アクセス事件
今年1月末から2月はじめにかけて、
科学技術庁や総務庁など中央省庁のホームページにハッカーが侵入し、
ファイルが消去されたり、書き替えられる事件が相次いだ。
中央省庁でば、各省庁のLANと露が関WANがあり、
それそれインターネットへの出入口には強固なフアイアウオールが設置されているが、
被害にあったWebサーバはこれらファイアウオールの外にあった。
同時期に不正アクセスの攻撃を受けた人事院のWebサーバも
WANのファイアウォールの外側にあったが、
さらにWebサーバの外側にもファイアウォールを設けていたため、
侵入を阻止できたという。
ところが、やはり同時期に攻撃された人事院近畿事務局のWebサーバは
ファイアウオールを設けていたものの、セキュリテイホールを突かれて侵入され、
ファイルが消去されてしまった。
このほか、新聞社のホームページなどにも侵入が試みられたことが明らかとなり、
一連の事件は、あらためてセキユリティ対策の重要性を認識させる契機となった。
しかし、実はWebサーバは不正アクセスの対象とされやすいという側面がある。
Webサーバは、もともとインターネット上で情報公聞するために設置するので、
外部からアクセスできる環境にあることが条件となる。
このため、ファイアウォールの外に設置される場合が多いのだ。
公開する情報しか入っていないので惰報が盗まれる被害
はないという安心感から、ファイアウォールの外
側に設置してしまうわけだが、逆にハッカーには
格好の標的にされやすいということだ。
確かに情報が盗まれるという心配はないものの
データが書き替えられた場合の被害は、社会的信用の失墜など、
甚大なものとなることさえある。し
たがって、公開するWebサーバといえどもファ
イアウォールの内側に置くことが望ましい。
これはメールサーバやFTPサーバなどでも同様である。
ただし、この場合のファイアウォールは内部の
LANと外部のインターネットを区切るファイア
ウォールとは別物だ。つまり、Webサーバやメー
ルサーバはインターネット側から見えなければ
意味がないので、Webページ要求など正規のア
クセスのみを通過させ、それ以外は遮断するとい
う機能を持つことになる。
このようにWebサーバやメールサーバを開設
する場合は、2段構えのファイアウォールでセキ
ュリティ対策を施すことが必要だ。ただし、それ
でもセキュリティホールを突いた不正アクセスの
可能性は否定できないので、ファイアウォールの
365日24時間の運用監視やメンテナンスが重要
になってくる。さらに不正アクセスに関する情報
を提供しているJPCERT/CC(コンピュータ緊急
対応センター)のホームページで最新情報をチェックし、
ファイアウォール製品のバージョンアップも心がけねばならない。
しかし、小規模事業所やSOHOなど専門の技術者が少ない事業所では、
ファイアウォールの運用監視やメンテナンスまで手が回らないというところもあるだろう。
ファイヤウォールでLANとインターネットの間に壁をつくる
NTTグループのセキユリティ商品
NTT東日本およびNTT西日本か提供するセキュ
リティ商品「SeClO」は、ネツトワークシステムの
セキュリティ対策におけるコンサルティング、イン
テグレーション、オペレーションをトータルでサポ
ートするもの。最新の技術動向や市場動向、ユーザ
ー二一ズを取り入れてセキュリティシステムを構築するほか、
セキュリティホールチエックや、
ポートスキャン、セキュリティポリシー/運用規定
策定などのサービスと、セキュリティシステムの運
用保守・監視、定期的なチェツクサービスを提供し
ている。
また、NTTコミュニケーションズが提供するセキ
ュリティ商品としては、インターネット上に仮想的
な専用綱を構築する「OCNビジネスパックVPN」
などのVPNパッケージや、盗聴、改ざんなどを防止
する暗号アプリケーションがあり、セキュリティホ
ールの検査をはしめとした総合的なセキュリティコ
ンサルティングサーピスも提供している。
そうしたところでは運用監視やメンテナンスがセットになったサービス(別項参照)が便利だろう。
また、Webサーバやメールサーバも自社内で立ち上げるよりも、
ファイアウォールの運用やメンテナンスがしっかりと行われている
ASP(アプリケーション・サービス・プロバイダ)を利用したほうが安全なサーパ運用が行えそうだ。
盗聴やデータ改ざんなどを防止する暗号化通信技術
一方、インターネットショップや全業間取引など
インターネットでビジネスを展開する際に問題となるのが、
盗聴や改ざん、なりすまし、否認などである。
盗聴とは電子メールを盗み読むことで、
改ざんはデータを書き替えること。なりすましは
他人になりすましてデータを送信することで、否
認は逆に本人がデータを送信したのにそれを否認することだ。
まず、盗聴についてみると、その方法はメール
サーバに不正アクセスするものや、利用者のパス
ワードを入手して盗み読むもの、さらにはネット
ワーク上を行き交うパケットそのものを傍受する
方法などさまざまだ。電子メールの利用が普及し
たことで、郵便物のように使われ、企業の機密情
報までが電子メールでやりとりされることもある
が、電子メールは郵便物にたとえればハガキと同
じであり、容易に内客を読むことができるハガキ
に機密情報を記すことが問題なように、電子メー
ルで機密情報をやりとりするのはセキュリティ上
おおいに間題なのである。
とはいえ電子メールの便利さは否定できないの
で、機密情報などを電子メールで送信するときは
暗号化通信を行うことになる。特定の2者間の通
信で利用される暗号技術としては秘密鍵方式が広
く普及しており、米国の「DES」やNTTの「FEAL」などが有名だ。
図 公開鍵方式の暗号化通信技術の仕組み
これらは2者が共通鍵を秘密裏に保持し、その鍵で暗号北と復号化
行う方式である。鍵を保持する2者以外は復号
化できないので安全な通信が行えるが、通信す
る相手ごとに別々の鍵を便用しなければならず、
相手が多くなればなるほど鍵の管埋がたいへんに
なる。また、相手に鍵を配送する途中で鍵が盗まれ
たら困るので、インターネットでは鍵を配送でき
ないという間題がある。
この問題を解決するのが公開鍵方式である。
れは会開鍵と秘密鍵のふたつの鍵を使うもので
米国で開発された「RSA」が有名だ。通信文を
送信する側は公開鍵で暗構号化し、受け取る側は秘密
鍵で複合化する仕組みで、公開鍵で暗号化した
通信文は秘密鍵以外では復号化ができないので
受信者以外が通信支の内容を読むことはできず、
安全な通信が行える。
相手に配送する鍵は公開鍵なので、盗まれたと
しても何の間題もなく、インターネットでも配送
が可能となるcまた、通信相手が多くなっても、
鍵の管理が面倒にならないというメリットもあ
る。通信文を受け取る場合は同一の公開鍵を配送
してひとつの秘密鍵で復号化する。逆に相手に送
信する場合はそれぞれの相手ごとの公開鍵を使用す
ることになるが、インターネットで受け取る
ことができるので、その都度、鍵の配送を要求す
ればよく、秘密鍵力式のように相手の鍵を管埋す
る必要はない。したがって、自分が管理する鍵は
自分の公聞鍵と秘密鍵の1組だけで済むのである。
重要なビジネス文書を電子メールでやりとりす
る場合は、こうした暗号化技術を利用することが
セキュリティ対策として求められる。
インターネットのビジネス活用をサポートする電子認証とVPN
暗号化技術の使用がセキュリテイ対策となるの
は電子メールの盗聴だけではない。改ざんや、な
りすまし、否認に対しても公開鍵方式の暗号化技
術は効力を発揮する。すなわち、会開鍵方式を利
用した電子認証制度の利用である。
公開鍵方式では、通信文のやりとりをする際、
公開健で暗号化したものは秘密鍵でしか復合化で
きないという特徴を利用していたが、その逆の特
徴を利用すれば電子署名として便用できるのだ。
つまり、公開鍵で復号化できるのは秘密鍵で暗号
化したものだけという特徴を利用する。秘密鍵は、
その公開鍵を配布する本人しか持っていないの
で、公開鍵で復号化できた文書は本人が作成した
ものと証明できるわけだ。これが電子署名の仕組
みである。
しかし、もともと他人になりすました人物が秘
密鍵およぴ公開鍵の所有者だとしたら、電子証明
だけでは本人を認証することはできない。そこで
身元確認する力法として利用されるのが電子認証
制度である。これは、認証機関があらかじめリア
ルな方法で本人確認を行って会開鍵情報を認証局
のサーバに登録。公開鍵を利用する人は認証局か
ら公開鍵を入手して使用すれば、秘密鍵で暗号化
された文書が認証局により認証された本人の作成
したものと確認できるわけだ。
この電子認証制度を利用すれば、なりすまし対
策はもちろん、否認やデータ改ざんに対してもセ
キュリティを確保できる。このため、電子商取引
を行う際は、対消費者であっても、企業間であっ
ても電子認証帝U度の利用により安全な取引が行え
ることになる。
また、暗号化技術はWeb上で個人情報やクレ
ジットカード番号などを送信する際に便用する
SSL(SecureSocketLayer)や、エクストラネ
ットなどで利用するVPN(Virtual Private
Network)でも使われている。特にVPNは,イ
ンターネットが専用線と同じような機密性で利用
できるため、エクストラネットとして取引先企業
とのデータ通信に利用されるほか、モバイルオフ
ィスやサテライトオフィスを構築する際にも広く
利用されるようになっている。
セキュリティポリシィの策定と運用が重要
以上のように、セキュリティ対策は大まかに見
れば、不正アクセスなどを防止するファイアウォ
ールの設置と、情報漏洩などを防正する日喜号化技
術の採用に集約できる。これらのシステムを導入
すれば、基本的にはインターネットを安全にピジ
ネス活用できることになる。
しかし、いかに強固なシステムを導入してもセ
キュリティポリシーがなければ給に描いた餅とも
なりかねない。というのは、実は情報i漏洩は外部
からの侵人や盗聴などよりも、内部の不柱意を原
因とするものが多いという指摘があるからだ。
先に上けた、機密情報を暗号化しないで電子メール
で送ってしまうというのも不注意の一例である。
こうしたことが起こるのはセキュリティポリシーが確立されていないためだ。
セキュリティポリシーとは、セキュリティを確保するために遵守す
べき事項や手順などを定めることで、これを確立し、
啓蒙や教育なども含めた運用を徹底することがセキュリティ対策には不可欠である。
P.9 [先頭へ] [常に一つ前へ戻る]
〒メール〒araichi@livedoor.com
←私用につき見れません sory japanese only なんちゃって