自分戦略研究所TOP | 自分戦略 | キャリア実現研究室 | スキル創造研究室 | コミュニティ活動支援室 | エンジニアライフ | ITトレメ | 転職サーチ | 派遣Plus |
@ITで学ぶセキュリティ技術の基本

セキュリティの基本を学ぶ
@ITで学ぶセキュリティ技術 基本編

鈴木淳也
2004/10/20

 企業のネットワーク・システムへの依存度が高くなるほどに、セキュリティの重要性と、その関心が高まっています。特に昨今においてはシステム攻撃の手段も多様化しており、1つの技術だけですべての事象をカバーするのは不可能に近くなっているのです。このような状況下で、もしあなたが企業のセキュリティ担当に突然任命されたとして、いったいどうすればいいのでしょうか。

セキュリティを学ぶに当たっての基礎知識

 セキュリティの基本は「事前対策」の一言に尽きます。事が起こってしまってはすでに手遅れですから、そうならないように努めるのが管理者の役目です。システムに可能な限りの安全対策を施し、日々の運用を行います。その際に、セキュリティ関連の最新情報をつねに入手しておく必要があります。最近のウイルスやワームなどは、発見から数日内に世界中に拡散する傾向がありますので、油断していると、あっという間に被害が拡大してしまう可能性があります。被害を受けてからの対策は最終手段ですから、そこまで到達しないように運用を続けること、それがセキュリティ対策最大のポイントです。

 では、具体的にシステムの構成要素を見ていきましょう。それぞれのメカニズムを理解することで、自分がすべきことが自ずと見えてくるでしょう。

図1 セキュリティ・システムを構成する要素

 大枠としては、企業ネットワークの防衛線となる「ファイアウォール」、ファイアウォールではカバーしきれない現象を監視する「IDS」(侵入検知システム)、個々のクライアントやサーバを保護する「アンチ・ウイルス」「パーソナル・ファイアウォール」などが、企業システムにおけるセキュリティの主な要素です。これに、セキュリティを維持しつつ、外部から社内ネットワーク内部の快適なアクセス環境を提供する「VPN(仮想プライベート・ネットワーク)」を加えたものが、基本構成だといえるでしょう。規模はさまざまですが、どのシステムにおいても、最低限これらの要素が含まれていることになります。

@ITでの参考ページ
連載:にわか管理者奮闘記 (Security&Trust)
連載:セキュリティのつぼ (Security&Trust)
連載:情報セキュリティ運用の基礎知識 (Security&Trust)
連載:管理者のためのセキュリティ推進室 (Security&Trust)
連載:インシデントレスポンスはじめの一歩 (Security&Trust)

システムの基本要素を学ぼう

 インターネット草創期のネットワーク・セキュリティは、「水際で被害を食いとめる」というのが基本スタンスでした。つまり、社内ネットワークと外部であるインターネットの境界に防衛ラインを設置し、外部からの攻撃を遮断しようとしたのです。それがファイアウォール(防火壁)です。

 しかし、インターネット・ベースのアプリケーションが増加するにつれ、ファイアウォールを透過して攻撃ができるような手段が登場してきました。その典型例が「ワーム」や「ウイルス」です。ワームやウイルスは、Webブラウザや電子メールのような通常の通信手段に紛れ込み、その感染範囲を拡大していきます。そこで利用が広まったのが、クライアントPCなどをこれらの脅威から守る「アンチ・ウイルス」と呼ばれる対策ソフトウェアです。

 しかし、攻撃手段は日々進化しています。仮にファイアウォールやアンチ・ウイルスなどの手段で攻撃を防止したとしても、何かの拍子で攻撃を許してしまったり、あるいは内部にすでに攻撃用のプログラムが送り込まれていて、内側から徐々に攻撃を受けている可能性もあります。これらを防止するためには、定常的なネットワークやシステムの監視が必要となります。それを実現するのがIDSです。IDSでは、ファイアウォールではカバーしきれなかった攻撃手段を感知し、それを管理者に通知します。また、セキュリティ被害の大部分は内部犯行という話もあるように、内部から機密情報の入ったサーバに不正アクセスを試みる者もいます。IDSでは、これら挙動を一気に監視することが可能です。

 では、個々にまとめて解説していきましょう。

●ファイアウォール
 一般に、「パケット・フィルタリング型」と「プロキシ型」の大きく2種類のファイアウォールが存在します。パケット・フィルタリング型のファイアウォールでは、パケットの種類や送受信先を監視し、あらかじめ設定された「ポリシー」に沿って必要なパケットだけを透過させます。これにより、Webブラウザや電子メール以外の特殊なアプリケーションの通信の遮断が可能となり、外部からの脅威の可能性を軽減します。この方式の難点は、パケットの種類だけしか監視しないために、それが悪意を持った通信かどうかが判断できない点です。そのため、ポリシーに沿ったパケットであれば、例えそれがウイルスなどであったとしても通してしまうのです。これを防止するのがプロキシ型のファイアウォールで、すべての通信(パケット)の内容を走査し、その挙動までをも把握することで、パケットを透過させるかどうかを判断します。ところが、この方式では多大なパフォーマンスを要求するために、ただでさえすべての通信が集中するファイアウォールの負荷を上げ、システム全体におけるボトルネックになる可能性があります。実際には、両者の長所と短所を組み合わせたシステム作りが行われています。

 ファイアウォールで押さえておくべきもう1つのポイントが、「DMZ(DeMilitarized Zone:非武装地帯)」の存在です。DMZは、ファイアウォールによって作られる特殊なネットワーク領域で、インターネットと社内ネットワークの中間に存在し、内外からのアクセスの緩衝地帯として動作します。内外からのアクセスは、いったんこのDMZを経由してから行われます。外部からはDMZ上のマシンしか見ることができないため、直接的な攻撃を防ぐことが可能になります。DMZには、Webサーバ、メール・サーバ、SSL-VPN装置などの外部から参照する必要のあるサーバのほか、プロキシ・サーバのように内部から外部へのアクセスを代行するサーバなどが配置されます。

 このように、ファイアウォールの基本機能を押さえたうえで、どのようなポリシーを構築していくかが、セキュリティ上の大きなポイントになります。

@ITでの参考ページ
5分で絶対に分かるファイアウォール (Security&Trust)
連載:ファイアウォール運用の基礎 (Security&Trust)
ファイアウォールの機能の現状と将来 (Security&Trust)
ファイアウォールのリモート・マネジメントの機能と運用 (Security&Trust)
ISA Server 2000によるWeb Proxy&ファイアウォール実践構築テクニック (Windows Server Insider)

●IDS(侵入検知システム)
  前述のように、ファイアウォールはポリシーに合致した通信であれば、それがいかに悪意のある通信であろうと通過させてしまいます。そこで、このようなファイアウォール上を通過してしまうような通信のほか、いったん内部などに侵入して不正アクセスを試みるような通信を検出し、管理者に通知するのがIDSの役割となります。

 IDSは、単一の機能として提供されるわけではありません。設置形態だけをとっても、ファイアウォールやDMZなどに配置されて境界を監視するものもあれば、社内ネットワーク内部に配置されてネットワーク全体や個別のサーバを監視するものまで、複数の種類があります。また機能的にみても、ログの定常的な監視をメインにしたものや、ネットワーク上を流れるすべてのパケットの中身を走査するものまでさまざまです。ファイアウォールなどでカバーしきれない領域をフォローするのがIDSですから、これだけの種類の機器が提供されるのは、ある意味で当然かもしれません。オールインワン型のセキュリティ・アプライアンス機器などでは、ファイアウォールとセットで提供されることも多いです。

@ITでの参考ページ
5分で絶対に分かるIDS (Security&Trust)
不正侵入対策最前線 (Security&Trust)
続 不正侵入対策最前線 (Security&Trust)
連載:Snortでつくる不正侵入検知システム (Security&Trust)

●アンチ・ウイルス/パーソナル・ファイアウォール
  IDSと並んで、ファイアウォールに次ぐ企業ネットワークの第2の防衛線がアンチ・ウイルス・ソフトウェアとパーソナル・ファイアウォールの存在です。社内ネットワーク内のすべてのクライアントPCを保護することで、ファイアウォールを透過してきた攻撃をシャットダウンすることが可能になります。

 最近では、1つのウイルス/ワームが電子メール経由などでの感染以外に、OS自体が持つぜい弱性をネットワークで直接攻撃するなど、複数の感染経路を持つものも存在します。パーソナル・ファイアウォールでは、これらの脅威からOS(つまりクライアントPC)を守り、仮にどれかのマシンがウイルスなどに感染してしまったとしても、感染が拡大しないように内部で押さえ込むなど、被害を最小限に食い止めようとします。

 もともと、アンチ・ウイルス・ソフトウェアが単一のソリューションとして提供されていましたが、必要に応じてパーソナル・ファイアウォールの機能を取り込むようになりました。さらに、スパム防止、ポップアップ/広告ブロック、アダルト・サイトなどへの接続を防止するURLフィルタ、アドウェア防止などの、企業ネットワークの潜在的脅威や生産性をダウンさせるような要素を取り除く機能も取り込まれ始めています。

 Windows XPに提供された最新のService Pack2では、かなり本格的なパーソナル・ファイアウォール機能が標準で提供されることになりました。アンチ・ウイルス/スパム、URLフィルタなどの機能はクライアント向け以外にも、サーバ上で一括的に提供したり、ISPなどの接続業者がASP(アプリケーション・サービス・プロバイダ)形式でサービスとして提供していたりします。

 この分野は、いまいちばんホットともいえます。ウイルス/ワームは日々新しい品種が登場し、OSやアプリケーションのぜい弱性もよく報告されています。またマイクロソフトの参入で、業界地図の大きな変化も予想されます。定期的な情報収集を行うことを忘れないでください。

@ITでの参考ページ
連載:管理者のためのウイルス対策の基礎) (Security&Trust)
常時接続時代のパーソナル・セキュリティ対策 (Windows Server Insider)

●VPN(仮想プライベート・ネットワーク)
  上記までに挙げたセキュリティ対策は、システムの保護が目的であったのに対し、VPNでは保護されたシステムに穴を開け、ユーザーの利便性をアップすることを目的としています。通常、インターネットなどの外部から社内ネットワークへの接続しようとしても、ファイアウォールによってできません。例えば、ユーザーが自宅や出張先などから社内のイントラネットやデータベースなどにアクセスしたいと思っても、そのままでは不可能です。そこで、外部から社内ネットワークへとアクセスするための特別な手段を用意し、許可されたユーザーにのみアクセス機能を提供します。これがVPNです。VPNにより、ユーザーはあたかも社内ネットワーク内にいるかのように、社内のリソースへとアクセスすることが可能となります。

 VPNでは、「トンネリング・プロトコル」と呼ばれる暗号化プロトコルを用いることで、インターネット上に張られたリモート拠点と社内ネットワーク間の通信(セッション)を保護します。このトンネリング・プロトコルには、PPTP、L2TP、IPSecなどの種類がありますが、最も利用されているのがIPSecです。VPNは外部からのアクセスが必要なため、ファイアウォールの入り口かDMZに配置されることになります。その性質から、ファイアウォールなどとペアで提供されたり、あるいはファイアウォールと同一の装置内に配置されることが多くなります。

 また最近では、SSL-VPNというVPN技術も登場してきています。SSL-VPN装置をDMZに置くだけで、手軽にVPNが構築できるのが特徴です。VPNでは接続が確立できないなどのトラブルがよく起きますが、SSL-VPNではWebブラウザなどに搭載されている暗号化通信技術のSSLを採用することで、接続に関するトラブルを減らしています。手軽に利用できるのがSSL-VPNのメリットですが、反面で通信プロトコルがWebアクセスに使われるHTTP等に限定されるなど、IPSecベースのVPNなどに比べると、利用できるアプリケーションに制限があります。

@ITでの参考ページ
5分で絶対に分かるVPN (Security&Trust)
IT管理者のためのIPSec講座 (Security&Trust)
インターネットVPNの導入メリット (Security&Trust)
インターネットVPNの接続環境とその機能 (Security&Trust)
SSL-VPNの導入メリット (Security&Trust)
VPNの実力を知る (Security&Trust)

 
1/2
 @ITで学ぶセキュリティ技術(2)

今回のインデックス
 @ITで学ぶセキュリティ技術 基本編 (1ページ)
 @ITで学ぶセキュリティ技術 基本編 (2ページ)
自分戦略研究所、フォーラム化のお知らせ

@IT自分戦略研究所は2014年2月、@ITのフォーラムになりました。

現在ご覧いただいている記事は、既掲載記事をアーカイブ化したものです。新着記事は、 新しくなったトップページよりご覧ください。

これからも、@IT自分戦略研究所をよろしくお願いいたします。