セキュリティの基本を学ぶ
＠ITで学ぶセキュリティ技術 基本編

鈴木淳也
2004/10/20

■運用に関する注意

　実際にシステムを運用するに当たっては、上記の技術を把握したうえで、定期的な情報収集やパッチ当てなどの作業が必要になります。収集すべき情報は、次のようなものです。

• 最新のウイルス、ワームなどの被害情報
• OS、アプリケーションなどのぜい弱性に関する情報と、その対策パッチ
• ネットワーク機器などのぜい弱性に関する情報と、その対策ファームウェア
• セキュリティ対策ソフトウェアのアップデート情報

　とにかく、最新の情報にひととおりざっと目を通しておくことが必要になります。ニュースサイトや新聞などのほか、各ソフトウェア・メーカーなどでは専門のWebページを設けて情報を提供していたりしますので、定期的に巡回するくせをつけておくといいでしょう。また意外と忘れられがちなのが、ネットワーク機器にかかわるぜい弱性の情報です。報告されるケースは非常に少ないですが、ネットワークの根幹にかかわる問題であることが多いため、サービスを停止するタイミングなどを見計らいつつ、どこかで対策を行わなければなりません。

●敵の傾向を知ろう
　 セキュリティ対策を行ううえで、攻撃者の手段を知っておくことは大きな武器になります。特に最近の傾向として、複数の侵入経路を持つウイルスやワームも多く、いちど社内ネットワークのどれかのマシンに感染した場合、そこからさらに感染範囲を拡大しようとします。

図2　複数の感染経路を持つウイルス／ワーム

　侵入時の経路としては、ユーザーによるWebサイトの閲覧と電子メールの添付ファイルのまず2つが考えられます。社内ネットワークの入り口にファイアウォールが存在するため、ほかの手段での侵入が難しいからです。このような攻撃手段に対抗するためには、各クライアントにアンチ・ウイルス／パーソナル・ファイアウォールなどの対策を施す必要があります。定期的にソフトウェアのアップデートを行い、各ユーザーごとにきちんとソフトウェアが運用されているのなら、この2つの経路を通しての侵入はほとんど防げるでしょう。

　問題なのは、ユーザーが外部からノートPCを持ち込んだり、VPN経由で社内ネットワークに接続してくるケースです。この場合、社内ネットワークの入り口に設置されたファイアウォールは意味を持ちません。1度ウイルス／ワームに感染したクライアントは、電子メールなどで社内外にウイルス・メールをばら撒き始めるほか、社内ネットワークの他のクライアントやサーバに対して、それぞれのぜい弱性を突いた攻撃を開始します。

　この2次感染を防ぐ有効な手段は、前述のように各クライアントにアンチ・ウイルス／パーソナル・ファイアウォールのようなソフトウェアを導入し、サーバにおいては不必要なポートをすべて閉じるほか、提供されるパッチをまめに当てておく必要があります。また、IEEE 802.1xなどの認証規格に対応し、細かくVLAN（バーチャルLAN）を切れるスイッチを使っていれば、さらに安全なネットワークを構築できます。こうしたネットワークの仕組みを、「検疫ネットワーク」と呼んでいます。

＠ITでの参考ページ Code Redワームの正体とその対策 （Windows Server Insider） ネットを震撼させたコンピュータ・ワーム、Nimdaを検証する （Windows Server Insider） IIS安全対策ガイド （Windows Server Insider） IIS安全対策ガイド・インターネット編 （Windows Server Insider）

●セキュリティ・ポリシーを作る
　 前述のノートPCの持ち込みのように、企業のネットワーク・セキュリティ対策における最大の脅威は、不意に作られるバックドア（裏口）の存在です。このような事態を防止するためにも、セキュリティ管理者はネットワーク運用のルールを策定し、ユーザーに徹底させる必要があります。このようなルールを「セキュリティ・ポリシー」と呼んでいます。

　例えばセキュリティ・ポリシーでは、次のようなルールを細かく定め、体系化します。

• ノートPCの社内ネットワークへの接続は厳禁
• 社内に持ち込まれるFDやCD-ROMの利用は、必ずウイルス・チェックを行ってから
• Windows Updateなどは勝手に行わない
• 毎週金曜日までに定期ウイルス・チェックを済ませる

　セキュリティ・ポリシーには、認定制度も用意されています。比較的著名なBS7799／ISMSをはじめ、各種存在しています。これら認定の取得は、ルールを定めることによるセキュリティ効果のほかに、社内外にセキュリティへの取り組みや意識のアピールにもなります。セキュリティ整備の第2ステップとして検討してみるのもいいでしょう。

＠ITでの参考ページ 連載：実践！情報セキュリティポリシー運用 （Security&Trust） 開発者が押さえておくべきセキュリティ標準規格動向 （Security&Trust） 連載：情報セキュリティマネジメントシステム基礎講座 （Security&Trust） 連載：BS7799・ISMS認証取得の実態を聞く （Security&Trust） スローポリシーのススメ （Security&Trust） 連載：ISMS構築・運用ステップ・バイ・ステップ （Security&Trust）

■さらなるセキュリティ対策

　これまでの解説では、主に「外敵からの防衛に最低限必要なことは？」ということを中心に話してきました。ここではさらに話を進めて、どのようにすればさらに強固なネットワーク・システムを構築できるのかを解説していきます。いわゆる応用編にあたるものだと考えていいでしょう。

●ユーザー認証と暗号化の基礎、PKI
　 拠点間の暗号通信をはじめ、個人の認証など、近年のシステム構築においてなくてはならない技術とみられているのがPKI（Public Key Infrastructure：公開鍵インフラ）です。PKIの基本は、「秘密鍵」という特定の個人のみが所有する暗号キーと、すべてのユーザーが利用できる「公開鍵」の2つの暗号キーのペアにあります。公開鍵で暗号化されたデータは、その対となる秘密鍵でしか復号できないため、安全性が保障されます。また、ある公開鍵で復号できるデータは、その対となる秘密鍵で暗号化されたことが保障されますので、個人を認証する手段、いわゆる電子署名としての役割を持つことになります。この「秘密鍵」「公開鍵」のペアの性質を利用したセキュリティ・インフラのことをPKIと呼びます。

　PKIの応用範囲は広く、スマート・カードなどによるユーザー認証のほか、SSLベースのセキュアなWebサイトやS/MIMEによるセキュアな電子メール・システム構築などに用いられます。前出のインターネットVPN構築におけるIPSecにも利用されています。また、「電子政府」と呼ばれる制度の成立により、電子署名されたデジタル文書の公文書としての法律的拘束力のほか、政府機関などに対する各種電子申請なども、PKIを前提に実現されるものです。

＠ITでの参考ページ 5分で絶対に分かるPKI （Security&Trust） 連載：PKI基礎講座 （Master of IP Network） 連載：PKI再入門 （Security&Trust） GPKIで実現する電子政府構想 （Security&Trust） 電子政府の現状と今後 （Security&Trust） 電子申請の実証実験とその対応 （Security&Trust） Acrobat 5.0とPKIとの連携を検証する （Security&Trust） PKI対応アプリケーションでXML文書へ電子署名 （Security&Trust）

●セキュアなWebサイトとメール・システムを構築
　 PKIの用途として一番手軽なのは、PKIの電子証明書を使ったセキュアなWebサイト構築でしょう。よく電子商用サイトや個人情報を扱うページなどで、「https://〜」で始まるWebページにアクセスすることがあります。これが「SSL（Secure Socket Layer）」を使ったWebページです。SSLを使ったWebページの構築には、「サーバ証明書」と呼ばれる電子証明書が必要となります。サーバ証明書は自身で発行することもできますが、このWebサイトに接続しようとするユーザーのWebブラウザには、「未知の証明書」ということで警告が表示されてしまいます。これを防止するためには、ベリサインなどの認定証明書機関からサーバ証明書の発行を受ける必要があります。

　またWebサイトと並んで、セキュアな電子メールの需要も大きいでしょう。そこで登場するのが「S/MIME」です。S/MIMEでは、「クライアント証明書」を使って電子メールの暗号化を行います。よく引き合いに出される「PGP（Pretty Good Privacy）」との違いは、暗号鍵（電子証明書）の管理方法にあります。PGPの方が手軽なのですが、鍵の内容が漏えいしたときなどに相手側にそれを伝える手段がないため（PKIでは「CRL：失効リスト」と呼ばれる証明書管理の仕組みがあります）、広域で利用するのはやや難しいという側面があります。

＠ITでの参考ページ 連載：電子署名導入指南 （Security&Trust） バイオメトリクス技術の特徴とPKI （Security&Trust） 連載：Webサービスのセキュリティ （Security&Trust） SSLでセキュアなECサイト構築 （Security&Trust） S/MIMEでセキュアな電子メール環境をつくる！ （Security&Trust）

●ユーザー認証（バイオメトリクスなど）
　 文章の暗号化と並び、PKIが“かぎ”となる分野がユーザー認証です。IDやパスワードのみの認証方法に比べ、本人の電子証明書を持っているかどうかを確認する方が確実です。クライアントPC内に証明書を保持していても問題ないですが、スマート・カードと呼ばれる少量のデータを記録可能なICカード内に電子証明書を記録しておくことで、可搬性がアップします。例えば、電子証明書の入ったスマート・カードをID（身分証明書）代わりに提示したりすることも可能です。また、この証明書を使って自身の記述した文書に電子署名を行ったり、S/MIMEでの暗号メール送受信に使うといったこともできます。

　一方で、最近注目を浴びつつあるのが、指紋や虹彩といった個人ごとにユニークな生体情報を使った、いわゆる「バイオメトリクス」と呼ばれる認証方法です。バイオメトリクスのメリットは、偽造が難しく、ユーザー自身は特に何かを所持したりパスワードを覚える必要がないため利便性が高いことです。以前までは認証誤差や処理速度が大きな課題でしたが、それも解決されつつあります。実際、韓国などの国で指紋認証を使ったATMサービスが行われているほか、日本でも指紋／虹彩認証をパスポートに採用しようという動きがあります。スマート・カードは紛失時のリスクが大きいという問題を抱えていますが、バイオメトリクスではその心配が不要です。

＠ITでの参考ページ バイオメトリクスカタログ （Security&Trust） バイオメトリクス技術の特徴とPKI （Security&Trust） 導入前に知っておきたいバイオメトリクス認証 （Security&Trust）

●Webサイト・セキュリティ
　 最近は、企業の業務システムなどをWeb上に構築するケースも増えてきました。ただ、それらシステムには潜在的なセキュリティ・ホールが存在していることも多いようです。実際、簡単なURL操作で個人情報の記載されたデータベースにアクセスできるようになっていたり、クロス・サイト・スクリプティング（XSS）と呼ばれるセキュリティ上の欠陥により、自社のサイトが攻撃の踏み台にされてしまっている例などがよく報告されています。特に個人情報の取り扱いなどは、企業にとって大きな損害をもたらすことにつながります。

　リスクを完全に回避することは難しいですが、対策を行うことでその危険性を減らすことは可能です。社内外にWebシステムを公開する前に、ぜひ1度点検してみることをお勧めします。

＠ITでの参考ページ 連載：不正侵入の手口と対策 （Security&Trust） 連載：Webサイト運営者のセキュリティ確保の心得 （Security&Trust） クロスサイトスクリプティング対策の基本 （Security&Trust） 連載：Webアプリケーションに潜むセキュリティホール （Security&Trust）

　以上、企業セキュリティにおける重要なポイントを紹介してきました。セキュリティ対策のキモは、ある程度の運用体制ができた後は、いかにマメに情報収集やシステム状況の監視を行っているかです。有用だと思われるWebサイトやページを発見したら、定期的にそれらを巡回するルーチン・ワークを作るといいでしょう。

＠ITでの参考ページ ITアーキテクトによるセキュリティ設計 （Security&Trust） 連載：止められないUNIXサーバのセキュリティ対策 （Security&Trust） Security Tips （Security&Trust）

2/2

今回のインデックス

＠ITで学ぶセキュリティ技術 基本編 （1ページ）

＠ITで学ぶセキュリティ技術 基本編 （2ページ）

＠ITで学ぶシリーズ

＠ITで学ぶネットワーク技術 基本編