基本情報技術者のセキュリティのまとめPart2です。
今回は、ネットワークのセキュリティ対策、暗号化技術についてまとめていきます。
ファイアウォール
ファイアウォールとは、LANの中と外を区切る壁のことです。外からの不正なアクセスを止めるものです。
ファイアウォールは機能的な役割のことで、主な実現方法としては、パケットフィルタリングやアプリケーションゲートウェイなどがあります。
パケットフィルタリング
パケットフィルタリングはパケットを無条件で通過させずに、フィルタを使って通していいパケットをより分ける機能です。
この機能は、パケットのヘッダ情報をもとに通過の可否を決めます。
アプリケーションゲートウェイ
アプリケーションゲートウェイは、LANの中と外の間に位置して、外部とのやりとりを代行して行う機能です。プロキシサーバ(代理サーバ)と呼ばれます。外のコンピュータからはプロキシサーバしか見えないので、LAN内のコンピュータが不正アクセスの標的になることを防ぐことができます。
アプリケーションゲートウェイ型のファイアウォールには、WAF(Web Application Firewall)があります。これは、通信データの中身までチェックすることで、外部からの攻撃を検知するものです。
ペネトレーションテスト
ペネトレーションテストとは、既知の攻撃手法を使って、システムのセキュリティホールや設定ミスなどの脆弱性を確認するテストのことです。このテストを定期的に行うことで、もし侵入されたらどうなるのか、どこまで突破されるのかを事前に確認します。
暗号化技術
ネットワークの通信経路上に潜んでいる危険は、代表的なものは以下のようなものがあります。
- 盗聴:データをやり取りの途中で、第三者に盗み見られる危険性。
- 改ざん:データのやり取りの途中で、データの内容を第三者に書き換えられる危険性。
- なりすまし:第三者が別人になりすまして、データを送受信される危険性。
これらの危険を回避するために、暗号化技術や、ディジタル署名などを使用します。
暗号化技術
データの中身を第三者にはわからない形に変換させることを暗号化といいます。逆に、暗号化したデータを元の形に戻すことを復号といいます。暗号化技術は、盗聴を防ぐために使用されます。
暗号化や復号に用いるデータのことを鍵といいます。暗号化する方式として、共通鍵暗号方式と、公開鍵暗号方式というものがあります。
共通鍵暗号方式
共通鍵暗号方式は、データの送信側と受信側が同じ鍵を用いる暗号化方式のことです。この方式では、鍵自体を安全に受け渡しするのが難しいことや、通信相手の数分の鍵を管理しないといけないといった問題があります。
公開鍵暗号方式
公開鍵暗号方式は、データの送信側と受信側が違う鍵を用いる暗号化方式のことです。公開鍵を使い暗号化を行い、秘密鍵を使って復号します。
この方式では、受信側が公開鍵と秘密鍵のペアを作ります。そして、自分に送ってくるときは公開鍵を使って暗号化してください、と公開鍵を公開します。そして送られてきたデータを自分しか持っていない秘密鍵で復号します。
公開鍵では暗号化しかできないので、盗聴される可能性が無くなります。また、自分用の鍵を1セット持っていれば複数人とやりとりすることができるので、鍵の管理が大変になることもありません。
ディジタル署名
ディジタル署名とは、公開鍵暗号方式を応用して、改ざんされていないか、誰が送ってきたものなのかを確認できるようにしたものです。
公開鍵暗号方式では、公開鍵を使い暗号化して、秘密鍵で復号しましたが、ディジタル署名では逆に、秘密鍵で暗号化して、公開鍵で復号します。
ディジタル署名の使われ方として、本文全体を秘密鍵で暗号化するのではなく、ハッシュ化という手法で要約データ(メッセージダイジェスト)を作成し、それを秘密鍵で暗号化し、それをディジタル署名とします。ハッシュ化では、元データが同じであれば、同じメッセージダイジェストを生成します。
データを送るときは、データを公開鍵で暗号化したものにディジタル署名をくっつけて送信します。受信者は受け取ったデータからメッセージダイジェストを生成し、送られてきたディジタル署名を公開鍵で復号したものと比較します。このとき、新たに作ったメッセージダイジェストと、ディジタル署名を復号したものが同じであれば、そのメッセージは改ざんされていないことになります。
認証局(Certificate Authority)
暗号化技術やディジタル署名で、盗聴や改ざんなどを対策できますが、そもそも鍵を作った人が偽物だったらなりすましの対策にはなりません。
これに対し、認証局とは、信用できる第三者が公開鍵が本人のものであることを証明する機関のことです。認証局は以下の流れで公開鍵の正当性を保証します。
- 公開鍵を認証局に登録。そのときに認証局はディジタル証明書を発行。
- 認証局に登録した鍵によって身分を保証。ディジタル証明書付きの鍵により本人か確認。
このような認証機関と、公開鍵暗号方式を使い、通信の安全性を保証する仕組みのことを、公開鍵基盤(Public Key Infrastructure)といいます。
以上が、ネットワークのセキュリティ対策、暗号化技術についてまとめでした。