HOME セキュリティ監視サービス 分散オフィスのネットワーク構築 セキュリティ監視サービス

■ インターネット環境の現状

  • インターネット普及率の増加

    現在のインターネットの普及率では世帯ごとでも88%を超え、事業所普及率は82%、企業においては98%と、ほぼすべての企業でインターネットに接して業務を行っているという状況です。そして普及率の増加とともに、インターネット被害も毎年増加しつづけています。

  • ネットワーク被害の増加

    特に最近の傾向は、イーサネットや無線での情報漏えいなどの物理層での問題から、TCPポートへの攻撃やIPアドレスのなりすましなどのプロトコル層に加えて、フィッシングやファーミングと呼ばれるコンテンツレベルの書き換えに代表されるアプリケーション層まで広がりつつあります。これからの時代に要求されるのはこのような多様な階層においての総合的なセキュリティーの保障です。

■ インターネット接続に関する基本用語

  • グローバルIPアドレスとプライベートIPアドレス

    インターネットに接続されている機器にはグローバルIPアドレスがかならず振られています。グローバルIPアドレスは、数値(例えば210.142.99.99)になっており、同じ数値がぶつからないようにすべての機器に振られるようになっています。グローバルIPアドレスが分かれば、どの国のどのISP(インターネットサービスプロバイダ)に属しているかなどがわかるということでもあります。

    また会社内のLANのように複数台のパソコンや複合機がつながっている場合、それぞれの機器にもIPが振られます。これをプライベートIPアドレスといいます。

    例えていうならば、グローバルIPアドレスは住所、プライベートIPアドレスは部屋番号みたいなものです。

  • 動的アドレスと静的アドレス

    会社内の複合機やサーバなどはプライベートIPアドレスを固定しています。これは印刷の時など、PC内部で192.168.×.100に印刷データを送信」というように処理するためで、IPを固定して設定を実際にするとき、これを「静的にアドレス取得」したといいます。

    反対に、普通のユーザーのPCなど、起動した順に、192.168.×.2、192.168.×.3、192.168.×.4 というように空いているIPアドレスを自動的に割り振るということもあります。これを「動的にアドレス取得」するといいます。

    IPアドレスは必ずすべての機器で相違していなければいけません。つまり、ネットワーク内に192.168.×.100 という機器がすでにあった場合、そこにもう1つ192.168.×.100を設定してあるPCなどをつなげようとしても、IPがぶつかるためにネットワーク接続することはできません。このような事態を避けるために動的にアドレスを設定するということの利便性がでてきます。動的にアドレスを割り当てるサーバのことを「DHCPサーバ」といいます。

    現在Yahooなどのプロバイダに所属している各家庭のパソコン、オフィスなどは、グローバルIPアドレスも動的に振ってもらっています。オフィスで固定IPを取得するためにはコストがかかるので、グローバルIP、プライベートIPともに動的に決まっているオフィスが多いのが現状だと思います。

  • ドメイン名とグローバルIPアドレス

    ドメイン名とは、「×××.dyndns.org」のような名前のことです。あるオフィスには「×××.dyndns.org」というドメインが割り当てられており、「210.142.×.×」のようなグローバルIPアドレスが振り当てられています。

    グローバルIPアドレスが動的に変更されるオフィスでは、実際のIPアドレスでアクセスしたくても、そのアドレスが何か特定できないので、ドメイン名からグローバルIPアドレスを結び付けてくれる「DNSサーバ」の情報をもとにグローバルIPアドレスをみつけることができます。

  • ポートとポートマッピング

    IPが機器の住所なら、ポートは入り口といえます。ひとつの機器には0〜65535までの入り口があります。そして、「ホームページをみるならポート80で」「FTPをやり取りするならポート21で」のように有名な通信ではある程度の暗黙の了解があります。

    ルータを「FTPなら、192.168.×.100に、HTTP(ホームページ)なら192.168.×.101に」などと設定することで、グローバルIPアドレスによるWANの通信とプライベートIPアドレスによるLANを違和感なく結びつける、それがポートマッピングになります。

  • NATとNAT越え

    グローバルIPアドレスと、プライベートIPアドレスの通信を透過的・トランスペアレント(データを変更しないでという意味。)にするために行われるのがNAT(Network Address Translation)です。

    たとえばホームページを同時に見ている複数台のPC。これはすべてポート80でぶつかってしまいます。それをNATが一時変換して、問題のないように振り分けるために、複数台のPCがホームページを同時に見られるということになるわけです。NATはLAN(オフィス内部)のパソコンからWAN(外部)へのアクセスにとって有用な機能です。

    NATのおかげでLANからWANへのアクセスは楽にできますが、WANからLANへの1対1アクセスのことをNAT越えといいます。NAT越えを実現するためにはいろいろな方法があり、それぞれ長所短所があります。ポートマッピングはポートに対してそれぞれ1台の機器しか割り当てられないという欠点がありますし、高コストなルータなどを購入しなければならなかったり、CPUパワーを消費してしまったり、という状態です。

  • レイテンシ

    国際電話などで、話がスムースにいかないのはそれぞれ聞いている音声が遅れて聞こえるからです。この時間差をレイテンシといいます。またインターネット上でデータをやりとりするだけでも時間差が生じます。

■ ウィルス

他のコンピュータに無断で忍び込みデータの改ざんなどを行うプログラムのこと。

  • トロイの木馬

    トロイの木馬は、表からはゲームソフトウェアとして存在しているが、裏では外部からのリモートでコンピュータを操作したり、内部のデータを集めて外部に送信したりと、ある程度サイズの大きなソフトウェアに隠されているため、さまざまな機能を搭載できる怖さがあります。 侵入・盗聴・改ざん・踏み台構築・攻撃とほとんどのクラッキング行為を可能にするので、一度ネットワーク内に入れてしまうと大変に厄介です。 クラッカーが侵入に成功すれば、次回の侵入に備えて専用の侵入方法を用意するのが定石で、通例、バックドアと呼ばれる侵入口を構築するか、初回の侵入時に管理者やユーザのIDとパスワードを盗んでおき、次回からそれを使用して侵入します。 バックドアを構築する理由は、ある程度の期間、サーバを利用することが目的で「静かな乗っ取り」のための特徴的な行動といえます。また、バックドアの発見は難しいので、管理者側の立場からすれば、一度侵入を許したサーバはOSやアプリケーション類のインストールから再構築しないと何度でも侵入を許すことになります。 →面白そうなゲームや便利なユーティリティをインターネットで見つけたとしても、得たいの知れないサイトからのダウンロードを避けることが賢明です。 IDSのような侵入検知システムを導入するか、侵入前に改ざん検知ツールがインストールされていれば発見することができます。

  • スパイウェア

    スパイウェアは、いろいろな機能の組合せで構成され、ある特定のソフトウェアをスパイウェアと言い切ることができないのが実情です。つまり、スパイウェアの定義はいまだ明確なものはなく、悪意のない個々の機能を組み合わせることで悪意のあるソフトウェアとなっています。

  • DoS攻撃

    DoSとは、"Denial of Service"の略で、提供するサービスを妨害したり、停止させるものを指します。たとえば、"mail Bomb"は、巨大なメールや大量のメールを送りつけ、メールサーバのディスクやCPU資源、ネットワークの帯域を潰します。

    →DoS攻撃の多くはOSやアプリケーションのバグによるものですので、OSやアプリケーションに対してパッチの適用やバージョンアップによって、ほとんどの攻撃は回避できるようになります。

  • DDoS攻撃

    DDoSとは、"Distributed Denial of Service"の略で、DoS攻撃の場合は、攻撃側と相手側の1対1で行われますが、DDoSは踏み台となるホストを利用することによって攻撃側は複数存在し、1台のサーバを攻撃します。たとえば、1000台が1台を攻撃するのですが、DDoSの防御は、この1000台がどこにあるのか検討がつかず、さらに真の攻撃者を特定することは非常に難しいことになります。

■ 不正アクセス

あるコンピュータに対して正規のアクセス権限を持たない人が、OSやアプリケーションのバグ等を悪用してアクセス権限を取得し、そのコンピュータを利用または利用を試みること。

  • パスワード解析

    パスワードの解析を行うには主に三つの方法があります。

    • ブルートフォース攻撃

      単純な文字の組合せを総当りで試みる攻撃。時間さえあれば確実にパスワードを奪取することが可能です。

    • 辞書攻撃

      英和辞典などに掲載されている単語だけでなく、人名・地名・よく使われるユーザ名・規則性を持たせた文字列(aaaa)などで試みる攻撃。また、変換規則を考慮するもの<文字列を逆順にしたり(taro→orat)、文字の一部を大文字にしたり(tAro)、先頭や末尾に数字をつける(taro1)>もあるのでユーザ名や固有名詞を使用していても数字や大文字小文字を使っているから大丈夫ということはありません。

    • 盗聴

      同一ネットワーク内から、相手がシステムにログインするときを待って、サーバとクライアントの間でやり取りされる通信を傍受しパスワードを奪取する方法です。以前は通信傍受のための機材をネットワークに物理的に接続する必要があったため、同一事務所内などのネットワークに限られていましたが、無線LANの発達で、電波からパケットを収集するなど、新たな盗聴の危険性が広がっています。

  • ポートスキャン

    相手ホストにダメージを与える、もしくは侵入するといったとき、クラッカーが事前に行う調査で、「外部から対象サーバへアクセス可能か?」「脆弱性のあるサービスが動いていないか?」を調べる作業です。 サーバにはいくつものサービス(メールのやり取りやホームページデータの送信等)があります。各サービスはポート(上記ポートとポートマッピング参照)と呼ばれる接続口を通して提供され、どのサービスが何番のポートで提供されるかが決まっています。つまり、アクティブな(開いている)ポートが見つけられれば稼動しているサービスがわかります。クラッカーはポートスキャンを実施し、アクティブなポートを発見した後、そのサービスが既知の脆弱性を含むものであれば、侵入や破壊行為へと移ります。逆に言えば、不用なサービスを全部停止していればポートスキャン対策となります。

  • スパイウェア

    いろいろな機能の組合せで構成され、ある特定のソフトウェアをスパイウェアと言い切ることができないのが実情です。つまり、スパイウェアの定義はいまだ明確なものはなく、悪意のない個々の機能を組み合わせることで悪意のあるソフトウェアとなっています。パソコンユーザにとってのスパイウェアとは『利用者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集し、利用者以外に自動的に送信するソフトウェア』であると言えます。

    • キーロガー機能

      キーボードから入力されたキーストロークを記録する機能で、コンピュータの動作テストなどに用いられてきました。単体では無害なこの機能に収集したデータを送信する機能やバックドア、リモートアクセスなどが組み合わさることでスパイウェアとなります。

    • アドウェア

      強制的に広告を表示する機能。提供する側、される側でスパイウェアとして定義されるか否か異なるものです。

  • バッファオーバーフロー

    プログラムが稼動する際、プログラムが確保するメモリサイズ(バッファ)を超える文字列が入力されると、メモリ領域が溢れてプログラムが正常に機能しなくなります。この現象を利用して管理者権限を奪取し侵入したり、ファイルを消去するなどの攻撃を行うことをいいます。OSやアプリケーションのセキュリティホールに対して行われるので、対策としては、セキュリティホール関連の情報を頻繁にチェックし、OSメーカーなどから提供されるセキュリティパッチを必ず適用することが重要です。

  • IPスプーフィング

    自IPアドレスを相手のIPアドレスに偽装して攻撃を仕掛けたり、ファイアウォールを突破する方法です。 もともとは相手のホストがIPアドレスで接続先を制限している場合や、相手のホストに侵入したとき、logなどに自分のIPアドレスが残されると困る場合などに使用されました。IPスプーフィングは、信頼と認証の関係において隙を突くものです。ホストやネットワーク同士を接続するにあたり、相手が信頼できる場合は認証を緩め、信頼できないときは認証を高めるということが基本となります。

■ SPAMメール

SPAMとは、本人が望まないダイレクトメールを大量に送りつけることを指します。SPAMによって配送されるメールの数は数万、数十万通にも及ぶため、回線やサーバの資源を大きく食い潰します。これにより、そのサーバやネットワークのユーザにはサーバやネットワークが重くなるように感じます。場合によっては帯域の飽和、メールサーバのシステムダウンなどもありえるのです。

■ Phishing(フィッシング)

Anti-Phishing Working Group (APWG)によると、「フィッシング(Phishing )」という言葉は、オンライン詐欺師がメールのルアーを使ってインターネットユーザの海からパスワードや金融データを釣上げる(fish)イメージからの連想になります。“F”が“Ph”に置き換えられているのは、ユーザをだます偽メールや偽サイトが巧妙なので「洗練された」という意味のSophisticatedからきているという説があります。

■ 離れた拠点間のネットワーク構築

離れた拠点間にネットワークを構築するには、以下のものがあります。近年のブロードバンド環境の発展により、高価な専用線やインターネットVPNのほかに、安価なインターネットVPNが提供され始め、大企業だけではなく中小企業や個人でも利用できる環境が整ってきています。