PKIとは
PKIとは、公開鍵暗号基盤、パブリックキー インフラストラクチャ(Public Key Infrastructure)の略です。
公開鍵暗号という仕組みを使って、遠隔地間で情報を安全にやりとりするためのインフラのことをいいます。「信頼できる第三者」が審査を行い、インターネット上で本人確認(身分証明)を可能にする。
PKIは、公開鍵証明書とそれを発行する認証局と、証明書を格納するリポジトリの3つで構成され、適切な証明書の管理と配布を行っている。
- 公開鍵証明書とは
- デジタル署名解析用の公開鍵が正しいと証明するデータ。デジタル証明書とも呼ばれる。信頼のある認証局(CA)が発行する公開鍵とその所有者の情報(有効期間、発行者、署名アルゴリズムなど)を結びつけてデータの作成者と改ざんがないことを証明できる。
- 認証局とは
- 暗号通信などで必要となるデジタル証明書を発行する機関。CA(Certificate Authority)と呼ばれる。
- リポジトリとは
- ソフトウェアのソースやデータ、プログラムなどが体系だてて保管されているデータベース。
公開鍵暗号方式
公開鍵暗号方式(Public Key Cryptosystem)では、公開鍵と秘密鍵という2つのペアの鍵を使用する。
- 公開鍵とは
- 公開鍵暗号方式で使用される一対の鍵の組のうち、一般に公開されるほうの鍵。公開鍵で暗号化されたデータは秘密鍵でしか復号できない。
- 秘密鍵とは
- 公開鍵暗号方式で使用される一対の鍵の組のうち、一般に公開されない鍵。秘密鍵で復号する場合、公開鍵証明書(デジタル証明書)から公開鍵が本人のものかどうか確認できる。
ある公開鍵で暗号化 された情報は、同じ公開鍵で復号することはできず、ペアの秘密鍵でしか復号できません。例えば、南京錠(公開鍵)は誰でも閉めることができますが、南京錠を開くことができるのはもうひとつの鍵(秘密鍵)をもっている当事者だけになるのと同じです。
- 【送信者】平文を暗号化する(南京錠を閉める)…公開鍵で閉める
- 【受信者】暗号化されたデータを復号する(南京錠を開ける)…秘密鍵で開く
共通鍵暗号方式
共通鍵暗号方式は、発信者と受信者とであらかじめ同じ鍵をもっていることを前提に、暗号化と復号に同じ鍵を使う方式をいいます。
さまざまな認証方式
ウェブサイトの認証方式には、Basic認証、Digest認証、SSO、OpenID、OTPなどがあります。Basic認証、Digest認証などのステータスコードには、200 OK(成功)と 401 Unauthorized(認証が必要)があります。
- Basic認証とは
- アクセスを制限されたウェブページに閲覧しようとすると、ブラウザでユーザ名とパスワードの入力を求められるHTTPで定義された認証方式。ユーザ名とパスワードは暗号化やハッシュ化がされていない生の状態(クリアテキスト、プレーンテキスト)で送受信されるので盗聴や改ざんのリスクがあり、重要なデータの保護に利用すべきではない。
- Digest認証とは
- ダイジェスト認証は、「Basic認証」よりセキュアなHTTPの認証方法。ユーザ名とパスワードを MD5 でハッシュ(ダイジェスト)化して送信する。ユーザ名とパスワードの組みをコロン ":" で繋ぎBase64でエンコードして送信する「Basic認証」では防げなかった盗聴や改竄を防ぐために考えられた。
- SSOとは
- シングルサインオン(Single Sign-On)の略。
ユーザが一度認証を受けるだけで、許可されているすべての機能を利用できるようになるシステム。何度もパスワードとIDを入力する手間を省き、一度確認されれば全てのユーザ認証をパスできる。
- OpenIDとは
- さまざまなウェブサービスで共通して使用できるURL形式のID(アカウント)の仕組み。通常、サービスごとに別々のアカウントを取得したり、ログインするために別々のIDやパスワードを入力する必要があるが、OpenIDは様々なサービスで共通の認証の仕組みとして、同じIDでログインすることができる。あらかめOpenIDでの認証を提供しているサービスのアカウントを持っているか、新たに取得する必要がある。
- OTPとは
- ワインタイムパスワード(One Time Password)の略。
認証技術のひとつで「使い捨てパスワード」とも呼ばれる。毎回異なった文字列でサーバと端末のやり取りを行い、同じパスワードは二度と使えないため、サーバが不正使用されることはない。
MD5とは
Message Digest 5 の略。
MD5とは、認証やデジタル署名などに使われるハッシュ関数(一方向要約関数)のひとつです。通信経路の両端で比較することで、通信途中で原文が改ざんされていないかを検出することができます。
WWWの暗号化通信
ウェブ上では、はじめての相手との共通鍵暗号方式は困難なので、公開鍵暗号方式と共通鍵方式を組み合わせた SSL を使う。SSLの暗号化通信をHTTPに実装したもの HTTPS という。
- SSLとは
- セキュアソケットレイヤー(Secure Socket Layer)の略。
インターネット上で情報を暗号化して送受信するプロトコル。現在インターネットで広く使われているWWWやFTPなどのデータを暗号化し、フォーム利用時の個人情報やクレジットカード番号などを安全に送受信することができる。SSLは公開鍵暗号、秘密鍵暗号、デジタル証明書、ハッシュ関数 などのセキュリティ技術を組み合わせて通信経路の暗号化によるデータの盗聴や改ざん、なりすましを防ぐことができる。
- HTTPSとは
- ハイパーテキストトランスファープロトコルオーバーSSL(Hyper Text Transfer Protocol over SSL)の略。SSLやTLSの暗号化通信をHTTPに実装したもの。ウェブブラウザのURL入力画面に「https://」と出力されウェブブラウザとウェブサーバ間の通信が暗号化されていることを意味し、通信内容の盗聴、改ざん、第三者によるなりすましを防止する。
SSHとは
セキュア シェル(Secure SHell)の略。遠隔地のマシンでコマンドを実行したり、他のマシンへファイルを移動したりするためプログラムです。ネットワーク上を流れるデータは暗号化され、インターネット経由でも一連の操作を安全に行うことができます。オープンソースで開発されたSSHのソフトウェアをOpenSSHといい、SSHサーバやSSHクライアントを含みます。SSHの通信路を使ったファイル転送に SCPとSFTPがあります。
- SCPとは
- セキュア コピー プロトコル(Secure Copy Protocol)の略。
暗号化通信を行うssh の機能を使用してファイル転送を行うもの。SCP は、SFTP と比較して転送速度が高速という利点があるが、4GB以上のファイル転送ができない、転送の中断・継続ができないなど、機能面でSFTPより劣る面もある。
- SFTPとは
- SSH FTP または セキュアFTP(Secure FTP)の略。
SSHで暗号化された通信路を使って安全にデータを送受信するファイル転送プロトコル。SFTPでは、公開鍵認証などを用いてsshでログインした後、FTPに似たコマンド体系を用いて任意の形式のファイルを送受信することができる。FTPよりも安全に通信することができる。
無線LANの暗号化
無線LANで安全な通信を行うための暗号化技術にWEPとWPAがあります。
- WEPとは
- Wired Equivalent Privacy の略。
脆弱性が発見・報告されており、暗号化技術としては既に低い信頼性しか持ち合わせていないと言われている。
- WPAとは
- Wi-Fi Protected Access の略。
無線LANに関する業界団体のWi-Fi AllianceがWEPの脆弱性を補完する目的で2002年10月に策定された規格。
インターネットでの不正アクセス
不正アクセスとは、他人のアクセス権やネットワーク、OSの脆弱性(セキュリティーホール)などを突いて、アクセス制御機能を持つコンピュータの機能を利用できる状態にする行為をいいます。代表的な不正アクセスは以下のとおりです。
- フィッシング
- 金融機関などのメールを装い、メールの受信者に偽のサイトにアクセスさせるよう仕向け、ID、パスワード、クレジットカード番号などを入力させて盗み、預金を不正に移動したりカードを利用したりするもの。
◆対策
フォームの送受信にSSLが利用されているか、正規のものとわかる電話番号やURLなどを確認する。また、ロケーションバーなどでURLを確認し、怪しい場合は直接送信元を名乗る企業に確認する。
- なりすまし
- IPアドレスを詐称して不正にネットワークを通過してアクセスする行為。
- 盗聴
- インターネットの通信経路をLANモニタなどを用いて盗聴し、情報を取得する行為。
- DoS攻撃
- サービス拒否攻撃(Denial of Service attack)のこと。
相手のサーバに処理能力を超える大量のリクエストを送信してトラフィックを増大させて相手のネットワークを麻痺させる行為。
- DDoS攻撃
- 分散型サービス拒否攻撃(Distributed Denial of Service attack)のこと。協調分散型DoS攻撃とも言われる。
セキュリティホールによって操られる複数のコンピュータ(踏み台)から同時にDos攻撃をかける行為。
- 辞書攻撃(Dictionary Attack)
- ユーザ名とパスワードを組み合わせを割り出す「パスワードクラック」の一つ。大文字と小文字を混在させたり数字を加えたりして組み合わせを片端から試す行為を「総当たり攻撃」という。
◆対策
単純な単語をパスワードに使わず、記号や数字などをランダムに組み合わせる。サービス提供側は、ログイン試行回数制限を設置するのも有効。
- キーロガー
- ユーザのキーボード入力を記憶するソフトウェア。パスワードや個人情報などを盗むことができる。
◆対策
キーボードの操作履歴が残らないソフトウェアキーボード(セキュリティーキーボード)を使用する。
マルウェアとは
マルウェアとは、ウイルス、ワームやトロイの木馬などのスパイウェア など、「悪意(mal-)」のある有害なソフトウェアのことをいいます。正常なプログラムに見せかけて、攻撃対象のコンピュータに侵入し、隠されたプログラムによってコンピュータへの感染や改ざん、破壊活動を行ったり、情報を外部に漏洩させたりします。電子メールやブラウザからのダウンロードによって隠されたプログラムが配布されるので注意が必要です。
- ウイルスとは
- 他人のコンピュータに勝手に入り込んで悪さをするプログラム。画面表示を崩したり、ディスクに保存されているファイルを破壊したりする。
- ワームとは
- ユーザに気づかれないようにコンピュータに侵入し、破壊活動や別のコンピュータへの侵入などを行う。独立したプログラムで、自身を複製して他のシステムに拡散する性質を持っている。
- トロイの木馬とは
- 正体を偽ってコンピュータへ侵入し、データ消去、ファイルの外部流出、他のコンピュータの攻撃などの破壊活動を行うプログラム。自らを有益なソフトウェアだとユーザに信じ込ませ、実行するよう仕向ける。ウイルスのように他のファイルに寄生したりはせず、自分自身での増殖活動も行わない。特定の時間に不正動作を開始したり、外部からの指令を受ける行為などがあり、DDoS攻撃にも利用される
対策として、ウイルス対策ソフト等を導入し、利用パソコンのOSと共に、定義ファイル等を最新の状態に保って使用する必要があります。
ウェブアプリケーションの脆弱性に対する攻撃
ウェブアプリケーションの実装上の不備(不正な入力値を検出して無害化する処理の漏れ)を突く攻撃として、SQLインジェクション、XSS、CSRFがあります。
- SQLインジェクションとは
- SQLを使って不正にデータベースを操作する攻撃 。悪意のある第三者によって間違ったパスワードでも認証されてしまう。
◆攻撃の事例
某人材派遣会社のウェブサイトで申し込みをした利用者の個人情報が不正に入手された。
- XSS(クロスサイトスクリプティング)とは
- 掲示板などのフォームから特定のスクリプトコードをユーザ(訪問者)のブラウザに送りつけクッキー情報などを盗む攻撃 。
◆攻撃の事例
某動画共有サイトのコメントシステムに存在する脆弱性が悪用され、不正なポップアップが出たり、意図しないサイトにリダイレクトされたりするケースが相次いだ。
◆対策
HTMLを動的に生成するWebアプリケーションにおいて属性値を出力する場合には、XSSへの対策として、属性値をクォート(引用符で囲む)したり、文字実体参照などで表す必要がある。
- CSRF(クロスサイトリクエストフォージェリ)とは
- 管理者権限をもつユーザに対し、意図しない掲示板への書き込みなどを強いられる攻撃手法 。フォームから特定のスクリプトコードを送信することでユーザのクッキー情報が抜かれる。
システムによる不正侵入の検知と防御
一般的にファイアウォールは受信するパケットの中身までは検査しないため、IDSとIPSとファイアウォールを組み合わせて使用することで高いセキュリティを確保することができる。
- IDSとは
- 不正侵入検知システム(Intrusion Detection System)の略。
通信回線を監視し、ネットワークへの侵入を検知して管理者へ通知(アラート)するシステム。ワームなどの不正アクセスで用いられるパケットの特徴的なパターンを記録しておき、実際に流れてくるパケットとのパターンを比較して、正常な通信かどうか判断する。ネットワーク型IDS(NIDS) とホスト型IDS(HIDS) がある
- IPSとは
- 不正侵入防止システム(Intrusion Prevention System)の略。
ネットワークへの不正侵入を阻止するツール。不正侵入や攻撃を見つけると自動的にその通信を遮断する。
DMZとは
ファイアウォール(FW)で内部・外部のネットワークから隔離された区域のことです(語源は「非武装地帯」)。外部に公開するウェブサーバをDMZに配置すれば、FWによって外部からの不正なアクセスを排除でき、万が一の場合でも内部ネットワークにまで被害が及ぶことはなくセキュリティが確保できます。
