RAS、WAN、無線経由の攻撃を防ぐ技術――表口以外の境界セキュリティ:セキュリティ・テクノロジー・マップ(7)(2/2 ページ)
典型的な社内システムをイメージしながら、セキュリティ技術の基礎を総ざらいする本連載。今回は「表口以外の境界セキュリティ」の技術を解説します。
無線ネットワーク
無線を使用して、遠隔通信を実現するのが「無線ネットワーク」機能です。
無線ネットワークでは、組織内ネットワークの入口に、無線でアクセスできるアクセスポイントを設置します。このアクセスポイントへの接続時に認証を行うことで、第三者による利用を制限し、さらにトンネリングを用いて通信内容を暗号化することで、盗聴や改ざんを防止します。
無線ネットワークの性質上、「電波の届く範囲であれば誰もがアクセスを試みることができる」という特徴があります。そのため、「電波を傍受される」「通信内容を改ざんされる」といった脅威が存在し、一般的にRASやWANよりも、認証方式や暗号化方式の重要性が高くなります。特に、安全ではなくなってしまった認証方式や暗号化方式の利用は高いリスクとなるため、可能な範囲で、最新の方式を利用することが望ましいといえます。
実際の製品としては、無線LANルーターとしてハードウェアで提供されます。無線LANルーターには、ホームユース用とビジネスユース用の製品がありますが、ビジネスユース用は、認証やユーザーの管理、他システムとの連係機能などが充実しているといった特徴があります。
表口以外の境界セキュリティが防ぐ脅威
それでは最後に、「表口以外の境界セキュリティ」が、具体的にどのように攻撃を防ぐのかを見ていきましょう。
リモートアクセスサービス(RAS)への攻撃
攻撃者は、まず組織内に侵入することのできるRASが設置されていないかを探索します。そして、安易なパスワードや、製品出荷時の初期パスワードが設定されているような脆弱(ぜいじゃく)なRASから、組織内のネットワークへ侵入します。
このとき、リモートアクセスサービスの認証機能により利用者の識別が正しく行われ、攻撃者からのアクセスを拒否することができれば、組織内ネットワークへの侵入やそれに伴う情報漏えいなどを防ぐことができます。
また、ネットワーク経路上の通信を盗聴し、データを不正に取得したり、通信内容を改ざんしたりされる可能性もあります。これらの攻撃は、トンネリングに通信が確立され、通信データが暗号化されれば防止することができます。
ワイドエリアネットワーク(WAN)への攻撃
WANについても、RASへの攻撃と同様に、認証の弱い出入り口が狙われます。そのため、ネットワークの相互認証を正しく機能させ、不正な接続先との接続を制限する必要があります。
なお、拠点間の通信に関しては、狙った組織の通信を意図的に盗聴・改ざんすることは困難(後述)ですが、WANを無線で構築している場合には、現実的なリスクとなります。盗聴・改ざんを防止するには、通信の暗号化機能が適切に機能していることが不可欠です。
通信事業者などの閉域網を利用してWANを実現している場合は、そもそも拠点間接続のための出入り口へのアクセスや、経路上で通信を盗聴すること自体が困難になるため、無線と比べて攻撃のリスクは低くなります。
無線ネットワークへの攻撃
攻撃者は、無線の電波が届く範囲にあるアクセスポイントを探索します。そして、安易なパスワードや、製品出荷時の初期パスワードが設定されているような脆弱なアクセスポイントから、組織内のネットワークに侵入します。このとき、アクセスポイントの認証機能により利用者の識別が正しく行われ、攻撃者からのアクセスを拒否することができれば、組織内ネットワークへの侵入やそれに伴う情報漏えいなどを防ぐことができます。
また、攻撃者は、暗号化されていない、もしくは脆弱な暗号化アルゴリズムを利用した通信を盗聴することにより、データを不正に取得したり、通信内容を改ざんしたりします。従って、盗聴や改ざんを防止する上では、強度の高い暗号化アルゴリズムを備えていることが必須といえます。
このように、企業ネットワークでは、表口だけでなく、組織内に接続することの可能な表口以外の境界を含めてセキュリティを確保することが必要です。次回は、「アカウント管理」について解説します。
Copyright © ITmedia, Inc. All Rights Reserved.
5分で絶対に分かるVPN
「公衆無線LAN」の安全な使い方
無線LANにまつわるセキュリティの課題を再確認しよう