Loading
|
|
|
Loading
|
| @IT > Master of IP Network > Mobile Connection > 携帯端末を使ったシステムのセキュリティ対策 |
| ||||||||||||||||||||||||||||||||||
■携帯端末利用時の危険性 |
外部から、携帯端末を利用してサーバにアクセスする際には、どのような危険性があるのだろうか? 場面ごとに解説していこう。
■LANへの経路
まず携帯端末から社内LANへのアクセスする経路を考えてみる。主なものとしては、次の3つが考えられる。
|
|||||||
| 表1 携帯端末から社内LANへの経路 |
 |
| 図1 携帯電話からLANへのリモートアクセスへの経路 |
実際は、携帯端末とキャリア通信網の間は電波なので、キャリア通信網を除けば、ノートPCや自宅のPCから社内LANへリモートアクセスする経路と同じである。したがって、経路から想定される危険性も同じ問題を抱えているといえる。
●インターネットを経由する場合(1)
盗聴、改ざん、なりすましといった、通常のインターネット経由でのアクセスにともなう危険性が考えられる。●インターネットを経由しない場合(2)(3)
専用線やダイアルアップなどの場合は、インターネットのように不特定多数からのアクセス可能なネットワークではないので、盗聴、改ざんなどの心配はない。ただし、ユーザー認証の方法には注意をすべきである。パスワード認証だけでリモートログインが可能である点を考えると、固定のパスワードは十分に安全とは言い難い。brute force attack(総当り攻撃)で時間や電話代((3)の場合)をかければ、破られる可能性もあるからである。
■メールの転送
携帯電話からメールを読むシステムがない場合でも、社内のメールサーバからインターネット経由で手元の携帯電話に転送する設定にしている人もいるであろう。この場合にはそのメールの重要性・機密性を再度確認してもらいたい。例えば、通常は社内から社内宛のメールであればLANの中で送受信されるので、外部への情報漏洩に対してはそれほど気を遣っていないであろう。しかし、このメールを携帯に転送するとなるとインターネットを経由するになるので、外部に情報が漏洩する危険が生じてくるからである。
■携帯端末に固有の問題点
●iモードの脆弱性
503iシリーズを除き、携帯端末とキャリア間ではSSLがサポートされていない。また、キャリアより先は、iモードの公式メニューにあるサーバとはSSLを使った通信が可能であるが、それ以外のサイトとの間では使えない場合がある。この場合、通常の固定ユーザーIDとパスワードの認証だけでは、インターネットでパスワードが盗聴される可能性がある。
●WAPの脆弱性
WAPの場合は、端末とWAPゲートウェイの間は、WTLS(SSLに相当するWAPのプロトコルスタック)で暗号化と認証が保証されている。しかしここにも問題がないわけではない。WAPゲートウェイ上ではSSLからWTLSにプロトコルが変換されるため、データが1度デコードされてWAPゲートウェイ上のハードディスクに書き込まれるからだ。つまり、WAPゲートウェイにアクセスできれば、ここでデータを盗むことも可能である。
 |
| 図2 WAPゲートウェイ上でのプロトコル変換 |
■クライアント認証
サーバ側から見た場合、クライアント(携帯端末)を特定することは、誰がいつアクセスしてきたのかを記録することを可能にするので、セキュリティ上重要である。
(1)WAP
サブスクライバIDと呼ばれる携帯電話に固有のIDをもとにして、端末を一意に特定することが可能である。
(2)iモード
以前は電話番号から得られる値をユーザーIDとしていたが、503iシリーズであれば、端末に固有なユーザIDを取得するが可能である。
(3)UIM(USIM)
これは近い将来の話ではあるが、ITUが標準化を進めている次世代携帯電話の方式であるIMT-2000では、UIM*1カードの搭載が義務付けられている。このUIMカードに電話番号や秘密鍵などを入れることができれば、よりセキュリティレベルの高いシステムを構築することも可能である。例えば、機種変更を行っても個人を特定するが可能であるし、SSLによる通信ではサーバ認証だけでなく、クライアント認証も可能になるであろう。
*1:User Identity Moduleの略。USIM(Universal Subscriber Identity Module)と呼ばれることもある。
次回の後編では、想定された危険性に対してどうのように対応するのかと、具体的な製品について紹介していく予定だ。後編は7月末までに公開予定である。
 |
2/4 | どのようにして危険性に対応するか |
| Index | |
| 携帯端末を使ったシステムのセキュリティ対策 | |
| どんな用途で安全に使いたいのか? | |
 |
携帯端末利用時の危険性 LANへの経路 メールの転送 携帯端末に固有の問題点 クライアント認証 |
| どのようにして危険性に対応するか ワンタイムパスワード 専用ゲートウェイ IP閉域網(IP-CUG) SSL |
|
| システム構築時のチェックポイント RAS+認証サーバ 専用ゲートウェイ IP-CUG そのほかの注意点 まとめ |
|
|
Copyright © ITmedia, Inc. All Rights Reserved.
|
