セキュリティ製品の基礎知識と導入手引き
【連載】情報セキュリティ運用の基礎知識
第1回 情報セキュリティの基盤技術としての暗号
| ロードマップ | |
|
野坂克征
シーフォーテクノロジー
2002/7/10
| 毎日使用しているPCや企業のネットワークは、インターネットとつながっている以上、常にあらゆるリスクにさらされていることは周知の事実である。しかしながら、実際にはどのような場面でどのようなリスクにさらされているのか、また、そのリスクにはどんな対処が適切なのかを理解していない方も少なくないだろう。そこで本連載では、実用面におけるさまざまな場面での脆弱性を挙げるとともに、その脆弱性を解決するために有効な情報セキュリティ製品を紹介する。 |
| 情報セキュリティ製品のガードの対象“情報資産” |
情報セキュリティ製品は、企業にとって大事な“情報”という資産をあらゆるリスクから守ることを目的として登場した製品である。
情報という資産は、建物や従業員のような資産と比べて非常に把握しにくいのが特徴だ。人が建物に侵入して金庫を開けられ現金を盗まれたなどの目に見える損害と比べ、情報が盗聴されたり改ざんされるなどの行為は非常に把握しにくいため、損害を受けたこと自体に気付かないといったこともあり得る。
さらに情報は、その重要度は企業によって大きく異なるため、情報の重要性は当事者が把握しなければならない。ほかの企業などの対策をそのまま模倣することは大変危険なことである。
なぜ危険なのかというと、ほかの企業が有している情報が抱えるリスクほど、自社の情報が抱えるリスクが高くない場合、あまり意味のないセキュリティ対策のために人員とコストを費やすことになる。なおかつ自社にほかにもっと重要な情報つまり重大なリスクを抱えている場合、そのリスクに気付くことがなく、情報漏えいなどを起こして事件となるまで気付かないことにもなりかねない。こうした場合、対策の担当者は「きちんと対策したのに何故だろう?」と首を傾げることになるのだ。
| 基礎知識として、まずは暗号技術の理解から |
情報セキュリティ製品を導入することは、情報資産を保護するために有効な手段の1つだ。しかし、自分の企業の現状にあった情報セキュリティ製品を導入しなければ意味がない。新しい製品や技術を導入する場合、その製品や技術の持つ特徴を理解しておくことが重要となる。既存の製品や設備と共存させた効率のよい運用を行うことが、全体的なコストの削減から利益率の向上へとつなるからだ。
情報セキュリティ製品の場合は、対象が把握しにくい“情報資産”であるから、さらに深く理解することが望まれる。まずは、多くの情報セキュリティ製品において根幹技術として用いられている“暗号”について説明する。
情報セキュリティ製品の多くは暗号技術によって構成されているため、暗号に関する用語を用いないで情報セキュリティ製品を説明することは不可能だ。暗号技術は、現在では、アプリケーションレベルに留まらず、ネットワークレベルからの情報セキュリティを保護するうえでも重要な技術である。インターネットの知識同様、暗号の基礎知識を理解しておくことは、情報セキュリティ製品の導入、さらには情報資産の全体的保護に役立つはずだ。
 |
| 図1 ネットワーク環境におけるさまざまな脅威 |
| 情報化社会における情報セキュリティの意義と目的 |
情報化社会では、ハードウェアの故障や自然災害などの確率的に生じるリスクを防御する安全性と、意図的な不正行為や組織的な犯罪行為などの非確率的に生じるリスクを防御するセキュリティとを確保する必要がある。情報化社会では、この2つをまとめて「情報セキュリティ」とし、情報システムに対するあらゆる脅威から防御することを目的とする。
その防御すべき具体的脅威には、プライバシーの侵害や企業・国家機密の漏えいの起因となる「盗聴」、事実情報を虚偽情報にすり替えられる要因となる「改ざん」、企業・国家の重要情報の紛失につながる「破壊」、そのほか「不正侵入」「コンピュータウイルス」などが挙げられる。また、比較的新しい電子商取引、電子申請、電子投票などの情報システムの応用分野において確保すべき信用を害する「なりすまし」や「事後否認」などの脅威も防御の対象となるのだ。
 |
| 図2 情報化社会における脅威 |
| 情報セキュリティ製品の有する機能 |
情報セキュリティ製品が有する機能(技術)には、データを秘匿する「暗号」、なりすましを防ぎ、その情報が間違いなく本人発と保証する「相手認証」「デジタル署名」、改ざんを検出する「データ完全性」、不正侵入およびコンピュータウイルスの侵入を防止する「アクセス制御」、不正侵入を防止する「ファイアウォール」、責任逃れを防止する「否認防止」、情報の流通経路を検出する「電子透かし」、秘匿および改ざん防止を目的とする「耐タンパー性」、破壊からの回復を目的とする「ファイルの二重化」、脅威の検出および原因究明を目的とする「監視・監査」などがある。
●情報セキュリティ製品の基盤技術としての暗号
このような、情報セキュリティを確保するために必要な機能の多くは、さまざまな暗号技術の持つ特徴によって得られる。特に、「データ秘匿」や「相手認証」、「デジタル署名」などの中心的機能に用いられており、暗号は、情報セキュリティ製品の基盤技術であるといえる。
●インターネット通信で用いられる暗号
インターネット通信における情報セキュリティの確保には、さまざまな技術が用いられている。そのうちの1つであり、また重要な役割を果たす暗号技術は、主に3つの要素を組み合わせて使用されている。その3つとは、あらゆるデータの内容を秘匿するに適した「共通鍵暗号」、インターネット通信によって複数の相手とデータを送受信する際の鍵配送および鍵管理、認証などに適した「公開鍵暗号」、送られたデータが改ざんされていないかの検証に適した「ハッシュ関数」を指す。
「そもそも暗号とは何か?」へ |
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
