セキュリティ製品の基礎知識と導入手引き
【連載】情報セキュリティ運用の基礎知識
第2回 社内ネットワークにおけるクライアントの対策
| ロードマップ | |
|
野坂克征
シーフォーテクノロジー
2002/9/4
前回の「第1回 情報セキュリティの基盤技術としての暗号」では、トータルバランスを考えた情報セキュリティ対策の重要性と、情報セキュリティ製品の根幹技術である暗号技術について解説した。
今回は、インターネット環境に接続しているかどうかにかかわらず、社内ネットワーク環境が受けている脅威に対して有効的な情報セキュリティ運用に関して、クライアント側が施すべき対策に絞って解説していく。
| ※暗号関連用語・技術については連載の第1回目で解説しており、用語・技術の意味に関しては第1回目を参照下さい。 |
| パスワード、認証製品によるローカル環境の情報セキュリティ |
●パスワードの運用
情報ネットワーク社会において、パスワードは切っても切れない存在だ。PCなどへのログオンから、暗号ソフトの鍵生成のための入力、社内ネットワークへのログオンなど、さまざまなところでパスワードの入力は求められる。
パスワードは、第三者から重要なデータを保護してくれる重要な機能である。そのパスワードを決めるにあたり、
- 一般に使われている用語や、本人の名前、生年月日など連想されやすいものの使用は避ける
- ある程度の長さ以上で間に文字・数字などを含める
- 定期的に更新する
ほかにもさまざまな約束事が挙げられるが、あまり設定事項を増やすとパスワードの使用自体が煩わしくなり、情報ネットワーク本来の利便性自体が薄れてしまいかねない。
●認証関連製品
そこで登場するのが認証関連製品だ。本人に代わって認証を行うことが可能なため、ユーザーがパスワードを記憶しておいたり入力する手間がいらず、情報ネットワークの利便性を落とすことがないのが大きなメリットだ。
認証関連製品には、「ICカード型認証製品」「トークンデバイス型認証製品」「バイオメトリクス認証製品」などのハードウェアタイプのものと、「ワンタイムパスワード」機能を有する認証関連製品の一部にハードウェアとソフトウェアを併用するタイプのものがある。
そのほか認証関連製品には、シングルサインオン*1機能を有する製品もある。
| *1 シングルサインオン機能 1つのパスワードで複数のアプリケーションやシステムへのアクセスを可能とする機能。ユーザーは1つのパスワードを持つだけでよく、複数のアプリケーションやシステムごとにIDやパスワードを持つ必要がない。 |
- ICカード型認証製品
ICカード型認証製品は、ICカードなどの外部記憶媒体にパスワード、デジタル証明書、暗号鍵などを格納し、カードリーダを介してPCなどにデータを読み込ませることで認証を行う。最近では、主に小額決済や社員証などに用いられている。
ICカード型認証製品
小額決済では、JRの「Suica」にその技術が用いられるなど、利便性が高いのが特徴だ。ただし、製品によってはセキュリティ機能が甘い場合があるので、導入の際には、用途に応じた利便性と安全性のバランスをよく見極める必要がある。
社員証は、利便性よりもセキュリティをより重視していることが多い。オフィスに対してのセキュリティ意識の向上から、オフィスの移転に伴って、入退室管理と連動したICカードを導入する企業も多いようだ。
- トークンデバイス型認証製品
トークンデバイス型認証製品は、メモリなどの外部記憶媒体にパスワード、デジタル証明書、暗号鍵などを格納するもので、USBなどのインターフェイスを介してPCなどにデータを読み込ませることで認証を行う。
トークンデバイス型認証製品
ノートPCやPDAなどを外出先での使用などの利用機会の拡大に伴い、セキュリティへの関心も高まってきている。このような場合、手軽にリモートアクセス認証ができるトークンデバイス型認証製品を導入することが有効であろう。また、ICカード型認証製品などに比べ、手軽に導入しやすく、導入コストが比較的低いのも特徴だ。
- バイオメトリクス認証製品
バイオメトリクス認証製品は、声紋・指紋・虹彩・手形・DNAなど本人しか持ち得ない身体的特徴、またはサインなど行動を利用して本人を認証する機能を持つものがある。
大きく分けると2つのタイプに分類されるバイオメトリクス認証であるが、それぞれ特徴がある。指紋や虹彩などは、個人の特定性が高い一方、登録できる数に限りがあるため、万が一登録データを盗まれた場合、再度登録できるデータ数は限られてしまう不便さがある。また、サインの場合は「筆記運動」であるため、アイデア次第で無限に登録画像データを作成することが可能であるが、認証を受けるたびに登録したときと同じ動作で書かなければ誤認してしまうということもある。
バイオメトリクス認証製品(指紋認証製品)
しかし、セキュリティ強度、利用の容易性、実装コスト、ユーザーの受容性の観点から見て、それぞれが独自の優位性を持っており、セキュリティの信頼度としては高いものである。
※参照 特集:バイオメトリクス技術の特徴とPKI
特集:バイオメトリクスカタログ
- ソフトウェアを併用するタイプの認証関連製品
このタイプは、ワンタイムパスワード機能*2を持つ認証関連製品などに見られる。毎回違うワンタイムパスワードを、利用者側のカードなどとホスト側で認証しあう場合、予めホスト側にインストールしておいたソフトウェアで発生させたパスワードを使用する。
カードを盗難されたり、パスワードを盗難された場合でも、同じパスワードでは2度とアクセスできないため、セキュリティ強度は非常に強いといえる。
また、認証サーバを併用するものも多く、ネットワーク環境向けの認証関連製品といえる。ホスト側やサーバ側の管理を徹底することが重要だ。
*2 ワンタイムパスワード機能
ワンタイムパスワード機能1回のアクセスごとに異なったパスワードを発生し、本人の認証に用いる機能。毎回違うパスワードを認証に使用するため、固定パスワードのように盗まれやすいといった脆弱性がない。
●認証関連製品を選択するにあたり
ICカード型認証製品は、優れた汎用性を持つ反面、カードリーダなど別の専用装置が必要となるなど、導入は大掛かりなものになる場合が多い。また、ホスト側の管理体制も重要だ。
トークン型認証製品は、専用装置を必要とせず、USBなどのインターフェイスを介して直接接続するため、価格も低く、導入しやすい。ただし、ICカードのような汎用性は望めない。また、製品を盗まれた場合、簡単になりすましを行えるので、製品の管理が重要だ。
バイオメトリクス認証製品は、生物学的特徴を利用するため、個人に対する認証度は高い。ただし、虹彩認証やDNA認証など強固な認証度を得られるものは、高額で複雑なシステムや設備を必要とする。また、最近では、指紋認証やサイン認証など比較的手軽なバイオメトリクス認証を組合わせて使用する製品も多く、価格面を含め、導入しやすくなってきている。しかし、バックアップにパスワードを使用するものは安全性がパスワードのレベルに落ちることに留意しなければならない。
ワンタイムパスワードを用いた認証関連製品は、パスワードを盗まれても、なおなりすましを防げるという点でセキュリティ強度は高いといえる。ICカード型認証製品同様、ホスト側の管理体制が重要となる。
上記のように、各認証関連製品における導入対象や使用目的はさまざまだ。必要によってはカテゴリー別に重複して導入することも効果的だ。ただし、最近は複合的な機能を持つ製品も多いため、導入対象製品の仕様を比較することも重要だ。
| 暗号化によるローカル環境の情報セキュリティ |
●ファイアウォールの内側における脆弱性
多くの企業は、LAN(内部ネットワーク)とインターネット(外部ネットワーク)を接続している。この外部ネットワークと内部ネットワークが接続する部分で、外部からの侵入を制限するのが「ファイアウォール」だ。現在販売されているファイアウォールには複合的な機能を持つものが多く、いろいろな制限がかけられるようになっている。しかしながら、あまり厳しい制限をかけると、外部との通信自体を規制し過ぎてしまい、本来の利便性が得られなくなる。
ファイアウォールの役目は、あくまで外部からのアクセスを制限する範囲であるため、外部からの侵入を完全に防ぐものではないと認識すべきだ。
また、サーバやPCへのあらゆる脅威は外部ネットワークを介するものに限らない。むしろ内部の人間による故意や不注意による脅威の方が大きい。
 |
| 図1 セキュリティ製品と階層モデルとの関係 |
従って、ネットワーク内部における情報資産を保護するに当たっては、ファイアウォールの有無にかかわらず、情報資産の重要度に見合ったセキュリティ対策を行う必要がある。
●暗号製品
そこで登場するのが暗号製品だ。秘匿を目的とする暗号製品は、PCなどの記憶媒体の中にあるデータそのものを第三者にとって無意味なデータに置き換えることができるため、万一ファイアウォールやパスワードをくぐり抜けてサーバやPCの中に潜り込まれたとしても、データの盗聴や漏えいを防ぐことができる。
暗号製品には、「ファイル暗号ソフト」「暗号ライブラリ」「暗号ツールキット」などがある。
- ファイル暗号ソフト
ファイル暗号化ソフトの主な機能は、PC内やサーバ内のファイルを暗号・復号することにあるが、最近では、ファイルの圧縮・解凍、分割・結合、自動暗号設定、ファイルのアクセス管理などのさまざまな付加機能を持つ製品も発売されている。
ファイル暗号ソフトは、価格も低下してきており、数年前に比べて導入しやすくなっている。
- 暗号ライブラリ、暗号ツールキット
暗号技術の応用利用は幅広く、今日ではさまざまな認証技術や機能を組み合わせた製品も多く出回っており、ローカル環境やネットワーク環境といった垣根を飛び越えた利用が拡大している。
「暗号ライブラリ」「暗号ツールキット」は、
- セキュリティアプリケーションを実現させるための中核となる技術提供
- 既存アプリケーションに暗号化技術や電子署名などの機能の付加・実現させるものである。
これらの機能により、暗号アプリケーションソフトの開発効率を向上させることを目的としている。
●暗号化を習慣付けよう
データ秘匿に大変有効な暗号製品も、PCにインストールをしただけではその有効性を実感することはできない。大切なデータは常に暗号化しておくことを習慣付けることが重要だ。ワード文章終了時に上書き保存するように、フォルダにファイルを保存する際やメールにファイルを添付する際に暗号化することを習慣付けることをお勧めする。数回我慢して行うと、もう暗号化しなくては要られなくなるはずだ。
また、シャットダウンした時に自動的に暗号をかける設定をすることで、ノートPCをどこかに置き忘れたり紛失した場合、悪意のある第三者に持ち去られたとしても、内部のデータを盗聴される心配はないだろう。
●PCの廃棄を完全に
最近、企業における重要な内部文書のはいったPCを破棄する際に、PC内部のデータを消去したつもりが、データの復元が可能な状態であったために、データを復元されて企業の内部文書が公表されたといった事件が起こっている。このような内部漏えいを起こした責任は企業が取ることになる。その結果、企業の信頼は失墜する。現在のネットワーク社会では、PCを廃棄したつもり、データを消したつもりでは通用しない。事件の当事者は、認識不足により企業の信頼を失墜させたことで処分されることだろう。
PCを廃棄する際には、HDD内のデータを読取不可能な状態にすべきだ。HDD内のデータを消去する際に一番効果的な方法は、データ自体を読み出されたときにデータ自体を理解できないデータに置き換えておくことだ。そのような技術で思い付くのは暗号技術だ。最近では、データ削除(実際にはデータの暗号化)を目的とした暗号製品も出ているので活用されることをお勧めする。
●暗号製品の重要性
PCやサーバ内のデータを暗号している企業はごくわずかであるのが現状だ。暗号製品の役割の重要性を考えると、ファイアウォールやウイルス対策ソフト程度の導入率のような割合になってもおかしくないと思うのだが。
| 電子メール通信環境における情報セキュリティ |
●電子メールの脆弱性と「メール暗号ソフト」
電子メールは、インターネットにつながっている環境であれば、世界中のどこにいる人とでもメッセージをやり取りできるのがメリットだ。電子メールは、郵便物に例えるとハガキに当たる。それは、手軽で便利だが中身は中継点の人であればだれでも見ることができるということだ。従って、やり取りするメッセージに重要性があるようであれば、メッセージを読めなくしたりメールに署名を付けるべきである。
電子メールでそのような効果をもたらし得るのが、「メール暗号ソフト」である。「メール暗号ソフト」は、メッセージを相手側に送信する際に、メッセージの内容を第三者にとって無意味なデータに置換えるため、万一通信区間においてメールを取られたとしても、メッセージの内容を盗み見られる「盗聴」の危険性を防ぐことができる。また、デジタル署名の機能により、「なりすまし」を防ぐとともに、メッセージダイジェストとの照合により、文章の「改ざん」の有無を検知することができる。
●メール暗号ソフトの種類
現在、公開鍵暗号の原理を用いてメールのメッセージの暗号化を行う主な「メール暗号ソフト」には、PGPとS/MIMEがある。そのほかMOSS(MIME
Object Security Service)やPEM(Privacy
Enhanced Mail)といった方式があるが、現在ではほぼ使われていないため、言及を省略する。
| ※参考 電子メールのセキュリティ技術(財団法人情報処理相互運用技術協会) http://www.net.intap.or.jp/INTAP/information/technical/no.6/t6-2-2.html |
●PGPとS/MIMEの特徴
PGP、S/MIMEとも、公開鍵暗号を用いてメッセージの暗号化および復号化を行い、ハッシュ関数で変換後、デジタル署名を用いるといった基本部分は共通である。
PGPとS/MIMEの一番の違いは、鍵の信頼方法にある。PGPは、鍵の管理は使用者本人が行い、“お互いに認め合った”使用者同士がお互いの鍵を交換し合うことで、鍵を信頼しようとするのに対し、S/MIMEは、鍵の管理をあらかじめ“信頼のおける”認証局に委託しておき、必要な際に認証局から鍵を受け取って証明書を発行してもらうことで、鍵を信頼しようとするものである。
●どっちを選択すべきか?
PGPはフリーウェアで技術資料(解説文)がインターネット上に多く掲載されているため、試しに導入してみようかと選択するという企業も多い。しかし、企業内で使用している間はいいのだが、取引にも使用してみようと思ったときに、どうやって拡張していこうかとか、いっそのこと、S/MIMEに入れ直そうかと検討する企業もあるようだ。
PGPはもともとインターネットを利用する仲間同士で安全で気軽なメールのやり取りをすることを目的として作られたソフトであり、一方のS/MIMEは主にビジネスで使用するために電子メールのプライバシーを保証することを目的として開発されたソフトであるため、鍵の信頼に対する考え方が異なる。
ただし、どちらを選択する場合においても、“お互いに認め合った”もしくは“信頼のおける”ことを、使用者本人が本当に納得できるものかを留意する必要がある。使用の目的に合った方を選択することが望ましい。
つまり、企業が取引に使用する際においても、またがって使用する企業グループ間で確実に鍵の管理ができる場合はPGPを選択してもよいし、鍵の管理が煩わしく、なおかつ認証局が信頼できるようであればS/MIMEを選択した方がよいだろう。ようは、鍵を管理するところを特定の団体に限定する必要があるかどうかで判断すればよい。
●情報セキュリティ製品導入のポイント
- 企業としてのポリシーを掲げ、方向性を決める
- リスク分析を行い、リスクを把握する*3
- トータルセキュリティバランスを考慮する
*3 リスクは、危険や脅威として捉えるのではなく、未来を予測した結果と現実の差異であると捉えるべき。
◇
ローカル環境および電子メール通信環境における認証および暗号製品の運用方法は理解できただろうか? 次回は、「Webにおける脆弱性とその解決」と題して、 Web利用時においての問題点・留意点を中心に解説する。
■参考Webサイト
IPA/ISEC 「S/MIMEを利用した暗号化と電子署名」
IIJlab Newsletter
#4(1998/09/24)PGP/MIMEとS/MIMEの動向
電子メールのセキュリティ技術
PGPの勧め
JPCERT/CC コンピュータ緊急対応センター
PGP Public Keyserverへようこそ
■関連記事
S/MIMEでセキュアな電子メール環境をつくる!
バイオメトリクス技術の特徴とPKI
バイオメトリクスカタログ
技術解説:IT管理者のためのIPSec講座
電子政府に向け、諸外国の暗号製品規制調査を公開
開発者が押さえておくべきセキュリティ標準規格動向
|
||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||
 |
連載:情報セキュリティ運用の基礎知識 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
