● ネットワークセキュリティの必要性
Ø ネットワークは相互のマシンのやりとりがあって始めて成立するものである。つまりこちら内部のマシンに対して、外部のマシンとやりとりが行われる。もしセキュリティを全く考えないとすると、それは、自分のマシンやネットワークを広く開放し、ご自由にアクセス・使用して下さいと言っていると同じである。
Ø ネットワークは元々性善説で成り立っていたが、それでも人間が本来有する興味やまた間違いなどにより、よからぬ行為・予期せぬ行為となってしまうことがあり、不必要なアクセスを制限することは自然である。
Ø 守らなくてはならないのは、プライバシなどを含む守秘されるべきデータの保護、様々な資源の無断利用などである。
Ø ちなみにセキュリティの基本は、「制限」であるが、これは利用者から見れば不便なことが多く、利用要求上快適でしかもセキュリティを考慮するといった相反する要求をバランスよく満たすことはなかなか難しい。例えば(極端な例だと)、一番セキュリティを厳しくしたネットワークは、他のネットワークと一切通信できなくさせ、しかも信頼できる自分のみが使用できるようにすることであるが、これだとネットワークとしての意味が全くなくなる。
● 悪意のあるユーザについて
Ø ネットワークなどに悪意を持って侵入し、不正利用をしたり、不正にデータを取得したりする人たちがいる。これらの人々を様々な名前で呼ぶことがある。
Ø 一般には不正に侵入してくる者は、不正侵入者「イントルーダー」と言える。ここで侵入というのはtelnetなどを使い外部から内部のコンピュータ資源を自由に使えるようにすることを主に言う。しかし、悪意あるユーザは必ずしも侵入してくるばかりではない。単にデータを送ってきたり、こちらのデータを外に出たところで書き換えたり、人の名前を語ったりする場合もある。
Ø 何らかの目的で侵入などを試みる者を「アタッカー(攻撃者)」と呼ぶが、この中でも悪質目的をもって無理矢理侵入するイントルーダを、「クラッカー」と呼ぶ。
Ø 一般に「ハッカー」と呼ばれる人々は、本来コンピュータなどに精通した人たちのことを指し、必ずしも悪い人のことをさすのではない。しかし、多くのマスコミなどで、「ハッカー」=「悪者」と言うように理解されてきてしまっているが、必ずしも正解ではないことに注意しよう。
Ø 多くの不正者は、ハッカーである。つまりコンピュータやネットワークに精通していなければ、このような行為は不可能だからである。また、不正者の多くは最初は出来心もしくは単なる興味本位によるいわゆる覗き見行為から始まっていると言われている。しかし、最近は状況が若干変わりつつあると考えてよい。ハッカーでなければできなかったこのような不正行為は、技術の発展とまたインターネットのオープン性により誰でも簡単にハッキングツールを手にすることができてしまうようになった。よって、全く詳しくない人でも簡単にハッキング行為をすることができてしまうのである。
Ø イントルーダ−は、通常事前に調査を行う。侵入すべきサイトや、攻撃すべきホストもしくは方法などを決めるためである。よく知られている具体的な調査方法の一つにポートスキャン(port scan)がある。あるネットワークもしくはホストに対して、どのポートが通過できるか、稼動しているかを調べるものである。
Ø 管理者側の判断として難しいのは、これら調査が悪意の前兆であるのかそれとも単純な調査であるのかを区別することである。例えば、マシンが生きているか否かを調べるpingというツールによる調査、またどのような経路を辿って先方ホストまで到着するのかを調べるtracerouteというツールによる調査などは、一般の管理者や興味あるユーザによって実行されることはある程度自然である。よってこれらを頻繁に特定のネットワークやホストに対して行う場合には、先方の管理者に一言告げておくことがよいと思われる。
● セキュリティの種類/レベル
Ø セキュリティは、様々な種類/レベルで考えなければならない。主に次の3つに分けられると考えられる。
1. 個人でのセキュリティ
2. ネットワークとしてのセキュリティ
3. マシンとしてのセキュリティ
4. ネットワークサービスとしてのセキュリティ
Ø 個人でのセキュリティは、個人で保有するデータやパスワードなどにおけるセキュリティであり、多くの場合個人の責任で管理すべきである。例えばパスワードなどは、数ヶ月置きに変更をすべきであるし、人に教えることは論外であるが、想像されないパスワードにしなければならない。
² パスワードを人に教えることは、まず考えられないと思われるが、実際にはこれすら守られない場合が多い。ある程度の規模のネットワークを対象としたネットワーク管理者ですら、これが守られない場合も実際にある。例えば、電話で社員などの利用者を装って、「パスワードを忘れたので、教えてほしい」と頼まれ、すぐに応えてしまう管理者が実際にいる。
Ø ネットワークとしてのセキュリティでは、元々そのネットワークに外部とのやりとりに制限をしようというものである。つまり、ネットワーク全体を全て開放するのではなく、必要最低限のアクセスしかさせないというやりかたである。
Ø ネットワークが頑強なセキュリティをとっていたとしても、マシン毎にきちんとセキュリティを考える必要がある。これは、巧妙な不正侵入者がネットワークを超えてきてしまう可能性があること、また、内部に不正者がいるかもしれないことを考えておく必要があるからである。もちろん単純なミスなどでデータが破壊されたり、情報が洩れたりすることを防ぐ意味もある。
Ø マシンのセキュリティは主にそのマシンへのアクセスを制限することで実現するが、実際にはマシン全体ではなく、マシン内にセットアップした機能つまりサービスについてもセキュリティを考える必要がある。例えば、あるホームページサーバには、掲示板/チャット機能が備わっているとすると、いわゆる掲示板荒らしのような不正利用者からなるべく守れるように機能を制限するなどした方がよい。また学内・社内限定の情報を公開ホームページサーバにおくこともあるが、これらはHTTPデーモンの設定時にきちんと外部からアクセスできないように設定しておかなければならない。
Ø セキュリティを極端に強化することは、ネットワーク及びマシンそのものを使用しないことに通じる。また正常利用者に何らかの手段でアクセスできる方法を残しておけば、やはり何らかの手段で不正アクセスができる可能性が残されているわけである。
Ø セキュリティは様々なレベルで、慎重にかつ頑強に、またユーザの利用の必要性及び利便性とのバランスを取って設定し、また常に監視、メンテナンスを怠らないようにすべきである。と共にユーザへの教育も忘れてはならない。
● セキュリティ強化の方法
Ø 不正アクセスなどのアタック手法は多岐に渡っている。直接アクセス(アタック)してくるものから、メールの不正中継、WEB掲示板への不正書き込み、種々データの改ざん、盗聴、誹謗中傷、機能停止攻撃などなど。よって、様々なレベルで末端利用者を含み全ての利用者・管理者ができる限りのことをしていく必要がある。小さな一つの穴でも、開いていさえすれば侵入され大きなことになってしまう。
Ø 上記でも述べたように、まず個人のパスワード保護が大切である。また個人でできるセキュリティ設定(例えばファイルのパーミッション設定など)をきちんとすべきである。
Ø また個々のマシン(端末)では、各種のログを取り、ネットワークを介して他のユーザがどのように利用しているのかをきちんと記録しておく必要がある。勿論状況に応じて利用者や利用端末の制限をすべきである。
Ø マシンのOSやサービスアプリケーションなどでは、当然ある種のバグが含まれている可能性がある。また日々進歩している攻撃手法に耐えられない仕様になっていることも十分に予想される。よって、OS、アプリなどに関して、セキュリティ対策が施されているかを日々のアタック手法をウォッチングしながら、必要に応じて強化補強をしていく必要がある。
Ø 更にネットワークサービスを提供している端末では、詳細にかつ慎重に個々のアプリケーション(サービス)を設定する必要がある。
Ø ネットワーク自体のセキュリティとしては、ルータによるパケットフィルタリングや、ファイヤーウォール(FireWall)(防火壁)の設置などが考えられる。
Ø Fire Wall (F/W) は内部のネットワークとインターネットとの間によく設けられる、本格的なセキュリティ強化の手段である。いわゆる門番(守衛)的な役割をするものである。F/Wの実現にはいくつかの種類があるが、その一つがIPアドレスとプロトコル(アプリケーションレベルの使用ポート)による制限である。例えば、外部から内部に伝達されてきたパケットを見て、そのパケットに記述されている内部ホスト及び使用ポート(アプリ)ケーション)の組み合わせを見て、ホームページサーバではないのに、HTTPプロトコル(80番ポート)でアクセスしようとしていたら、このパケットをF/Wで破棄するなどとする
Ø F/Wはいわゆるネットワークにおける門番の役目をし、必要なもののみを通し、不必要もしくは疑わしきものは通過させないというものである。しかしF/Wを設置しても多くの場合、一般に広く公開する情報はF/Wの外側に置く。これは例えば銀行のような所でも案内や郵便受けは頑丈に鍵がかけられた金庫の外にあるのと同じといえる。最近のF/WではDMZ(非武装地帯)という別の足を持ち、ここにこれらの公開用ホストを置くことが多い。
Ø F/Wなどを設ける大きな理由は、セキュリティに注力すべき対象をなるべく絞り、重点的に強化を行えばよくすることになる。
Ø いずれにしろ、日々の不正アクセスに関する事件や技術またバグ情報などを十分に注意した上で、管理対象のマシンや機器などを常に最新に保つように保守し、アクセスなどの記録(ログ)をこまめにチェックし、OSやアプリ及びユーザレベルでのセキュリティ設定をこまめにきちんとすることが必要である。
Ø またハッキング行為及びそのキッカケなどは、身内から起きる場合が予想以上に多く、ユーザへの教育及びユーザ利用動向、ログなども十分に監視していかなければならない。
◎確認項目(小テスト)
(1) FireWallで守ることのできない攻撃はどのようなことがあげられるか。
(2) 内部ユーザの悪意の無い失敗による被害を守るためにはどのようなことに気をつけたらよいのか。
(3) FireWallなどの防御を施しても、一つの穴(侵入経路)があった場合、内部全てが危険にさらされる結果となることが多い。これはなぜか。
(4) FireWallの設定/管理者は、どのような情報を設定し、どのようなことに気をつけなければならないか。
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-