第11章 セキュリティ

ネットワークセキュリティ

コンピューティングネットワークのインフラ面が攻撃されると、個人、企業、国まで大きな影響を及ぼす可能性がある。DMZ、MDM、MACアドレスフィルタリングは必ず覚えて解答力を身につけよう。ファイアウォールは、IT実務でも基礎的な知識であるため必ず専門知識として覚えておこう！

ネットワークセキュリティ

　インターネットやリモートネットワークでは、ユーザーが不正なアクセスをしないようにセキュリティを高めていく必要がある。会社内の情報をサイバー攻撃などから守り、社会的な信用を保つためにも欠かせない。ここではネットワークを保護するためのセキュリティ対策を説明する。

ファイアウォール

　ファイアウォールとは、内部ネットワークと外部ネットワークの境界線に設置することで、不正なアクセスやデータの移行を防ぐものです。パケット単位で通過と不通過を判断しますが、この判断をフィルタリングといいます。このフィルタリング機能は、ルールベースという通過と不通過を判断するためのルールに沿って作動します。

　ファイアウォールを設置すると、DMZができる。DMZには外部とのやりとりを行うサーバを設置することで、それらのサーバが不正に乗っ取られても、内部ネットワークへの影響を最小に抑えることができる。

プロキシサーバ

　プロキシサーバとは、インターネットへのアクセスを代理で行うサーバのことである。プロキシとは「代理」を意味する言葉で、フォワードプロキシとも呼ばれる。プロキシサーバは、一度アクセスしたWebページのキャッシュを保存しておき、再度そのページにアクセスする際にキャッシュを返信することで、インターネットの代わりにアクセスが可能になる。

　外部からはプロキシサーバがアクセス元だと認識されるため、本物のコンピュータの情報を隠すことができる。

WAF

　Web Application Firewallは、Webアプリケーション間の不正なアクセスを阻止するためのファイアウォールである。Webブラウザとの通信を監視して、不正なアクセスとみられるものを拒否する。不正を遮断する方式として２つの方法がある。

• ホワイトリスト方式・・・ホワイトリストとは、怪しくない通信を一覧にしたリストで、ホワイトリスト方式ではホワイトリストの通信パターンのみ通過させる。
• ブラックリスト方式・・・ブラックリストとは、怪しい通信を一覧にしたリストで、ブラックリスト方式ではブラックリストの通信パターンを遮断する。

ネットワークセキュリティ対策機器

• IDS・・・システムに対する侵入を検知する。親友検知システムともいう。
• NIDS・・・管理下のネットワークを監視して、異常値を示した通信を検知する。
• HIDS・・・ホストを監視して、パターンの一致を妨害したりする攻撃に対処する。
• IPS・・・侵入防止システムのことで、不正パケットを遮断する。
• ハニーポット・・・ダミー機器として搭載され、攻撃源を発見するための機能を持つ。

VPN

　VPNは、仮想専用線と呼ばれるものである。専用線とは、通信回線のことである。インターネットを通信回線として利用する技術である。許可されたユーザーのみが通信内容にアクセスできるようにされている。VPNを実現するには、セキュリティプロトコルが重要な役割を担う。誰でもインターネットの回線を使えるわけではないため、IPsecを活用して、暗号化や認証を適切に行い、改ざんを検出する。

外部機器の持ち込み

　企業が社員に貸し出している端末は内部機器のためネットワークセキュリティの危険性が低いです。しかし、個人が使用しているパソコンやスマートホンを内部ネットワークに接続するときは、様々な危険が孕んでいます。この対策として、検疫ネットワークとMDMについて説明します。

●検疫ネットワーク

外部から持ち込まれた端末がネットワークに接続要求をしたとき、検査用のネットワーク領域で確認してから、内部ネットワークに接続することで、悪意のあるユーザーから情報を保護する

●MDM

システム管理者が設定した端末を遠隔地から操作できるようにソフトウェアを組み込むことをMDM（Mobile Device Management）という。

無線LANのセキュリティ

　無線LANは、アクセスしやすい通信方式であるため、セキュリテイを高めておく必要がある。

● MACアドレスフィルタリング

あらかじめ登録されたMACアドレスを持つコンピュータまたはネットワーク機器しか接続できないようにすることで、不正アクセスを防止する

●WEP, WPA, WPA2

無線LANを暗号化して不正アクセスを防止する。無線LANの暗号化方式として、代表例がWEP, WPA, WPA2である。