コバヤシクエストLv6③ 〜セキュリティ対策前編〜

前回までの記事で、私たちの生活に潜むサイバー攻撃の脅威や、それに対抗するための基本原則「セキュリティの三大原則(CIA)」について学んできました。

では今回は具体的にどうやって守るのか?というセキュリティの対策に入ります。
外側にあるインターネットから侵入してくる脅威に対して、どのように玄関先で防ぐのかという視点から、対策技術「ファイアウォール」「IDS/IPS」「SSL/TLS」を紹介します。
それでは本日もお付き合いよろしくお願いします!

ファイアウォール

ファイアウォールは、インターネットから自社ネットワーク(社内LANなど)に入ってくる通信を監視し、不正なアクセスをブロックする防火壁のような存在です。
実社会でたとえるとビルの入り口にいる警備員の方のような存在ですね。

ITパスポート試験では、「不正なアクセスを検知するのではなく通さない」のがポイント。
あくまで入口の番人であることを覚えておきましょう。

IDS IPS

IDS(Intrusion Detection System)

IDSは、すでに通過した通信や、内部ネットワークの状況をモニタリングして、不正な侵入を見つける(Detection)システムです。

たとえるなら、家の中に設置された監視カメラです。
誰かが窓を割って侵入した形跡を見つけて、何かおかしいと気づいてくれる存在です。

ただしIDS自体には止める力はありません。
見つけた情報を管理者に通知するまでが仕事です。あくまで監視カメラ。

IPS(Intrusion Prevention System)

IPSは、IDSの発展版で、不審な通信や行動を検知したときに、それを自動でブロックすることができます。

つまり、監視カメラ機能+侵入者撃退機能」を備えた防犯装置のようなものです。
怪しい動きを検出したら、その場で通信を遮断したり、当該PCをネットワークから一時的に切り離すといった防止(Prevention)活動をしてくれます。

試験対策としては、IDSは「見つけるだけ」、IPSは「見つけて止める」まで行うという違いを押さえましょう。
私は、「D(Detection=発見)」と「P(Prevention=防御)」の頭文字で覚えました。

SSL/TLS

これまで紹介したファイアウォールやIDS/IPSは、いわば不審者が敷地に入らないようにする対策でしたが、実際の通信のやりとりでは、相手に届くまでの経路がのぞかれないようにする必要もあります。

時はさかのぼり1990年代初頭、インターネット上で電子商取引が始まった頃にSSL(Secure Sockets Layer)は登場しました。
当時、WebブラウザやWebサーバー間の通信は暗号化されておらず、クレジットカード情報などが平文で送信されていたため、大きなセキュリティ課題となっていました。
このような課題を背景にSSLが開発され、通信の暗号化が実現します。

のちにTLS(Transport Layer Security)へと進化をし、現在ではWebサイトにおける暗号化通信の標準装備として、多くのECサイトやログインフォームで導入されています。

ブラウザ上に表示される「https://」は、こうしたSSL/TLSによる暗号化通信が施されている証であり、現代のWebにおいては設定されていることが一般的というレベルまで普及しています。
私たちがネットショッピングなどでよく見かける「https://」と表示されているサイトは、SSL/TLSによる暗号化通信が行われていたようです。

試験対策としてはHTTPS=SSL/TLSによる暗号化通信という対応関係を覚えていました。
また、暗号化するのは中身であって、送信者や受信者自体の認証ではないという点にも注意が必要です(認証の話は次回記事で扱います)。

今日のまとめ

ここまで紹介した3つの技術は、役割と守備範囲が異なります。
あくまで私の個人的なまとめ方ですが、ざっくりと「外部→内部」の順でイメージすると、以下のようになります:

  1. ファイアウォール → 門番として入口の不審者をブロック
  2. IDS/IPS → 敷地内の監視&自動対応(発見+遮断)
  3. SSL/TLS → 通信経路そのものを見えないようにする暗号化技術、情報を封筒の中に入れて送るイメージ

セキュリティ対策は、単独で完璧なものはなく、複数を組み合わせて行われます。
ファイアウォールだけでは通信内容を守れませんし、SSLだけでは侵入者を防げません。
「入口・敷地内・通信経路」という視点で、セキュリティの多層防御策を暗記していました。

対策技術守る場所主な役割たとえ試験で押さえるべきポイント
ファイアウォールネットワークの入口不正なアクセスをブロック(通さない)門番・セキュリティゲート「入口で止める」「通さない」
IDSネットワーク内部不正な侵入を検知して管理者に通知監視カメラ「発見するが止めない」
IPSネットワーク内部不正な侵入を検知し、自動で遮断する監視カメラ+自動通報装置「発見して止める」
SSL/TLS通信経路全体通信内容を暗号化し、盗み見や改ざんを防ぐ封筒に入った手紙「内容を暗号化」「HTTPS」「中身を守る」
セキュリティ対策

さてここまで、セキュリティ対策前編を見てまいりました。
次回は、さらに一歩踏み込み、「暗号化」「デジタル署名」「多要素認証」といった、本人確認やデータの正当性を守る技術についてご説明してまいります。
本日もご覧いただきありがとうございました。


小林大洸/ITコンサルタント

この記事の執筆者

小林大洸/ITコンサルタント

保有資格:AWS認定 SAA,CLF,ITパスポート/技術と経営をつなぐ視点で、中小企業やスタートアップのクラウド導入・業務改善を支援。 ITの話を「わかりやすく」伝えることを大切にしています。

タイトルとURLをコピーしました