ネットワークのセキュリティ
セキュリティ プロトコル
- SSL (Secure Socket Layer)
- TLS (Transport Layer Security)
- SSH (Secure SHell)
- IPSec (IP Security)
- S/MIME (Secure/MIME)
- PGP (Pretty Good Privacy) PGP - @IT ネットワーク用語事典
SSL (Secure Socket Layer)
SSLはインターネット上で情報を暗号化して送受信するプロトコルです。これは、
- 公開鍵暗号
- 秘密鍵暗号
- デジタル証明書
- ハッシュ関数
などを組み合わせて、サーバ/クライアント間でのユーザー認証、通信の暗号化を行います。そしてHTTPにSSLの暗号化機能を付加したプロトコルがHTTPSです。SSL - @IT ネットワーク用語事典
なお一般的にSSLと呼ばれるものには、TLSも含まれます。
SSL 3.0の脆弱性
SSL 3.0には深刻な脆弱性が発見されており、その使用は避けるべきです。
参考
- SSL 3.0の深刻な脆弱性「POODLE」、専門家が警告 - CIOニュース:CIO Magazine (2014/10/17)
- Google、SSL 3.0の脆弱性「POODLE」を公表、SSL 3.0は今後サポート廃止の意向 -INTERNET Watch 三柳英樹 (2014/10/15)
SSLの信頼性
- 【Infostand海外ITトピックス】Webセキュリティの取り組みを台無しに? 「Superfish」騒動 - クラウド Watch 行宮翔太 (2015/03/02)
使用されているプロトコルの確認
| ブラウザ | 確認方法 | 例 |
|---|---|---|
| Internet Explorer | メニューの【ファイル → プロパティ】でプロパティを表示し、[接続]の項目で確認 | 接続: TLS 1.2、AES / 256 ビット暗号 (高); ECDH / 256 ビット交換 |
| Firefox | メニューの【ツール → ページの情報】でページ情報を表示し、[セキュリティ]の[技術情報]で確認 | 接続が暗号化されています (TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、鍵長 256 bit、TLS 1.2) |
| Chrome | 【設定 → その他のツール → デベロッパーツール】からデベロッパーツールを開き、[Security]タブの[Connection]で確認 | The connection to this site is encrypted and authenticated using TLS 1.2 (a strong protocol), ECDHE_RSA with P-256 (a strong key exchange), and AES_256_GCM (a strong cipher). |
TLS (Transport Layer Security)
TLSはインターネット上で情報を暗号化して送受信するプロトコルの一つであり、SSLをIETFが標準化したものです。そしてTLS 1.0は、SSL 3.0を改良したものです。TLSとは 【 Transport Layer Security 】 【 SSL/TLS 】 - IT用語辞典 e-Words
TLSの脆弱性
- TLS実装の脆弱性「ROBOT」、19年前の攻撃が再来 大手各社の製品に影響 - ITmedia エンタープライズ 鈴木聖子 (2017/12/14)
SSLサーバ証明書 (SSL server certificate)
SSLサーバ証明書は、
- サーバとの通信の暗号化
- サイトの所有者の確認
の2つの機能を備えています。
このSSLサーバ証明書は誰でも発行することができ、この証明書があるだけでは安全は保証されません。この問題への対策として、EV SSL証明書があります。
| 認証レベル | 暗号化通信 | ドメイン所有者の 登録情報の確認 |
サイト所有者の 実在性の確認 |
サイト所有者の 法的、物理的な実在性の確認 |
|
|---|---|---|---|---|---|
| DV | Domain Validation (ドメイン認証) | ○ | ○ | × | × |
| OV | Organization Validation (企業認証) | ○ | ○ | ○ | × |
| EV | Extended Validation (EV) | ○ | ○ | ○ | ○ |
EV SSL証明書 (Extended Validation SSL certificate)
EV SSL証明書とは、厳格な審査を受けて発行されたSSL証明書です。
- 5分で絶対に分かるEV SSL証明書 - @IT 上杉謙二 (2008/10/31)
SSLハンドシェイク (SSL handshake)
参考
- 図解で学ぶネットワークの基礎:SSL編 - イントロ:Webアクセスに欠かせない、情報の秘密を守るしくみ:ITpro 半沢智 (2007/10/20)
- [Think IT] 第6回:SSLの基本を押さえる (1/3) 木下喜雄 (2007/11/14)
SSH (Secure SHell)
ネットワークを介してサーバにログインしたり、ファイルの転送、コマンドの実行などを行うプログラムです。なお通信データは暗号化されます。SSH - @IT ネットワーク用語事典
Windows用のSSHクライアントとしては、TeraTermがあります。
IPSec (IP Security) / Security Architecture for IP
IPSecとは主にVPNで使用されるセキュリティ技術で、パケットの暗号化と認証情報の付加を行います。IPsec - @IT ネットワーク用語事典
次の3つのプロトコルが使用されます。
- AH (Authentication Header:認証ヘッダ) … データ認証と改ざん検知
- ESP (Encapsulating Security Payload:暗号ペイロード) … 暗号化機能
- IKE (Internet Key Exchange:鍵交換) … 暗号アルゴリズムの情報や共通鍵を交換
PPTP (Point-to-Point Tunneling Protocol)
- PPTPとは|Point-to-Point Tunneling Protocol - IT用語辞典 e-Words
- ITmedia エンタープライズ:How-To:特別企画:PPTPによるVPNの構築 大澤文孝
参考
- 【特集】IPsecで安全ネットワーク構築 -暗号化通信のススメ- - マイコミジャーナル 紫藤政義 (2002/06/25)
ユーザー認証 (User authentication)
2段階認証 (2-step verification) / 2ステップ認証
2段階認証とは、認証時に通常のパスワードに加えて、1回限り有効な認証用のコードを用いる方式です。その認証用のコードを携帯端末などの異なるデバイスに送信することは、2要素認証と呼ばれます。
- 2 段階認証プロセスについて - Google アカウント ヘルプ
- 2 段階認証: FAQ - Microsoft Windows
- Apple ID:Apple ID の 2 段階認証についてよくお問い合わせいただく質問 (FAQ)
リスクベース認証 (Risk-based authentication)
リスクベース認証とは、ユーザーの利用環境を基に、必要なときのみ認証を求める方式です。
- 日本HPとRSAセキュリティが推進するセキュリティ基盤"リスクベース認証" | マイナビニュース 五味明子 (2007/12/21)
- リスクベース認証(画像・合言葉)について:セキュリティについて|ゆうちょダイレクト
Basic認証 (Basic authentication)
電子証明書 (electronic certification / digital certificate)
ルート証明書 (root certificate)
ルート証明書とは、その証明書の発行機関を証明する証明書です。ルート証明書とは 【 root certificate 】 - IT用語辞典 e-Words
たとえばInternet Explorerに組み込まれているルート証明書は、インターネット オプションの[コンテンツ]タブで、[証明書]をクリックして表示されるウィンドウの[信頼されたルート証明機関]で確認できます。
PKI (Public Key Infrastructure) 公開鍵暗号基盤
- 技術者でなくても分かる 電子証明書と PKI 入門 | シマンテック
- 「PKI基礎講座」最新記事一覧 - ITmedia Keywords 浅野昌和 (~2001/10/26)
- 5分で絶対に分かるPKI 新野淳一 (2001/02/17)
証明書の状態
- 有効
- 無効
- 有効期限切れ
- 廃棄 (失効) 状態
- 一時停止 (失効) 状態
証明書の失効
- PKI関連技術に関するコンテンツ
- PKI基礎講座(5):証明書の有効性 - @IT 浅野昌和 (2001/02/23)
- Google、不正なデジタル証明書に失効措置 - ITmedia エンタープライズ 鈴木聖子 (2014/07/09)
匿名化 (Anonymous)
Tor (The Onion Router)
Tor Browser
参考
- Tech Basics/Keyword:Tor(The Onion Router) - @IT 打越浩幸 (2016/02/01)
- “誤認逮捕”を防ぐWebセキュリティ強化術 - [5]暗号化の“皮”を重ねて匿名性を確保する「Tor」:ITpro 北河拓士 (2013/03/01)
- ASCII.jp:警察情報を漏えいさせた匿名通信システム「Tor」の秘密 中野功一 (2011/02/17)
≫VPN (Virtual Private Network)
サイバー攻撃 (Cyber attack)
DoS攻撃 (Denial-of-Services attack / DoS attack)
サービスやシステムを正常に稼働できない状態にする攻撃で、次の2種類があります。DoS攻撃(サービス拒否攻撃)とは - IT用語辞典
- 大量のリクエストを送ることで、サービスを飽和状態にして応答できなくする
- サービスの脆弱性を利用し、それを停止させる
このうち前者の方法を、多数の機器から行う攻撃をDDoS攻撃 (Distributed Denial-of-Service attack / 分散DoS攻撃) と呼びます。またそれを送信元アドレスを偽装することで、応答を攻撃対象に集中させる方法をDRDoS攻撃 (Distributed Reflection Denial-of-Service attack / DoSリフレクション攻撃) と呼びます。
参考
- セキュリティ・ホットトピックス - 韓国の大規模サイバー攻撃は非正規Windowsサーバーのパッチ配布が原因:ITpro 片山昌樹 (2013/03/21)