| TOP > セキュリティ ガイダンス センター > |
|  時間は貴重です。 コンピュータのことなど気にかけているひまはないと言われれば、そのとおりです。 しかし、実際に存在する脅威とその脅威に対処する方法を理解するには、技術面もある程度は知っておく必要があります。 必要最小限に留めますので、ご心配にはおよびません。 |
|
|
| ■ネットワーク、ネットワーク間ネットワーク、およびインターネット コンピュータはそれだけで優れた存在であり、科学技術の驚異と言えます。しかも、情報をやり取りできるという良さがあります。ネットワーク カードとケーブル (またはワイヤレス セットアップ) を使用して複数のコンピュータをリンクすると、ローカル エリア ネットワーク (LAN) を構築できます。ネットワーク上のすべてのコンピュータはデータおよび電子メールを共有でき、プリンタ、モデム、ブロードバンド インターネット接続などの共有リソースにもアクセスできます。複数の LAN をリンクすると、ワイド エリア ネットワーク (WAN) を構築できます。たとえば、離れた場所にある 2 つのオフィスを、リース契約した専用回線でリンクします。 ネットワーク間ネットワークは、複数のネットワークから構成されたネットワークです。特定のネットワーク内のコンピュータの情報は、ネットワーク間ネットワークによって他のネットワーク内のコンピュータに移動することができます。ネットワーク間ネットワークは、一般の運送手段のような役割を果たします。ネットワーク間ネットワークは、ある地方の道路と別の地方の道路をつなぐハイウェイのようなシステムと考えてください。 インターネットは、地球規模のネットワーク間ネットワークです。インターネット上のすべてのコンピュータで標準プロトコルを使用して通信が行われ、インターネット上の任意のコンピュータの情報が他のコンピュータに到達できるようになります。ここで問題が発生します。公共のネットワークに接続しない限り、外部の脅威からはまず安全です。公共のインターネットに接続するということは、自分の名前、アドレス、および電話番号を公表して、「ここにコンピュータがあります」と宣言するようなものです。 |
| ■パケット 情報は通常、パケット単位でネットワークを移動します。パケットとは、ひとまとまりのデータに、そのデータの配信先ネットワークを示すアドレスなどの情報を付加したものです。Web ページ、電子メール、ダウンロードなど、インターネットを経由するものはすべて、パケットに分割されます。サーカスが移動するようなものと考えてください。サーカス全体を 1 台の車で移動させることはできません。分割し、別々の車に積み込み、それぞれの車に行先を伝え、すべての車が目的地に到着したら元どおりにサーカスを組み立てる必要があります。道路上の車のように、パケットは物理的なつながりを共有し、続々と移動します。大きなデータは一連のパケットに分割され、送信先で再度結合されます。パケットは、インターネット上を移動するときには、事実上公けの傍受にさらされています。 |
| ■ポートおよびアドレス ネットワーク上の各コンピュータには、IP アドレスと呼ばれる一意の番号が割り当てられています。IP アドレスは、そのコンピュータをネットワーク上で一意に定義し、パケットが送信先に到達するための指針となります。IP アドレスは、住所と同じ働きをします。アドレスの一部は送信先のコンピュータのネットワーク セグメントを特定し、一部は実際のコンピュータを特定します。 IP アドレスはコンピュータおよびそのコンピュータが存在するネットワーク セグメントを参照しますが、そのマシン上の個々のアプリケーションも特定可能である必要があります。住所に追加された部屋番号のようなものと考えてください。住所がマンションの建物を示し、部屋番号が実際の部屋を示します。IP アドレスはコンピュータを示し、ポート番号はそのコンピュータ上のプログラムを示します。ネットワーク経由でデータを送受信する必要があるコンピュータ上の各プログラムには、特別なポート番号が割り当てられます。情報のパケットが特定のポート番号で受信されると、そのパケットを取得するアプリケーションがどれか、コンピュータが認知できます。たとえば、ポート 80 は Web サーバー (Web ブラウザを使用して探索する Web サイトのホスト) のポートであり、ポート 25 は電子メールの送信に使用されるポートです。パケットは、特定の IP アドレスの特定のポートに送信されます。 |
| ■ファイアウォール ファイアウォールは、指定されたポート上のトラフィックをブロックします。これは、他者のコンピュータのサービスにアクセスできないという意味ではなく、部外者がコンピュータに入り込めないということです。一部のファイアウォールは、ネットワークに入ってくる (および、おそらくはネットワークから出て行く) パケットを調べて、それらが正当なものであることを確認します。不審なパケットはフィルタで除外することもできます。ファイアウォールは、ネットワーク内のコンピュータの ID を隠蔽することで、犯罪行為を行うハッカーが個々のマシンを標的にすることを難しくします。 |
| ■サーバー サーバーは、実際はネットワークに接続された別のコンピュータというだけですが、プリンタの共有、ファイルの格納、Web ページの配信など、ある特殊な機能を実行するように指定されています。 ノートブックまたはデスクトップ コンピュータがインターネットに接続されている場合は、これも一種のサーバーであり、ファイアウォールがセットアップされていないと、インターネットから不要なトラフィックを受信する可能性があります。 |
| ■ウイルス、ワーム、トロイの木馬、スパム、およびデマ ウイルス 電子メールは 1 年間に膨大な数の電子メール メッセージを生み出していますが、それらのメッセージの中の好ましくないものの割合が増大しています。ある電子メール セキュリティ企業は、2003 年 8 月に 4 億 1,300 万通の電子メールをスキャンしました。その 3 パーセントにウイルスが含まれており、52 パーセントはスパムで、多くの場合なんらかのポルノ画像が含まれていました。電子メールには、主に次のような 5 つの脅威があります。
|
| ■ソフトウェアが脆弱な理由 ソフトウェア開発者は、安全でないプログラムを書こうとしているわけではありません。たとえば、一般的なオペレーティング システムは、何万時間もの作業を要する製品であり、数百万ラインのコードで構成されています。単純なバグまたは見落としのせいで、それがなければ安全なはずのシステムに予期しない不正手段が生み出される可能性があります。バグのないソフトウェアを書くことは不可能です。もちろん、それで開発者が努力を怠って良いというわけではありません。 悪事を働く人間はどこにでもいます。銀行強盗の Willie Sutton は、「銀行を襲うのは、そこに金があるからだ」と言いました。ソフトウェアについても同様です。ソフトウェアが評価を得て広く普及すればするほど、攻撃者はそれを標的にします。 欠点に付け込もうとする攻撃者と、欠点を取り除こうとする開発者との闘いは、絶え間なく続いています。錠前師と泥棒、警報装置メーカーと自動車泥棒の場合と同じことです。このような理由から、ソフトウェア開発者は既知の脆弱性を修正するアップデートをリリースしており、ユーザーはそれらのアップデートをインストールする必要があります。 |
| ■ネットワーク セキュリティに対する一般的な脅威 攻撃者の動機は、利益、悪ふざけ、名誉などさまざまですが、行動はすべて似ています。 基本的な脅威が多数存在し、そのすべてから変種が無限に生まれています。
攻撃者のほとんどは、コンピュータの処理能力を武器として使用します。ウイルスを使用して、DoS プログラムを何十万ものコンピュータに流布する場合もあります。パスワード推測プログラムを使用して、辞書にあるすべての言葉をパスワードとして試す場合もあります。もちろん、最初に試されるパスワードは「password」、「letmein」、「opensesame」、およびユーザー名と同じパスワードです。 インターネット上のすべての IP アドレスをランダムに調べて保護されていないシステムを探し出すプログラムもあれば、そのようなシステムが見つかった場合、攻撃可能な開かれたポートがあるかどうかを調べるポート スキャナもあります。そのようなポートが見つかった場合は、既知の脆弱性のライブラリを使用してアクセスできないかどうかを試します。 より意図的な攻撃 (産業スパイ活動など) の場合は、テクノロジとソーシャル エンジニアリングの組み合わせが最も効果を上げます。 たとえば、従業員に対して機密情報を明かすように仕向ける、ごみをあさって漏れ出した情報を探す、モニタの横のメモに書かれたパスワードを単に盗み見る、などです。 |
|
|
| [戻る] |