2021.03.20  2021.04.09

インターネット脅威への対策。ネットワークセキュリティを強化するために行うべき事

皆さんこんにちは!マコブログです!
今回は、インターネット脅威への対策と、ネットワークセキュリティについて詳しく説明したいと思います。

脅威への対策方法

情報資産が抱える脅威を把握したら、それぞれの脅威に対して適切な対策を行います。技術的脅威への対策には、コンピュータウイルス対策などユーザ個人が行う対策から、企業などが企業内LANを守るために行う対策まで、さまざまなものがあります。

コンピュータウイルスへの対策


まずは、コンピュータウイルスに対する対策方法を説明します。
コンピュータウイルスの予防、検知、感染後の対応方法については、経済産業省がコンピュータウイルス対策基準としてまとめています。

ウイルスの予防
ウイルスの感染源は、主に電子メールとWebサイトです。電子メールによる感染を防ぐには、知らない人から送られてきたメールや添付ファイルをむやみに開かないことです。
Webサイトの閲覧による感染を防ぐには、怪しいサイトが表示されない用、あらかじめブラウザに設定しておくなどして対策をします。



ウイルスの検知
コンピュータに、ウイルス対策ソフトをインストールしておきます。ウイルス対策ソフトとは、ウイルスの情報をウイルス定義ファイルとしてもっていて、これを基にコンピュータ内部のウイルスの検知、駆除を行うソフトウェアです。また、プログラムの動きを常に監視し、意図しない外部への通信といった不審な動きが無いかを確認する振る舞い検知(ビヘイベア法)という方法もあります。

感染後の対応
ウイルスに感染してしまったら、すぐにコンピュータをネットワークから切り離すことが重要です。ネットワークを介してさらにほかのコンピュータに感染するなどの被害の拡大を防ぐためです。企業内の場合は、そのあと速やかにシステム管理部門の担当者に連絡し、ウイルスの駆除、感染経路の特定、感染媒体の破棄を行います。

迷惑メールへの対策


スパムメールなどの迷惑メールに対しては、苦情などを返信してはいけません。返信することによって、自分のメールアドレスが有効なアドレスであることを発信者へ知らせてしまう危険がある為です。メールソフトの自動振り分け機能を利用し、同一発信者から送られてくるメールは普段利用するフォルダとは別のフォルダへ振り分けられるように設定するほか、メールの経路情報から発信元プロバイダが判明した場合は、通報することが有効です。

脆弱性をついた攻撃への対策

バッファオーバーフローなどのセキュリティホールに対しては、ソフトウェアメーカのWebサイトなどで、修正用プログラムであるセキュリティパッチ(パッチファイル)が公開されていないかを定期的に確認し、公開されていればそれをソフトウェアに適用します。また、クロスサイトスクリプティングやSQLインジェクションのような、有害な文字列を入力されることで行われる攻撃に対しては、サニタイジングという対策方法もあります。サニタイジングでは、ユーザが入力した内容から有害な文字列を検出し、無害な文字列に置き換えます。


データへのアクセスを制限する


コンピュータやデータに対してアクセスできる人を制限することによって、権利のない人がデータに触られないようにすることができます。データにアクセスするユーザを制限することをアクセス制限といいます。アクセス制限において、ユーザが本人であるかを確認することを認証といい、認証の方法には次のものなどがあります。

IDとパスワードによる認証
ユーザ本人しか知らないIDとパスワードの入力を求めることで、認証を行います。ただし、IDとパスワードを盗まれるなどして、なりすましの被害にあう可能性があります。対策方法には、ユーザ自身が普段から定期的にパスワードの変更を行う他、複数のサービスで同じIDとパスワードを使用しないなどの方法があります。
また、管理者は、ユーザが推測されやすいパスワードを設定しないよう、「英数字をそれぞれ1種類以上含む8文字以上のものにする」といった条件(パスワードポリシ)を設定したり、認証に一定回数以上失敗したユーザはしばらくログインできない仕組みにしたりする方法があります。
トークンと呼ばれる装置で認証のたびに一度きりしか使えない使い捨てのパスワードを生成するワンタイムパスワードという技術を利用するのも有効です。

マトリクス認証
画面に表示される数字や文字を並べた表(マトリクス表)から、あらかじめユーザが設定しておいた位置と順番どおりに数字などを指定することでパスワード入力に変える認証方法を、マトリクス認証といいます。このマトリクス認証は、入力する内容が毎回異なる為、パスワードが盗聴されたとしても不正ログインされる恐れはありません。

バイオメトリクス認証
ユーザの指紋や手のひらの静脈パターンなどの身体的特徴や、執筆などの行動上の特徴によって行う認証を、バイオメトリクス認証(生体認証)といいます。
複数の認証方法を組み合わせて認証を行うことを多要素認証といい、中でも二つの要素を組み合わせたものを2要素認証、三つ組み合わせたものを3要素認証といいます。


シングルサインオン

一度の認証で、複数のサービス認証を行うことをシングルサインオンといいます。ユーザが複数のIDとパスワードを覚えられず、付箋にメモして机に張ってしまう等のセキュリティ上問題がある行為を防止することができます。

ネットワークセキュリティ


コンピュータをネットワークに接続すると、ネットワークを介して他のコンピュータとデータをやり取りできるため便利ですが、一方で、外部からのアクセスを許してしまう可能性もあります。そのため、現在ではネットワークを介した不正なアクセスなどを防止する様々な技術が存在します。
下記でネットワークセキュリティを高めるための技術をいくつかご紹介します。

ファイヤウォール(Firewall)

企業内LANなどの内部ネットワークと外部ネットワークの間に配置し、外部からLANへの不正なアクセスを防止するシステムをファイヤウォールといいます。
ファイヤウォールを設置すると、内部ネットワークと外部ネットワークの間に、どちらからも隔離された区域ができます。
これをDMZ(非武装地帯)といいます。DMZには、Webサーバやメールサーバ等、外部とデータのやり取りを行うサーバを設置します。

万が一、DMZに設置したサーバを乗っ取られてしまったとしても、DMZは隔離されている区域なので、内部ネットワークに被害が出るのを防ぐことができます。

プロキシ(proxy)

内部ネットワークからインターネットへ接続するときに、内部ネットワークのコンピュータに代わってインターネットへの接続を行うコンピュータを、プロキシ(proxy)といいます。
外部からはアクセス元がプロキシのコンピュータであると認識されるため、本当のアクセス元であるコンピュータの情報を隠すことができます。

検疫ネットワーク

社外から持ち込んだPCを社内で使用するときに、セキュリティ上の問題を抱えていないかを検査用のネットワーク領域で確認してから社内ネットワークに接続させる仕組みを、検疫ネットワークといいます。

MDM(Mobile Device Management)

社員へ貸与するスマートフォンなどのモバイル端末に対して、会社のセキュリティ方針に従った設定を行ったり、遠隔地から操作できるソフトウェアを導入したりして、システム管理者が端末を一元管理する仕組みをMDM(モバイルデバイスマネジメント)といいます。

ペネトレーションテスト

コンピュータやシステムに対して、実際に外部から攻撃して侵入を試みることで、セキュリティ上の弱点を発見するテストをペネトレーションテストといいます。
定期的にテストし、問題点の対策を行う事で、安全性を保つことができます。

無線LANのセキュリティ


無線LANは電波で通信を行うため、電波の届く範囲であれば、悪意のあるコンピュータから通信内容を傍受されたり、不正にアクセスされたりすることができてしまいます。
そこで、無線LANにおけるセキュリティ技術として以下のものがあります。


通信の暗号化

無線LAN通信を暗号化することで、たとえ通信データを盗まれてしまったとしても、内容を読み取られないようにすることができます。
無線LANの暗号化方式には、以下のものがあります。

WEP(ウェップ)
古くからある。脆弱性がある為現在は使われていません。

WPA(ダブリューピーエー)
WEPを改良した暗号化方式。TKIP(ティーキップ)AES(エーイーエス)という暗号化技術を採用している。

WPA2(ダブリューピーエーツー)
WPAを改良した暗号化方式で、高いセキュリティを実現しています。

ESSIDのステルス化

ネットワークを識別するESSIDを公開してしまうと、悪意のある人が同じESSIDを使用しているネットワークに不正にアクセスする危険があるため、ESSIDを外部から発見できないようにすることができます。これをESSIDのステルス化といいます。

MACアドレスフィルタリング

コンピュータやネットワーク機器には、製造時にMACアドレスと呼ばれる固有の番号が振られます。あらかじめ登録されたMACアドレスを持つ機器しか無線LANのアクセスポイントに接続できないように設定することをMACアドレスフィルタリングといい、ネットワークの不正使用を防ぐことができます。

そのほかのセキュリティ対策


人的脅威に対しては、企業であれば情報の取り扱いに関するマニュアルを整備し、社員の意識改革を行うことが重要です。また、廃棄した物から情報が漏洩する可能性もあるため、書類はシュレッダーにかける、HDDやCD、DVDなどはデータの復元が不可能になるよう物理的に破壊するなどの対策が必要です。

物理的脅威に対しては、災害や停電などに備え、予備のコンピュータや補助電源を用意しておきます。盗難に対しては、入退室の管理や施錠などを徹底し、警備を強化しておくことが有効です。特にノートPCは持ち運びが便利なぶん、盗難にあいやすいため、セキュリティワイヤというワイヤを使って机や柱にくくりつけておくという方法もあります。

ディジタルフォレンジックス

コンピュータに関する犯罪や法的紛争が起きた場合に、機器内にあるデータを収集、分析して、不正アクセスなどの犯罪行為が行われた証拠を明らかにする技術をディジタルフォレンジックスといいます。

DLP(Data Loss Prevention)


機密情報を流出させないための装置やシステムを、DLP(データロスプリベンション)といいます。
DLPは、データが機密情報であるかどうかを判別し、機密情報であれば、データへのアクセスを常に監視します。そして、データに対して外部メディアへのコピーや外部への送信といった操作が行われると、警告を発令したり操作を自動的に無効化させたりします。


まとめ

いかがでしたか?
今回は、インターネット脅威への対策と、ネットワークセキュリティを強化するために行うべき事、各セキュリティ対策の名前とその特徴を紹介しました。

是非こちらの記事も是非チェックしてみてください↓
情報資産が抱える脅威。マルウェアの種類と特徴、技術的脅威と人的脅威について説明

あなたにオススメの記事
マコブログ
Makoto
高校卒業と同時にプログラミングを学習しはじめ、今年で4年目になります。
普段はフロント周りで作業をしていて、WordPressの開発とSEO対策には自信があります。
マコブログでは、プログラミングやSEO対策についての情報を発信しています。

よく読まれる記事

S&P500研究所

【マコブログ 2nd】S&P500研究所がOPENしました!!

Read More →