技術的セキュリティ対策
情報セキュリティを守るためには、人的な対策だけでなく、技術の力を活用した対策が欠かせません。ここでは、ネットワークやシステムを守るためのさまざまな技術的セキュリティ対策を、カテゴリごとに整理して学んでいきます。
ネットワークを守る仕組み
Section titled “ネットワークを守る仕組み”企業のネットワークをインターネット上の脅威から守るために、さまざまな仕組みが用いられています。
ファイアウォール
Section titled “ファイアウォール”ファイアウォールとは、外部ネットワーク(インターネット)と内部ネットワーク(社内LAN)の境界に設置し、あらかじめ設定したルールに基づいて通信の許可・遮断を行う仕組みです。名前の由来は「防火壁」で、外部からの不正なアクセスが社内に入り込むのを防ぐ役割を果たします。
たとえば、「外部からWebサーバーへのHTTP通信は許可するが、データベースサーバーへの直接アクセスは遮断する」といったルールを設定します。
DMZ(非武装地帯)
Section titled “DMZ(非武装地帯)”DMZ(DeMilitarized Zone:非武装地帯)とは、外部ネットワークと内部ネットワークの間に設けられる中間的なネットワーク領域です。Webサーバーやメールサーバーなど、外部に公開する必要があるサーバーをDMZに配置します。
こうすることで、万が一DMZ上のサーバーが攻撃を受けても、内部ネットワークへの被害を最小限に抑えることができます。
試験で出るポイント
IDS(侵入検知システム)と IPS(侵入防止システム)
Section titled “IDS(侵入検知システム)と IPS(侵入防止システム)”IDS(Intrusion Detection System:侵入検知システム)は、ネットワーク上の通信を監視し、不正なアクセスや攻撃の兆候を検知して管理者に通知する仕組みです。ただし、IDS自体は通信を遮断する機能を持ちません。
一方、IPS(Intrusion Prevention System:侵入防止システム)は、IDSの機能に加えて、不正な通信を自動的に遮断する機能を持ちます。
| 仕組み | 不正通信の検知 | 不正通信の遮断 |
|---|---|---|
| IDS | できる | できない(通知のみ) |
| IPS | できる | できる(自動遮断) |
IDSは「見張り番」、IPSは「見張り番+門番」とイメージするとわかりやすいでしょう。
WAF(Web Application Firewall)
Section titled “WAF(Web Application Firewall)”WAF(Web Application Firewall)は、Webアプリケーションへの攻撃を検知・遮断する専用のファイアウォールです。通常のファイアウォールがIPアドレスやポート番号をもとに通信を制御するのに対し、WAFはWebアプリケーションへの通信内容(HTTPリクエスト)を詳しく検査します。
クロスサイトスクリプティング(Webページに悪意のあるスクリプトを埋め込む攻撃)やSQLインジェクション(データベースを不正に操作する攻撃)といったWebアプリケーション特有の攻撃への対策として有効です。
コールバック
Section titled “コールバック”コールバックとは、リモートアクセス時のセキュリティ対策の一つです。利用者が外部からシステムに接続しようとしたとき、一度その接続を切断し、あらかじめ登録されている電話番号にシステム側から折り返し電話をかけて接続し直す仕組みです。これにより、登録されていない場所からの不正アクセスを防ぎます。
検疫ネットワーク
Section titled “検疫ネットワーク”検疫ネットワークとは、社内ネットワークに接続しようとするPCを、まず隔離された専用ネットワークに接続させ、セキュリティの状態(ウイルス対策ソフトの更新状況やOSのパッチ適用状況など)を検査する仕組みです。検査に合格したPCだけが社内ネットワークへの接続を許可されます。
病院の「検疫」と同じ考え方で、ウイルスに感染している可能性のある端末を社内ネットワークに入れないようにします。
通信を暗号化して守る仕組み
Section titled “通信を暗号化して守る仕組み”ネットワーク上の通信を盗聴されても内容がわからないように、暗号化の技術が使われます。
SSL/TLS
Section titled “SSL/TLS”SSL/TLS(Secure Sockets Layer / Transport Layer Security)は、インターネット上の通信を暗号化するプロトコル(通信規約)です。WebブラウザでURLが「https://」で始まるサイトにアクセスしたとき、SSL/TLSによる暗号化通信が行われています。
SSL/TLSにより、以下のことが実現できます。
- 通信内容の暗号化(盗聴されても内容がわからない)
- 通信相手の認証(なりすましを防止する)
- 通信内容の改ざん検知(途中でデータが書き換えられていないか確認する)
VPN(Virtual Private Network)
Section titled “VPN(Virtual Private Network)”VPN(Virtual Private Network:仮想プライベートネットワーク)は、インターネットなどの公共のネットワーク上に、暗号化技術を使って仮想的な専用回線を構築する技術です。
たとえば、自宅から会社のネットワークにアクセスするテレワークの場面で、VPNを使うことで安全に社内システムを利用できます。物理的に専用回線を引くよりも低コストで、セキュリティを確保した通信が可能になります。
試験で出るポイント
端末・デバイスを守る仕組み
Section titled “端末・デバイスを守る仕組み”ネットワークの入口を守るだけでなく、PCやスマートフォンなどの端末(エンドポイント)自体を守ることも重要です。
EDR(Endpoint Detection and Response)
Section titled “EDR(Endpoint Detection and Response)”EDR(Endpoint Detection and Response)は、PCやサーバーなどのエンドポイント(端末)の動作を常時監視し、不審な振る舞いを検知・対応する仕組みです。
従来のウイルス対策ソフトが「既知のマルウェアを検知して防ぐ」ことに重点を置くのに対し、EDRは「マルウェアに侵入された後の検知と対応」に強みがあります。未知の攻撃にも対応できるため、近年注目されています。
マルウェア対策
Section titled “マルウェア対策”マルウェア対策の基本は、以下の取り組みです。
- マルウェア対策ソフト(ウイルス対策ソフト)の導入
- マルウェア定義ファイル(パターンファイル)の定期的な更新
- OS やアプリケーションを最新の状態に保つ
マルウェア定義ファイルとは、既知のマルウェアの特徴を記録したデータベースです。新しいマルウェアが発見されるたびに更新されるため、常に最新の状態にしておくことが重要です。
ランサムウェア対策と 3-2-1 ルール
Section titled “ランサムウェア対策と 3-2-1 ルール”ランサムウェア(身代金要求型マルウェア)に備えるために、データのバックアップが非常に重要です。バックアップの指針として知られているのが3-2-1ルールです。
| ルール | 内容 |
|---|---|
| 3 つのコピー | データは本体を含めて3つ以上のコピーを持つ |
| 2 種類のメディア | 異なる2種類以上の記録媒体に保存する(例:HDDとクラウド) |
| 1 つはオフサイト | 1つは物理的に離れた場所に保管する |
さらに、イミュータブルバックアップ(変更不可能なバックアップ)も有効です。これは一度書き込んだデータを上書き・削除できないようにするバックアップ方式で、ランサムウェアによるバックアップデータの暗号化を防ぎます。
この仕組みを支える技術としてWORM(Write Once Read Many)機能があります。WORMは「一度だけ書き込み、何度でも読み出せる」という特性を持ち、データの改ざんや削除を技術的に防止します。
試験で出るポイント
MDM(Mobile Device Management)
Section titled “MDM(Mobile Device Management)”MDM(Mobile Device Management:モバイルデバイス管理)は、企業が従業員に配布したスマートフォンやタブレットなどのモバイル端末を一元的に管理する仕組みです。
MDMを使うと、以下のようなことができます。
- 端末の利用状況の把握
- アプリケーションのインストール制限
- 紛失時の遠隔ロック・データ消去(リモートワイプ)
- セキュリティポリシーの強制適用
セキュアブートと TPM
Section titled “セキュアブートと TPM”セキュアブートとは、コンピュータの起動時に、あらかじめ認証されたソフトウェアだけを実行する仕組みです。OSが起動する前の段階でマルウェアが動作することを防ぎます。
TPM(Trusted Platform Module:セキュリティチップ)は、暗号化処理やデジタル署名の検証などを行う専用のセキュリティチップです。コンピュータのマザーボードに搭載されており、暗号鍵の安全な保管やセキュアブートの実現に利用されます。
試験で出るポイント
耐タンパ性とは、ハードウェアやソフトウェアが不正な解析や改ざんに対して耐性を持つ性質のことです。たとえば、ICカードの内部を物理的に分解して情報を読み取ろうとすると、自動的にデータが消去される仕組みなどが耐タンパ性にあたります。TPMも耐タンパ性を備えた部品の一つです。
データを守る仕組み
Section titled “データを守る仕組み”企業にとって重要な情報資産であるデータそのものを保護するための技術があります。
アクセス制御
Section titled “アクセス制御”アクセス制御とは、情報やシステムに対して「誰が」「どの範囲で」アクセスできるかを管理する仕組みです。たとえば、人事データは人事部門の社員だけが閲覧でき、一般社員はアクセスできないように設定します。
アクセス制御は、情報セキュリティの三要素のうち機密性を確保するための基本的な対策です。
試験で出るポイント
DLP(Data Loss Prevention)
Section titled “DLP(Data Loss Prevention)”DLP(Data Loss Prevention)は、機密情報が組織の外部に漏えいすることを防ぐ仕組みです。メールの送信やUSBメモリへのコピーなど、データの移動を監視し、ポリシーに違反する操作を検知・遮断します。
従来のアクセス制御が「誰がアクセスできるか」を管理するのに対し、DLPは「データそのものの動き」を監視する点が特徴です。
電子透かしとは、画像や音声、動画などのデジタルコンテンツに、人間には知覚しにくい形で情報を埋め込む技術です。コンテンツの不正コピーや流出元の特定に利用されます。たとえば、社外秘の文書にその文書を閲覧した人の情報を電子透かしとして埋め込んでおけば、流出した場合に誰が持ち出したかを追跡できます。
SIEM(Security Information and Event Management)
Section titled “SIEM(Security Information and Event Management)”SIEM(Security Information and Event Management)は、ファイアウォールやIDS/IPS、サーバーなど、さまざまな機器やソフトウェアのログ(動作記録)を一元的に収集・分析し、セキュリティ上の脅威をリアルタイムに検知する仕組みです。
個々の機器のログだけでは気づきにくい攻撃も、複数のログを組み合わせて分析することで、異常を早期に発見できます。
セキュリティの調査・テスト
Section titled “セキュリティの調査・テスト”セキュリティ対策が十分かどうかを確認するための技術や手法もあります。
ペネトレーションテスト
Section titled “ペネトレーションテスト”ペネトレーションテスト(侵入テスト)とは、実際に攻撃者の視点でシステムへの侵入を試み、セキュリティ上の弱点がないかを検証するテストです。専門の技術者が、さまざまな攻撃手法を用いてシステムの脆弱性を調査します。
デジタルフォレンジックス
Section titled “デジタルフォレンジックス”デジタルフォレンジックスとは、不正アクセスや情報漏えいなどのセキュリティインシデントが発生した際に、コンピュータやネットワーク上のデジタルデータを収集・保全・分析し、証拠として活用する技術や手法です。「フォレンジックス」は「法科学」を意味し、犯罪捜査における鑑識に相当する作業です。
削除されたファイルの復元や、通信ログの解析、不正操作の痕跡調査などが行われます。
アプリケーション・設計段階の対策
Section titled “アプリケーション・設計段階の対策”システムの設計段階からセキュリティを考慮することも重要です。
セキュリティバイデザイン
Section titled “セキュリティバイデザイン”セキュリティバイデザインとは、システムの企画・設計の段階からセキュリティ対策を組み込む考え方です。完成後に対策を追加するのではなく、最初から安全な設計にすることで、効果的かつ低コストでセキュリティを確保できます。
プライバシーバイデザイン
Section titled “プライバシーバイデザイン”プライバシーバイデザインとは、システムやサービスの設計段階から個人情報やプライバシーの保護を組み込む考え方です。セキュリティバイデザインが「攻撃からシステムを守る」ことに重点を置くのに対し、プライバシーバイデザインは「個人のプライバシーを尊重する」ことに重点を置きます。
クロスサイトスクリプティング対策
Section titled “クロスサイトスクリプティング対策”クロスサイトスクリプティング(XSS)とは、Webページに悪意のあるスクリプトを埋め込み、利用者のブラウザ上で実行させる攻撃です。対策としては、入力されたデータのサニタイジング(無害化処理)や、WAFの導入などが行われます。
SQLインジェクション対策
Section titled “SQLインジェクション対策”SQLインジェクションとは、Webアプリケーションの入力欄に不正なSQL文を挿入し、データベースを不正に操作する攻撃です。対策としては、プレースホルダ(バインド変数)の使用や、入力値の検証、WAFの導入などが有効です。
システムを安全に保つためには、日常的な脆弱性管理が欠かせません。脆弱性管理の基本は以下の通りです。
- OSアップデートを定期的に実施する
- セキュリティパッチ(脆弱性を修正するための更新プログラム)を速やかに適用する
- 使用しているソフトウェアの脆弱性情報を継続的に収集する
インターネット利用環境のセキュリティ設定
Section titled “インターネット利用環境のセキュリティ設定”日常的なインターネット利用においても、さまざまなセキュリティ設定が活用されています。
| 対策 | 内容 |
|---|---|
| スパム対策 | 迷惑メール(スパムメール)をフィルタリングして排除する |
| URLフィルタリング | 特定のURLへのアクセスを制限する |
| Webフィルタリング | 不適切なWebサイトへのアクセスを制限する |
| コンテンツフィルタリング | コンテンツの内容に基づいてアクセスを制限する |
| MACアドレスフィルタリング | 機器固有のMACアドレスを使って、接続を許可する端末を制限する |
| ペアレンタルコントロール | 保護者が子どものインターネット利用を制限する機能 |
URLフィルタリング、Webフィルタリング、コンテンツフィルタリングは似た概念ですが、それぞれ制限の基準が異なります。URLフィルタリングはURLのリストに基づき、Webフィルタリングはサイトのカテゴリに基づき、コンテンツフィルタリングはページの内容に基づいてアクセスを判断します。
クラウドサービスのセキュリティ対策
Section titled “クラウドサービスのセキュリティ対策”クラウドサービスのセキュリティ対策として、以下のような取り組みが重要です。
- クラウドサービス事業者のセキュリティ対策の確認(認証取得状況やSLAの内容)
- データの暗号化(保存時・通信時の両方)
- アクセス制御と認証の強化(多要素認証の導入など)
- 利用者側でもバックアップを取得する
クラウド環境では、利用者とサービス事業者の双方がセキュリティに責任を持つ「責任共有モデル」の考え方が重要です。
その他の技術的セキュリティ対策
Section titled “その他の技術的セキュリティ対策”ブロックチェーン
Section titled “ブロックチェーン”ブロックチェーンとは、取引データを「ブロック」と呼ばれる単位にまとめ、それを時系列で「チェーン」のように連結して分散管理する技術です。仮想通貨(暗号資産)の基盤技術として知られていますが、セキュリティの観点では、データの改ざんが極めて困難であるという特徴があります。
すべての参加者がデータのコピーを持ち合い、相互に検証する仕組みのため、一部のデータを改ざんしても他の参加者のデータと一致しなくなり、不正がすぐに検知されます。
試験で出るポイント
まとめ ── 技術的セキュリティ対策の全体像
Section titled “まとめ ── 技術的セキュリティ対策の全体像”技術的セキュリティ対策は、大きく以下のカテゴリに分けて整理できます。
| カテゴリ | 主な対策 |
|---|---|
| ネットワーク防御 | ファイアウォール、DMZ、IDS/IPS、WAF、コールバック、検疫ネットワーク |
| 通信の暗号化 | SSL/TLS、VPN |
| 端末・デバイス管理 | EDR、マルウェア対策、MDM、セキュアブート、TPM、耐タンパ性 |
| データ保護 | アクセス制御、DLP、電子透かし、SIEM |
| バックアップ | 3-2-1ルール、イミュータブルバックアップ、WORM機能 |
| 調査・テスト | ペネトレーションテスト、デジタルフォレンジックス |
| 設計段階の対策 | セキュリティバイデザイン、プライバシーバイデザイン |
| アプリケーション対策 | クロスサイトスクリプティング対策、SQLインジェクション対策、脆弱性管理 |
| インターネット利用 | スパム対策、各種フィルタリング、ペアレンタルコントロール |
| クラウド | クラウドサービスのセキュリティ対策 |
| その他 | ブロックチェーン |
試験で出るポイント