II-20-4. ネットワークセキュリティの新たな要件

ネットワークセキュリティに対する要件として、モバイルアクセスや移動端末など新たに考慮すべき要素を説明する。さらに検疫ネットワークやハニーポットといった新しいセキュリティ対策の実装について解説する。

【学習の要点】

* モバイル端末の小型化によって、ネットワークへのセキュリティ要件は複雑化している。モバイル端末はネットワークを渡り歩くことになるので、盗聴やウィルスの感染をはじめとする危険因子は多い。モバイル端末からの接続を許可するときは、従来とは違った検査が必要となる。

* 検疫ネットワークは、接続してきた端末を隔離、検査し可能であれば治療する。これにより、有害端末が重要なネットワークに接続されるのを防ぐ。

* ハニーポットとは、トラップとなるホスト、データ、ネットワークを用意し、重要なリソースが攻撃されるのを防ぐ技術の総称である。

図II-20-4. 検疫ネットワーク

【解説】

1) モバイル端末に対するセキュリティの考え方

* 近年の、ノート型PCの小型化、Wi-Fi標準装備端末の普及などにより利便性の高まる反面、モバイル環境でのセキュリティリスクが高まっている。

* 企業において最も身近で大きな無線ネットワークによる危険リスクは、モバイル端末を経由した社内LANへの不正侵入、ウィルスやマルウェアの混入、また経路盗聴による情報流出であろう。

* 様々なネットワークへの接続を頻繁に繰り返すモバイル端末の接続を許可する場合には、従来とは違った検査が必要である。他のネットワーク経由で端末のOSやソフトウェアが汚染されている可能性があるからである。

* モバイルセキュリティリスクに対する技術的な対策アプローチは数多く提案されており、有効に利用するべきである。同時に利用者のセキュリティに対する意識や知識を高めさせる教育もまた不可欠であることを知っておく必要がある。

2) 無線LANセキュリティ

* 現在流通しているほとんどのノート型PCは、標準で無線LANへ接続することができる。企業LANへの接続に適切に認証、暗号化が施されていても、PCの設定によっては、PCを踏み台にしてLANに侵入される恐れがある。

* 有線の場合と違い、建物構造による物理的なセキュリティは期待できないため、ネットワーク設計者とその利用者は、従来よりもセキュリティを意識する必要がある。

* 企業の無線LANの場合、利用者が限定されるため、MACアドレスを予めアクセスポイントに登録し、登録済みの端末からのみ接続を許可する方法が一般的である。この場合も、アクセス制御のみでは経路の暗号化は施されないためこれには別の仕組みが必要である。

* Wi-Fi CERTIFIEDを名乗るデバイスでは、WPA/WPA2セキュリティプロトコル実装している。これらは認証と暗号化、メッセージ認証符号を含む。それぞれPersonalとEnterpriseがあり、認証方法が異なる。PersonalはPre Shared Keyを用いて認証を行い、EnterpriseはIEEE 802.1x認証サーバにより認証を行なう。

* ネットワークレイヤ3より上位のデータの保護には、依然としてSSL, SSH, GPG, PGPなど、アプリケーションレベルの暗号化機構が有効である。

3) 検疫ネットワークとハニーポット

* 社内のネットワークへ接続しようとするPCに対して、一旦隔離し、接続したPCの安全性を検査するネットワークのことを検疫ネットワークという。検疫ネットワークの目的は、悪意のある者の侵入を防止することや、PC内のウィルスやワームがネットワークに侵入することを防ぐことである。

* ハニーポットとは、いわば囮である。悪意のある者が本当に重要な情報にアクセスするのを防ぐため、偽の情報で悪意のある者をおびき寄せる仕組みである。ハニーポットには、OSやソフトウェア、サーバをエミュレートするものなど、いくつかの種類が存在する。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。