Comments
Description
Transcript
∼2. インターネット時代のセキュリティ∼
∼2. インターネット時 代 のセキュリティ∼ 1. はじめに 前回の誌上講座では、インターネットが企業活動や我々の生活にとってなくてはならない情報イ ンフラに成長したことを紹介しました。また、インターネットを活用すると、さまざまな情報をす ばやく手にいれたり、コストをかけずに効果的に多くの人々に情報を伝達できることを説明しまし た。 インターネットはこのように我々の社会の利便性を大幅に向上させましたが、インターネットの 利用は何もいいことづくめというわけではありません。インターネットのあまりにも急激な発展に は、マイナスの側面も存在することは否めません。これらの側面には、情報に触れる機会の格差が 経済格差などを助長する「情報格差(デジタル・デバイド)」 、そして「コンピュータウィルス」や 「不正アクセス」などの情報セキュリティ上の問題があります。 情報システムにおいて、セキュリティとは、その情報システムを安全に利用できることや安全に 利用できるようにすることを指します。インターネットを使うシステムでは、機密情報を盗まれた りしないこと、情報が改ざんされたり破壊されたりしないこと、いつでも必要なときにコンピュー タやインターネットを利用できることがセキュリティの要件となります。 ここ数年、官公庁のウェブジャック(不正アクセスによるホームページの改ざん)事件やコンピ ュータウィルス、あるいは企業や学校などでの個人情報漏洩事故などがマスコミでも大きくとりあ げられるようになり、インターネットを利用する上でのセキュリティ対策への関心が高まっていま す。本稿では、最近問題となっているコンピュータウィルスと不正アクセスについて説明し、その 対策方法を紹介します。 2. コンピュータウィルス コンピュータウィルスとは、コンピュータ内のデータなどに対して意図的に何らかの被害を及ぼ すように作られたソフトウェアのことをいいます。また、あるコンピュータから別のコンピュータ に自分自身のコピーを送り込んでいく様子や、入り込んだコンピュータに障害を発生させる点が、 インフルエンザなどのウィルスに似ていることからコンピュータウィルスと呼ばれています。 最近特に問題となっているのは、ネットワークをその感染経路とするコンピュータウィルスです。 これらは、日頃インターネットを利用するときに使う電子メールソフトやウェブブラウザソフトの セキュリティ上の弱点(セキュリティホール)を悪用して多くのコンピュータに感染するのが特徴 です。また、その感染形態から、広まり方が非常に速く、かつ被害も大きくなりがちです。 これらの電子メールなどを媒介とするコンピュータウィルスに感染すると、自分自身が被害を被 るだけでなく、電子メールソフトのアドレス帳に登録してある取引先や知合いにもウィルスを広め てしまい、結果として自分が加害者となってしまうケースもあります。 インターネットの利用の拡大とともに、コンピュータウィルスによる被害も拡大する傾向にあり ます。しかし、適切な対策をとっておけば、コンピュータウィルスによるトラブルを未然に防いだ り、仮に被害を受けたとしてもそれを最低限に食い止めることが可能となります。次節では、それ らの対策を紹介します。 3. ウィルス対策ソフトウェアの導入 コンピュータウィルスからの被害を防ぐには、ワクチンソフトとも呼ばれることもある、コンピ ュータウィルス対策ソフトウェアを導入しておくことが効果的です。 ウィルス対策ソフトウェアにはさまざまなものがあります。代表的なものを図 1 に示します。最 近のウィルス対策ソフトウェアは、パソコン内にすでに侵入してしまったウィルスを検知したり駆 除したりするだけではなく、電子メールなどを装って送り込まれてくるウィルスを検知して感染を 防ぐ機能を備えているものがあります。インターネットを利用するパソコンには、これらのウィル ス対策ソフトを導入しておくことが望ましいでしょう。 ・ ・ ・ ・ ウィルスバスター(トレンドマイクロ) McAfee VirusScan (ネットワークアソシエイツ) Norton AntiVirus (シマンテック) Sophos Anti-Virus (ソフォス) 図 1 ウィルス対策ソフトウェアの例 これ以外にもさまざまなウィルス対策ソフトウェアが販売されています。 ウィルス対策ソフトウェアを利用する際に注意しておきたいことには、できるだけ新しいウィル ス対策ソフトウェアを利用し、さらにそのソフトウェア用のウィルスデータファイルを最新のもの に更新しておくということがあります。ウィルスデータファイルには、世間に出回っているコンピ ュータウィルスの情報が書き込まれており、ウィルス対策ソフトウェアはこの情報を元にして、ウ ィルスの検知や駆除を行います。このため、このデータファイルが古いままだと、新しいウィルス からの被害を防ぐことができなくなります。このデータファイルは、ウィルス対策ソフトウェアの 開発元や販売元のウェブサイトからダウンロードできるようになっていることが多いので、これら の情報をこまめにチェックしたり、自動的に最新のデータファイルをダウンロードするような設定 にしておくといいでしょう。 なお、ウィルスデータファイルは、新しいコンピュータウィルスが発見されてから、それに対応 したデータに更新されるまでにはある程度の時間がかかります。そのため、ウィルス対策ソフトを 導入していたら必ずウィルスの被害を食い止めることができると過信することは禁物です。最新の ウィルスからの被害を食い止めるためには、ウィルス対策ソフトウェアの導入だけでなく、次節で 説明するメールソフトなどの安全対策を併用することが望ましいといえます。 4. ソフトウェアでの安全対策 前述のとおり、メールソフトやブラウザソフトはコンピュータウィルスの感染経路として悪用さ れやすいものです。これらの対策としては、ウィルスに汚染されたデータを受け取っても感染など を引き起こさない安全なソフトウェアを用いることが単純で確実な方法です。また、そのような安 全なソフトウェアを何らかの理由で利用できない場合は、現在使っているソフトウェアをできるだ け安全な設定に変更するといった対策が有効です。メールソフトやブラウザが感染経路として悪用 されやすいのは、それらのソフトウェアにセキュリティホールがあることと、初期設定が安全性よ りもみかけの便利さを重視したものになっているからです。 メールソフトでは、受け取ったメールの概要を表示するプレビュー機能を持っているものもあり ますが、この機能を利用すると、添付ファイルなどに忍び込ませてあるウィルスを知らないうちに 発症させてしまうことがあります。このような安全でない機能は積極的に無効にするという対策が 有効です。図 2 と図 3 にアウトルックエクスプレスでのオプション設定やプレビュー設定を無効に する方法を示します。ソフトのバージョンが変わると、メニュー画面などのレイアウトが若干違う かもしれませんが、これを参考に設定を変更しておくといいでしょう。 図 2 ツ ー ル (T) → オ プ シ ョ ン (O) で オ プ シ ョ ン 設 図 3 表示(V)→レイアウト(L)でレイアウトのプロパテ 定を呼び出し、自動的に…する」のチェックを外し ィ設定を呼び出し、プレビューウィンドウの表示を ておく 無効化しておく また、ウェブブラウザやメールソフトによっては、データの中に組み込んだスクリプトと呼ばれ るプログラムを利用できる機能がありますが、これもウィルスの感染経路として悪用されるケース があります。これらの機能も無効にしておいた方が安全です。また、ウェブブラウザではセキュリ ティ設定の項目があり、安全度の高い設定にしておくといいでしょう。ただし、安全度の高い設定 にすると、一部のウェブサイトではページが思ったように表示されないこともあるので注意が必要 です。図 4 と図 5 にインターネットエクスプローラのセキュリティ設定画面を示します。スライド バーでセキュリティ設定を切り替えたり、カスタム設定で細かく設定を行うことが可能になってい ます。 図 4 ツール(T)→インターネットオプション(O)でセキ 図 5 ュリティ設定を呼び出し、セキュリティレベルを 「中」や「高」にしておく レベルのカスタマイズ(C)でカスタム設定を呼び 出すと、さらに細かい設定を行える。 ActiveX やスクリプトなどは無効にしておき、本当に 必要ものだけを有効にする 5. 不正アクセス 正規のアクセス権限や許可のない情報システム(つまり、コンピュータやネットワーク)にアク セスする行為を不正アクセスといいます。社内で利用している情報システムが不正アクセスされる と社内情報が漏洩したり、データの改ざんや破壊などの被害を受ける恐れがあります。これ以外に も、社内の情報システムの運用を妨害されたり、さらに別の場所への不正アクセスの中継地点とし て悪用される(これを踏み台攻撃といいます)ようなケースもありえます。 このようにアクセス権限のないシステムに侵入したり攻撃したりする行為は、アタックまたはク ラックと呼ばれます。また、そのような行為を行う人をクラッカーといいます。不正アクセスを行 う人をハッカーと呼ぶこともありますが、ハッカーとはコンピュータ技術に精通した人を指す言葉 であり、悪意ある行為を行うクラッカーとは区別されるべきだといわれています。 さて、前述のような不正アクセスから、社内の情報システムを守るには、アクセス権限のある人 にだけシステムの利用を許可するといったアクセス制御を行う必要があります。もっとも基本的な アクセス制御は、ID とパスワードなどを使った個人認証です。 パスワードを使った個人認証は多くのシステムで利用されており、セキュリティの根幹にかかわ るものとなっています。パスワードが盗まれると、そのパスワードの持ち主のデータだけでなく、 システム全体が危険にさらされるからです。 情報セキュリティの分野では、パスワードはよく歯ブラシに例えられます。それは、毎日使い、 定期的に交換し、決して他人には貸さないという点に由来します。 6. ファイアウォールによる不正アクセスの排除 さて、アクセス制御にはパスワードを含めてさまざまな手法がありますが、社内のネットワーク をインターネットに接続するときに広く用いられている手法としてファイアウォール(防火壁)が あります。 ファイアウォールとは、建築物においては延焼を食い止める設備のことです。セキュリティ対策 で用いられるファイアウォールは、インターネットからやってくる「炎」である不正アクセスを排 除し、ファイアウォールの内側にある社内のネットワークを保護するためのソフトウェアやハード ウェアおよびその機能のことを指します。 社内のネットワークをインターネットに接続するときには、通常、ルータと呼ばれるネットワー クの中継装置を使いますが、最近のルータには、このファイアウォールの機能を装備したものが多 くなってきました。ルータでのファイアウォール機能は、NAT あるいは IP マスカレードと呼ばれる アドレス変換機能やパケットフィルタリングと呼ばれる通信データの選別機能で実現されています。 これらの機能はルータの設定画面から簡単に設定できるようになっていたり、あるいはルータにコ マンドを入力してきめ細かい設定ができるようになっています。 図 6 ルータの設定画面の例。どのようなアクセス制御 を行うかをメニュー形式で選択できる 図 7 パソコンから telnet やターミナル機能でルータに 接続すると、さらに詳細な設定が可能になる ルータを使ったファイアウォール機能に関して注意する点は、ルータのメーカや機種によって、 その設定方法も大きく変わってくるという点です。しかし、基本的な考え方はどのような機種を使 っていても変わりません。一般的には、社内からインターネットへのアクセスは基本的に許可し、 セキュリティ上問題となりそうなものを必要に応じて禁止します。また、インターネットから社内 へのアクセスは原則禁止として外部からの不要なアクセスを阻止し、本当に必要なものだけを許可 するようにします。 7. 最後に 本稿では、インターネットを利用する際のセキュリティ対策として、コンピュータウィルスと不 正アクセスに関する対策方法を紹介しました。これらのセキュリティ対策は、個々のものだけでは 十分ではなく、さまざまな対策を上手に組み合わせて活用することが重要です。また、本稿では紹 介しきれませんでしたが、データのバックアップやネットワーク以外のセキュリティ対策も併用す ることも大切です。 特に情報漏洩事故に関しては、ネットワーク経由の不正アクセスに注目があつまりがちですが、 実際に深刻なケースとなりうるのは、社内で使っているノートパソコンの盗難や、データを記録し たメディアの持ち出しなどによるものが多いようです。 また、セキュリティ対策は、ある程度の利便性を多少犠牲にしてしまう面もあります。たとえば、 ウィルス対策ソフトウェアを使って安全設定を強化すると、パソコンの動作が遅くなってしまった り、これまで使えていた機能が使えなくなってしまうというケースがあります。また、ブラウザの 設定を安全側にすると、閲覧することができなくなるページもあります。 利便性をあまり損なわず、 かつ安全性を高めるには、どのような設定を行えばよいのかを検討しておく必要があります。 そして忘れてはいけないことは、不正アクセスの手段やセキュリティ上の弱点は、日夜新たに発 見されているということです。また、すべての問題を一挙に解決できる完璧なセキュリティ対策は この世には存在しません。常に新しい情報を入手し、利用者が積極的にセキュリティ対策を行うこ とが大切です。 大阪府立産業技術総合研究所では、インターネット利用に関するセキュリティ対策について、ア ドバイスや技術相談を行っています。インターネットの利用やセキュリティについて、疑問や質問 などありましたら、お気軽にお問い合わせください。 参考文献およびウェブサイト 1. 総務省編; 平成 14 年度版情報通信白書, (ぎょうせい, 2002/07), ISBN4-324-06880-1. 2. インターネット協会監修; インターネット白書 2002, (インプレス, 2002/07), ISBN4-8443-1659-1. 3. IPA セキュリティセンター, http://www.ipa.go.jp/security/ 4. コンピュータ緊急対応センター, http://www.jpcert.or.jp/ 5. 警察庁 ハイテク犯罪対策, http://www.npa.go.jp/hightech/ 6. 大阪府警 ハイテク犯罪対策室, http://www.police.pref.osaka.jp/bouhan/high_tech/ 7. Yahoo! ニュース・コンピュータ, http://headlines.yahoo.co.jp/hl?c=sci&t=l (2002.7.3 (社)西日本プラスチック製品工業協会での講演内容) お問合せ先(大阪府立産業技術総合研究所 システム技術部 情報通信グループ 石島 悌 氏、 電話番号: 0725-51-2525 (代表)、FAX 番号: 0725-51-2509 (代表)、 メールアドレス: [email protected])