ネットワークセキュリティの基礎知識
| インターネットをパケット交換網として活用しようとするとき心配になるのがセキュリティの問題です。 不正なアクセスに対する漫然とした不安がインターネットの業務系活用の最大のネックになっていると思います。最近日本でもサービスが開始された「VPN(仮想専用線サービス)」を例にしてネットワークセキュリティについての解説をします。 |
 |
プロトコルってなんだ |
| コンピュータを職業にしていない方々でも最近は「TCP/IP」という言葉を聞いたことがあると思います。人間が会議を行なう時にルールがあるように、コンピュータや機械がデータ通信を行なうには色々な取り決めが必要になります。 例えば「発言する時には挙手をして議長の指名を受ける」とか「国際会議では英語で話す」とか、円滑に意見を「交換する為のルール」が決められています。 人間の世界でも、相手の動作が見えない電話ではこの「交換する為のルール」が意識しないうちにたくさん出来ています。 |
|
発信音の確認 |
| 受話器をあげて「ツー」という発信音が聞こえていることで、この電話は使用可能であるということを確認しています。(一般の電話ではこの発信音が電話局からの線が正常であることを意味していますが携帯電話やISDNでは擬似的に自分の電話機がこの音を出しているので、本当はこの音=使用可能と考えるのは正しく無いのですが…) | |
|
「ハイ、○○です」と名乗る |
| 電話に出るとまず名乗ります。間違え電話のチェックを無意識のうちにやっています。 | |
|
かけた方からかけなおす |
| 会社に入ってすぐに新人教育で習いましたが、何らかの理由で通話中に切れてしまったら「かけたほうからかけなおすのがマナー」となっています。 これは同時にかけ直すことで双方が話し中になることを回避する為のルールです。 コンピュータ同志が通信する時にも電話での人間同志のやり取りと同じように、このような「交換する為のルール」を決めて円滑な通信を行う仕組みがあります。 |
| 童話「7匹の子やぎ」で子やぎが狼とお母さんを区別するために独自の「プロトコル」でチェックする様子を思い出してみて下さい。
プロトコルというのはこのような確認の手順を含む通信を安全に行なうための取り決めのことなのです。 |
 |
| このプロトコルのうち、LANの世界で一般的なものがTCP/IPというプロトコルです。 |
|
TCP/IPプロトコル |
| 専門的なTCP/IPの技術解説は別な機会にすることにして、TCP/IPはパケット交換に適したプロトコルです。 特にTCP/IPでは通信データの形式、特にパケット交換の宛名用紙の形式に関して詳しく規定されています。 |
| TCP/IPにルールで送るパケットの「送り状」の形式はこのようになっています。
宅配伝票のように宛先・発信元のほかにも色々な項目がこの送り状(一般に「パケットヘッダ」とよばれています)にセットされています。 |
|
|
専用便と宅配(混載)便 |
| 専用線接続とパケット交換の違いをもっと理解する為に、荷物を送る場合の「専用便」と「宅配(混載)便」の比較をしてみます。 |
|
専用便 |
| 荷物が少ないときでも1台単位でチャーターするので無駄が発生する場合がある。 |
 |
・ トラック単位で1拠点から1拠点へ |
|
 |
・
複数の発送元・複数の発送先 |
|
宅配便の基本(自宅に他人宛の荷物が来ないように) |
| このように宅配便はコスト面でメリットがあるのですが、構造的な弱点を持っています。 宅配便で専用便と同じ安全性を確保するには業者・利用者双方が十分な注意を払う必要があります。普段何気なくやっていることなのですが宅配便を利用する時に無意識に注意していることがあります。 |
|
伝票の宛先 |  |
|
| 正しい宛先に届いているかどうかを十分に確認して、受取確認に印鑑を押します。 | |||
|
もっと詳しく判定 | ||
| 受け取った後に「どこからかしら?」「中身は何かしら?」とチェックします。 知らない人からだったり「内容」に「爆発物」なんて書いてあったらすぐに開けることはしないと思います。 |
|
ファイアウォールって何だろう |
| パケット交換網であるインターネットはこの宅配便と非常に似ています。インターネットは先にお話したようにTCP/IPヘッダという「送り状」に従ってパケットを送るネットワークです。 インターネットに加入すると下の宅配便の基本機能だけが提供されます。 |
|
自分宛の荷物だけを受け取る |
| インターネットでは送り先アドレスが自分になっているパケットは全て自分の線に転送されてきます。 ここまでは非常に精度が高い「宅配便」といえます。 宅配便を安全に使用する為にはこの他にも気をつけることがありましたが、この部分は通常のインターネット接続では標準的にサポートされてはいません。 |
|
この人からの荷物は受け取らない・この人からの荷物は受け取る |
| 送り先アドレスを元に、自分宛てに送られて来たパケットに関して、「送り元」が正当なものかどうかを判定して受け取りが許可されている「送り元」からのパケットに限り受けとる。 |
|
こんな人は入場させない |
| アドレスの判定とは別に「ホームページ情報の受け取りは全てのアドレスを許可」「ファイルの転送は特定のアドレスのみに許可」といった具合に、データの内容を見て、より細かいアクセス管理を行なうことも必要になります。 このような高度な判定を「自分の身を守る」ために行なう仕組みのため「ファイアウォール」と呼んでいます。 「ファイアウォール」はちょうど自動改札機のようなもので区間や有効期限で判定するだけでなく子供の券で大人が乗っていないか、経由地は正しいか等の判定を高速に行なって、資格がある人だけを通過させています。 |
|
|
|
VPNの実現 |
| 最近日本でもサービスが開始されたVPN(Virtual
Private
Network)はこの「ファイアウオール」機能をつけたインターネット接続サービスです。 これまでNTTのX.25パケット交換でサポートされていた「相手固定接続」や「閉域接続」といった高度なセキュリティサービスがこのVPNで実現します。 ユーザはこのVPNサービスに加入することでこれまでの銀行の本・支店間のパケットネットワークのようにインターネットを安全に使用することが可能になります。 |
|
|
| これからの「インターネットオンライン」システム構築を考える時にこのVPNサービス機能は非常に重要なインフラになるといえます。今後インターネットの新しい活用法の発展に合わせて急速に広まって行くと思われます。 |