経営情報学基礎 講義ノート
  ネットワークにおけるセキュリティ

ヒット カウンタ
since 2001/2/10

修正 2004/07/16

目次

TOP

 

※印は本講義の対象範囲外です。

本章の狙い

高度情報通信社会の急速な発展に伴い、情報システムを不正なアクセスやウィルス、ハッカー、サイバーテロ等の脅威から防護するため、技術、運用、制度、法執行等様々な側面からのセキュリティ対策が必要不可欠となっています。本章では、セキュリティ問題に関する基礎的な概念と対策について学びます。

まずは、セキュリティに関する被害の現状を次の情報源から眺めてください。

  • 警察庁ホームページ
    http://www.npa.go.jp/→「ハイテク犯罪」の項

  • コンピュータ緊急対応センター(JPCERT/CC)
    http://www.jpcert.or.jp/→「インシデント報告」等

  • 情報処理振興事業協会セキュリティセンター(IPA/ISEC)
    http://www.ipa.go.jp/security/→「不正アクセス情報届出状況」、「ウィルス発見届出状況」等

TOP

セキュリティの概念体系

まず、情報システムにおけるセキュリティの概念体系について考えてみましょう。日本でも情報システムのセキュリティ確保を目的として、多数の基準や規定が制定されてきましたが [1] 、通産省、郵政省、警察庁等の機関がそれぞれに制定していて統一的な基準がないため、ここでは、世界中でデファクト標準として用いられているイギリス規格BS7799 "Information Security Management"[2]を手がかりとしてこの問題を考えてみます。BS7799は、その第2部「情報セキュリティ管理システム仕様」でセキュリティ確保のための具体的管理領域を表1のようにまとめています。

 

表1 BS7799におけるセキュリティの管理領域

4.1 セキュリティポリシー 4.7 アクセス制限
 4.1.1 情報セキュリティポリシー  4.7.1 アクセス制御
4.2 セキュリティ組織  4.7.2 ユーザアクセス管理
 4.2.1 情報セキュリティインフラ  4.7.3 ユーザの責任
 4.2.2 第3者アクセス  4.7.4 ネットワークのアクセス制御
 4.2.3 アウトソーシング  4.7.5 OSのアクセス
4.3 資産の分類と統制  4.7.6 アプリケーション
 4.3.1 財産に対する責任  4.7.7 システムアクセスの管理
 4.3.2 情報の分類  4.7.8 モバイルコンピューティング
4.4 スタッフ 4.8 システム開発とシステム運用
 4.4.1 仕事の定義及び人事  4.8.1 セキュリティ要求事項
 4.4.2 ユーザの訓練  4.8.2 アプリケーション
 4.4.3 事故及び誤動作への対処  4.8.3 暗号による管理
4.5 物理的環境的セキュリティ  4.8.4 システムファイル
 4.5.1 保安領域  4.8.5 開発及びサポートプロセス
 4.5.2 装置のセキュリティ 4.9 事業継続管理
 4.5.3 一般管理  4.9.1 事業継続管理の側面
4.6 通信及び運用管理 4.10 準拠
 4.6.1 運用手順及び委任  4.10.1 規約
 4.6.2 システム計画の作成及び受入  4.10.2 政策と技術適合性の見直し
 4.6.3 悪質ソフト  4.10.3 システム監査
 4.6.4 ハウスキーピング  
 4.6.5 ネットワーク管理  
 4.6.6 媒体  
 4.6.7 情報及びソフトウェアの管理  

出典:BS7799 Part 2: "Specification for information security management systems"。日本語訳が日本規格協会から出版されているが、ここでは独自の訳語を選択している個所もある。

上記の各領域の相互関係は次のようになっている。

1.セキュリティーポリシー
2.セキュリティー組織
3.資産の分類とコントロール(統制)
4.スタッフセキュリティー 5.物理的環境的セキュリティー 6.通信及び運用管理 8.システム開発

システム運用
7.アクセス制限
9.事業継続管理
10.準拠(コンプライアンス)

 

情報システムのセキュリティを脅かす要因は様々にあるわけですが、BS7799は、これを、組織ないし管理の枠組み(4.1〜4.3)、人的要素(4.4)、物理的管理(4.5)、運用(4.6)、アクセス管理(4.7)、システム開発(4.8)等の領域に系統的に分解して示しています。本講では、こうした広範囲にわたるセキュリティ管理領域のうち、ネットワークに関わる領域を中心に学びます。

TOP

ネットワークにおけるリスク

BS7799に従えば、ネットワークにおけるリスクは、「4.6 通信及び運用管理」、「4.7 アクセス制御」、「4.8 システム開発」等の局面で問題となりますが、これをリスクのパターンとして整理すると、次の四パターンが挙げられます。

 

図1 ネットワークにおけるリスクの四パターン

漏洩(盗聴) 改竄 なりすまし しらばくれ

黄は発信者、白は受信者、赤は両者間の通信に不正アクセスする第三者

 

「漏洩」とは、受信者以外の第三者が不正にネットワークにアクセスし、送信者のメッセージを不当に入手するリスクです。会話であれば盗聴となります。

「改竄」は正当な受信者以外の第三者が不正にネットワークにアクセスし、送信者のメッセージの内容を改変して受信者に送付することにより生じるリスクです。

一方「なりすまし」とは、第三者が別の発信者の名を騙(かた)ってメッセージを送ることです。

最後の「しらばくれ」とは、受信者が実際に受信しているにも拘わらず、「受信していない」としらばくれることによるリスクです。

この四つのリスクは、ネットワーク以外の場面に置き換えて考えることもできます。次表にパスポート、小切手、銀行のATMカード、現金の各場合に、四つのリスクが何を意味しているかをまとめてみました。

最も分かり易いのは「改竄」と「なりすまし」のリスクです。まず「改竄」について考えると、パスポート、小切手、銀行カード、現金はいずれも改竄のリスクに曝されています。しかし物質的な実体をもつこれらの場合、媒体そのもの(紙幣の材料、パスポートの材料等)に加え、高度な印刷技術による印刷を施すことによって改竄のリスクを防いでいます。小切手では、金額を示す数字をエンボスするケースもあります。

「なりすまし」は、パスポート、小切手、銀行カードの三つの場合にあてはまります。これを防ぐために、パスポートでは写真や署名を、小切手では署名を、そして銀行カードでは暗証番号を用いています。現金はそれをもっている人物が完全に権利を主張できますから、「なりすまし」を防ぐ手だてはありません。

「しらばくれ」とは、例えば、本人が振り出した小切手を後になって知らん振りすることに相当します。パスポートの場合には、それを提示して借金をした後で、それは自分ではなかった、と主張するような場合に相当するのでしょう。小切手の場合には、しらばくれても署名があるとシラを切り通すのは難しくなります。署名が、本人のしらばくれに対する対抗措置ともなっています。

実体的な存在であるこの四つの事例では、「漏洩」に対応するリスクはありません。敢えて言えば、「紛失」にでも相当するのでしょう。

 

表2 伝統的な媒体における四つのリスクとその対策 

リスク パスポート 小切手 銀行カード 現金
漏洩
改竄 高度な印刷等 エンボス印刷   高度な印刷等
なりすまし 写真・署名 署名 暗証番号
しらばくれ   署名  

 

この四つのリスクは、守るべき対象(価値)という見方からすれば、それぞれ「秘密性」、「原本性」、「正当性」及び「■」を守る、ということになります。次の項で見るように、それぞれのリスクに対抗する基本的な対策は、暗号、デジタル署名等の技術です。

 

表3 リスクのパターンとその対策

リスク 守るべき対象(価値) 対策
漏洩 秘密性(Confidentiality) 暗号化
改竄 原本性(Integrity) デジタル署名
なりすまし 正当性(Authenticity) デジタル署名
しらばくれ 受信否認の防止(Non-Repudiation) 非拒否サービス

 

TOP

秘密鍵方式と公開鍵方式

DES: Data Encryption System

過去30年近くにわたり暗号技術の主流にあったのはDES: Data Encryption Systemと呼ばれる暗号です。その原型は、1960年代末から1970年代のはじめにかけて、IBMワトソン研究所の暗号研究グループによって開発されました。当初これは「ルシファー暗号」と名付けられており、鍵の長さは128ビットでした。最初の顧客はロイド保険会社であり、IBMの開発した現金支払いシステムに組み込まれて直ちに輸出されました。

そして、この暗号方式は、後に米国防省の部局の一つである国家安全保障局(NSA: National Security Agency [3]IBMにより更に発展されてDESと呼ばれるようになりました。後日、DESは米国連邦政府の暗号標準“FIPS-46”として採用され、また米国銀行協会でも採用されました。

秘密鍵方式の問題点

DES暗号では、暗号化に使用する鍵と復号化に使用する鍵は共通であり、しかも暗号通信の安全性は用いる鍵の秘密性が確実に保たれることによって確保されます。このような方式を秘密鍵暗号方式(secret key cryptosystem)或いは共通鍵暗号方式と呼びます。軍隊や巨大組織での運用を考えれば、鍵は頻繁に変更され、これが暗号システムのすべての利用者にその都度配布されます。従って鍵を安全に届けることが必要になりますが、統一された指揮命令系統のもとにあり、また安全な輸送手段を自前で持っている軍隊組織や、これを利用できる政府組織の場合に問題はないでしょう。銀行や保険会社のように通信の安全確保に惜しみなく資金を投ずることのできる大組織にとっても、これは大きな問題とはならないでしょう。

しかし不特定多数の取引相手と行う通信に対してこのような暗号方式を使用することには様々な困難が伴います。通常、暗号化にかけることのできる費用は個々の取引あたりで考えれば小額であり、そのような安いコストで秘密鍵の安全な移送を行うことは困難です。この問題を鍵配送問題(key distribution problem)といいます。鍵の送付のために通信文の送付とは別の通信路が必要であり、しかもそれが相手方の数だけ必要となります。軍隊のような組織であれば、絶対的な必要性が認められるものとして、秘密鍵の送付に特別なコストをかけることは可能です。しかし、オープンなネットワーク上で無数にやり取りされる鍵をこのようにコストをかけて安全に送るというのは実際上極めて困難なことです。

 

公開鍵方式の発明

こうした中で登場したのが公開鍵方式(public key cryptosystem)といわれる新しい暗号化方式です。1976年に、ディフィー(Whitfield Diffie)とヘルマン(Martin E. Helman)という、スタンフォード大学の二人の研究者が発表しました。この方式が極めて重要な意味を持つに至ったのは鍵の配送を必要としないということです。

この方式では、秘密鍵(private key)と公開鍵(public key)という対になった二つの鍵を用います。この鍵の対は、一方の鍵で暗号化したメッセージは対をなすもう一方の鍵でしか復号化することができず、しかも、一方の鍵から他方の鍵の内容を知ることが極めて難しい、という特殊な性質をもっています。従って、対をなす鍵のうちの一つは公開しても差し支えないのです。メッセージを送るとき、送信相手の公開鍵を用いて送信文を暗号化し、自分の秘密鍵を用いて復号化するのです。受信者の秘密鍵は 受信者しか持っていませんから、通信文が受信者以外のものに解読されることはありません。鍵の配送を行わずに送信文の秘密を守るという目標が達成されたわけです。

 

図2 秘密鍵方式と公開鍵方式

TOP

デジタル署名

なりすましと改竄の防止

しかし公開鍵という原理の最も重要な応用成果は 、デジタル署名の仕組みに用いられたことでしょう。公開鍵方式は鍵の配送が不要であるという点で画期的なものですが、前図のような用い方をしているだけでは「なりすまし」や「改竄」を防げません。例えば、送信者をA、受信者をB、両者間の通信に介入してAになりすます第三者をCとするとき、Cは容易にBの公開鍵を入手して、Aを騙った通信文をBに送ることが可能です。この時、Aが送信した本来の通信文を削除して別の通信文を送れば、Aの送信文はCによって改竄されたということになります。しかし、公開鍵と秘密鍵の使い方を逆にすることによって、「なりすまし」と「改竄」を完全に防ぐことができるのです。これを「デジタル署名」の技術と呼んでいます。その仕組みは次のようなものです。  

図3 デジタル署名の仕組み

@送信者Aは、受取人Bの公開鍵を用いて送信文を暗号化して送る。

A受信者Bは自分の秘密鍵を用いて受信文を復号化する。この際、送信文の暗号化に使われた公開鍵Bは誰でもアクセスできるから、「なりすまし」を見抜くための仕組みが必要。

B送信者Aは送信文をハッシュして、まずハッシュ文を作る。これを自分の秘密鍵Aを用いて 暗号化し、Bに送る。ここで「ハッシュ」とは、「(肉などを)細かく切り刻む」という意味であり、ハッシュすることにより、送信文自体は意味を持たない切り刻まれた文となる。

C受信者BはこれをAの公開鍵を用いて復号化する。この復号化は誰でも行うことができる。復号化したこのハッシュ文は、第三者にとっては全く意味の無いものである。

D受信者Bは、Aで復号化した送信文をもとに、送信者が行ったのと同様の手順 (この手順は公開されていてもかまいません)によってハッシュ文を作り、これをCで得た内容と比較することにより、送り手が間違いなくAであるかどうか、内容に改竄が無いかどうかを確認することができる。

TOP

公開鍵インフラ(PKI)と認証局

このように有用な公開鍵方式を実現するには、公開鍵を管理するための何らかの社会的な仕組みが必要です。そして、これを行うのが、認証局(certification authority)と呼ばれる仕組みです。

その機能は、伝統的には印鑑登録制度が果たしてきた役割に似ています。印鑑登録制度は、市役所などに自分の印鑑の陰影を登録し、その印鑑を押印した文書の真正性を証明するために、市役所から発行された印鑑証明を添付するというものです。

 

図4 印鑑証明からデジタル署名へ

TOP

電子署名法

こうした仕組みに法律的な正当性を与えるために、世界中で既に多くの国が電子署名法を成立させ、これに基づいて多くの認証局が活動しています。米国及びアジア地域における事例を次表にまとめておきます。

 

表4 米国及びアジア各国の電子署名法制定状況

法律名 制定・施行年
マレーシア The Digital Signature Act 1997

1997年成立

1998年10月1日施行

シンガポール Electronic Transaction Act 1998

1998年7月公布

1998年7月10日施行

香港 Electronic Transaction Ordinance 2000

2000年1月5日公布

2000年2月18日施行

韓国 電子商取引及び電子署名法 2000

1999年2月公布

1999年7月施行

日本 電子署名及び認証業務に関する法律

2000年5月31日成立

2001年4月1日施行

 

TOP

不正アクセス禁止法

ネットワークにおけるリスクに対処する方法は暗号化だけではありません。不正なアクセスを法律によって禁止し、違反者に対して重いペナルティを課すことによって不正アクセスを抑制する、という、社会全体としてのアプローチも必要です。

日本でも、1998年に「不正アクセス禁止法」が成立しました。これは

  • 不正アクセス行為を禁止。違反者は一年以下の懲役または50万円以下の罰金

  • 他人のIDなどを無断で提供してはならない。違反者は30万円以下の罰金。

  • 不正アクセスからの防御のため、プロバイダーなどは必要な措置を取る。

  • 都道府県公安委員会と国は、必要な援助をする。

等を主な内容とするものです。

なお、不正アクセス禁止法の立法段階では、郵政省、警察庁がそれぞれ独自の法案を準備し、特に通信ログの保管の要否を巡って意見が対立しました。警察は、犯罪捜査のため、外部からの接続の日時、ID、IPアドレスの三つを一律三ヶ月間保存するように主張したのに対し、郵政省は、それは通信の秘密に反するとして保存義務に反発、料金請求などが終了した後は速やかに消去されるべきと主張しました。結局、ログ保存義務は見送られることになりましたが、国家とプライバシーという点で多くの問題が提起されました。

TOP

セキュリティ評価基準

未完

TOP

ウィルス対策

未完

TOP

暗号技術と輸出管理【※】

米国の法律は、国家的な戦略目標実現のために、特定の製品や特定の技術の輸出に際して連邦政府に輸出の許可権限を与えています。この法律を輸出管理法といい、1949年に成立した法律です。かつて第二次大戦開戦直前の1930年代末、国際連盟を脱退した日本に対して、米国は原油、工作機械や製鉄原料となる鉄屑の輸出を禁止しました。戦後もココムと呼ばれるスキームのもとで、冷戦の相手国であった旧ソ連邦やその軍事的同盟国に対して、武器はもとより広範囲な先端技術製品と技術の輸出を禁止或いは制限してきました。最近では、湾岸戦争(1990年)以降今日に至るまでイラクに対しては武器を輸出しないという制裁措置を続けています。そして、この輸出管理法上、暗号技術は戦車やミサイル、核兵器技術等と同様の武器技術と見なされてきたのです。暗号技術が持つ軍事上の重要性を考えれば、それは当然のことといえます。

しかしどんな場合でも暗号の輸出が全て禁止されるというわけではありません。既に述べたように、DES暗号は早くからロンドンのロイズ保険会社に輸出されましたし、日本でもクレジットカード業界のネットワークは1970年代からDESを使用してきました。米国の国益に反しないと判断される限り、輸出は認められてきたのです。

逆に、優れた暗号技術の輸出がもたらす国益上、安全保障上の損失とは何でしょうか?それは、端的に言うと、外国の通信が高度な暗号によって保護されるようになると、米国がそれを解読する上で大変大きなコストを要するようになるということです。安全保障に関する議論が観念的な日本のような国では、国家が日常的に外国の通信を傍受解読しているという事実はあまり好んで議論されるテーマでありませんが、これは世界の現実です。現在時点で世界中の暗号のうち米国が何処まで解読できているのか、これは調べようも、知りようもないことです。しかし、少なくとも米国で有用と判断される程度の暗号技術が世界に輸出されて多くの組織が使いはじめれば、米国にとって、暗号解読のために必要なコストが大きくなることは明らかです。暗号解読者としてのNSAの立場から言えば、暗号の輸出は決して好ましいものとはいえないのです。

一方、現在のネットワークは決して米国内で閉じるということはありませんから、米国内である暗号技術を使用したシステムを構築しようとすれば、それは必ず米国外の利用者が当該暗号技術を利用できる、という条件を満たさなくてはなりません。その為には米国製の暗号技術について輸出規制があってはならないのです。単に外国にも暗号が売れるというだけの利益ではなく、暗号技術の確実な輸出がはかれない限りグローバルなシステムを構築できない、というもっと大きな利益があるのです。というわけで、米国政府は、国内の産業界、特に情報産業界から常に暗号技術の輸出規制緩和を求める圧力を受けてきました。

そして米国の暗号輸出政策はこの二つの相反する要求の間で揺れ動いてきたのです。DESに関する輸出規制も時代とともに変化してきましたが、今後のネットワーク技術の重要な要素である暗号技術について、米国の輸出規制政策が予測困難であるという事実は大変大きな問題です。それは米国製の暗号技術を利用するものにとっても問題ですし、また米国で暗号技術の開発を行うものにとっても大問題です。


TOP

【演習課題】 NEW(問3)
  1. 新聞記事データベースによって過去1年間のコンピュータシステム不正アクセス事件を検索し、その特徴をまとめてください。A4用紙1枚以内。

  2. BS7799の管理領域に即して、自分の使用しているコンピュータについて、自分が実践しているセキュリティ対策を列挙してください。

  3. デジタル署名の仕組みを、このホームページや資料を参照せずに、図解してみましょう。最初は多分できないはずです。できるまでやってみましょう。特に、どうして「漏洩」「改竄」「なりすまし」が防げるのか、ロジックを自分の頭で確かめてみましょう。 NEW


TOP

【脚注】

[1] 日本においてこれまでに作成されてきたセキュリティ関連基準として、次のようなものがあります。
当初制定年 基準の名称、内容、その後の改正経緯等
1977年 情報システム安全対策基準(通産省告示):コンピュータシステムに関わる安全対策についての初の包括的基準。その後、1984年、1991年、1995年(全面改正)、1997年の改正を経て今日に至る。
1981年 情報処理サービス業電子計算機システム安全対策実施事業所認定規定(通産省告示):情報処理サービス事業者の申請に基づき、認定基準ヘの適合審査を行い、適合するものは安全対策実施事業所として認定証を交付するとともに官報に掲載。1997年に規定の一部改正と名称変更があり、情報処理サービス業情報システム安全対策実施事業所認定規程となった。
1982年 情報通信ネットワーク安全・信頼性基準(郵政省告示):情報通信ネットワークにおける安全・信頼性対策全般について包括的な基準を示したもの。電気通信事業者、自営通信事業者、ユーザネットワークの構築者、ユーザが対象。1994年、1996年、1997年に一部改正。
1982年 情報通信ネットワーク安全・信頼性対策実施登録規定(郵政省告示):第二種電気通信事業者の情報通信ネットワークのうち、一定の安全・信頼性対策が実施されているものを登録するための規定。
1985年 金融機関等コンピュータシステムの安全対策基準(金融情報システムセンターが制定した自主基準):その後、1991年、1998年、2000年に一部改正。
1986年 金融機関等コンピュータシステムの安全対策基準(金融情報システムセンターが制定した自主基準):その後、1991年、1998年、2000年に一部改正。
1986年 情報システム安全対策指針(警察庁):1997年にコンピュータウィルス等不正プログラム対策指針と統合。1999年一部改正。
1986年 コンピュータシステムに係る防火安全対策研究報告書(消防庁・建設省共同)
1987年 地方公共団体コンピュータ・セキュリティ対策基準及び解説(自治省):
1989年 コンピュータウィルス等不正プログラム対策指針(警察庁):
1990年 コンピュータウィルス対策基準(通産省告示):ウィルスを発見した場合届け出ることとなっており、届出先は情報処理振興事業協会(IPA)である。1997年に一部改正された。
1996年 コンピュータ不正アクセス対策基準(通産省告示):コンピュータ不正アクセスによる被害の予防、再発防止等について、企業・個人が実行すべき対策をとりまとめたもの。不正アクセスを発見した場合
   

[2] BS 7799は、イギリス規格協会(BSI: British Standard Institute)により1995年に作成された情報セキュリティ管理規格であり、以来世界各国で数多く参照され、デファクト標準となっています。1999年に改版され、BS 7799-1(情報セキュリティ管理実施基準)とBS 7799-2(情報セキュリティ管理システム仕様)の2部構成となり、第1部のBS 7799-1はISO 17799"Code of practice for information security management"として近々ISO化される予定です。BSIは、1901年に設立された組織であり、1929年に英国規格協会と改称されました。認証機関としても、ISO 9000、ISO 14000の審査登録では世界最大の実績を誇っています。

[3] 国家安全保障局(NSA: National Security Agency)という組織は暗号技術の発達と表裏一体の関係にある組織ですのでここで一言解説を加えておきましょう。NSAとは"Not Such Agency"(そんな組織はない)、"Never Say Anything"(何も言わない)の略だという冗談があるように、それは米国の政府組織の中でもっとも秘密にされた存在でした。1970年代までは米国政府の予算書や政府機関電話帳にも全く登場しなかったといわれます。現在ではさすがに存在自体は否定されていませんし、政府の予算書や住所録、電話帳にも記載されています。

NSAの役割は、一言でいうと「外国の使用する暗号システムを解読すること」と「米国の暗号システムを安全に守ること」です。これまでの歴代長官の前歴を調べてみると、ほとんど例外なく、三軍出身の制服組情報将校幹部が交代で長官のポストに就いています。そして日常運営にあたる副長官には暗号の専門家が占めてきました。NSA の主役は優秀なスタッフとコンピュータです。NSAには歴史上米国でもっとも高性能なコンピュータが納入されてきました。というよりも、NSAの要求に応えるためにより高性能なコンピュータが開発されてきたと言い換えた方が良いかも知れません。NSA1952年に設立されたとき、最初に納入されたコンピュータはERAの開発したアトラス2号機でした。この一号機は、NSAの前身の一つである海軍情報部(NSG)です。またNSAはIBMとの間では“Strech”と呼ばれるマシンの開発をすすめ、19622月にはこれが納入されています。Crayの第1号機もNSA に据え付けられました。NSAを主題として、”Puzzle Palace”(日本語訳、「パズルパレス」、早川書房)という大変面白い本を書いているJames Bamfordは、「通常の組織はコンピュータルームの床面積を平方フィートで表すが、NSAはエーカーで表す」と書いています。いまやコンピュータはそれ程大きな床面積を占有しませんからこれが今も妥当するかどうか知りませんがNSAらしい話です。

 


TOP


経営情報学基礎


Mikami's HOME

Mail to Mikami

TOP


© Yoshiki Mikami 2001-2004    last updated 2004年07月16日

TOP