Webエンジニアのブログ

「マスタリングTCP/IP 入門編」要約 第9章「セキュリティプロトコル」

マスタリングTCP/IP 入門編 第5版」の第9章の要約。

TCP/IPは当初、特定の範囲のユーザーとの通信にしか利用されていなかったため、セキュリティに関しては重要と考えられていなかった。しかしインターネットが普及した現在ではセキュリティは重視されている。

セキュリティの構成要素

ファイアウォール

ファイアウォールにはいくつもの種類や形態があり、規定されたパケットのみを通過させるフィルタリングや、不正な接続を遮断するアプリケーションを挟むアプリケーションゲートウェイなどがある。

IDS(侵入検知システム)

IDSは不正アクセスを行うような通信を見つけ、セキュリティ管理者に通知をするシステムのこと。

アンチウィルス/パーソナルファイアウォール

アンチウィルスやパーソナルファイアウォールは、ユーザーが利用するコンピュータやサーバーなどで動作するソフトウェアのこと。 そのコンピュータを出入りするパケットやデータなどを監視して、不正な処理やウィルスの侵入などを防ぐ。

暗号化技術の基礎

共通鍵暗号方式と公開鍵暗号方式

暗号化では、ある鍵(値)を用意し、その鍵を使って元のデータに対して一定のアルゴリズムによる変換を行い、暗号化データを作る。暗号化されたデータを元に戻すことを復号と呼ぶ。

暗号化と復号に同じ鍵を使うのが共通鍵暗号方式である。これに対し、暗号化と復号に別々の鍵(公開鍵と秘密鍵)を使うのが公開鍵暗号方式である。共通鍵暗号方式では安全な鍵の受け渡しが課題になる。また公開鍵暗号方式の場合は片方の鍵だけでは暗号化データの復号は行えない。

一般的には共通鍵暗号方式と公開鍵暗号方式が組み合わされて使われる。

セキュリティのためのプロトコル

IPsecとVPN

以前は機密情報を転送するときにインターネットなどの公共網を利用せず、専用回線による私的なネットワークを利用して物理的に盗聴などができないようにしていた。 しかし費用的な観点から、インターネットを利用した仮想的な私的ネットワークであるVPN(Virtual Private Network)が使用されるようになってきた。

VPNは「読み取られても買い得できない」「改竄されたことを検出できる」という技術を利用して構築されている。一般的に利用されているのがIPsecで、IPsecではIPヘッダの後ろに暗号ヘッダや認証ヘッダを付ける。そしてそのヘッダ以降を暗号化し、解読できないようにしている。

TLS/SSLとHTTPS

WebではTLS/SSLを使ってHTTP通信の暗号化が行われている。HTTPでは、共通鍵暗号方式で暗号化処理が行われ、共通鍵は公開鍵暗号方式でやり取りされる。 公開鍵が正しいかどうかの確認には、認証局(CA、Certificate Authority)から発行された証明書を使う。

IEEE802.1x

IEEE802.1xは、認められた機器のみがネットワークにアクセスできるようにする仕組みのこと。無線アクセスや構内LANでよく使われている。

第9章 終わり

以上がセキュリティプロトコルについての説明。


{ "name": "hareku", "job": "Software Engineer" }