1. TOP
  2. 目指せ!電気通信主任技術者
  3. 線路設備及び設備管理 対策ノート「セキュリティ管理技術」

セキュリティ管理技術

2019年6月3日作成,2021年9月1日更新

暗号化方式

共通鍵暗号方式は、主に、通信データの暗号化に用いられ、公開鍵暗号方式は、主に、認証と鍵配送に用いられる。

共通鍵

共通鍵暗号方式は,暗号化鍵と復号鍵が共通の方式である。その共通の鍵を共通鍵といい,通信相手とだけの秘密にしておく。

共通鍵暗号方式において、暗号化通信を行う送信者と受信者は、通信を始めるに先立って、事前に安全な方法で秘密鍵を共有しておく必要がある。

共通鍵暗号方式の一つである AES 暗号は、DES 暗号の後継のブロック暗号である。AES 暗号は、鍵の長さとして 128 ビット、192 ビット及び 256 ビットが利用可能である。

共通鍵暗号を用いる場合、安全性評価が行われた方式を選択して、一連のデータをやり取りするセッションごとに暗号鍵を変更するなどの安全性対策を採ることが望ましい。

共通鍵暗号方式は、公開鍵暗号方式と比較して、暗号化・復号の処理速度が速いことから、データ量の多い情報の秘匿に適している。

AES 暗号

AES(Advanced Encryption Standard)暗号は,米国立標準技術研究所(NIST)が規格化した新世代標準の方式で,DES の後継である。ブロック暗号で,鍵長は 128 ビット192 ビット256 ビットの三つが利用できる。排他的論理和の演算を繰り返し行うが,その演算を行う数を段数(ラウンド数)といい,鍵長によって段数が決まる。

WPA2

特に,ネットワークに無線 LAN が含まれている場合には,無線 LAN の電波を傍受されてパケットを盗聴されるリスクが高いため,無線区間での暗号化が不可欠である。無線 LAN の暗号化方式の規格の一つである WPA2 は,暗号化アルゴリズムに AES を採用した CCMP といわれる暗号方式が選択可能で,以前に制定された規格の弱点が改善されて,セキュリティ強度が高い。

DES 暗号

DES(Data Encryption Standard)は,ブロック暗号の一種である。米国の旧国家暗号規格であり,56 ビットの鍵を使う。しかし,鍵長が短すぎるため,近年は安全性が低いとみなされている。

公開鍵

公開鍵暗号方式は,暗号化鍵と復号鍵が異なる方式である。使用する人ごとに公開鍵秘密鍵のペア(キーペア)を作る。そして,公開鍵は相手に渡して,秘密鍵は自分だけで保管しておく。

公開鍵暗号方式のキーペアを用いることで,次の 2 種類の処理が可能となる。

  • 公開鍵で暗号化し,同じ人の秘密鍵で復号する
  • 秘密鍵で暗号化し,同じ人の公開鍵で復号する

公開鍵暗号方式では、秘密に保持すべき鍵は自分の秘密鍵のみであるのに対して、共通鍵暗号方式では、異なる通信相手に同一の鍵を使用すると、通信を盗聴されて解読されるリスクが発生するため、秘密に保持すべき鍵は通信相手ごとに必要である。

暗号鍵管理(PKI 等)

PKI(Public Key Infrastructure : 公開鍵基盤)は,公開鍵暗号方式を利用した社会基盤(インフラ)である。政府や信頼できる第三者機関に設置した認証局(CA : Certificate Authority)に証明書を発行してもらい,身分を証明してもらうことで,個人や会社の信頼を確保する。

データ伝送の暗号化(TLS 等)

SSL(Secure Sockets Layer)は,セキュリティを要求される通信のためのプロトコルである。SSL 3.0 を基に,TLS(Transport Layer Security)1.0 が考案された。

TLS の機能には,データの暗号化データの完全性の保証サーバ及びクライアントの認証の 3 つがある。

Web ブラウザと Web サーバ間で用いられる暗号化通信プロトコル

Web ブラウザと Web サーバとの間の通信において,なりすましや改ざんのない安全なやり取りを実現するための暗号化通信プロトコルとして SSL バージョン 3 をベースとした TLS がある。

この機能には,データの暗号化,データの完全性の保証,サーバ及びクライアントの認証の 3 つがある。サーバ及びクライアントの認証は,PKI に基づくデジタル証明書を用いて実現される。また,デジタル証明書は,CA といわれる第三者機関により発行され,CA は,デジタル証明書の発行,失効,更新,開示,保管などの認証管理サービスを提供する。

電子メールのセキュリティ

電子メールシステムにおいて一般的に使用されるプロトコルとして,POP と SMTP がある。POP は,電子メールを受信するためのプロトコルであるが,メールの受信者と POP サーバとの間でやり取りされるユーザ名やパスワードが暗号化されていないため,悪意の第三者によってユーザ名やパスワードが盗聴され,悪用されるおそれがある。セキュリティを高めるため POP によるメール受信の仕組みと通信の暗号化などを行う仕組みを併用するものとして POP over SSL/TLS がある。また,POP over SSL/TLS ではパスワードだけでなくメール本文も含めて暗号化される。

SMTP は,電子メールを送信するためのプロトコルであるが,認証の仕組みを有していない。そのため,悪意の第三者によって SMTP サーバが不正に使用され,迷惑メールや攻撃メールを送信する際の踏み台として利用されるおそれがある。セキュリティを高めるため SMTP 利用時にも認証を行う方式には,POP befor SMTPSMTP AUTH がある。POP befor SMTP は,SMTP サーバを利用してメールを送信する前に,POP サーバへのアクセスを必須とし,事前に認証を行う方式である。また,SMTP AUTH は,SMTP の拡張仕様の 1 つであり,SMTP サーバがメールの送信を実行する前に,送信依頼をしてきた相手が正規の利用者かどうかを確認する方式である。

電子メールの暗号化

一般的に利用されている電子メールの暗号化の仕組みとしては、送信者が共通鍵暗号方式の共通鍵で暗号化したメール本文と、受信者の公開鍵を用いて暗号化した共通鍵とを、電子メールで一緒に受信者へ送信する。受信者は、暗号化された共通鍵を受信者の秘密鍵を用いて復号し、暗号化されたメール本文を復号することができる。また、デジタル署名の作成手順としては、最初に、ハッシュ関数を用いてメール本文からハッシュ値を計算する。次に、得られたハッシュ値は、送信者が保有する公開鍵暗号方式の秘密鍵で暗号化され、デジタル署名として暗号化していないメール本文に添付して、受信者へ送信される。受信者は、送られてきたメール本文からハッシュ関数を用いてハッシュ値を計算する。さらに、送られてきたデジタル署名送信者の秘密鍵を用いて復号し、得られたハッシュ値と比較する。これらが同一ならば、電子メール本文が改ざんされていないこと及び送信者が署名者本人であることが確認できる。

認証技術

パスワード認証

パスワード認証とは,ユーザ名(ユーザ ID)とパスワードを組み合わせて行う認証である。通常のサーバのログインなどで利用される。

ネットワーク上を流れるパケットには盗聴のリスクがある。攻撃者がパケットを盗聴する目的の一つは,パスワード,個人情報など攻撃者にとって有益な情報を取得することであり,この行為はスニッフィングといわれる。スニッフィング対策には,ワンタイムパスワードを利用し認証を行うごとに毎回異なるパスワードとする,セッションを暗号化するなどの方法がある。

チャレンジレスポンス認証

チャレンジレスポンス方式とは,認証場所(サーバなど)が毎回異なる情報(チャレンジ)を被認証者(ユーザなど)に送る認証方式である。チャレンジは,乱数や時刻などを使用して適当に決める。被認証者は,チャレンジにパスワードを加えて演算した結果(レスポンス)を返す。認証場所では,チャレンジとレスポンスを比較して認証の可否を決める。

送信ドメイン認証

送信ドメイン認証は,迷惑メールの送信者アドレスの詐称を防ぐための技術であり,送信元の IP アドレスを基に正規のサーバから発信されたかを認証する方法メールに電子署名を付与する方法の二つの方式がある。

前者には SPF 方式及び Sender ID 方式,後者には DKIM 方式及び Domain Keys 方式がそれぞれある。

本人認証

本人認証の実現方法は,一般に,所有物による認証,本人が持つ知識による認証及び本人の身体的・行動的特徴による認証の 3 つのカテゴリに大別される。

本人認証の実現方法
  1. 所有物による認証
  2. 本人が持つ知識による認証
  3. 本人の身体的・行動的特徴による認証

バイオメトリクス認証

バイオメトリクス認証は,身体的・行動的特徴を用いて本人認証する方法であり,身体的・行動的特徴の普遍性,唯一性及び永続性の 3 つの性質を利用している。

バイオメトリクス認証の 1 つである指紋による認証では,万人不同,終生不変などといわれている指紋で本人を識別する。指紋照合には,あらかじめ登録された画像と読み込んだ画像を比較して認証する方式のほか,指紋の特徴(分岐点や切れている点など)の位置関係と隆線を抽出するマニーシャマッチング(minutiae matching)方式があり,パーソナルコンピュータの利用時の本人確認などに利用されている。

バイオメトリクス認証では,パスワードや磁気カードなどを用いた本人認証技術と異なり,照合結果を用いた判定基準には一定の許容範囲を持たせる必要があり,一般に,本人拒否率と他人受入率を考慮して判定しきい値を設定する。

本人拒否率
受け入れるべき本人であるにもかかわらず,誤って本人と認めない確率
他人受入率
拒否すべき他人であるにもかかわらず,誤って他人を受け入れてしまう確率

電子署名

電子署名とは,電磁的記録(電子文書)に付与する,電子的な微証であり,紙文書における印章やサイン(署名)に相当する役割を果たすものである。主に本人確認や,改ざん検出符号と組み合わせて偽造・改ざんの防止のために用いられる。

電子メールでは、その仕組み上、盗聴をはじめとしてその他複数の脅威が常に存在していることから、一般に、これらの脅威に対して、暗号化とデジタル署名を組み合わせることにより、セキュリティを確保することができる。

電子証明書

電子証明書は,『電子署名及び認証業務に関する法律』においては,「利用者が電子署名を行ったものであることを確認するために用いられる事項が当該利用者に係るものであることを証明するために作成する電磁的記録その他の認証業務の用に供するものとして主務省令で定めるものをいう」と定められている。一般には,電子署名のみならず,暗号や認証に用いられる公開鍵証明書などをさしていうこともある。

CA

認証局(CA)は,信頼される第三者が提供する,ディジタル証明書(公開鍵証明書)を発行する機関である。

ハッシュ関数

ハッシュとは,一方向性の関数であるハッシュ関数を用いる方法である。データに対してハッシュ関数を用いてハッシュ値を求める。ハッシュ値の長さは,データの長さによらず一定長となる。

ハッシュは,暗号化(ハッシュ化)はできても元に戻せないという性質をもっているため,メッセージを復元させたくないときに役立つ。

ハッシュの代表的な用途は,送りたいデータと合わせてハッシュ値を送ることで改ざんを検出することである。

認証サーバ

認証サーバは,認証情報を保存しているサーバである。

完全性保証

情報及び処理方法が,正確であること及び完全であることを保証すること。

電子メールの暗号化等

電子メールでは、その仕組み上、盗聴をはじめとしてその他複数の脅威が常に存在していることから、一般に、これらの脅威に対して、暗号化とデジタル署名を組み合わせることにより、セキュリティを確保することができる。

一般的に利用されている電子メールの暗号化の仕組みとしては、送信者が共通鍵暗号方式の共通鍵で暗号化したメール本文と、受信者の公開鍵を用いて暗号化した共通鍵とを、電子メールで一緒に受信者へ送信する。受信者は、暗号化された共通鍵を受信者の秘密鍵を用いて復号し、暗号化されたメール本文を復号することができる。また、デジタル署名の作成手順としては、最初に、ハッシュ関数を用いてメール本文からハッシュ値を計算する。次に、得られたハッシュ値は、送信者が保有する公開鍵暗号方式の秘密鍵で暗号化され、デジタル署名として暗号化していないメール本文に添付して、受信者へ送信される。受信者は、送られてきたメール本文からハッシュ関数を用いてハッシュ値を計算する。さらに、送られてきたデジタル署名送信者の秘密鍵を用いて復号し、得られたハッシュ値と比較する。これらが同一ならば、電子メール本文が改ざんされていないこと及び送信者が署名者本人であることが確認できる。

VPN

VPN(Virtual Private Network)は,インターネットに跨って,プライベートネットワークを拡張する技術,およびそのネットワークである。VPN によって,イントラネットなどのプライベートネットワークが,本来公的なネットワークであるインターネットに跨って,まるで各プライベートネットワーク間が専用線で接続されているかのような,機能的,セキュリティ的,管理上のポリシーの恩恵などが,関係者や利用者に対して実現される。

仮想プライベートネットワーク,仮想専用線とも呼ばれる。

inserted by FC2 system