情報セキュリティ
パスワードの使い回しでアカウントを乗っ取られる、偽サイトにカード番号を入力してしまう——情報セキュリティの事故は誰にでも起こりえます。この講義では、情報セキュリティの3要素、認証と暗号化の仕組み、代表的な攻撃手口、そして不正アクセス禁止法について学びます。
情報セキュリティの3要素
情報セキュリティとは、情報の機密性・完全性・可用性の3つを維持することと定義されます。機密性(Confidentiality)は、許可された人だけが情報にアクセスできること。完全性(Integrity)は、情報が改ざん・破壊されず正確なまま保たれること。可用性(Availability)は、必要なときにいつでも情報やシステムを使えることです。頭文字をとってCIAと呼ばれます。例えば、サーバーが攻撃されてサービスが停止すれば可用性の侵害、Webページが書き換えられれば完全性の侵害です。
認証 — 本人であることを確かめる
システムが利用者を本人と確認する仕組みが認証です。認証に使う要素は3種類に分類されます。①知識要素:本人だけが知っているもの(パスワード・暗証番号)、②所有要素:本人だけが持っているもの(スマートフォン・ICカード)、③生体要素:本人の身体的特徴(指紋・顔・虹彩)。異なる種類の要素を2つ以上組み合わせる認証を多要素認証(二要素認証)と呼び、パスワードが漏れても第二の関門で防げるため、安全性が大きく向上します。パスワードは「長く・推測されにくく・サービスごとに別のもの」が原則です。
暗号化 — 盗み見られても読めなくする
暗号化とは、データを一定の規則(鍵)で変換し、第三者に読めない形にすることです。暗号化前のデータを平文、暗号化されたデータを暗号文、元に戻すことを復号といいます。方式は大きく2つあります。共通鍵暗号方式は、暗号化と復号に同じ鍵を使う方式で、処理は高速ですが、相手に鍵を安全に渡す方法が問題になります(鍵配送問題)。また、通信相手が増えると必要な鍵の数が急増します。公開鍵暗号方式は、誰にでも公開する「公開鍵」と本人だけが持つ「秘密鍵」のペアを使う方式で、公開鍵で暗号化したデータは対応する秘密鍵でしか復号できません。鍵配送問題を解決できますが、処理は共通鍵方式より低速です。実際のWeb通信(httpsで始まるURLのSSL/TLS)では、公開鍵暗号で共通鍵を安全に共有し、その後の通信は高速な共通鍵暗号で行う、という両方式の組み合わせ(ハイブリッド方式)が使われています。
サイバー攻撃の手口と不正アクセス禁止法
悪意を持って作られたソフトウェアを総称してマルウェアと呼びます。他のファイルに寄生するコンピュータウイルス、単独で自己増殖するワーム、有用なソフトを装って侵入するトロイの木馬、データを勝手に暗号化して身代金を要求するランサムウェアなどがあります。人の心理の隙をつくソーシャルエンジニアリング(肩越しの盗み見、なりすまし電話など)も深刻な脅威です。法制度としては、不正アクセス禁止法が、他人のID・パスワードを無断で使ってログインする行為、セキュリティホールを攻撃して侵入する行為、他人の認証情報を不正に取得・保管する行為、フィッシングサイトを設置する行為などを禁じています。「試しに友達のアカウントにログインしてみた」も立派な犯罪です。
- 情報セキュリティの3要素=機密性・完全性・可用性(CIA)。
- 認証の3要素=知識・所有・生体。異なる種類を組み合わせるのが多要素認証。
- 共通鍵暗号は高速だが鍵配送問題がある。公開鍵暗号は鍵配送問題を解決するが低速。
- SSL/TLS(https)は公開鍵暗号と共通鍵暗号のハイブリッド。
- マルウェアの分類(ウイルス・ワーム・トロイの木馬・ランサムウェア)を区別する。
- 他人のIDでのログインは不正アクセス禁止法違反。「いたずら」では済まない。
- ソフトウェアの更新(アップデート)はセキュリティホールを塞ぐ重要な対策。
練習問題
- 情報セキュリティの3要素をすべて挙げ、「Webサイトが第三者に書き換えられた」事故はどの要素の侵害か答えなさい。
- 共通鍵暗号方式と公開鍵暗号方式の違いを、「鍵」と「速度」の観点から説明しなさい。
- 多要素認証がパスワードのみの認証より安全といえる理由を説明しなさい。
- フィッシングとはどのような手口か説明し、有効な対策を1つ挙げなさい。
解答・解説
- 解答:3要素は機密性・完全性・可用性。Webサイトの改ざんは、情報が正確なまま保たれるべきという「完全性」の侵害にあたる。
解説:漏えい=機密性、改ざん=完全性、サービス停止=可用性、という対応で整理する。 - 解答:共通鍵暗号は暗号化と復号に同じ鍵を使い、処理は高速だが、鍵を相手に安全に渡す鍵配送問題がある。公開鍵暗号は公開鍵と秘密鍵のペアを使い、鍵配送問題を解決できるが、処理速度は共通鍵方式より遅い。
解説:「同じ鍵か・ペアの鍵か」「速いか・遅いか」「鍵配送問題の有無」の3点対比。実際は両方式を組み合わせて使う(ハイブリッド)ことまで書ければ完璧。 - 解答:知識・所有・生体という異なる種類の認証要素を組み合わせるため、仮にパスワード(知識要素)が漏えいしても、攻撃者はスマートフォン(所有要素)や指紋(生体要素)まで手に入れなければログインできず、不正アクセスが成立しにくくなるから。
解説:「1つ破られても残りが防ぐ」という多層防御の考え方が書けていれば正解。同じ種類の要素を2つ(パスワード2個)では多要素にならない点にも注意。 - 解答:フィッシングとは、実在の企業などを装ったメールやSMSで偽サイトに誘導し、ID・パスワード・クレジットカード番号などを入力させて盗む手口。対策例:メッセージ内のリンクを開かず、公式アプリや自分で登録したブックマークからアクセスする。
解説:「偽装して誘導」「入力させて盗む」の2段構造を押さえる。URLのドメイン確認、多要素認証の設定なども対策として正解。