− 第6回 −

盗聴や機密情報の悪用を防止する暗号化技術

SSLで、Webアクセスやメール送受信時の安全性を高める

　企業のホームページにアクセスしてID、パスワードなどの情報を入力する場合、盗聴防止などのセキュリティ対策としてSSL（Secure Socket Layer）がよく知られています。SSLはトランスポート層でTCP/IP通信のセキュリティを確保するためのプロトコルで、Webサーバーとクライアントのブラウザ間のHTTPのほか、メール（SMTP）やファイル転送（FTP）などにも適用されています。

　SSLは、サーバーとクライアントが自身のセキュリティポリシーを明示した上で、暗号鍵の選択などの設定を行い、電子証明書を交換して相互に認証します。クライアントはサーバーの電子証明書に格納されている公開鍵を使ってデータを復元し、サーバーの正当性を確認。サーバーを認証後、クライアントはサーバーの公開鍵を使ってデータを暗号化する仕組みです。

　逆にサーバーがクライアントに電子証明書の提出を要求するのがクライアント認証で、この仕組みを利用することでユーザーを認証するなど、サーバーへのアクセス制御が可能です。SSLではクライアントがサーバーを認証するのは必須ですが、クライアント認証は任意とされています。SSLは、インターネット技術の標準化機関IETF（Internet Engineering Task Force）でTLS（Transport Layer Security）として規定されています。SSLの仕組みを利用したSSL-VPNや、IPsecによるユーザー認証とデータ暗号化を行うVPNを活用することにより、通信の安全性を高められます。

暗号技術のWPAやAESの採用でセキュリティを強化する無線LAN

　オフィスで無線LANの導入が進む一方、導入に二の足を踏む企業もあります。その理由はほとんど、基幹データや顧客データなどの機密情報がやり取りされる社内で無線LANを利用するのは、セキュリティに不安があり情報漏えいの恐れがあるのではないかというものです。第三者が無線LANの電波を傍受してデータを盗み取ることが絶対にないとはいい切れませんが、かつて指摘されていたような無線LANの暗号化の脆弱性なども技術革新とともに改善されてきました。

　無線LANに限ったことではありませんが、ネットワーク構築ではユーザーのアクセス制御とデータ暗号化の両面からセキュリティ対策を講じる必要があります。無線LANのアクセス制御は、MACアドレスによるフィルタリングなどのほか、IEEE802.1xによる認証があり、アクセス時にRADIUS認証サーバーでID、パスワードを認証し、ユーザーごとに暗号鍵を生成するなどして通信時のセキュリティを確保します。

　また、無線LANのデータ暗号化では、共通鍵暗号方式のひとつであるRC4を用いたWEP（Wired Equivalent Privacy）がこれまで一般的でしたが、複数の無線フレームを集めると暗号を解読できるという脆弱性が指摘されるようになりました。そこで、RC4の鍵長を長くするとともに、セッションごとに暗号鍵を更新するなどセキュリティを強化したTKIP（Temporal Key Integrity Protocol）を暗号方式に採用するWPA（Wi-Fi Protected Access）や、AESを実装する無線LAN製品が増えています。

　このように暗号技術の進展などを背景に、従来に増して盗聴、不正アクセスの防御が可能になっていますが、VPNなど複数のセキュリティ技術を組み合わせ、より強固なネットワークを構築することが重要なのはいうまでもありません。

次のページ「セキュリティ・トリビア」では、情報セキュリティに関する様々な雑学やトリビアネタを紹介します。また、あなたのとっておきのトリビアが採用されると、図書券がもらえます！ぜひ投稿してください。