見出し画像

【高校情報1授業】情報セキュリティ入門(ファイアウォール・マルウェア・認証認可など)教科書完全準拠・参考書・共通テスト対策

高校情報科・情報処理技術者試験対策の突破口ドットコム

情報セキュリティ入門(ファイアウォール・マルウェア・認証認可など)




【資料ダウンロード】

PDFの他、パワーポイント、学習指導案 等の原本も無料提供しています。

情報教育の底上げが目的なので、資料を修正して、学校・塾(営利目的含む)の授業等で利用して頂いて問題ありません。私への連絡不要ですが、利用する際には、YouTubeチャンネル・情報Ⅰ動画教科書・IT用語動画辞典を紹介してもらえると嬉しいです。

■PowerPoint・問題集
https://toppakou.com/info1/download/23_個人による安全対策/23_個人による安全対策.pptx

■簡易学習指導案
https://toppakou.com/info1/download/23_個人による安全対策/【学習指導案】23_個人による安全対策.docx



【文字おこし】

今回は、情報セキュリティとは何か、マルウェア対策、認証認可、ファイアウォールについて説明していきます。
一部は以前の単元と重複するものもありますが、復習を兼ねて勉強していきましょう。

===================
★情報セキュリティ
情報セキュリティは、例えば 人のパソコンやスマートフォンの情報を盗み見たり、、データを書き換えたり破壊したりする不正行為や不慮の事故に対して、個人的、組織的、技術的双方から安全対策を講じることになります。

専門的な言い方では、情報のCIAを維持すること になります。
CはConfidentialityの略で、機密性。
IはIntegrityの略で、完全性
AはAvailabilityの略で可用性
これらを纏めて情報セキュリティの3要素と言います。

それぞれの項目の内容を具体例を説明していきます。

まず、機密性は、許可されている人、モノだけが使用できることになります。
たとえば、IDとパスワードが知っている人だけが利用できる Webページなどがありますよね。
現実社会で例えると、人気アイドルグループのコンサートを見るためには、入場チケットが必要ですよね。
最近は、IDやパスワードが流出して、機密情報を盗まれたりする事件、つまり機密性が脅かされる事件が多発しています。

次に、完全性は、内容が正しい状態が維持されていることになります。
たとえば、A君からBさんにメールを送った場合、途中で書き換えられたら大変ですよね。
この情報が書き換えられる行為のことを、改ざんと言います。
つまり、完全性は情報が改ざんされないようにすることになります。

最後に、可用性は、使いたいときにいつでも使えるようにする ことになります。

たとえば、テレビで紹介された企業のホームページにアクセスが集中して、内容がみれなかったりすることがあると思います。これは、可用性が失われていることになります。
大量にアクセスが来ても使えること、通信経路の機器が故障しても迂回路を使って通信できるようにすることが可用性を担保することになります。

情報漏洩などのセキュリティ事故が起こってから慌てて対応するのではなく、機密情報を扱うものは常にこのCIAを意識しなければいけません。
このような、情報の機密性や完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたものを情報セキュリティポリシーと言います。

最近は、情報漏洩という言葉がニュースをにぎわせています。
つぎは、どのような方法で情報が漏洩するのかについて説明していきます。

情報漏洩は、企業など限られた組織や個人だけに公開が許可されている情報が、何らかの理由で外部に流出してしまうことになります。
漏洩経路は様々ありますが、コンピュータウィルスに感染して情報漏洩する場合も多いです。

===
今、ウイルスと言って思い浮かぶのが新型コロナウィルスだとおもいます。
一般的な病気としてのウイルスの特徴は
ウイルスを吸い込むことで体内に入る

体内に入って増殖する

症状が出る
という段階が考えられます。
コンピュータウイルスも、病気のウイルスと同じような意味合いで、名付けられています。

経済産業省のコンピュータウイルスの対策基準では
次の機能を1つ以上有するものとしています。

自己伝染機能
 自らを複製して他のシステムに伝染する機能

潜伏機能
 発病まで ユーザーに察知させないように、特定の時刻や時間、処理回数になるまで症状を出さない機能。

発病機能
 プログラムやデータ等のファイル破壊を行ったり、利用者の意図しない動作をする機能


今説明した、コンピュータウイルスはマルウェアと呼ばれるものの一種になります。
マルウェアは悪意のあるソフトウェアの総称になります。

マルウェアの種類について説明していきます。

まずはワームです。ワームは虫という意味ですが、虫は1匹でも独立して生きていけますよね。ワームは、ウイルスのように他のプログラムに寄生せずに自立して存在してネットワークを経由して自身を複製しながら自己拡散するマルウエアのことです。

次にトロイの木馬です。
ウイルスやワームは増殖しますが、トロイの木馬は増殖しないマルウェアです。
利用者からは、便利な普通のツールソフトの様に見えますが、実際には裏では攻撃活動を行うものがあり、感染に気付かずに被害が長引く可能性があります。

このトロイの木馬の一種に、バックドアがあります。
 直訳すると裏口の意味で侵入したシステム内のコンピュータと攻撃者が通信を行う為のマルウェアになります。このバックドアを利用して、外部から攻撃の指示を行ったり、機密情報を送信したりします。

このバックドアを利用して、攻撃者から指令を受けて、さらに他のコンピュータやネットワークに対して攻撃することが特徴のマルウェアを、ボットと言います。

感染したコンピュータを含むシステムの情報を盗むことを目的としたマルウェアをスパイウェアといいます。

このスパイウェアの一種で、キーボードの操作履歴を記録して打ち込んだID,パスワードなどの機密情報入手するマルウエアがあります。これをキーロガーと言います。
ディスプレイに映っている情報丸ごとスクリーンショットを取得して情報を窃取するマルウエアをスクリーンロガーと言います。

====

最近は、ランサムウェアと呼ばれるマルウェアによる被害が多くなってきています。
ファイルを暗号化して読めない状態にしてしまい、復号してほしければお金つまり身代金を要求するマルウェアになります。

マルウェアはコンピュータのセキュリティ的な弱点を狙ってくることが多いです。
このような、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを脆弱性と言います。
他の用語でセキュリティホールと言われることもあります。

情報が漏洩しても、暗号化していれば盗まれても解読できないから大丈夫と思われるかもしれません。
ただ、暗号化技術の発展とともに、いたちごっこのように解読技術も発展しています。
実際数年前まで安全と言われてた暗号化技術が今は見破られる可能性があるといわれているものがあります。
このように、技術の発展と共に、暗号アルゴリズムの安全性のレベルが相対的に低下した状況を危殆化といいます。


マルウエアの分類について話していきます。
先ほどコンピュータウイルスについて話しましたが、
狭義の意味でコンピュータウイルスとされています。

トロイの木馬、ワーム、狭義の意味でのコンピュータウイルスのことを「広義のコンピュータウイルス」といいます。

==
マルウェアの他にも情報が盗まれる経路は沢山あります。

まずは、フイッシングです。
フィッシングは、正規のメールやWebページを装って、ユーザーID、パスワード、クレジットカード情報等を入力させて、それらを盗み取って悪用する詐欺のことになります。

これは、実際私に届いたフィッシングメールです。
見た目はアマゾンの様に見えます。差出人はアマゾンと書かれていますが、この部分はだれでも偽装することができます。

そして、このURLをクリックするとAmazonそっくりなページに飛んで
ID、パスワード、クレジット情報等を入力を促されます。入力すると本人になりすまして物が買われたり、クレジットカードが不正利用される可能性があります。

URLのこの部分は偽装することは難しいので、クリックする前に本物のAmazon.co.jpのURLと一致するかを確認することで被害を防げる可能性があります。

他には、ソーシャルエンジニアリングという人間心理に付け込む手法があります。
パスワードを知っている人を信用させて、パスワードを聞き出したり、盗み見たりする手法で、日常生活の中から人為的に機密情報を入手して、コンピュータを不正利用する手法になります。

聞き出すだけではなくて、ゴミ箱に機密情報が捨てられていた場合、それを盗むスキャベンジングという手法もあります。
紙媒体の機密情報はシュレッダーにかけて破棄するようにしましょう。
シュレッダーは量が多くなると手間ですが、企業によっては、セキュリティボックスと言って一度中にいれたら取り出し不可能なボックスに入れて、専門の破棄業者に依頼することも多いです。

他にはコンピュータの誤操作、メールの誤送信など人為的な過失によって情報漏洩は起こります。これをヒューマンエラーと言います。
技術的な対策はもちろんですが、人為的なミスを防ぐための教育も行うことが大切になります。

★マルウェアの対策
このマルウェアの感染を防ぐ対策をいくつか紹介します。

・ウイルス対策ソフトウェアを利用し、ウイルス定義ファイルを常に最新にしておく
・サポートが切れたOSやアプリケーションは利用しない
・外部のメディアを接続する場合は、ファイルを開く前にウイルススキャンをすること
・開発元が明らかでないアプリはダウンロードしないこと
・ランサムウェア等の感染対策として、ファイルはバックアップしておくこと

もし感染した場合は
感染したコンピュータをネットワークから切り離すこと
ネットワーク・セキュリティ管理者の指示に従い対応すること などがあげられます。

また、無線LANは盗聴のリスクが高いです。
盗聴されてもその内容が解読できないように、現在は安全とされているWPA2、WPA3の規格を利用することがあげられます。

===============
★認証認可
次に認証と認可について説明していきます。
コンピュータを利用するためには、その権利を有していなければいけません。
この権利をアカウントと言います。


まず、「認証」と聞いて、IDとパスワードを入れてログインすることを思い浮かべる方が多いと思います。
認証とは、人に限らず、対象の正しさを証明や確認する行為のことです。
ここでいう対象とは、人だったり、サーバーだったり、クライアントパソコンだったり様々です。

そして対象を特定する方法として、大きく3種類があります。
知識情報
生体情報
所持情報 です。

それぞれについて説明ししていきます。

まず、知識認証は、その情報を知っていればログインできる認証になります。
代表的な例としてIDとパスワードを知っていればログインできるサイトが多いですが、このIDとパスワードの認証も知識認証の代表例になります。

次に生体認証です。
生体認証という言葉は有名ですが、身体的特徴や行動的特徴(癖)の情報を用いて行う認証のことになります。
身体的特徴の具体的な例としては、指紋や顔、DNA、目の網膜、虹彩、音声などがあります。最近は体臭の科学的な成分構成をもとに行う認証も研究されているようです。
行動の特徴についての具体的な例としては、筆跡、まばたき、歩行などがあります。

次に所持認証です。
本人しか持っていない物で認証するというものです。
最近はスマートフォンの普及率が上がったことにより、とあるサイトにログインする場合は、スマートフォンのショートメッセージサービスであるSMSに認証コードを送って、その認証コードを入れさせるというパターンが増えています。
このコードは1回しか使えない、使い捨てパスワードの役割をします。この1回限りのパスワードのことをワンタイムパスワードどいいます。

現実の世界では、家に入るためには鍵が必要ですよね。
逆に言えば、鍵を無くしたら本人でも家に入れなくなるし、盗難の場合は第三者が家に入れてしまうリスクもあります。

最近問題になっているのが、知識認証で用いられるパスワードの使いまわしです。
とあるサイトAのIDとパスワードを他のサービスでも使いまわしている方は実際のところ多いと思います。
仮にサイトAのIDとパスワードが漏洩した場合、攻撃者はいろんなサイトでその組み合わせを試して不正アクセスに成功するパターンも増えてきています。

その対策として、2要素認証というものがあります。
先ほど説明した知識、生体、所持の2つの要素を組み合わせる認証になります。
例えば、まず知識認証のIDとパスワードを入力した後、所持認証としてスマートフォンに認証コードを送ってその認証が通ったら初めてログインできるというものです。

2要素認証は同じ要素内では2要素となりません。
例えば指紋と虹彩2つの認証でも、同じ生体認証の範囲なので2要素にはなりません。

ただ、似た言葉で、二段階認証というものがあります。
これは、二つの段階を経て認証を行うことで、これはID、パスワードによる認証と誕生日など同じ要素内でも使われる認証になります。

また、要素を2つ以上組み合わせる認証を多要素認証といいます。
2つ以上なので、2要素認証は多要素認証の一部となります。


パスワードを決めるときには、他人が推測できないような複雑で自分だけが覚えやすいパスワードを設定する必要があります。

・異なる文字種の組み合わせにすること
・電話番号、生年月日、ユーザIDと同一なものは避けること
・初期のパスワードはすぐに変更すること
・パスワードはサイトごとに違うものにすること
・手帳や付箋などに書いておかないこと

とは、いいつつも、
最近は、色んなWebサービスがあふれているから、パスワードを一人で数十管理して忘れてしまう方も多いと思います。


ある意味パスワード地獄ですね。
そんなパスワード地獄の救世主がFIDOという技術です。
FIDOは簡単に言えば、生体認証等を使ってパスワードレスでサービスにログインできる仕組みで最近はそれに対応したスマートフォン端末等も増えてきています。

FIDOの具体的なフローについては、次回の単元で公開鍵暗号方式と電子署名について説明するのでその時に改めて説明します。

もう一つ覚えておいてほしい用語にシングルサインオン 略してSSOがあります。
これは、一度のユーザ認証処理によって独立した複数のサービスが利用可能になるものです。
例えばサービスAの認証が通った場合は、サービスBやCについてユーザは再度認証する必要がなく他サイトのサービスを利用できます。


ユーザーのアカウント情報を格納するサーバーを認証サーバと言います。

Webサービスの認証フローの代表例としては認証サーバーとしてデータベースサーバを使うことが多いです。
ユーザーはブラウザ経由でWebサーバにアクセスして、Webサーバ自体はユーザ情報は保持しておらず、認証サーバであるデータベースサーバにIDとパスワードの情報を問い合わせ認証処理を行います。


無線LANの場合はIEEE802.1Xという認証規格があります。

クライアントパソコンやスマートフォンは無線LANアクセスポイントに接続する時に認証情報を交換します。この時の認証情報を交換するプロトコルをEAPといいます。
そしてアクセスポイントは認証サーバのRADIUSサーバとの間で認証情報を交換します。
この時の認証情報を交換するプロトコルをRADIUSといいます。

今は、サービスを利用する側の認証について説明しましたが、サービスを提供する側の認証もあります。

以前の動画で詳しく説明していますが、HTTPS通信でサーバ認証を行います。

HTTPSではサーバは通信の際に、第三者機関が発行したサーバ証明書をクライアントに渡し、クライアント側はそのサーバ証明書が本当に信用できるかを検証しています。
ブラウザから警告が無ければ、そのサーバの認証が通ったということになります。

認証について説明しましたが、混同しやすい用語に認可があります。

認証は、対象の正しさを証明や確認する行為のことでしたが、認可は何かしらの権限や権利を与えることになります。

例えば、ATMの例で考えていきましょう。
まず、キャッシュカードと暗証番号で本人確認つまり認証が行われます。
ただ、一日の利用限度額は人によって異なりますよね。いくらまで下せるかの権限を与えることが認可になります。

同じWebサービスでも人によって、使えるサービスが違いますよね

認証と認可の違いについて押さえておきましょう。

★ファイアウォール
地面が燃えていますが、レンガが防火壁の役割を果たして。中に住んでいる人は火が入らないので、中の人は問題なく暮らせています。
コンピュータの世界でも、この防火壁の意味で、ファイアウォールという仕組みがあります。

ファイアウォールは、インターネット等の外部のネットワークからの不正なアクセスから守るシステムのことです。
つまり門番的な役割を果たします。
ファイアウォールは主に内部ネットワークと外部ネットワークの分岐点に設置されます。
以前の動画でルータはネットワークを分割するものと説明しましたが、ルータにファイアウォール機能が内蔵されていることも多いです。

ファイアウォールには、いくつか種類がありますが、
代表的な、パケットフィルタリング型とアプリケーションゲートウェイ型について説明します。

まずは、パケットフィルタリング型ファイアウォールについてです。

パケットとは、通信用に分割したデータのことです。大きなファイルのデータを送信際は、ネットワークの負荷を軽減するために、パケットと言われる単位でデータが分割されます。
それぞれ別の経路を通る場合もあります。
宛先に到着した時に、パケットを結合して、元通りの1つのデータにします。

宅急便の伝票を思い浮かべてみましょう。
送り元の住所と宛先住所そして、クール宅急便などの配送方法を記述しますよね。

宅急便の伝票と同じように、パケットのヘッダー情報には、相手の住所と自分の住所及び通信プロトコルが設定できます。
正確には送信先IPアドレス、送信先ポート番号、送信元IPアドレス、送信元ポート番号です。

パケットフィルタリング型ファイアウォールでは、そのパケットのヘッダ情報を確認して、パケットを通過させるか、破棄させるかを事前に決定できるという特徴があります。

ヘッダー情報の確認で処理が単純なので、処理が高速に行えるというメリットがあります。

フィルタリングルールについて詳しく説明していきます。


前提として、toppakou.comのネットワーク内にはルータの配下にFWを設置し、レイヤー2スイッチの配下にWebサーバ、メールサーバを設置したとします。

IPアドレス 123.123.123.123からのみHTTPSの接続を許可したいというパターンで考えていきます。

フィルタリングルールに送信元IPアドレス123.123.123.123を入れます。宛先のIPアドレスはWebサーバのIPアドレスになります。
送信元ポート番号は以前説明したように、ランダムの数値になることが多いので、特定の値を決められません。すべてを意味するanyと入れます。宛先ポート番号は、HTTPSのウェルノウンポートの443番とします。

一番最後の行に、当てはまらない場合の破棄のルールを定義します。
上記に当てはまらないという意味で、すべてをanyとして 動作に拒否を設定します。

これで、IPアドレス123.123.123.123からのHTTPSの通信のみ許可され、それ以外の通信はFWで拒否されます。

しかし、ここで問題点が出てきます。
WEBサーバが応答結果を返そうとしたら、宛先が123.123.123.123になりますがそれに当てはまるパターンが最後の行の破棄しかないので、返却データはFWで破棄されてしまいます。

FWのルールは入ってくる内向きとセットで外向きを定義しないといけません。
送信元IPだったのが宛先に変わるので逆に定義します。
送信元IPがWebサーバ、宛先が123.123.123.123 
送信元ポート番号が443番、宛先ボート番号がanyとなります。

返答パケットが存在する場合は、このように二つを1セットにして定義します。

Webサーバの場合は、送信元が不特定多数の場合がほとんどなので、
このように送信元IPもanyにすることが多いです。

以前、サブネットマスクやCIDR表記を説明しましたが、CIDR表記で許可するネットワーク範囲を指定することもできます。

このようにフィルタリングルールをあらかじめ固定的に設定する方法を、スタティックフィルタリング又は静的フィルタリングと言います。

ルールは番号順に評価されるので、当てはまるパターンがあった時点でそのルールが適用されます。

今は、INとOUTを2つ1セットで定義しましたが、大半は接続元の情報をひっくり返してOUT情報として定義することになると思います。これはネットワーク管理者には手間になり、定義を逆にする単純作業ですが間違ってしまう可能性もあります。

INの許可ルールに当てはまった時点で、その応答を許可するルールを通信の都度動的に追加してくれる方法があります。これをダイナミックフィルタ
と言います。

例えば、送信元IPとポート番号はanyでWebサーバでHTTPSの443番の許可ルールを設定しておきます。
そして送信元IPアドレス123.123.123.123 ポート番号50000 からHTTPSでアクセスがあったら、許可ルールと合致するので通信を通します。
この時に、返答時のルールである
送信元IPアドレス Webサーバ 宛先IPアドレス123.123.123.123 送信元ポート番号443番 宛先ポート番号50000のフィルタリングルールが自動で追加され、応答パケットが許可されます。

◆つぎにアプリケーションゲートウェイ型について説明していきます。
先ほどのパケットフィルタリング型はIPアドレスやポート番号のパケットのヘッダー情報のみで通過可否を判定しました。
しかし、送られてくるデータの中身までは確認できません。
アプリケーションゲートウェイ型はその、データの中身までフィルタリングすることが可能になります。

アプリケーションゲートウェイ型ファイアウォールは別名プロキシ型ファイアウォールと言います。

プロキシとは「代理」という意味で、プロキシサーバとも言います。
外部ネットワークとの通信は全てプロキシサーバを経由してデータの中身までチェックを行うことができます。パケットフィルタリング型に比べて強力に内部ネットワークを保護することができます。しかし、データの中身まで見る分、パケットフィルタリング型に比べて処理が遅くなってしまうというデメリットもあります。

ファイアウォール機能はWindowsのOSにも搭載されています。
同一ネットワーク内部からの不正アクセスや万が一外部ネットワークからの不正アクセスがFWを突破した場合の多重防御の役割も果たします。
ファイアウォールは決して万能ではなく、例えば、メール送信自体は正常なパケットですが、悪意の持ったユーザがウィルスを添付して送信するとファイアウォールをすり抜けて内部ネットワークのユーザのパソコンまで届く可能性があります。ファイアウォールのみでなく、ウイルス対策ソフトでの対策など他のセキュリティソフトとの併用が欠かせません。


【解説重要用語】
機密性、完全性、可用性、CIA、情報セキュリティの三要素、情報セキュリティポリシー、マルウェア、ワーム、トロイの木馬、ボット、スパイウェア、ランサムウェア、キーロガー、スクリーンロガー、脆弱性、危殆化、フイッシング、ソーシャルエンジニアリング、ヒューマンエラー、認証、認可、知識認証、所持認証、生体認証(バイオメトリクス認証)、ファイアウォール、パケットフィルタリング型ファイアウォール、アプリケーションゲートウェイ型ファイアウォール


★私の目標
「とある男が授業をしてみた」 の葉一さん
https://www.youtube.com/user/toaruotokohaichi
※Google社に招待頂いた、「YouTube教育クリエイターサミット2020」で
 葉一さんと文部科学省・Google役員の対談セッションに感銘を受けて、高校情報講座スタートしています。

【参考サイト・参考文献】
tkmium note(共通テスト対策・プログラミング・情報教育全般)
★情報関係基礎の過去問解説が充実しております!
https://tkmium.tech/

文部科学省 「情報Ⅰ」教員研修用教材
https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/1416756.htm

詳細(情I703 高校情報I Python)|情報|高等学校 教科書・副教材|実教出版 (jikkyo.co.jp) 検定通過版
https://www.jikkyo.co.jp/book/detail/22023322

令和4年度新版教科書「情報Ⅰ」|高等学校 情報|日本文教出版 (nichibun-g.co.jp)検定通過版
https://www.nichibun-g.co.jp/textbooks/joho/2022_joho01_1/textbook/


その他、情報処理技術者試験(全レベル1~4)/IT企業15年勤務(システム技術部 部長)経験から培った知識を交えながら解説しています。

かわいいフリー素材集 いらすとや (irasutoya.com)
https://www.irasutoya.com/



この記事が気に入ったらサポートをしてみませんか?