インターネットとセキュリティ問題

 HTTPを利用したWebサービスでは、特にセキュリティについて気を付けなければなりません。インターネット上のWebサービスは、もはや、私たちの生活基盤になっています。

 インターネットショッピングやオークション、インターネットバンキングなどの電子商取引(Electric Commerce)は、今では、誰もが利用するサービスとなっています。

 ところが、インターネットは不特定多数のユーザーが参加するものなので、インターネット上のサービスは、事前にその取り決めが広く公開されています。

 すなわち、公開された仕組みは、攻撃に対して非常に脆弱となります。なぜなら、ハイレベルなユーザーであれば、公開された情報から、悪用する方法を導き出すのは、そんなんい難しくはないからです。

WWWサイトに対する攻撃は、例えば、以下の2つがあります。

①他人を偽装することで認証を受け、サイト内に進入して改変行為を行う。

これは、他人のログインID、パスワードを利用してネットワーク内に侵入して、悪事を働くパターンです。

 手口が複雑になると、盗んだ認証情報を使って、また他の人の認証情報を盗み出します。これを何度も繰り返すことで、犯人を特定するのを困難にさせるような手の込んだ手口もあります。

②通信をモニタして情報を盗み出す。

 流れる情報の暗号化がなされていなければ、盗聴するのは容易です。パケットモニターなどのツールを使用すれば、情報の中身を見ることができます。

 この情報の中身が、ユーザーIDやパスワードなどの重要な情報であれば大変です。悪用されてしまう恐れがあります。他にもまだありますが、こういった攻撃に備える仕組みを備えることが重要になってきます。

攻撃に備える仕組みとして、例えば、

①問題に対しては、パスワードの仕組みを複雑にしたり、パスワードの運用面で、定期的にパスワードを変更するなどして対処します。

②問題に対しては、httpsで通信を行い、SSLで通信内容の暗号化を行ったり、第三者である認証機関(VeriSign)による電子署名を使用して、不正アクセスに対処します。

インターネットとセキュリティ問題

 インターネットとセキュリティの問題は、切り離すことはできません。なぜ、インターネット上のサービスのセキュリティがもろいのかは、技術的な背景があります。

現在のインターネットを支える技術にはLANの技術が使用されています。

 現在、ほとんどのLANは、Ethernet(イーサネット)で構築されています。このEthernetは、CSMA/CD(Carrier Sense Multiple Access/Collision Detection)という仕組みで動作しています。

 CSMA/CDでは、問い合わせに対して、該当するものがいれば、必ず応答するようになっています。CSMA/CDは、この単純な仕組により、実装が容易でコストがかからないため、広く普及したのです。

イーサネットは、もともとローカルなエリアで利用を想定して、単純なメカニズムで動作しています。

イーサネット上のコンピュータは、特定のプロトコルに対して必ず応答を返します。

例えば、pingコマンドに対して、必ず応答するようになっています。
※現在はOS側のファイアウォールでブロックされるようになっています。

 応答が返ってくるということは、ある悪意な第三者に、存在を知らせていることにほかなりません。つまり、そのシステムに対してアタックを行うことが可能になるのです。

 そもそも、インターネットは不特定多数のユーザーが参加するものなので、誰もがアクセスできるということが大前提になっています。誰もがアクセスできるということは、裏を返せばセキュリティに対して、もろいということに繋がります。

 そのためインターネットとセキュリティの問題は、切り離すことができない問題となっています。この問題は、その仕組みに内在しているので、根本的な解消は容易ではありません。