インターネットの仕組み

ITと一括りで言われている技術や、相互のコミュニケーションはもはや当たり前になってきていますが、このタイミングで簡単にIT周りはどうなっているのかを説明させていただきます。今更ながらですが、おさらいとしてお付き合いください。インフォメーション・テクノロジーつまり情報技術という英語の頭文字でITと呼ばれています。

水道やガス、交通網のようにインフラと呼ばれているものの中に、すでにインターネットのネットワーク網はITに含まれています。

水道局と契約すれば、水を購入でき、ガス会社はガスを、電力会社は電力をといったように、インターネットから情報を取得するためには、インターネットプロバイダというところと契約をします。プロバイダは情報をサービスするもの、いわゆるサーバー（ビールサーバーと語源は同じで、サービスするものの意です）というものを持っています。個人や会社などと、契約することで線を引き込み、インターネットを利用できるようになっています。昔は有線だけでしたが、今ではスマートフォンやWi-Fiを始めとして無線でもつながるようになっています。個人の家庭でもそうですが、インターネットの回線を契約して接続したとき、通常その回線は事務所や各家庭に設置した、ルーターと言われる機械に接続され通信を行います。

現実社会でも、賃貸住宅や、家屋にそれぞれが住所を持っているのと同じように、インターネットにもIPアドレスという住所があります。電話を接続するために電話番号があるのと同じです。世界中にあるインターネットに接続されるPCなどの機器の全てにその住所を持っていますが、すべての接続機器に個別の住所を振っていくと管理が大変ですし、逆にその番号によって誰の機器かを判断できてしまうことになります。ですので、会社であれば会社独自の一個の住所に加えて社内の限られたエリアのみで使える住所をルーターの機能によって部屋番号のように、各自のインターネット接続機器に付与してくれます。

ローカルなエリアで部屋番号のような限定のIPアドレスを与えられたネットワークのため、ローカルエリアネットワークの英語の頭文字をとって、LANと言います。この限られたエリアでのみ与えられる部屋番号は、大抵の場合接続されるたびにコロコロと変わります。ルーターが誰に何号室を振り分けたのかを把握していれば社員は意識することなく、社内でインターネットを利用することができます。繋いでいる日時によって、その部屋番号で「誰がつながっているか」が変動するようなDHCPという仕組みもあります。外部から誰かがもしネットワークを介して侵入したとき、だれのマシンかわかりにくくする効果を実現しています。

サービスを行うサーバーたち

皆さんは、すでにそういった環境に身をおいて日々の業務をこなしていると思います。実際の業務ではそれぞれのパソコンにはそれぞれが作ったファイルが保存されており、それらを共有したくなるでしょう。製品の価格表などと同じように一つのファイルをまとまった場所で管理して、権限を与えられた利用者が一つのファイルを皆で共有して利用するという便利な状態を作り出しているのが、サービスをするもの、つまりサーバーとなります。

インターネットプロバイダが提供するのもサーバーですが、あまり話題には上がりません。上記したファイルを共有するサーバーや、社内の業務を管理するときに利用できるグループウェアというサービスを提供しているサーバー、それから日常的に利用するような通販サイトや、SNSのサーバーなどの一般サービスを提供しているサーバー3点の話が特にセキュリティについて話題に上がります。

まずは社内のサーバーについてですが、保存される共有ファイルは、機密情報や企業秘密がたくさん保存されています。そのファイルにアクセスする閲覧権限や編集権限はそれを持った方たちに付与されています。その人たちがアクセスする際には、IDやパスワードなどの入力により本人であることが確認できた状態でアクセスします。これは覚えておくのが非常に困難なため、付箋に書いて机に貼っている方も居ます。それではあっという間に漏れてしまい権限がない人でもアクセスできることになります。覚えにくいからと言って、自分で簡単なパスワードを設定してしまうのも非常に危ない行為です。2段階認証などの仕組みを利用するのもいいかもしれません。

もう一つはグループウェアという便利なツールのサーバーについてです。導入することで、スケジュール管理や業務の進捗共有など様々な恩恵を受けることができますが、その情報は一体どこに保存されているかを、今一度確認してみてください。外部のサーバーに預託しているのか、社内に用意したサーバーにあるのかも重要です。外部のサーバーにある場合、それらの情報を暗号化することはできるのか？どういった状況で管理されているのかも確認してみましょう。社内のサーバーであれば、その中で動いているソフトやOSのアップデートはあるのか？アップデートをちゃんと行っているのかも重要になります。

3つ目のサーバーは、通販サイト等です。SNSもしかり、外部のサービスを利用することになりますので、外部サーバーに保存されている状況も、暗号化されているのか？セキュリティを万全の体制でおいているのかも非常に重要なポイントになります。

よくある事例として、会社内で利用するパスワードは、あまり有名ではない通販サイトで利用しているものと同じパスワードを利用することによって、そこの情報が漏れて、同じパスワードで侵入されてしまい、情報が漏れるといった事例です。昨今の悪意ある犯行としては大抵の場合昔のドラマや映画のように侵入できたことを大体的に喧伝しません。入った形跡すら消そうとしますし、忘れた頃に抜き出した情報が流出する例も多く、注意が必要です。

いろいろな防衛策

それらを防ぐために、前述した二段階認証という方法もあります。2段階認証とは大抵の場合IDとパスワードを入力した際に登録したスマートフォンのショートメールサービスに一時的な認証番号を送って、それを入力しなければログイン出来ないという、2段階でログインまでのハードルを作るという方法です。

それ以外には、生体スキャンと行って、指紋の認証や、網膜スキャンを使う方法です。その他、ワンタイムパスワードと言って、非常に解析が困難な計算に基づいて算出されるワンタイムパスワードを発行する別のデバイスを持っていて、そこに表示されるパスワードは非常に短時間で更新されますが、そのパスワードを入力しなければログインや、アクションを許可しないという方法です。そのデバイスによって、ワンタイムパスワードを発行する際に指紋認証を使うなど、複合的にセキュリティを強化する試みはこれまでもずっと行われてきました。

これらの方法は非常に安全ですが、初期の投資コストはかなりかかります。したがいまして、せめて、わかりにくいパスワードにする、不規則な短期間で頻繁にパスワードを変更する、他と同じパスワードを使い回さないなどの工夫でも充分対応できる可能性が高まります。こうやっていろいろなサーバーで提供されるサービスのセキュリティを高めていくことができます。

防衛の技術

次にサーバー側ではどのようなテクノロジーでどのような脅威への対策を実現しているのかをざっくりとご紹介します。

たとえば、サーバーの通信にファイアーウォールを装備するという方法があります。ファイアーウォールは読んで字の如く防火壁のことです。情報が通信で流れていくところにファイアーウォールを置くことで、決められたルールに従っていない通信をブロックする事ができます。流れてくる情報、いわゆるデーターはプロトコルといいますが、約束によって小包のようになっています。これをそのままですが、パケット（小包）と読んでいます。このパケットのデーターの中身が約束どおりに作られているかを確認します。約束やルールどおりに包まれていなければ、そのパケットは通さないということをファイアーウォールはやってのけます。これをパケットフィルタリングといいます。

その他には“ポートを閉じておく“という考え方もあります。ポートはこれも言葉そのままですが、港のことです。通信をするパケット（小包）を運ぶ船をイメージするとわかりやすいかもしれません。ここで船を表す言葉はないのですが、通信をする窓口として、ポートがあります。これは番号で管理されています。25番埠頭みたいなイメージですね。これらの番号は世界的に決められています。たとえばWebサイトを閲覧する際の港があります。Webサイトはハイパーテキストトランスファープロトコル、直訳（意訳もはいりますが）すると、「すごいテキストを伝送するときの約束」となりますが、頭文字をとってHTTPといいます。このHTTPという約束というかルールに基づいて行き着く港を「80番の港」としています。

httpは見たことがあるのではないでしょうか？Webサイトを閲覧する際のブラウザにサイトのアドレスを入れるとき頭に「http://」とつけますね。あれがそうです。ちなみに通信する情報を暗号化するSSLというものがありますが、その場合は「https://」となり、行き着く港は443番港と決まっています。この港は実は0番から65535番まで合計65536番まであり、利用する港はほぼ決まっています。これらで利用しない港は閉鎖しておかないと、外部から悪意ある攻撃を行うときに、侵入経路として使われる可能性があります。サーバーに侵入したがっている悪意ある攻撃者は、侵入する前にポートを調べるポートスキャンという行為を行います。このポートスキャンという行為そのものは攻撃ではなく、普通にサーバーの稼働状況を調査するときに、よく行われることですが、どこのポートが空いているのか？ポートを流れているデーターも暗号化されているか？脆弱性はないのか？を悪意あるものが調べるときに、不要なポートスキャンを頻繁に仕掛けてきます。この動きを設定することで、察知して、ファイアーウォールが通信をブロックしたり、遮断したりするということができるのです。

その他、サーバーに掲載している情報を改ざんされたかどうかを検知する「WAF」という仕組みや、IDSという「不正侵入検知システム」など、悪意ある行動に対して対処する技術が次々と開発されて、利用されています。

結局大切なことは向き合うことです

少し難しい領域に入ってきていますので、詳細を調べたいのであれば、知見のある人に尋ねるか、Webサイトで勉強してみるのも良いと思います。

一番伝えたいこととしては、こういった技術が存在する理由です。ここ数年で導入する企業も増えてきました。それは「こういうセキュリティが必要だ」という需要からにほかなりません。悪意の種類や、攻撃の種類はこれからも進化し続けますが、それに向き合いずっと対処していくのは大変なことかと思います。しかしながら、事業を継続していくためには、進化していくことを余儀なくされている文明社会でもあるということです。

昨日のままでいい、今日のままでいいということは決してありませんし、次から次へと増加する脅威の全てに莫大な投資をして対処するべきことではありますが、それは「そうするべきという事実」であり現実的ではないともいえます。まずは、取り扱っている情報が流出、漏洩、改ざん、消失のときに事業やそこに働く社員、お客様を含めてどうなるのかをイメージし、話し合い、セキュリティ対策を行う意識を持つことから始めてみてください。