
|
Webの脅威と全体像
Webはインターネットの中でもっとも人気の高いアプリケーションだ。しかし、インターネットという不特定多数の人が参加できる公共の場所を用いるので危険性が高くなる。Webにおいて、主だった脅威の例を挙げてみよう。
- Web画面で入力した情報が読み取られる「盗聴」
- 悪意のある者が偽のWebサーバを構築したり、ユーザーの個人情報等を詐取する「なりすまし」
- Web経由での通信内容等が書き換えられてしまう「改ざん」
Webは、WebサーバとクライアントPC上のWebブラウザとのやりとりで実現される。そのため、Webのセキュリティを考えるうえでは、WebサーバとWebブラウザ双方でセキュリティ対策を考えなければいけない。まずはWebのセキュリティ対策の基本であるSSLについて見ていこう。
SSLによる通信のセキュリティ対策
あなたがネットショッピングのサイトで、商品を購入するとしよう。その場合、「ID」や「パスワード」、「住所」、「氏名」などの個人情報、そして「クレジットカード番号」を入力しようとしている。しかし、ユーザーIDを登録した商取引のようなサイトでは図1のような危険がつきまとう。
だが、よくネットショッピングサイトの画面で「このページはSSL通信なので安全です。」といった表示を見かける。SSLとは、Secure Sockets Layerの略で、Webに限らずさまざまなアプリケーションプロトコルでセキュリティを提供する。
SSLの役割は、通信相手の認証とデータの暗号化である。SSLを利用してWebサーバとクライアントPCのWebブラウザ間でセキュリティを確保するためには、少なくともWebサーバの身元を証明する「電子証明書」が必要となる。
電子証明書は「X.509」という国際標準のフォーマットを用いており、信頼できる第三者の証明機関である「認証局」が作成する。認証局は、むやみやたらに電子証明書を発行するわけではなく、サイト運営者が実在するかどうかを一定の手順で確認したのち、作成する。そして、電子証明書を取得したサイト運営者は、この電子証明書をWebサーバに組み込んでおく。
SSLでは、クライアントPCからWebサーバにアクセスがあった場合、クライアントPCに対して電子証明書を送る。電子証明書を受け取ったクライアントPCは、まず電子証明書にあるシリアル番号をもとに、認証局が用意している失効リストを確認。次に電子証明書にある有効期限とPCのシステム日付時刻を比べて確認する。
重要なのは、電子署名が適切かだ。これはクライアントPCにあらかじめ登録されているルート認証局の電子証明書を元に「認証のパス」を検証する。
具体的には電子証明書にある証明者(認証局)の電子署名を証明者(認証局)の公開鍵で復号し、メッセージダイジェスト※1を取り出す。証明者(認証局)の公開鍵で復号が可能であれば確かに認証局が対象のWebサーバを認証したことがわかる。
※1:メッセージダイジェスト ハッシュ関数は、任意長の文字列を固定長の文字列に変換するもので、変換後の文字列のことを「メッセージダイジェスト」または「ハッシュ値」と呼ぶ。
また、電子証明書に改ざんがないかもチェックする。電子証明書にある「証明情報」と「被証明者の公開鍵」をあわせて「署名前証明書」にハッシュ関数をかけて、メッセージダイジェストを作成する。そして、両者のメッセージダイジェストを比較照合することによって、改ざんのないことを確認する。
あとは電子証明書にあるFQDN※2とWebブラウザのアドレスにあるFQDNを比較する。これによりドメインの正当な管理者が、証明書を使用していることが確認できるわけだ。
※2:FQDN(Fully Qualified Domain Name) 「http://www.asciimw.jp」とした場合、ホスト名「www」とドメイン名「asciimw.jp」を組み合わせた「www.asciimw.jp.」がFQDNである。ルートである最後の「.」も省略しない。
一方、これらの確認で1つでも不具合があった場合、警告メッセージが表示される。実際のSSLでの通信を行なう際、Webブラウザでは図2のように表示を行なう。
盗聴や漏えい、なりすましなどWebの脅威の多くはSSLを導入することで防ぐことができる。しかし、暗号化の処理に負荷がかかることや、電子証明書の導入にコストがかかることなどから、すべてのWebサーバをSSLで運用するのは事実上無理である。
(次ページ、「Webを経由した不正プログラム」に続く)

この連載の記事
-
第11回
TECH
正規のユーザーやPCを判断する認証製品 -
第10回
TECH
社内の安全を守るセキュリティ製品の進化を知ろう -
第9回
TECH
検疫からシンクライアントまで!情報漏えいを防ぐ製品 -
第8回
TECH
ITでどこまで実現する?情報漏えい対策の基礎 -
第7回
TECH
インターネットで構築するVPNの仕組み -
第6回
TECH
通信サービスを安価にしたVPNの秘密 -
第5回
TECH
メールソフトのセキュリティとメールの認証 -
第4回
TECH
メールが抱える根本的な弱点とスパム対策 -
第2回
TECH
巧妙化する不正プログラムを防ぐには? -
第1回
TECH
不正アクセスを防ぐファイアウォールの仕組み - この連載の一覧へ