| 平成13年度秋期試験 問題(午後問4) 問4 インターネットにおけるセキュリティ対策に関する次の記述を読んで,設問1〜3に答えよ。 F社は,自社のWebサイトにバーチャルショップを開設して,消費者向けの販売を始めたところである。 F社では,セキュリティ対策として,SSL(Secure Sockets Layer)の暗号化機能を採用している。SSLでは最初に,信頼できる第三者機関によって通信相手の身元確認が行われるので,偽者による“なりすまし”の危険性が大幅に減る。身元を確認した後は秘密通信が行われるので,販売に関する情報を他人によって“判読”される危険性も大幅に減る。 さらに,F社ではもう一つのセキュリティ対策として,ファイアウォールを導入している。認証機能をもつファイアウォールを用いているので,サーバに保存された個人情報やクレジット情報が“ネットワーク侵入”によって読み取られたり,改ざんされたりする危険性が大幅に減る。 設問1 SSLに関する記述中の[ ]に入れる適切な字句を,解答群の中から選 べ。 バーチャルショップ側でSSLを使うために必要な準備をすれば,顧客がバーチャルショップのホームページにアクセスしたときに,ブラウザに組み込まれているSSLの機能を用いて通信することが可能となる。セキュリティ機能が有効に働いているかどうかは,URLの先頭のプロトコルを表す部分が[ a ]から[ b ]に変わることで確認できる。 それ以降は送受信データの[ c ]が行われるので,個人情報,パスワード,クレジットカード番号などを送っても,第三者によって判読される危険性は少ない。 顧客側では,ブラウザ以外は特別な準備を必要としないが,バーチャルショップ側では[ d ]に[ e ]を発行してもらう必要がある。 a,bに関する解答群 ア ftp:// イ ftps:// ウ http:// エ https:// オ ssl:// cに関する解答群 ア 暗号化 イ ディジタル化 ウ 電子化 エ 身元確認 d,eに関する解答群 ア ICカード イ 裁判所 ウ 資格証 エ 証明書 オ 認証局 カ プロバイダ 解答: [a]ウ [b]エ [c]ア [d]オ [e]エ 解説: インターネットショッピングなどで住所・氏名・クレジットカード番号などの個人情報を送信するためによく使われている、SSL(Secure Sockets Layer)というセキュリティ技術についての知識を問う問題です。 セキュリティ技術はたくさんありますが、OSI参照モデルと対応付けていくとわかりやすくなるでしょう。SSLはウェブアクセスに利用するHTTPを暗号化することによってセキュリティを確保するので、アプリケーション層レベルと考えられます。 通常、ウェブアクセスにはHTTP(Hyper Text Transfer Protocol)を利用するので、ブラウザのアドレスバーには http:// ではじまるURLが入ります。SSLでは、 アドレスバーが https:// に変わります。また、ブラウザの右下スミの方にカギのマークが出てくるようになります。 SSLは問題文にもあるとおり、最初に身元を保証するために第三者機関(認証局)によって発行された証明書が必要です。認証局としては、ベリサインがとても有名です。この証明書のやり取りについては次の設問が詳しいです。 参考までにベリサインのページはこちらです。 http://www.verisign.co.jp/ 設問2 図1は,SSL暗号化通信の流れを表したものである。“なりすまし”と“判読”防止のためのセキュリティ対策に関する次の記述中の[ ]に入れる適切な字句を,解答群の中から選べ。  顧客のパソコンがSSLを用いてF社のサーバと安全に通信するためには,最初に両者間で利用可能な暗号化方式の仕様を決定する。顧客のパソコン側は1で[ f ]の確認を行い,サーバ証明書が本物であることを確認する。ここまでが別人の“なりすまし”を防ぐ身元確認の作業である。 暗号化の方式には,大きく分けて二つの方法がある。一つは,2で作成された暗号文を3で平文に戻すときに用いている[ g ]暗号方式である。もう一つは,4で作成された暗号文を5で平文に戻すときに用いている[ h ]暗号方式である。 [ g ]暗号方式では,暗号化かぎと復号かぎが異なり,不特定多数の相手とデータ交換するのに適している。代表例としてはRSA暗号がある。この暗号方式の特長は,[ i ]ことである。一方,[ h ]暗号方式では暗号化かぎと復号かぎが同じで,代表例としてはDESがある。この暗号方式の特長は,[ j ]ことである。 こうした暗号方式を組み合わせることによって,SSLでは通信内容が“判読”されるのを防いでいる。 fに関する解答群 ア F社の署名 イ 顧客の署名 ウ 認証局の署名 エ パソコンの署名 g,hに関する解答群 ア 共通かぎ イ 公開かぎ ウ パスワード エ 比較かぎ オ 乱数 i,jに関する解答群 ア 暗号化・復号に関する処理の負荷が小さい イ かぎ配布が容易である ウ データの改ざんを検証できる 正解:[f]ア [g]イ [h]ア [i]イ [j]ア 解説: 実際にSSLで通信を行うときのプロセスについての問題です。ちょっと難しいですね・・・公開かぎ方式でサーバの認証と暗号化に使う共通かぎの交換、共通かぎ方式で実際のデータを暗号・復号化するという2段構えです。少し長くなりますが、まずSSLのやり取りについて見ていきましょう。 あらかじめF社では、ベリサインなどの認証局に申請して証明書を発行してもらいます。申請の際には、Webサーバのドメイン名、秘密かぎ・共通かぎのペアと秘密かぎによって生成されるCSR(Certificate Signing Request)、会社の登記情報などが必要です。CSRにはサーバの公開かぎやサーバ名の情報に秘密かぎを使って電子署名したものです。偽の証明書によるなりすましを防止するために使います。 申請を受けた認証局で審査を行い、審査を通過すると依頼主にセキュア・サーバIDを発行します。これがWebサーバの証明書になるわけです。F社では、Webサーバに発行されたセキュア・サーバIDをインストールします。ここまでがSSLで通信を行うための準備段階です。 実際に、インターネットショップを訪れた人がWebサーバにアクセスするときのやりとりが問題文の図に示されているものです。SSLに対応しているブラウザでWebサーバにアクセスするとまずサポートしている暗号化方式のネゴシエーション(交渉)を開始します。暗号化方式が決定されるとWebサーバはあらかじめインストールされているセキュア・サーバID(証明書)をクライアントに送付します。 受け取ったクライアントは、認証局の公開かぎを利用してセキュア・サーバIDに含まれるサーバの公開かぎを取り出します。そして、乱数を発生させ、この公開かぎで暗号化してサーバに送付します。同時に、この乱数からこれからの通信で使うことになる共通かぎを作成します。図の1と2のステップです。 サーバはクライアントから送られてきた暗号化された乱数データを自分の秘密かぎで復号化して、クライアントで生成された乱数を取り出します。そして、この乱数からクライアントと同じアルゴリズムで共通かぎを作成します。これが図の3のステップとなります。 これでサーバ、クライアント双方で同じ共通かぎを作ることができました!その後はこの共通かぎを利用して、メッセージの暗号化・復号化を行いセキュアな通信をすることが可能になります。 この通信のプロセスは全部自動的に行われるので、ユーザは特になにも意識する必要はないです。 では、以上を踏まえて問題の穴埋めを考えていくことにしましょう。 [f]では、アクセスしたサーバの身元の確認を行うのですから、当然「F社の署名」です。 [g]は、上で解説したプロセスを知っていれば簡単に答えることができます。もし、よく知らなくても問題文を続けて読んでいくと、”[ g ]暗号方式では,暗号化かぎと復号かぎが異なり”と書いています。暗号化と復号化で異なるかぎを使うのは、公開かぎ方式なので、「イ」が当てはまることがわかります。 [h]も問題文を見ていくと、”,[ h ]暗号方式では暗号化かぎと復号かぎが同じ”なので共通かぎ方式の「ア」が入ります。 あとの[i]、[j]はそれぞれの暗号化方式の特徴です。まず、公開かぎ方式の特徴は、共通かぎ方式では面倒なかぎの配布が簡単なことです。つまり、[i]の答えは「イ」です。 共通かぎ方式の特徴は、比較的処理の負荷が小さく高速に処理することができます。ですから、[j]はアとなります。 設問3 F社では“ネットワーク侵入”に対して,ファイアウォールを設置することで安全性を高めている。図2は,F社のバーチャルショップ用ネットワークの構成図である。図2のファイアウォールの利用に関する次の記述中の[ ]に入れる適切な字句を,解答群の中から選べ。 ファイアウォール1は,インターネットからの不正な侵入を防ぐために,経路1を通ってアクセスするプロトコルを制限している。また,社内システムからインターネットにアクセスするための経路4に,[ k ]変換機能を利用している。 ファイアウォール2は,バーチャルショップシステムへの不正な侵入を防ぐために,社外向けWebサーバから経路2を通ってアクセスするプロトコルを制限している。 ファイアウォール3は,経路3によってバーチャルショップシステムのメンテナンスを行う社員を制限するために,ユーザIDと[ l ]でアクセス制御を行っている。  kに関する解答群 ア アドレス イ コード ウ データ エ プロトコル lに関する解答群 ア 暗号化 イ コールバック ウ 認証局 エ ワンタイムパスワード 正解:[k]ア [l]エ 解説: ファイアウォールの機能についての問題です。よく勘違いしやすいのですが、ファイアウォールは特定のネットワーク機器を指しているわけではありません。いろんな機器やソフトウェアを組み合わせて、トータルにセキュリティを確保するためのシステムのことです。 セキュリティを確保するためにファイアウォールで提供される機能としては次のようなものがあります。 ・パケットフィルタリング機能 ・NAT、IPマスカレード ・アプリケーションゲートウェイ ・ロギング(監査) ・アクセス制御 これら機能を提供する形態としては、ひとつのハードウェアの場合もあれば、コンピュータにソフトウェアをインストールする場合もあれば、これらを組み合わせた場合もさまざまです。 最近の流行は、専用のハードウェアを利用するケースですね。アプライアンス型と呼ばれています。 [k]は、ファイアウォールの「NAT、IPマスカレード」についてのことを言っています。通常、社内のLANはプライベートアドレスを利用しています。しかし、インターネットにアクセスするためには必ずグローバルアドレスが必要です。ファイアウォールのNAT、IPマスカレードによってプライベートアドレスとグローバルアドレスの相互変換を行うことができます。 [l]では、ファイアウォールの「アクセス制御」機能についてです。いろんな方法があるのですが、この選択肢の中から選ぶと「ワンタイムパスワード」になるでしょう。 ワンタイムパスワードとはその名の通り、1回きりのパスワードです。あらかじめ登録されているユーザIDなどからランダムにパスワードを生成して、その都度認証を行う方法です。 |
