不正アクセスの対策(ファイアウォール・VLAN)【ITパスポート講座】

2020年2月8日

ITパスポート 不正アクセス対策

この記事で学ぶこと

  1. ファイアウォール
  2. VLAN
  3. パスワード管理

今回はITパスポートにおける不正アクセスの対策方法を学んでいきます。

くろん
くろん
多くの攻撃方法やマルウェアの種類があることは分かったけど、どうすれば防げるにゃ?
モナ
モナ
今回は攻撃に対する対策方法を見ていくニャ!

不正アクセスを防止するには

ITパスポート 不正アクセスの対策

以前学んだマルウェアその他の攻撃手法を含め、インターネット経由での不正アクセスは後を絶ちません。

しかしインターネットが発達した今日、危ないからと言った理由でそれらを使わないと、ビジネスにおいても趣味においても不便です。

不正アクセスや脅威を防ぎつつ、安全にインターネットや機器を使うためにはどうすればよいのか、確認していきましょう。

モナ
モナ
実際の業務で触れる機器も多いはずニャ!

ファイアウォール

ITパスポート ファイアウォール

ファイアウォールは率直に和訳すると防火壁となり、外部からの危険アクセスをシャットアウトします。

自宅や勤務先のネットワークと、インターネットを含む外部ネットワークの間に設置し、外部からの攻撃や侵入を防げます。

また、各種サーバ(DNSサーバ・Webサーバなど)がおかれる場所をDMZ(DeMilitarized Zone:非武装地帯)と呼び、ファイアウォールと社内LANの間に設置され、外部に公開されるサーバを置きます。

インターネットからダイレクトにアクセスされるためファイアウォールにより特定のアクセスのみ許可する、はじく等の設定を行います。

モナ
モナ
ファイアウォールの詳細設定まではITパスポートで問われないニャ!

プロキシサーバは社内LANのクライアントに変わって、インターネットへのアクセスを行う代理サーバです。クライアントPCがインターネットに直接アクセスするわけではないため、セキュリティ向上が見込めます。

くろん
くろん
プロキシサーバはクライアントPCのかくれみのになる感じだにゃ?

WAF(Web Application Firewall)はファイアウォールの一種ですが、従来のファイアウォールで防げないWebアプリケーションに対して不正な攻撃を防御します。

WAFではシグネチャと呼ばれるアクセスパターンによって、通信許可と拒否の判断を行います。

VLAN

ITパスポート VLAN

インターネット回線への侵入を防ぐためには、他のユーザがアクセスできない専用線のネットワークを用いる必要があります。実際に警察電話や銀行のオンラインシステムで用いられていますが、費用が高いデメリットがあります。

VLAN(Virtual Private Network)公衆回線専用回線のように利用する技術です。認証及び暗号化と復号によって通信の安全性を確保します。

一般的なインターネット網を用いるインターネットVPNと、通信業者の専用回線を用いるIP-VLANがあります。

IDSとIPS

IDS(Intrusion Detection System:侵入検知システム)は、ネットワークをリアルタイムで監視し、異常を検知した場合に管理者へ通知するシステムです。

似た言葉にIPS(Intrusion Prevention System:侵入防止システム)があり、こちらは不正なアクセスの侵入を遮断します。

くろん
くろん
どっちがどっちかややこしいにゃ・・・
モナ
モナ
IDSのDはDetection(検知・探査)、IPSのPはPrevention(防止)と、英語の意味を理解するニャ!

上記以外の重要用語も押さえておきましょう。

用語 解説
デジタルフォレンジックス 不正アクセスなどのコンピュータに関する犯罪の法的な証拠を確保する技術
DLP(Data Loss Prevention) 機密情報を自動的に特定し、送信や出力など社外への持ち出しに関連する操作で
機密情報が検知された場合にブロックする手続き
SIEM(Security Information Event Management) さまざまなネットワーク機器やサーバからセキュリティ情報を収集・分析し、一元管理する仕組み。
ペネトレーションテスト 内外からの不正アクセスを試行し、システム内の脆弱性を洗い出すテスト

アンチウイルス

ITパスポート アンチウイルス

ファイアウォールでは、不正なアクセスや侵入を防げても感染してしまったマルウェアの拡大は防げません。

アンチウイルス(ウイルス対策)は、何らかの理由で侵入してしまったマルウェアを検出して感染させず除去する仕組みです。

アンチウイルスソフトは、入れた後も注意すべき点がいくつかあります。

パターンファイルを最新にしておく

パターンファイルとは、すでに発見されたウイルスの特徴を記録しておくファイルです。

パターンファイルを定期的に更新することで、常に最新の情報を保持できるので、新しいウイルスにも対抗できるようになります。

キュー
キュー
毎年インフルの注射を打つみたいなもんやな

大抵のソフトは自動で最新のファイルに更新されるようになっています。

感染が発見されたときは早急にネットから遮断

ゼロデイ攻撃などによりパターンファイルにないウイルスに感染してしまった場合、他のユーザにネットワークを介して感染が拡大しないようにすぐにネットから切り離します。

また、その後の処置として上司・システム管理者などにすぐ連絡することも重要です。

パスワード管理

ITパスポート パスワード管理

パスワードの管理方法も非常に大事です。

キーロガーの様にマルウェアやスパイウェアによる漏えいもありますが、物理的に漏えいするケースもあります。

例えば、たまたま机の上にパスワードのリストが放置されていてそれを顧客に見られたり、普段使うパソコンのサイドにメモとして貼られていて誰かに見られたりすることが該当します。

パスワード管理のために気を付けるべきポイントは以下の通りです。

パスワードの資料を放置しない

管理者の不備によりパスワードが誰でも閲覧できる状態だったり、持ち出せるような環境だったりするケースは意外と多いです。

社内の人間が機密情報を持ち出し、業者に売った事例もあります。基本的に重要なデータはパスワードを含め、特定の人しか見られないようにし、厳重に管理してきましょう。

強固なパスワードを設定する

推測されやすい文字列は極力避け、英大文字小文字・数字・記号を組み合わせた無意味な文字の羅列を作り、一定以上の文字の長さを設定するなども安全性を高められる手法です。

チョロ
チョロ
そんな長い文字列思いつかないし、覚えられないでチュ・・・

ランダムでパスワードを生成するツールも多いので、積極的に利用しましょう。

パスワードを使いまわさない

どんなに長くて突破が困難な文字列のパスワードを設定しても、サイト側に問題があったり暗号化されていなかったりしてパスワードが漏えいした場合、他のサイトでも使いまわしていると芋づる式にパスワードがばれます。

芋づる式の情報漏えいや不正アクセスをさけるために、サイト毎のパスワードを変える対策も有効です。

チョロ
チョロ
なおさら覚えられないでチュ・・・
キュー
キュー
誰にも分からんような規則性を作っておくのもええで、例えばデフォルトで使うパスワードがaB3$やとして、AAAってサイトやったらAaBA3$A、BBBってサイトやったらBaBB3$Bみたいな

ワンタイムパスワードを利用する

ワンタイムパスワードは1回しか利用できない使い捨てのパスワードです。

ワンタイムパスワードはトークンと呼ばれるハードや、アプリなどのソフトによって管理可能で、何らかの理由でそのパスワードがばれてしまっても次には利用できないため安全性が高いです。

キュー
キュー
肝心のトークンやアプリの入った端末を失くしたらOUTやで
チョロ
チョロ
(物理)ってやつでチュ!

不正アクセス対策における重要語句

以下は試験でも良く問われる語句です。あわせて押さえておきましょう。

用語 解説
ゼロトラスト 信頼を何に対しても与えない前提でセキュリティ対策に取り組む
EDR ユーザが利用する端末やサーバの不審な挙動を検知するシステム
3-2-1ルール マスタを含んだ3つのデータコピーを持ち、2つの異なる形態でバックアップをとり、1つはオフサイト(データ保存・クラウド)にとる
イミュータブルバックアップ 一度書き込んで消えない追記型の媒体に記録し、削除・暗号化・改ざんを防ぐこと
ゾーニング 物理対策の一つ。取り扱う情報の重要性に応じて、オフィスをはじめとする空間を物理的に区切ること
共連れ 認証を受けた人が部外者を意図的に誘導したり、認証を受けた人の後から駆け込んだりして不正に制限区画へ入り込むこと
クリアデスク 離席時に、机の上に書類や記憶媒体を放置しないこと
クリアスクリーン パソコンの画面を他人がのぞいたり操作したりできる状態にしないこと
スポンサーリンク

不正アクセス対策の例題

実際に例題を解いて問題に慣れていきましょう。

問1

外部と通信するメールサーバをDMZに設置する理由として,適切なものはどれか。(R.1秋/問92)

ア:機密ファイルが添付された電子メールが,外部に送信されるのを防ぐため
イ:社員が外部の取引先へ送信する際に電子メールの暗号化を行うため
ウ:メーリングリストのメンバのメールアドレスが外部に漏れないようにするため
エ:メールサーバを踏み台にして,外部から社内ネットワークに侵入させないため

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問1の正解を表示
問1の解説を表示

DMZ(非武装地帯)はルータと社内LANの間に設置し、DMZ内部にはWebサーバやDNSサーバと言った外部との通信を前提としたサーバを設置します。

これらのサーバは外部からの攻撃を受けやすいためより強固な設定を施しておく必要があり、また、万が一攻撃された場合に社内LANに被害が及ばないために特別な場所を設けておく必要があります。

ア:機密ファイルが添付された電子メールが,外部に送信されるのを防ぐため。
⇒DMZは誤送信等の防止策にはなりません。よって不正解です。

イ:社員が外部の取引先へ送信する際に電子メールの暗号化を行うため。
⇒電子メールの暗号化にはS/MIMEを用います。よって不正解です。

ウ:メーリングリストのメンバのメールアドレスが外部に漏れないようにするため。
⇒特定の受信者のメールアドレスを他の受信者に表示させないようにする方法としてはBccで設定する方法があります。DMZで隠蔽できるものではないので不正解です。

エ:メールサーバを踏み台にして,外部から社内ネットワークに侵入させないため。
⇒メールサーバをDMZに設置することで、メールサーバを踏み台にした攻撃から社内ネットワークを守ることが可能です。よって正解です。

問2

a~dのうち,ファイアウォールの設置によって実現できる事項として,適切なものだけを全て挙げたものはどれか。(R.4/問64)

a.外部に公開するWebサーバやメールサーバを設置するためのDMZの構築
b.外部のネットワークから組織内部のネットワークへの不正アクセスの防止
c.サーバルームの入り口に設置することによるアクセスを承認された人だけの入室
d.不特定多数のクライアントからの大量の要求を複数のサーバに動的に振り分けることによるサーバ負荷の分散

ア:a,b
イ:a,b,d
ウ:b,c
エ:c,d

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問2の正解を表示
問2の解説を表示

ファイアウォールは、不正なデータを阻止するため、ネットワーク間の境界線に設置する機器です。

a.:外部に公開するWebサーバやメールサーバを設置するためのDMZの構築
⇒DMZは外部に公開するWebサーバやメールサーバを設置する場所です。適切です。

b.:外部のネットワークから組織内部のネットワークへの不正アクセスの防止
⇒外部ネットワークから組織寧部ネットワークへの不正アクセス防止はファイアウォールの役割です。適切です。

c.:サーバルームの入り口に設置することによるアクセスを承認された人だけの入室
⇒ファイアウォールは通信制御を行う機器で、物理的な入退出管理を行うものではありません。不適切です。

d.:不特定多数のクライアントからの大量の要求を複数のサーバに動的に振り分けることによるサーバ負荷の分散
⇒ファイアウォールには負荷分散機能がありません。負荷分散を行うのはロードバランサです。不適切です。

以上より、a.とb.が適切なので「ア」が正解です。

問3

あるWebサイトからIDとパスワードが漏えいし,そのWebサイトの利用者が別のWebサイトで,パスワードリスト攻撃の被害に遭ってしまった。このとき,Webサイトで使用していたIDとパスワードに関する問題点と思われる記述はどれか。(H.29春/問95)

ア:IDとパスワードを暗号化されていない通信を使ってやり取りしていた。
イ:同じIDと同じパスワードを設定していた。
ウ:種類が少ない文字を組み合わせたパスワードを設定していた。
エ:短いパスワードを設定していた。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問3の正解を表示
問3の解説を表示

この攻撃はパスワードリスト攻撃で、あるサイトからIDとパスワードが流失した場合に、それらを用いて別サイトへの不正ログインを試みる攻撃です。

複数のサイトで同様のID・PWを設定している場合、すべてのサイトで不正ログインされてしまいます。

ア:IDとパスワードを暗号化されていない通信を使ってやり取りしていた。
⇒盗聴による被害です。よって不正解です。

イ:同じIDと同じパスワードを設定していた。
⇒パスワードリスト攻撃による被害です。よって正解です。

ウ:種類が少ない文字を組み合わせたパスワードを設定していた。
⇒類推もしくは総当たり攻撃による被害です。よって不正解です。

エ:短いパスワードを設定していた。
⇒ウ同様、総当たり攻撃による被害です。よって不正解です。

これより、正解は「イ」です。

問4

ウイルス対策ソフトに関する記述a~cのうち,適切なものだけを全て挙げたものはどれか。(H.23秋/問61)

a.USBメモリから感染するタイプのウイルスを検知できるものがある。
b.定期的にウイルス対策ソフトとウイルス定義ファイルの更新を行っていても,ウイルスを検知できないことがある。
c.ボットウイルスを検知できるものがある。

ア:a,b
イ:a,b,c
ウ:b
エ:b,c

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問4の正解を表示
問4の解説を表示

それぞれの選択肢を見てみましょう。

a.:USBメモリから感染するタイプのウイルスを検知できるものがある。
⇒最近ではUSB経由で感染するワームも増えており、ウイルス対策ソフトもこれらの検出をするための機能を実装しています。よって正しいです。

b.定期的にウイルス対策ソフトとウイルス定義ファイルの更新を行っていても,ウイルスを検知できないことがある。
⇒ウイルス定義ファイルはあくまで発見されたウイルスのパターンを記録しているものです。その為最新の未知ウイルスに関しては最新の状態でも検知できません。よって正しいです。

c.ボットウイルスを検知できるものがある。
⇒ボットであれスパイウェアであれ検知できるものはあります。よって正しいです。

これらより全て正しいので正解は「イ」です。

問5

ネットワーク環境で利用されるIDSの役割として,適切なものはどれか。(R.5/問67)

ア:IPアドレスとドメイン名を相互に変換する。
イ:ネットワーク上の複数のコンピュータの時刻を同期させる。
ウ:ネットワークなどに対する不正アクセスやその予兆を検知し,管理者に通知する。
エ:メールサーバに届いた電子メールを,メールクライアントに送る。

(ログイン後回答すると、ここに前回の正誤情報が表示されます)

問5の正解を表示
問5の解説を表示

IDS(Intrusion Detection System:侵入検知システム)は、コンピュータやネットワークを監視し不正または異常な通信を検知したときに、管理者に警告メールなどで通知するシステムです。

ファイアウォールが外部からの不正アクセスを遮断するのに対して、IDSはファイアウォールを越えてきた不正侵入を検知する役割を持ちます。ただし、不正や異常を通知するだけで、IPSのように通信を遮断する機能は持ちません。

ア:IPアドレスとドメイン名を相互に変換する。
⇒DNS(Domain Name System)の役割です。したがって誤りです。

イ:ネットワーク上の複数のコンピュータの時刻を同期させる。
⇒NTP(Network Time Protocol)の役割です。したがって誤りです。

ウ:ネットワークなどに対する不正アクセスやその予兆を検知し,管理者に通知する。
⇒IDSの役割です。したがって正解です。

エ:メールサーバに届いた電子メールを,メールクライアントに送る。
⇒POP(Post Office Protocol)またはIMAP(Internet Message Access Protocol)の説明です。したがって誤りです。

これより正解は「ウ」です。

不正アクセス対策のまとめ

今回は不正アクセスの対策について学習しました。

特にファイアウォールは頻出です。どのような方法で社内LANを守っているのか、DMZは何なのかなど、把握しておきましょう。

モナ
モナ
ほぼ毎回出題されているニャ!

次回は暗号化について学習します。

しかくのいろは
暗号化(共通鍵暗号方式・公開鍵暗号方式・無線LAN)【ITパスポート講座】
https://www.sikaku-no-iroha.co.jp/information-technology-examination/ipass/encryption-ipass
ITパスポートで問われる暗号化技術について説明していきます。試験で頻出の鍵暗号方式も取り扱っており、それぞれの方式のメリットやデメリットについても紹介しているので、しっかり対策していきましょう。

本気でIパスを狙うなら・・・
スタディングがおすすめです!
  • お手頃価格で受講しやすい!
  • スマホ一台でどこでも勉強できる
  • AI問題演習機能で苦手な問題を効率よく学習!

オンライン資格講座 スタディング


スポンサーリンク







独学講義,ITパスポート試験

Posted by 佐野 孝矩