ネットワークセキュリティの基本用語
はじめて学ぶときは「言葉の輪郭」をつかむのが近道です。ここでは、日常のたとえを交えながら土台となる用語を順に確認していきます。
アカウント
サービスに入場するための“入館証”にあたります。通常はユーザ名とパスワードの組み合わせで本人であることを示します。業務では権限(閲覧だけ、設定変更も可など)とセットで管理されます。
インシデント
セキュリティ上の良くない出来事の総称です。マルウェア感染、情報の紛失、外部からの侵入など、被害につながる事象はすべてインシデントに含まれます。
ウィルス(広義のマルウェア含む)
自己増殖したり潜伏したり動作を妨げる“悪さをするプログラム”です。厳密にはワームやトロイの木馬など種類がありますが、日常会話ではまとめてウィルスと呼ばれることもあります。
エクスプロイト
ソフトウェアの弱点(脆弱性)を突く具体的な攻撃コード、またはその攻撃行為です。ドアの鍵の作りの甘さを見つけ、それをこじ開ける手口そのものだと思ってください。
可用性・完全性・機密性(CIAの3要素)
システムが守るべき三本柱です。
可用性は「必要なときに使えること」。停電や攻撃で止まらない設計が対象です。
完全性は「正しく保たれていること」。勝手な改ざんや欠損がない状態を指します。
機密性は「見てよい人だけが見られること」。アクセス制御や暗号化が関わります。
脅威と三つの分類
セキュリティを壊しうる“よくない要因”です。技術的脅威(不正アクセス、盗聴、改ざん、DoS、マルウェアなど)、物理的脅威(火災、停電、故障、盗難など)、人的脅威(操作ミスや内部不正、だましの手口)に分けて考えます。
クラッカー
不正侵入や改ざんを行う攻撃者のことです。最近は“悪意あるハッカー”と表現されることもあります。
シグネチャ
攻撃やマルウェアの“指紋データ”です。IDS/IPSやWAFが通信を照合し、一致すれば怪しいと判断します。
脆弱性
設計や実装の不備で生じた“弱点”です。弱点そのものと、それを突く行為(エクスプロイト)を区別して覚えます。パッチで弱点をふさぐのが基本対応です。
デジタル証明書
「この相手は本物です」を第三者が保証する電子の身分証です。Webではサーバ証明書が使われ、なりすましや経路上の改ざん・盗聴を防ぐ助けになります。
バックドア
侵入後に次回以降の出入りを楽にする“裏口”です。正規ソフトに仕込まれる場合もあり、検出と封じ込みが重要です。
パッチ
脆弱性や不具合を修正する更新プログラムです。運用では検証→適用の手順と、適用状況の記録がポイントになります。
ペネトレーションテスト
実際に攻撃者になりきって侵入できるか確かめる試験です。ツールと手順を定め、合意範囲内で行うのが前提です。
ロギング
出来事を時系列に記録すること、またその記録(ログ)を指します。トラブル対応の“タイムライン作り”に必須です。
IPスプーフィング
送信元IPアドレスを偽装する手口です。SYNフラッドやSmurfなどで悪用され、追跡や応答の振る舞いに影響します。
DMZ
社内(内部)とインターネット(外部)の中間に置く“緩衝地帯”のサブネットです。公開サーバをここに配置し、内側へ直接到達できないようにします。
プロキシサーバ
社内PCの外向き通信を代理で行う“出口の番人”です。匿名化、利用者の一元管理、フィルタリング、キャッシュなどの役割を担います。
ファイアウォール(FW)
外部から内部への不正な通り道をふさぐ“門番”です。パケットフィルタやステートフル検査、アプリケーションレベルまで多段の方式があります。
IDS / IPS
IDSは“見張って知らせる”(検知・通知)、IPSは“見張って止める”(検知・遮断)装置です。どちらもシグネチャや振る舞いで判断します。
WAF
Webアプリの弱点を突く攻撃(SQLインジェクションやXSSなど)から守る“Web専用の盾”です。FWやIPSをすり抜けるアプリ層の攻撃を補完します。
認証の三要素・二要素認証(2FA)・多要素認証(MFA)
知っているもの(パスワード等)、持っているもの(スマホやICカード等)、身体的なもの(指紋・顔等)の三要素を組み合わせて本人確認します。2FAは異なる2種類、MFAは2つ以上です。
マルウェアの主要分類
ウィルスは“宿主のプログラムに寄生して広がる”タイプ、ワームは“単独で複製しネットワーク経由で広がる”タイプ、トロイの木馬は“無害に見せかけて侵入後に悪さをする”タイプ、ランサムウェアは“ロックや暗号化で使用不能にして身代金を要求する”タイプです。スパイウェアは“ユーザ情報を密かに抜き取る”タイプで、情報窃取(インフォスティーラー)もここに含まれます。
マルウェアの検出:振る舞い(ビヘイビア)法
実行中のプログラムの動き(大量のファイル書き換え、怪しい通信など)を見て“おかしさ”で検出します。未知のマルウェアに強いのが利点で、ダイナミックヒューリスティックとも呼ばれます。
口座乗っ取りの実例で学ぶ:フィッシングとインフォスティーラー
オンライン証券の不正売買では、偽サイトに誘導して資格情報を盗むフィッシングがよく使われます。被害者に心当たりがない場合は、端末が情報窃取型マルウェア(インフォスティーラー)に侵され、ブラウザに保存されたID・パスワードやセッショントークンが抜かれた可能性があります。対策は、信頼できないリンクや添付を開かない、怪しいサイトに近づかない、セキュリティ製品を最新に保つ、といった基本の徹底です。
デバイス認証とFIDO認証の理解
デバイス認証は「この端末は登録済みか」を確かめる仕組みです。端末固有情報や証明書を使い、見知らぬ端末からのアクセスを止めます。
FIDOは公開鍵暗号を用いたパスワードレス系の認証で、秘密鍵はユーザ端末に保管し、サーバには公開鍵のみを置きます。実運用では、アプリ導入と生体認証連携(顔・指紋)で使い勝手と安全性を両立します。
DoS攻撃の代表例
サービスを使えなくする“可用性つぶし”が目的です。
SYNフラッドは、TCPの最初の挨拶(SYN)だけを大量に送り、サーバの半開き接続をあふれさせます。
ICMPフラッドは、Ping要求を大量送信して回線やCPUを占有させます。
Smurfは、送信元を標的に偽装したうえでブロードキャストに投げ、反射応答を標的に集中させます。
DDoSとDRDoS
DDoSは多数の機器を使った“一斉攻撃”です。ボット化した端末群から一か所に洪水のようにパケットを浴びせます。DRDoSは“反射”を利用するタイプで、DNSやNTPなど第三者サーバに小さなリクエストを送り、大きな応答を標的へ返させて増幅します。
そのほか代表的な攻撃手法
辞書攻撃は単語リストで次々試す方式、ブルートフォースは可能な組み合わせを総当たりで試す方式です。ソーシャルエンジニアリングは人をだまして情報を得る手口で、肩越しのぞき見や成りすましの電話も含みます。バッファオーバーフローは受け皿以上のデータを送りつけて不正コードを走らせるもの、XSSはWebページに悪意のスクリプトを混入してユーザ側で実行させるもの、SQLインジェクションはアプリの入力処理の甘さを突いて想定外のSQLを実行させるものです。フィッシングの仲間として、特定の相手を狙うスピアフィッシング、SMSを使うスミッシング、音声を使うビッシングがあります。中間者攻撃は暗号化や証明書の検証が甘い通信で起こりやすく、検知が難しいのが特徴です。
特殊な手口への目配り
RLO拡張子偽装は、文字の並び方向を逆転させる制御文字で“見かけの拡張子”をだまして実行ファイルを紛れ込ませる手口です。キーロガーは入力したキーを記録して送る仕掛けで、正規用途があっても悪用されることがあります。テンペスト攻撃は機器から漏れる電磁波などを拾って情報を復元する高度な手口で、対策はシールドなど物理面の強化が中心です。DNSキャッシュポイズニングは偽の応答をキャッシュさせて偽サイトに誘導するもので、DNSSECで応答の正当性を検証するのが有効策です。WebスキミングはECサイトのページに不正スクリプトを埋め込み、フォーム入力を盗み出します。
CCNAにつながる要点のまとめ
試験では、用語の定義だけでなく「どの三要素(CIA)を侵害するか」「装置や仕組みの役割の違い」「攻撃と対策の対応表」が狙われます。特に、FW・IDS・IPS・WAFの役割、2FA/MFAの要件、DDoSとDRDoSの違い、振る舞い検知とシグネチャ検知の長所短所は、ここは必ず覚える領域です。日常の例えでイメージを作り、名称→仕組み→効果の順で頭に並べておくと、問題文の言い換えにも強くなります。
ネットワークセキュリティとは
ネットワークセキュリティは、社内の文書や顧客情報といったデジタル資産を安全に保つための一連の仕組みと運用のことです。外からの侵入(クラッキング)を防ぐだけでなく、内側での不正な持ち出しや誤操作による漏えいも抑える必要があります。家にたとえると、玄関の鍵を強くするだけでなく、家族全員の鍵の管理や窓の閉め忘れ、宅配を装う人への対応まで含めて考えるイメージです。
ネットワーク形態別の考え方
ネットワークは大きく二つの形態に分けられます。外部(インターネット)とつながるオープンネットワークと、物理・論理の両面で外部と隔絶したクローズドネットワークです。形態によりリスクの種類と優先する対策が変わります。
クローズドネットワークで押さえるべき要点
外部と遮断されていても、内部に不正利用者がいる前提で設計するのが基本姿勢です。入退室の監視、最小権限の付与と定期的な資格情報の更新、USB等の可搬媒体の制限やOS設定の統制、そして利用者教育によるソーシャルエンジニアリング対策が柱になります。日常の運用では「ルールを決めて記録を残す」「例外は申請制にして可視化する」が効きます。
802.1X(EAP-TLS)による端末接続の制御
ネットワーク機器側で“正規の端末だけをポートに通す”しくみが802.1Xです。証明書を使うEAP-TLSは、端末側と認証サーバ側が互いを検証するため、パスワード漏えいに強く、MACアドレス偽装のような単純な手口を避けられます。スイッチや無線LANで有効化し、認証に通った端末のみ社内VLANに収容します。
オープンネットワークで押さえるべき要点
インターネットに開かれている分、外部からの不正アクセス、Web改ざん、マルウェア流入への備えが中心になります。境界ではファイアウォールとIDS/IPS、公開WebにはWAF、内部にはエンドポイント対策とログ監視を重ね、クローズドで述べた運用統制も同様に適用します。公開サービスは最小限のポートと最小権限、構成の標準化とパッチ適用、バックアップと復旧手順の整備が実践の肝です。
VPNの安全設計と二要素認証
社外から社内に入る通路がVPNです。暗号化だけでは“鍵そのもの”(ID・パスワード)が盗まれた時に弱いので、ログイン時は二要素認証を組み合わせて本人確認を強化します。スマホの認証アプリやハードウェアトークンを組み合わせれば、資格情報の単独漏えいでは突破できなくなります。
多要素認証(MFA)とは
異なる性質の要素を二つ以上使って本人確認する方式です。三つの要素は「知っているもの」「持っているもの」「身体的特徴」です。二要素認証(2FA)はその中から二つ、MFAは二つ以上という関係になります。
三要素の整理
| 要素 | 説明 | 代表的な例 |
|---|---|---|
| 知識情報 | 本人だけが知っている情報で確認する | IDとパスワード、PIN、秘密の質問 |
| 所持情報 | 本人だけが所持する物や端末で確認する | スマートフォン、ICカード、USBトークン、ワンタイムパスワード、SMS/Eメールコード |
| 生体情報 | 身体的特徴で確認する | 指紋、顔、網膜、静脈 |
実務では、ID・パスワードに加えてスマホアプリのワンタイムコード、さらに顔認証を足すと三要素の組み合わせになります。
二要素認証と二段階認証の違い
名称がよく混同されます。二要素認証は“異なる種類を二つ”という条件です。一方、二段階認証は“手順が二回”というだけで、同じ種類を二度使っている場合があります。例えば、パスワードの後に秘密の質問に答える方式はどちらも知識情報なので二段階認証ではあるが二要素認証ではありません。
ネットワークセキュリティにおける攻撃者
一般的に「ハッカー」という言葉が広く使われますが、正しくは悪意を持って不正アクセスや破壊行為を行う者をクラッカーと呼びます。もともとハッカーは「高度な技術を駆使してシステムを解析・改良する人」という意味であり、必ずしも悪意を持つ存在ではありません。
クラッカーは機密情報の窃取、データ改ざんや破壊、サービス妨害などを目的に活動します。これに対してネットワークではFirewall、IDS、IPS、WAFなどの製品を配置し、各コンピュータではウイルス対策ソフトで防御することが基本となります。
用語の整理
ハッキング:システムを解析・改良する行為。善悪を含まず技術的な作業全般を指す
ハッカー:ハッキングを行う技術者。必ずしも悪意を持つとは限らない
クラッキング:不正侵入、盗み見、改ざん、破壊といった違法で悪意ある行為
クラッカー:クラッキングを実行する攻撃者
攻撃の三つのステップ
攻撃は「調査 → アクセス → 攻撃」という流れで進みます。この順序を理解することで、どの段階で防御策を導入すべきかが分かります。
Step 1:調査
攻撃者はまず標的を調べます。代表的なのは以下です。
pingスイープ:ネットワーク上で稼働しているIPアドレスを洗い出す
ポートスキャン:どのサービスが稼働しているか確認し、OSやアプリのバージョンから脆弱性を推測する
対策としては不要なポートを閉じる、公開するIPを限定する、IPSやファイアウォールでスキャンを検知することが重要です。
Step 2:アクセス
調査で弱点を見つけた後、不正にサーバへ侵入します。代表的な手法は以下です。
辞書攻撃:辞書にある単語をパスワード候補として自動的に試す
総当たり攻撃(ブルートフォース):考えられる組み合わせをすべて試す
この段階で重要なのはパスワードの強度と認証の仕組みです。パスワードは長く複雑に設定し、入力回数制限や多要素認証を組み合わせるのが有効です。
侵入に成功した攻撃者はバックドアを設置し、次回以降の再侵入を容易にします。また、ログを消去して痕跡を隠すのも一般的です。
Step 3:攻撃(サービス不能攻撃)
最終段階では、標的に直接的な被害を与えます。代表例はサービス不能攻撃です。
DoS攻撃:単一の発信元からサーバや機器のリソースを浪費させ正規利用を妨害する
DDoS攻撃:多数の端末から一斉にDoSを仕掛ける大規模攻撃
DRDoS攻撃:DDoSの発展形で、第三者サーバを踏み台にして反射応答を標的に集中させる
さらにクライアントやサーバを直接狙うマルウェア攻撃もあります。
ウィルスやワーム:自己増殖して感染を広げる
トロイの木馬:正規ソフトに見せかけて侵入し、裏で破壊や情報窃取を行う
試験で問われやすいポイント
ハッカーとクラッカーの違いを説明できること
攻撃が「調査 → アクセス → 攻撃」という流れで進むこと
辞書攻撃と総当たり攻撃の違いを理解していること
DoS、DDoS、DRDoSの特徴を区別できること
防御策としてFirewall、IDS、IPS、WAF、ウイルス対策ソフトを組み合わせる必要があること
ここは必ず覚える:攻撃の仕組みを理解することが、防御をどの段階でどう実装すべきかを考える第一歩である。