セキュリティに100％はありませんが…

今回で「SSL による安心サイト構築」のコラムは最終回となります。これまで、SSL をはじめとして、ユーザーが安心して Web サービスを利用できる環境を実現するための、さまざまなセキュリティ技術を説明してきました。

今やインターネットは、情報発信、コミュニケーション、ビジネスなど、多くの場面で使われています。

しかし、もともとインターネットは安全性を考慮した環境ではありませんでした。そのため、インターネットやインターネットを介したWebサービスを安全に使ってもらえるように、さまざまな技術が生まれてきました。それでも昨今、インターネットの重要性が増すにつれて、金銭や個人情報などを狙った攻撃も増加しており、日々登場する新たな攻撃から身を守ることが難しくなっています。単純に1つのセキュリティ技術を導入したからといって安心とは言えなくなっています。そこで重要なのが「マルチプロテクション」という考え方です。

■複数の手段を組み合わせて守る
マルチプロテクションは、その名の通り複数の手段を使って身を守ることです。企業によっては多層防御などとも呼んでいますが、考え方は同じです。つまり、1つの技術だけでなく、複数のセキュリティ技術や手段を組み合わせることで、より強固なセキュリティを実現するというものです。



すでにコラム第1回の「EV SSL によって実現する安心サイト」でお話しているとおり、Web サイトの実在性を担保し、ユーザー側にも分かりやすく Web サイトの所有者を明示してくれる EV SSL 証明書がありますが、これによってユーザーがアクセスするブラウザから Web サーバーまでの通信が暗号化され、安全に情報の送受信ができるようになります。金銭のやりとりが発生するオンラインバンキングなどでは非常に重要になりますが、それでも別の手法で ID とパスワードが盗まれる場合もあります。

一方、盗まれた ID とパスワードで口座にアクセスされないようにするためには、ワンタイムパスワードや電子証明書などの二要素認証の導入が効果的です。ワンタイムパスワードは、ID とパスワードに加えて、その時一回限りのパスワードを発行し、ログイン時に入力させることでセキュリティを強化します。また、個人や PC を特定して認証する「電子証明書」を使うこともひとつの方法です。例えば、電子証明書のない PC からのアクセスを禁止することができますので、アクセスコントロールを実現するとともに、ID・パスワードが漏洩してもセキュリティを確保できます。

ログイン後には、その人の行動を監視し、普段と異なる行動や、普通ではあり得ない行動を検知するサービスも有効です。例えば、正しいユーザーが東京の IP アドレスからアクセスした5分後に、同じ ID で海外の IP アドレスからのアクセスを検知した場合、異常と判断しアクセスをブロックすることが可能です。このようなサービスは、オンラインバンキングだけでなく、企業のネットワークへの侵入に対しても大きな効果が期待できます。

攻撃は Web からだけにとどまらず、メールに記載された偽のリンクから誘導される形も非常に多く、フィッシング詐欺やウイルス、ソーシャルエンジニアリングなど、あらゆる手段で攻撃が仕掛けられています。メールは送信者を簡単に偽ることができ、通信経路上の盗聴や改竄も可能なため、比較的セキュリティ機能が低いツールであるからです。

その対策として S/MIME（エスマイム）という技術を使うことで、メールの内容や添付資料を暗号化して送信することができ、また、電子署名をつけて送ることで正しい送信者から送られたメールであることを確認できます。重要なメールで電子署名のないものは信用しないようにすれば、偽リンクから偽サイトに誘導され、ログイン情報を詐取されるフィッシング詐欺を即座に見分けることができるようになります。

犯罪者の攻撃手法は多種多様化していますが、網羅的に対抗できるセキュリティソリューションは存在しません。しかし、マルチプロテクションは各セキュリティソリューションを組み合わせ、個々の特長を活かした防御を多層的に構築することができます。攻撃が最初の防御を突破できても、次の防御、さらに次の防御と、侵入をブロックします。個々のたいでは防げなかった攻撃も、多層的な防御の前では通用しません。安全、安心なサービスを提供するには、マルチプロテクションが必要不可欠な要素となっています。

（日本ベリサイン株式会社　コラム執筆チーム）