ペーパーレスとセキュリティ(1):ネットワーク環境の変化とセキュリティに求められるポイント
帳簿、決算・取引書類保存の電子化で業務効率の向上へ ~インボイス制度への効率的な対応~
在宅勤務をペーパーレスで行うと、4つの視点を保持し、業務上・システム上工夫する必要があることは、申し上げてきました。
これに加えて、在宅勤務をペーパーレスで行うと、ネットワーク的にも状況が変わりますので、対応方法を検討する必要があります。つまり、セキュリティについて十分に検討しなければなりません。
これまでは会社勤務でしたので、基本的に社内LAN内で業務を実施していたことになります。これに対して在宅勤務の場合、自宅と会社のLAN間の通信を行い、業務を実施することになります。
そして、従来のネットワーク環境では、社内のネットワーク環境はファイヤーウォール・IPS、IDS等で守られ、社内LAN内の安全な環境にある情報資産にアクセスして業務を実施しており、ネットワークの境界を守れば安全であるという考えを前提にしていました。
これに対してペーパーレス化を実施し在宅勤務を行うようになると、社内のネットワーク環境と各従業員の端末がインターネットを介して通信を行うようになります。加えて、昨今、SaaS型サービスが非常に盛んになっておりますが、このサービスを利用する場合には、社内のネットワーク環境・各従業員・SaaS型サービス等がインターネット環境で通信を行うようになります。ここでは、社内外の情報資産をどこからでも使うという前提で業務を実施することになります。
<従来の業務環境>
<在宅勤務の業務環境>
インターネット環境の通信は専用線とは違って、様々な不正アクセスがあり、また様々なマルウェアが存在し、インターネット通信には多種多様な攻撃が実施されています。
こうしたネットワーク環境においては、セキュリティを維持するために、どの様な視点が重要になるのでしょうか?
インターネットを通じて、様々な拠点と通信することになるので、各端末が、通信すべき相手方なのか、攻撃者が用意した端末なのかを識別できる必要があります。
つまり、接続するサーバが、正規のサーバなのか攻撃者が用意したサーバなのか、接続するクライアントが、正規のクライアントなのか攻撃者の用意したクライアントなのかをしっかり識別する必要があります。
では、どの様にして識別したら良いのでしょうか?
サーバやクライアントの識別は、認証によって行うことになります。従って、サーバ・クライアントの認証をどの様に行うのかということになります。
(1)ユーザIDとパスワードによる認証
まず、ユーザIDとパスワードによる認証が考えられます。我々もよくユーザIDとパスワードを入力していると思います。この方法だとインターネット環境でユーザIDとパスワードが通信されることになり、次のような欠点があると言われております。
- 通信が盗聴された場合、ユーザIDとパスワードが漏洩する
- 接続先の機器がなりすましであった場合、ユーザIDとパスワードが盗まれる
そのため、単純に1回パスワードを入力するだけではなく、2要素認証(異なる2つの認証技術を用いて認証する方法)で行うといった考えもありますが、やはり通信の盗聴があった場合、有効ではありません。
(2)証明書による認証
上記の欠点を克服する方法として、証明書による認証があります。
サーバを認証するためのサーバ証明書があり、またクライアントであることを証明するクライアント証明書があります。
サーバ証明書は、サーバの接続先(FQDN)を認証することで正しいサーバであることが分かる仕組みとなっていますが、以下のような種類があり、保証されるレベル感が異なっています。
ドメイン認証型より企業認証型、企業認証型よりEV認証型の方が、信頼性が高く、商取引を行うサイトではEV証明書の利用が推奨されています。
<SSLサーバ証明書の種類>
| 名称 | 内容 |
|---|---|
| DV(ドメイン認証型) | 証明書保有者がドメインを所持していることを証明する。保有者の名称、実在性等は保証されない。接続先がフィッシングサイトである可能性は否定できない |
| OV(企業認証型) | 証明書保有者の名称、所在地、実在性を認証局が証明する。 |
| EV(EV認証型) | 認証局が、証明書保有者の名称、所在地、実在性に加え、証明書の申請者の実在性等も確認した上で発行される。 |
クライアント証明書については、次回説明したいと思います。
