1. 情報セキュリティにおけるセキュアな通信の必要条件

情報セキュリティにおけるセキュアな通信の必要条件

  • このエントリーをはてなブックマークに追加

情報セキュリティにおいて、情報が漏洩しないこと、安全にデータ通信できることは重要な問題です。近年、インターネットの発達や普及によって通信上の安全を確保する必要性が高くなっています。
個人情報の流出のニュースが頻繁に報道されるなか、情報が流出して顧客に損害を与えるということはその実害だけでなく、流出した企業の信用を毀損してしまいます。では、情報セキュリティを担保するセキュアな通信とは、どのようなものがあるのでしょうか。

情報セキュリティの重要要素とは

情報セキュリティの要素は1992年のOECD(経済協力開発機構)によって制定され、2002年の「情報システム及びネットワークのセキュリティのためのガイドライン」によって提示されました。その後、ISO/IEC 27001によって、情報セキュリティ(Information Security)は、情報の「機密性」(Confidentiality)、「完全性」(Integrity)、「可用性」(Availability)の3要素から構成されると規定されました。

機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)の頭文字を取って、「情報セキュリティのCIA」といわれることがあります。

「機密性」(Confidentiality)

情報が流出しない。情報へのアクセス権を厳格に規定して、権限のない人間に情報を漏らさない状態を作ること

「完全性」(Integrity)

保管している情報が破壊されたり、改変されたりしないこと

「可用性」(Availability)

情報が利用可能な状態に置かれているかどうか。厳重に保管された情報も、利用できなければ意味がないため、情報にアクセス可能な人物が、必要なときに必要な情報にアクセスできること


(図1) 資格情報セキュリティの3要素

この情報セキュリティの3要素は、組織における情報資産のセキュリティを確保するための枠組みである情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の目標としても、規定されています。また、最近では「CIA」の3要素にさらに「責任追跡性」(Accountability)、「真正性」(Authenticity)、「信頼性」(Reliability)という3つの要素を加えたものを「情報セキュリティの6要素」と呼ばれることもあります。


(図2) 情報セキュリティの6要素

SSL通信は本当にセキュアなのか

Web上でセキュアな通信手段とされているのがSSL(Secure Sockets Layer)/TLS(Transport Layer Security)通信です。SSL/TLS通信を利用すると、サーバとクライアント間の通信を暗号化することが可能となります。SSL/TLS通信は、対応するブラウザがインストールされていれば、すぐに開始することができ、特別なクライアントを必要としません。SSL/TLS通信の仕組みは次のような手順によって行われます。

  • 1. クライアントがサーバにSSL通信リクエストをします。
  • 2. サーバ側からクライアントにサーバ証明書の公開鍵を送付します。この公開鍵を使ってデータを暗号化すると、同時に「秘密鍵」がサーバ側に保管されます。
  • 3. クライアントは受け取った公開鍵から共通鍵を作成し、暗号化してサーバに送ります。共通鍵は先ほどの「秘密鍵」が保管されているサーバであれば復号され、解読できるようになります。
  • 4. こうしてクライアントとサーバだけが持つ共通鍵を使って、暗号化された通信が実行されます。共通鍵は、サーバとクライアントが使用するブラウザの双方が対応する、最も強度の高い暗号方式である鍵長(2048bit)が使用されています。

「共通鍵暗号方式」と「公開鍵暗号方式」の両方を用いることで、インターネット上のデータ通信を暗号化することで第三者からの盗聴・改ざん、なりすましを防ぐことが可能になるのです。
しかしSSL/TLS通信にも、情報セキュリティの3要素における「可用性」に弱点があります。SSL/TLS通信では、サーバに接続したクライアントに対して、分け隔て無く公開鍵を送信して、通信を行います。つまり、通信の安全は確保することはできても、通信の相手を認証することはできません。

サーバ証明書自体も簡単に作成することができ、「自己証明書(オレオレ証明書)」と呼ばれています。認証局の署名のない証明書を使ったとしてもSSL/TLS通信自体は問題なく行うことが可能なのです。そのため、電子証明書の発行機関である「認証局」の署名があってはじめて有効な証明書といえます。

SSL/TLS通信に「認証局」の署名が必要な理由

「認証局」の役割は、技術的に電子証明書を発行するというだけではありません。例えば、インターネットを流れるデータの「盗聴」「改ざん」に関しては、自己証明書を設定することで暗号化通信が可能になりますが、「接続の安全性が確認できません」などの警告文がブラウザ上に表示されてしまいます。なぜなら、自己証明書の発行元はインターネットブラウザ(Chrome、Firefox、Internet Explorer等)には登録されていないためです。

また、第三者が本物そっくりに作ったウェブサイトで個人情報や決済情報などを不正に取得する「なりすまし」に引っかからないためには、信頼できる第三者機関である認証局にウェブサイトの運営者・運営組織の実在性を証明してもらう必要があります。運営主体が第三者機関から本物の組織であることが認証されると、組織情報がブラウザで確認できたり、アドレスバーが緑色になったりなど、目に見える安全性が提示されるからです。

セキュアな通信を利用して情報セキュリティを高めよう

通信のセキュリティについてはインターネットと切っても切れないものであるため、情報セキュリティ上、必ず検討する必要があります。利用者のニーズに合わせて、最適な通信方法を選択することが必要です。

  • このエントリーをはてなブックマークに追加

この記事を書きました

グローバルサインブログ編集部

グローバルサインブログ編集部
所属:GMOグローバルサイン マーケティング部
当ブログの運営・管理を担当。マーケティング部=なんでも屋。
>>グローバルサインブログ編集部の記事一覧