レイヤーごとのセキュアなプロトコル
以下、レイヤーごとに、プロトコルをセキュア化している方法について解説する。
ネットワークインターフェイス層
ほかの機械からの盗聴や干渉された場合に把握しづらいネットワークとして無線LANがある。無線LANにおけるWi-Fiの暗号化方式は、最初のWEPからWPA、WPA2、WPA3とバージョンを重ねるごとに高度化している。WPA3では、仮にデータ暗号化に必要な暗号化キーが漏えいした場合でも、第三者には正しいと検証できないSAE(Simultaneous Authentication of Equals)ハンドシェイクと呼ばれる技術や、誤った暗号化キーによる接続試行が一定回数以上続くとそれ以降の接続試行を拒否するブルートフォース攻撃対策機能が定義されるなど、セキュリティの強化が図られている。
インターネット層
IPSec(Security Architecture for IP)というIPをセキュア化したプロトコルが存在する。主にVPN(Virtual Private Network)を構成するために使用されるが、このプロトコルでは、通信元からネットワークに流されるデータをカプセル化して通信網に送り出す。カプセル化したデータは共通鍵で暗号化され、データを盗み見されても解析は困難となっている。
トランスポート層
TCPやUDPなどで構成されるトランスポート層では、TCPを利用するアプリケーションの多くがSSL/TLSを利用してセキュアなプロトコルを構成したことに対応。また、UDPでもSSL/TLSと同様にセキュアなプロトコルへの要望から、コネクションレス通信ベースのセキュアな通信規格が登場。代表的なものとしてDTLS(Datagram Transport Layer Security)が挙げられる。パケットロスなどは容認される必要があるものの、高速にデータ伝送ができ、IP電話などのデータ通信向けとして用いられている。
アプリケーション層
Webアクセスに用いられるHTTPのセキュアなプロトコルとして用意されたHTTPSとは、簡潔にまとめると、SSL/TLSでデータを暗号化したうえでHTTP通信を行う仕組みとなっている。同様にメールの受信では、POP3をSSL/TLS上で通信させるPOP3s、送信ではSMTPをSSL/TLS上で通信するSMTPs がよく用いられる。
アプリケーションの設定で「POP3s」の言葉を見かける機会は少ないが、実際には多く利用されている。例えば、メールクライアントアプリの設定を行う際に、POP3で標準のTCP110番ポートを用いるのではなく、995番経由で「暗号化された接続」を実現するといった場合には、POP3ではなく、POP3sが使用される。
セキュアなプロトコルを導入する場合、相応のコストが求められる。ECサイトやコーポレートサイトなど、何かしらのWebサイトを運営する中でSSLを導入しているケースは少なくないだろう。テレワークを進展させるためであれば、社内LANの拡張という見方もできるVPNの導入で十分かもしれない。最近ではIPSec-VPNなどの利用コストも相対的に下がってきている。
しかし、総合的なサイバー攻撃対策として、ゼロトラストを前提としたネットワーク構築など高度なレベルを目指すのであれば、当然ながらコストも手間も増大する。自社のビジネスやその状況を見極め、どのようなセキュリティ対策が必要なのかを整理すること。その第一歩がセキュアなネットワーク環境の構築に求められていると言えるだろう。
L2TP(Layer 2 Tunneling Protocol)は、VPN(Virtual Private Network)接続を可能にするためのトンネリングプロトコルです。
→データリンク層
コメント