SSL/TLS
SSL(Secure Sockets Layer)は、TCP(トランスポート層)とアプリケーションプロトコル(アプリケーション層)で、セッション鍵方式による暗号化通信と証明書を用いたサーバ認証(クリアント認証も可能)といったセキュリティ機能を実現するプロトコルです。
具体的には、Webサイトとブラウザ間(または2台のサーバー間)で送信されるデータを暗号化することによりインターネット接続を保護する標準的なテクノロジーです。SSLを使用することで、ハッカーが個人情報や決済情報のような送信内容を盗み見ることを防止できます。
現在は、いくつかのバージョンアップを経て最新仕様はTLS(Transport Layer Security)というプロトコルで標準化されています。なのでSSL/TLSと併記されます。
SSLの用途してHTTP通信の暗号化が有名ですが、FTPなどでもSSLを利用します。SSLを用いたHTTP通信を、HTTPS(Hyper over SSL)といい、ブラウザとWebサーバ間の通信内容が保護されます。
SSLはPKIの仕組みを利用しています。証明書にはサーバの公開鍵やFQDN(Fully Qualified Domain Name、完全修飾ドメイン名)などが含まれています。
<SSL/TLSの通信例>
SSL処理がボトルネックになる場合は、SSLアクセラレータとよばれるSSL処理を専門に行うハードウェアを導入してサーバの負荷を下げることもあります。
S/MIME(Secure MIME)
S/MIME(Secure/Multipurpose Internet Mail Extensions)は、電子メールのセキュリティを向上させるためのセキュリティプロトコルです。具体的には、電子メールの暗号化と電子署名(デジタル署名)を提供し、メールの盗聴や改ざん、なりすましを防ぐことができます。
迷惑メール対策
インターネットの普及とともに、不特定多数のユーザに対し、広告や勧誘などを無差別に送信する迷惑メールやスパムメールが問題になっています。迷惑メールの送信には、他社のメールサーバを踏み台(多システムへの侵入・攻撃の足場、中継点)として利用する第三者中継(不正中継)が多く、以下のようなメールサーバ対策が必要です。
①OP25B (Outbound Port 25 Blocking)
OP25Bとは、迷惑メール対策として、プロバイダやホスティング事業者などが、25番ポート(SMTPの標準ポート)を使った外部へのメール送信を制限する技術です。これにより、不正なメール送信を抑制し、ネットワーク全体のセキュリティを向上させることができます。
②リレー制限
リレー制限とは、メールサーバが、認証されていない第三者からのメール中継を拒否する設定のことです。これにより、スパムメールの踏み台にされることを防ぎ、メールサーバの負荷を軽減することができます。
③SMTP-AUTH (SMTP Authentication)
SMTP-AUTHとは、SMTPでメールを送信する際に、ユーザー名とパスワードによる認証を行う仕組みです。これにより、正規のユーザーのみがメールを送信できるようになり、不正なメール送信を防ぐことができます。
④送信ドメイン認証
送信ドメイン認証とは、メールの送信元が正規のものであることを確認する技術のことです。主にSPF、DKIM、DMARCの3つの技術が使われます。これらの技術により、受信者はメールが正規の送信者から送られたものかどうかを検証でき、なりすましメールやフィッシング詐欺を防ぐことができます。
- SPF (Sender Policy Framework):メール送信元のIPアドレスを検証し、正規のメールサーバーから送信されたものかどうかを確認します。
- DKIM (DomainKeys Identified Mail):メールに電子署名を付与し、送信されたメールが改ざんされていないか、また、正当な送信元から送信されたものかを検証します。
- DMARC (Domain-based Message Authentication, Reporting & Conformance):SPFとDKIMの結果を基に、受信拒否や隔離などの対応を決定するためのポリシーを設定します。
SSH(Secure SHell)
SSH (Secure Shell) とは、ネットワーク経由で他のコンピュータに安全に接続するためのプロトコルです。主に、リモートログインやファイル転送、コマンド実行などに利用されます。SSHは通信内容を暗号化するため、セキュリティの高いリモートアクセス手段として広く利用されています。
IPsec
IPsec(Internet Protocol Security)は、インターネット上で安全な通信を実現するためのプロトコルの集合です。VPN(仮想プライベートネットワーク)接続によく利用され、データの暗号化、認証、整合性チェック(鍵交換)を行い、盗聴や改ざんから通信を保護します。IPv6では標準実装されています。
VPN(Virtual Private Network)
VPN(仮想専用線)とは、インターネット上に仮想的な専用の通信経路を作り、セキュリティを高める技術です。これにより、公共のネットワークでも安全にデータを送受信できます。VPNは、主にデータの暗号化とトンネリングによってセキュリティを確保します。
VPNを実現する方式には、IPsecをもちいる方式やSSLを用いたSSL-VPNなどがあります。