RASの種類

RASの実現形態は、アクセスポイント設置型、集線サービス利用型、VPN型の3つに大別できる。

アクセスポイント設置型
複数のアクセスポイントにリモートアクセスサーバを設置する方法である。本来は、すべてのアクセスポイントにファイアウォールを設置するなどの対策が必要であるが、これの実現がコスト面から難しい場合、ユーザーIDとパスワードの厳格な管理と認証が必要となる。

集線サービス利用型
通信事業者が提供している集線サービス（VANサービス）を利用して、RASを実現する方式である。このネットワーク構成では、通信事業者から企業への接続が一点に集約されるため、ファイアウォール設置によってセキュリティを確保しやすい。

VPN型
インターネットを利用して、RASを構築する方法である。すでに企業のネットワークがインターネットに接続されている場合は、プロバイダ（ISP）へのユーザー登録のみでサービスを開始できる。また、集線サービス利用型と同様に、ファイアウォールを一箇所に集約できることもメリットといえる。

RAS認証のしくみ

RASでセキュリティを確保するためには利用者の認証が重要となる。認証にはさまざまな方法がある。

PAP（Password Authentication Protocol）認証
PAP認証はIETFで標準化されたパスワード認証方式である。ユーザーIDとパスワードをサーバに送信し認証を受ける。パスワードは暗号化されない状態（平文）でネットワークを流れるため、セキュリティを確保する上での弱点となる可能性がある。

CHAP（Challenge Handshake Authentication Protocol）認証CHAP認証はRFC1994で規定されたパスワード認証方式である。ユーザーがサーバにアクセスすると、チャレンジコード（サーバで生成されるランダムな文字列）がサーバから送られてくる。ユーザーはこのチャレンジコードを使ってパスワードを暗号化し、認証時の安全性を確保する。

汎用認証サーバ（RADIUSサーバの場合）
RADIUSサーバは事実上の標準となっている汎用認証サーバである。ユーザー名、パスワード、IPアドレスなどをすべて暗号化して送信する。受け取ったサーバはこれらを復号化した上で認証を行なう。
RADIUSには課金情報を記録するアカウンティング機能がある。この機能によってアクセス履歴を記録し、利用状況分析や課金情報として利用できる。

OTP（One Time Password）認証サーバ
ワンタイムパスワード（一回きりの使い捨てパスワード）による認証サーバである。ワンタイムパスワード方式のサーバには独自の認証サーバが必要となるが、RADIUSサーバを使いユーザーIDやパスワードを管理することも可能である。

VPNの種類

VPNの形態には大きく分けて「ネットワーク型」「アクセスポイント型」「端末型」の3種類がある。

ネットワーク型
離れた場所にある2つのLANの間でVPN通信を実現する方法である。ユーザーはVPNの存在を意識することなく安全な通信を実現できるため、企業の本支店間の通信や、関連企業間の通信に向いている。この方法では、VPN機器間の認証が重要なポイントになる。

アクセスポイント型
ユーザーがダイヤルアップでインターネットに接続する際に、ダイヤルアップのアクセスポイントと、企業の入口に設置された機器との間でVPN通信を実現する方法である。

この方法では、通信事業者のアクセスポイントにおけるユーザー認証が重要な点である。

端末型
各端末とLANの入口に設置する機器との間でVPNを構築する方法である。この方法では、各利用者の端末にVPNソフトを個別にインストールする必要がある。

端末型では、利用者の認証をいかに厳格に行なうかが課題となる。

専用ハードウェアを使ったVPNのしくみは

(1)転送用ヘッダの追加
VPN装置によって、パケットを宛先ネットワークのVPN装置に配達するための転送用ヘッダが追加される。このヘッダに付加される受信者アドレスは、宛先ネットワークのVPN装置のものとなる。
(2)パケットの転送
転送用ヘッダにしたがって、宛先ネットワークのVPN装置までパケットが運ばれる。
(3)転送用ヘッダを取り外し
宛先ネットワークにパケットがたどりつくと、転送用ヘッダが取り外され、元のパケットが取り出される。元のパケットに付加されていた受信者アドレスに基づいてパケットが配送される。

トンネリングでは、インターネット上でIPプロトコル以外のパケット（IPXなど）を転送できるようになる。

ファイアウォールの機能

ファイアウォールの基本的な機能は、通過するパケットの監視と制御である。「不要なパケットや疑わしいパケットは、通過させずに破棄する」ことが、ファイアウォールのおもな仕事となる。パケットを制御する方法は「パケットフィルタリング型」と「ゲートウェイ型」の2つに分けられる。

パケットフィルタリング型
IPパケットのヘッダ情報（送信者アドレス、受信者アドレス、ポート番号）によって、破棄するかどうかの判断を行なう方式である。制御方法が単純であるため処理速度は高速であるが、パケットの種類ごとにあらかじめ「転送するか破棄するか」のルールを設定しておく必要がある。このパケットフィルタリング型は、ほとんどのルータに実装されている機能でもある。

ゲートウェイ型ゲートウェイ型は、ひとつひとつのパケットをチェックするパケットフィルタリング型と違い、TCPセッションやサービス（WebやFTPなど）ごとのデータの動きを監視し、処理を仲介するものである。

ゲートウェイ型にはソケットレベルでセッションを中継する「サーキットレベルゲートウェイ」とアプリケーションレベルでパケットを仲介する「アプリケーションレベルゲートウェイ」がある。

サーキットレベルゲートウェイは、外部セッションと内部セッションを中継処理することで直接のセッションが確立されないようにするための方式である。これはパケットフィルタリング型を拡張したもので、まず通信の最初のパケットをチェックして「そのパケットを通過させてよいかどうか」を判断する。もしも安全性が確認されて「通過させてよい」と判断した場合、そのセッションについてはすべて安全だと判断して、パケットを通過させる。

アプリケーションレベルゲートウェイは、TelnetやHTTPなどのサービスごとに仲介処理を行なうことでデータを制御するもので、いわゆる「プロキシ」と呼ばれるものである。パケットのヘッダ情報を確認するだけではなく、正直にデータの内容までチェックするため、より高いセキュリティを確保できるといえる。監査ログを生成することで、不正なアクセスを追跡するといった機能を持つものも多い。ただし、パケットフィルタリング型やサーキットレベルゲートウェイに比べて、処理に時間がかかるというデメリットがある。

最近のファイアウォール製品では、パケットフィルタリングとゲートウェイの双方をサポートするものが主流となっている。

ウィルスに関する情報

情報処理振興事業協会（IPA）
通産省の外部団体、ウィルス被害の届出を受付、統計情報を公開
http://www.ipa.go.jp/security/

シマンテック
同社のセキュリティ情報サイト
http://www.symantec.com/ja/jp/business/security_response/index.jsp
http://www.symantec.com/ja/jp/norton/security_response/threatexplorer/index.jsp

ネットワークアソシエイツ
同社のウィルス研究チーム「AVERT」のサイト
http://www.nai.com/japan/virusinfo/vinfo.asp

トレンドマイクロ
同社のセキュリティ情報サイト
http://jp.trendmicro.com/jp/threat/

インターネット・セキュリティ・ナレッジ
セキュリティについて分かりやすく紹介（トレンドマイクロ）
http://is702.jp/

EICAR（European inside for computer anti-virus research）
欧州各国のウィルス対策技術を検討する任意団体
http://www.icsa.net

英ウィルスブリテン
ウィルス対策関連の情報を提供する企業
http://www.virusbtn.com

「可用性」の喪失を狙った攻撃

CERT/CCから“TCP SYN flooding and IP spoofing Attacks”として警告されているものである。

Webサーバなど、一般に公開しているサーバは不特定の人からTCP/IPの接続要求を受けつけなければならない。しかし、接続要求だけをたて続けに送信すると、不自然な形でリソースが使用され、他からの接続要求をまったく受けつけることができない状態になる。

(1)接続要求をサーバに送る
送信元アドレスを偽ってサーバに接続要求を送信する。
(2)サーバはリソースを確保し、応答確認を待つ
応答確認を待つ間は、サーバ上でメモリなどのリソースが継続して使用された状態になる。
(3)繰り返し何度も偽りの接続要求を行なう
サーバのリソースを大量に消費させるため、接続要求を大量に送信する。
(4)サーバのリソースが不足し、通信不能状態となる
サーバの持つリソースの量を超える接続要求を受けると、そのサーバは通信不能の状態になってしまう。

「正確性/完全性」の喪失を狙った攻撃

CERT/CCから“IP spoofing Attacks and Hijacked Terminal Connections”として警告されているものである。

この攻撃は、セキュリティ対策が強硬な複数のサーバが連係してデータをやりとりしている場合などにおいて、特に効果を発揮する。すべてのサーバのセキュリティが強硬であることから、お互いにデータをやりとりする際に認証を行なわない（パスワードを要求しない）ように設定してあることがある。本来は、このような構成をとることでパスワードがネットワーク上を流れなくなるため、安全だと考えられている。

(1)サーバを利用不能にする
SYN Floodingアタック（TCPパケットを大量に送りつける攻撃）などを利用して、サーバを使用不能状態にする。
(2)そのサーバになりすます
ハッカーは使用不能となったサーバになりすまして（送信元IPアドレスを偽る）他のサーバに接続要求を行なう。
(3)接続要求に対する確認が行なわれる
接続要求されたサーバは、接続に対する確認を、すでに利用不能となっているサーバに返す。ところが、そのサーバは使用不能となっているため、確認に対する応答ができない。
(4)適切な応答をサーバに返しセッションを開設する
ハッカーがサーバ（既に利用不能）になりすまして、確認に対する応答を行なう。

この種の攻撃は、ルータやファイアウォールのパケットフィルタリング機能によって防御できる。

「機密性」の喪失を狙った攻撃

CERT/CC（Computer Emergency Response Team / Coordination Center）から“Ongoing Network Monitoring Attacks”として警告されているものである。ネットワーク経由でやりとりされるIDとパスワードを盗聴し、それらを使用して不正アクセスを行なうものだ。CERT/CCは、インターネットを利用した不正アクセスなどのセキュリティ情報を扱う団体で、米国防総省の研究開発部門「DARPA」が中心となって設置したものである。

(1)パスワード収集ソフトウェアの注入
ハッカーは、セキュリティ管理の甘いサーバを発見し、そこに侵入する。そのサーバに、ネットワーク上のデータを盗聴するためのプログラムを送り込む。
(2)盗聴
盗聴プログラムは、ファイアウォールの内部にあるサーバがやりとりしているデータを監視し、そこからIDとパスワードを取り出す。
(3)パスワードの報告
盗聴プログラムは、取り出したIDとパスワードをハッカーに報告する。ハッカーはサーバに対して、正しいIDとパスワードを使って正々堂々とアクセスできるようになる。

ハッカーの侵入手段

ブルートフォースアタック
ユーザーIDとパスワードを使って、正面からサーバへの侵入を試みる方法である。

ブルートフォースアタックは、いろんなパスワードをかたっぱしから入力して認証を試みる方法で、力技による攻撃ともいえる。自分の名前や誕生日、覚えやすい単語、IDと同じパスワードを使っている場合は、ブルートフォースアタックによって簡単に突破されてしまう。


CGI-Exploit
WebサーバのCGIプログラムの中には、いわゆるバグを持ったものがある。CGI-Exploitは、こうしたバグを利用して侵入を試みる手法である。


Remote Stack Overflow
サーバに対して意図的に異常なパケットを送りつけることでサービスを異常動作に陥れ、侵入の手がかりとする方法である。この方法で侵入された場合、リモートコントロールによってサーバを完全に乗っ取られることも多い。