セキュリティの基礎

  1. 基本インターネット セキュリティの概要と機能は?
  2. 基本インターネット セキュリティで十分に保護できるアプリケーションのタイプは?
  3. 高度なインターネット セキュリティの概要と機能は?
  4. 高度なインターネット セキュリティで保護するべきアプリケーションのタイプは?
  5. SSL (Secure Sockets Layer) は業界標準とされていないのですか? SSL は Web サイトに送信された情報の保護には不十分なのですか?
  6. 携帯デバイスやワイヤレスのアプリケーションに対するセキュリティ要件とは?
  7. Web サイトに掲載されているプライバシ ポリシーは、インターネット ユーザーのプライバシ問題に十分に対処していないのですか?
  8. 高度なインターネット セキュリティを必要とする法的な要請とは?
  9. ユーザー ID とパスワードだけでは取引を行うユーザーの特定が十分にできないのはなぜですか?
  10. 公開鍵インフラ (PKI) とは?
  11. ディジタル ID にライフサイクル管理が重要なのはなぜですか?
  12. FIPS 140-1 や Common Criteria のような第三者検証がセキュリティ ソリューションにとって重要なのはなぜですか?
  13. デュアル鍵アーキテクチャに基づいたディジタル ID の利点は?
  14. アプリケーションやプラットフォーム間におけるセキュリティ ポリシーの制御が重要なのはなぜですか?

1. 基本インターネット セキュリティの概要と機能は? 

基本インターネット セキュリティは、秘密性を提供するために、一般には SSL (Secure Sockets Layer) の形で採用されます。さらに、ユーザー認証にユーザー ID とパスワードが追加的に採用されることもあります。

この基本セキュリティが保護するのは、ブラウザと Web サーバーとの間における情報のみであり、情報が Web サーバーに保存されたり、ネットワーク環境の他の部分に渡されたり保存されたりする場合には保護されません。基本セキュリティでは、監査可能または拘束力のある取引の記録や、Web サーバー環境内のリソースに対する高度なアクセス コントロールは提供されないのです。

2. 基本インターネット セキュリティで十分に保護できるアプリケーションのタイプは? 

低価格取引または機密性の低いトランザクションや情報であれば、基本インターネット セキュリティでも十分に保護されるかもしれません。これには、非機密情報の公開や送信、あるいは書籍や CD の小売といった一般的で低価格の電子商取引アプリケーションなどがあります。

3. 高度なインターネット セキュリティの概要と機能は? 

高度なインターネット セキュリティでは、高度な個人識別、権限付与、検証、プライバシ、およびセキュリティ管理サービスが採用されています。高度なインターネット セキュリティでは、ユーザーは取引の相手が誰であるかを識別できるほか、リソースや情報に対するきめ細かいアクセス コントロール、取引のライフサイクル全般にわたる情報や取引内容に対するエンドツーエンドのプライバシ、取引の両当事者に対する監査可能な拘束力が提供されます。

4. 高度なインターネット セキュリティで保護するべきアプリケーションのタイプは? 

高額な取引を行うアプリケーションや、機密性の高いトランザクションおよび情報には、高度なインターネット セキュリティが必要です。これには、オンライン バンキングやオンライン証券取引、政府調達、個人や法人の税申告、医療記録、履歴書、電子投票など、非常に多くのものがあります。

5. SSL (Secure Sockets Layer) は業界標準とされていないのですか ? SSL は Web サイトに送信された情報の保護には不十分なのですか? 

SSL は非常に優れたものです。Web サイトの個人識別には広く使用されている標準でもあり、ブラウザと Web サーバーとの間でやりとりされる情報を保護します。しかし、それだけの機能しかありません。SSL を補強し、Web サーバー以外でもより強力なユーザーの個人識別や情報のプライバシを提供するために、別のソリューションが必要です。クレジット カード取引を行うアプリケーションに SSL を使用したものの、クレジット カード番号を人間が判読できる形で Web サーバー上にそのまま置いていたために、ハッカーに簡単にアクセスされてしまったという事例は数多く報告されています。データ転送を攻撃する代わりに、彼らは格納されたデータを狙ったのです。

6. 携帯やワイヤレスのアプリケーションに対するセキュリティ要件とは? 

携帯やワイヤレスのアプリケーションの要件も、回線を使ったインターネット アプリケーションとまったく変わりません。WTLS の形による基本セキュリティでは、Web サイトで SSL が提供するのと同程度のセキュリティしか提供されません。高額取引や機密性の高いトランザクションや情報を扱うアプリケーションであれば、この場合も高度な個人識別、権限付与、検証、プライバシ、およびセキュリティ管理サービスが必要になります。

7. Web サイトに掲載されているプライバシ ポリシーは、インターネット ユーザーのプライバシ問題に十分に対処していないのですか? 

プライバシ ポリシーはユーザーのプライバシや秘密に対処する鍵となるコンポーネントではありますが、データの秘密保護やアクセス コントロールなどの重要な要素を実現するには、技術的な補強を行う必要があります。

8. 高度なインターネット セキュリティを必要とする法的な要請とは? 

米国では、高度なインターネット セキュリティおよびプライバシを何らかの形で義務付けるような既存および懸案の政府規制には、さまざまなものがあります。医療関連業界では、1996 年に制定された「医療保険の携行性と責任に関する法律 (HIPAA)」があり、金融サービス業界には「Gramm-Leach-Bliley 法」があります。電子署名法 (E-Sign 法)、統一電子商取引法 (UETA)、政府ペーパーワーク削減法 (GPEA) などの他の法令も、オンライン取引を促進したり、それらに法律的な裏付けを与えています。

9. ユーザー ID とパスワードだけでは取引を行うユーザーの特定が十分にできないのはなぜですか? 

ユーザー ID とパスワードは、それらだけでは本人だと主張するユーザーが実際に本人であることを保証できません。パスワードが知らないうちに盗まれ、インターネット上の別の場所で使用される可能性もあります。ユーザー ID とパスワードは、インターネット上でやりとりされるため、攻撃を受けやすくなっています。ディジタル証明書をローカル パスワードと (さらには、スマート カードやバイオメトリックスのような任意追加の認証要素と) 併せて使用すれば、取引相手の識別をより確実に保証できます。ディジタル署名を使用してユーザーを取引に拘束することができるのも、ディジタル証明書の使用による副産物といえます。

10. 公開鍵インフラ (PKI) とは? 

PKI は、高度なインターネット セキュリティ ソリューションにおける重要なコンポーネントです。PKI では、システム全体で幅広いアプリケーションで公開鍵暗号やディジタル署名サービスを管理することになります。公開鍵インフラは、鍵や証明書の管理を通じて信頼できるネットワーク環境を維持することを目的としたものです。

11. ディジタル ID にライフサイクル管理が重要なのはなぜですか 

ディジタル ID に必要な鍵や証明書を自動かつ透過的に管理することにより、鍵の更新、ID の変更、鍵の履歴管理など、エンド ユーザーと管理者双方の管理オーバーヘッドを減少させることができます。自動化方式を使用しない場合、エンド ユーザーはセキュリティ ID を有効期限 (通常は 1 年) が失効する前に更新するなど、管理を個々に行わなければなりません。こうしたタスクはエンド ユーザーにとっては直感的なものでないため、多くの場合ヘルプ デスクにサポートを求める結果となります (付随的にコストも発生します)。これにより、管理者は本来個人で行われるはずの証明書更新要求などで手一杯になってしまいます。

12. FIPS 140-1 や Common Criteria のような第三者検証がセキュリティ ソリューションにとって重要なのはなぜですか? 

セキュリティ ソリューションの第三者検証は、製品が必要最低限のセキュリティ保証レベルを満たし、アルゴリズムやプロトコルが仕様どおりに実装されるようにするものです。米国およびカナダの連邦政府機関では、セキュリティ製品に対して、使用に適するかどうかの検討に先立って FIPS 140-1 証明書の発行を求めています。

13. デュアル鍵アーキテクチャに基づいたディジタル ID の利点は? 

契約不履行の防止やパスワードの忘失による鍵のリカバリという相対する要件を満たすためには、署名機能と暗号化機能に別々の鍵ペアをサポートすることが重要です。暗号鍵は、パスワードの忘失時や格納した鍵の損傷時にリカバリを可能にするため、バックアップしておく必要があります。これに対し、署名鍵は署名者だけが保有できるものであり、バックアップはできません。署名鍵のバックアップを許した場合、署名鍵のコピーが存在することになるため、署名済み取引の否認が可能になってしまうからです。デュアル鍵ペア方式が必要となる理由についての詳細は、ホワイトペーパー (PDF – 37K) を参照してください。

14. アプリケーションやプラットフォーム間におけるセキュリティ ポリシーの制御が重要なのはなぜですか? 

単一のセキュリティ ポリシーを実施するセキュリティ インフラであれば、アプリケーションやプラットフォームに関係なく、一貫したレベルでの個人識別、権限付与、検証、プライバシを提供できます。これにより、潜在的なポリシー違反を減少させることができます。セキュリティ ポリシーを各アプリケーションで独立に管理した場合、必要な管理オーバーヘッドが膨大になってしまいます。付け加えると、ポリシーを実施しない場合には、セキュリティ侵害の危険性もはるかに高まることになります。

ご質問・ご相談 お気軽にお問い合わせください

電話でのお問い合わせ

03-6738-6710

(平日9:00~18:00受付)

メールフォームからお問い合わせ

お問い合わせ カタログダウンロード

ページの先頭へ