委員会概要 各種申請 サービス サポート リンク
マニュアル BBS FAQ 管理者各位 リサーチ

セキュリティ対策


 
1.目的

セキュリティ対策の大きな目的として以下の2つがあげられます。
  • 外部の攻撃から、内部のネットワーク、ホスト、ユーザーを守る
  • 踏台にされ、他のネットワークに被害を与えることを防ぐ

1つ目の自己防衛に関しては、当然のことと認知されているでしょう。侵入されてデータを改竄・破壊されたり、メールや個人的なファイルを盗まれたりといった被害を防ぐことの必要性は議論の余地がないと思います。

一方、2つ目については、世間一般において意外と認知されていないようです。しかし、この2つ目は非常に重要です。外部に被害を与えてしまった場合、踏台にされた私達自身も責任を問われます。信用を失うだけでなく、学内ネットワークからの切断や相手方からの責任追求など、大変な事態を引き起こしてしまいます。

このようなことを事前に防ぐためにも、侵入者がつけいる隙のない、しっかりとしたセキュリティ対策をとる必要があります。

ここ九州工業大学情報工学部は名前の通り、情報技術を学び、研究するところです。今はコンピュータ業界だけでなく、世間一般においてもセキュリティ対策が叫ばれる時代です。情報工学部の学生としても、セキュリティについて考え実践することは、非常に有意義なことだと思います。

目次へ戻る
 
 
2.パスワードの重要性

さすがにパスワードという単語がわからないという人はいないと思いますが、この文章の中で使われるパスワードの定義を書いておきます。UNIXのシステムにログインする、メールを読むなどのサービスを利用するときに、ユーザー名と共に用いられ、「自分が正当な利用者であるということを証明するため」のキーワードのことをパスワードといいます。このパスワードは自分だけの秘密にしておく必要があり、ユーザー自分自身に管理責任があります。

もしパスワードが盗まれてしまった場合、あなたの名前であらゆるサービスが利用できてしまいます。

実際にありそうな例をあげてみます。

  • あなたのアカウントを使ってホストに侵入し、クラックする
  • あなた宛のメールを盗み見られてしまう
  • 大切なファイルを書き換えられる/消される
  • 個人的な情報を公開されてしまう
このような被害は簡単に想像できるでしょう。しかし、これらの被害であれば、あなたが被害を受ける「だけ」で済みます。しかし、本当に恐ろしいのは、あなたのアカウントを使って、他人にまで被害を与えるような行為をされてしまうことです。これを「攻撃の踏台にされる」といいます。

よくおこなわれる踏台攻撃の例をあげてみます。

  • あなたのアカウントを使ってさらに外部のホストに攻撃を加える/侵入する
  • あなたのアカウントを使って、大量のいたずらメールや迷惑メールを送信する
このような行為の「踏み台」にされてしまった場合、実際に行為をおこなった者だけでなく、踏み台にされるような原因を作りだしていたあなた自身も責任を問われます。また、自分が利用しているホスト/ネットワークだけでなく、その上位のネットワークにも迷惑をかけることになります。場合によっては、あなた1人のせいでそのネットワークが上位のネットワークから切断されてしまうかもしれません。そして攻撃先が企業であり、その攻撃によって多大な被害が出た場合、あなたも賠償責任を問われることも十分ありえます。

このように、いいかげんなパスワード管理をしていると、それによって思いもよらない重大な事態になる恐れもあります。パスワードをきちんと管理するということは、自分を守るだけでなく、他人に迷惑をかけないということにもつながります。

セキュリティ対策というのは、なにも管理者だけですべておこなえるものではありません。みなさんの協力が無ければ十分な対策がとれず、結局被害を受けることになってしまいます。特に、パスワード管理はユーザー一人ひとりが危機意識を持ち、日頃からその扱いに気を付けることこそが最大の対策となります。

目次へ戻る
 
 
3.暗号化通信の必要性

ネットワークを利用して離れた所から計算機を利用する場合、TelnetやFTPなどを使う方法があります。これらのサービスを利用するとき、認証のためにユーザー名とパスワードを入力しますが、このパスワードは暗号化されずに(これを平文という)ネットワーク上を流れます。共用計算機(ruby)では、パスワードを暗号化せずにそのままネットワークに流してしまうサービスは利用できません。

インターネットでは、あるホストからあるホストに接続するときに、いくつかのホストを経由します。そのため、途中の通信経路に悪意を持った人間が管理するホストがあれば、そこで容易にデータを盗聴することもできます。

下の図は、いくつかのホストを経由して通信する場合において、経路の途中のホストでパスワードが盗聴される場合のイメージ図です。
 

盗聴される場合のイメージ図

このような危険が存在するため、盗み見られても大丈夫なようにパスワードを暗号化し、平文パスワードをネットワークに流さないという自衛手段が必要になります。

インターネットは決して安全地帯ではありません。なんの自衛策もとらずにインターネット経由の通信をするのは、人気のない夜道を女性が一人歩きするようなものです。

被害に遭ってからでは遅いのです。

なによりも普段からの対策が重要です。

目次へ戻る
 
 
4.ファイアウォール(Firewall)

サークル棟ファイアウォールにより、サークル棟外ネットワークから共用計算機(ruby)への通信は、運用部が許可したプロトコル(通信の決まり事)以外できません。

共用計算機(ruby)に関して許可されているのは以下のプロトコルです。

  • HTTP
  • HTTPS
  • POP3(APOPの利用で可)
  • POP3S
  • SMTP(SMTP-AUTHの利用で可)
  • SMTPS
  • SSH

これ以外のプロトコルは原則としてすべて使用禁止となります。 ただし、共用計算機(ruby)から別のホストに接続する場合、およびサークル棟内ネットワークから共用計算機(ruby)に接続する場合について制限はありません。

目次へ戻る
 
 
5.禁止行為

FTPやPOP3などのサービスを、HTTPでトンネリング(TCP/IPのパケットをHTTPでカプセリング)するようなCGIがありますが、このようなものの使用は一切禁止します。これらはパスワードをそのまま流してしまうので、大変危険です。このような、抜け道的な行為は、ネットワーク全体のセキュリティホールとなってしまうため、発見しだいアカウント剥奪、ネットワークからの切断等の厳しい対処を行います。また、これらの行為により実際に被害を受けた場合、厳しく責任を追求します。くれぐれも注意してください。HTTP以外を用いての抜け道行為も同様です。
目次へ戻る
 

Topへ戻る


(C) 2004 九州工業大学 学生自治ネットワーク委員会
K.I.T. Student Administered Network Commission