ネットセキュリティの考え方が変わった理由スパム時代のサニタイズ開発手法(2/2 ページ)

» 2005年12月01日 00時00分 公開
[平田 豊,ITmedia]
前のページへ 1|2       

インターネットのセキュリティ技術

 インターネットを利用する場合、ホームページから何らかのソフトウェアをダウンロードして利用するといった使い方もあるが、それ以上に通販サイトから商品の買い物をする人の方が多くなっているはずだ。

 例えば、Amazonなどのサイトでは書籍や音楽CD、DVD、家電製品などをWeb上を介して購入手続きができる。この種のショッピングサイトを利用したことがあれば分かるが、支払いにはクレジットカードを利用することが多い。クレジットカードの代わりに銀行口座振り込みや代引きの手続きも可能だが、いずれにしてもそのサイト上で個人情報(氏名、電話番号、住所など)を入力しなければならない。

 入力するときには、WebブラウザとWebサーバ間で、SSL(Secure Socket Layer)と呼ばれる暗号化技術によってデータがやり取りされるのが通常だ。これにより、手元のPCからWebサーバまでの経路において、ネットワークパケットを悪意のある第三者が盗聴していたとしても、生のデータ(平文という)が解読されにくい(≠解読されない)という保証が受けられる。しかし、暗号アルゴリズムの強度が弱い場合には、暗号文が第三者に解読されてしまうこともある。このため、サーバ上での負荷にかかわるものの、暗号アルゴリズムの選択も重要なファクターとなっているのだ。

 Internet ExplorerやFireFoxなどのWebブラウザを使っていて、クライアントPCからWebサーバへ接続すると、Webページが表示される。このときクライアントとサーバ間の通信には、HTTP(HyperText Transfer Protocol)というインターネット標準の仕組み(プロトコルとも呼ぶ)が利用されている。このHTTPは、通信データは平文のまま流れるという規格になっているのだ。HTTPにSSLの技術を追加し、通信データを暗号化して送受信する仕組みは、HTTPS(HTTP security)と呼ばれている。HTTPは比較的理解しやすいプロトコルの技術だが、HTTPSとなると暗号技術を深く知らなければ理解が難しいものといえる。HTTPに関する書籍は多く刊行されているが、HTTPSに関する本がほとんどないのも理由の一つといえるだろう。

 ところで、SSLを使って安全性が確保されるのはクライアントからサーバ間を通信している部分だけであることを知っておかなくてはならない。

 つまり、サーバ上では個人情報が生データのまま格納されているのだ。セキュリティに過敏なWebサイトであれば、サーバのデータベース格納の際に暗号化をしてから保存しているかもしれない。しかし、ここ最近におけるWebサイトからの個人情報漏えいのニュースを読んでいると、筆者はサーバに保管されている個人情報が比較的容易に読み取られていると感じる。

SSLは経路のみの暗号化。データ自体にはかかわらない

 また、個人情報はサーバ側だけから漏えいすると限らない。クライアントからも漏えいすることがある。通販ショッピングサイトでは、複数ページ間におけるセッションを管理するために、Webブラウザの持つCookie(クッキー)という仕組みが利用されることが多い。このCookieというものは、要約するとユーザーがWebページのフォームに入力した情報を一時的にクライアントPCに保存しておき(保存された情報をCookieと呼ぶ)、Webサーバ側で何らかのフォームを表示するときにCookie情報を使い、フォームの表示データを整形するというものだ。このため、悪意あるスパイウェアなどでCookie情報を抜き取るような行為が問題視されている。

Cookieがやり取りされる仕組み

 今回の記事では、ネットワークの基礎技術について解説してきた。今回の知識は、次回以降に登場するサニタイズなどのセキュリティ技術を理解する上で必要となるものばかりなのだ。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ