通信防御基礎論

Aug 4, 2025 10 min

概要

本章では、ネットワーク通信の安全性を確保するための基礎理論と実践技術を体系的に解説する。現代の情報システムはインターネットや社内LANを介して膨大なデータをやり取りしており、通信路の安全性が脅威に晒される場面は多岐にわたる。盗聴・改ざん・サービス妨害・不正侵入などの攻撃手法と、それに対抗するTLS(暗号化)、VPN(仮想専用線)、IDS/IPS(侵入検知・防御)、プロキシ(中継・制御)などの防御技術について、仕組み・導入ポイント・運用上の注意点まで詳しく学ぶ。

ネットワークセキュリティは「境界防御」から「ゼロトラスト」へと進化しており、単一の技術だけでなく多層的な防御設計が求められる。基礎理論から最新動向まで、実務・試験対策の両面で役立つ知識を身につけることを目指す。

1. ネットワーク層の主要脅威

ネットワーク層は、物理的なケーブルやWi-FiからTCP/IPプロトコルまで、データが実際に流れる経路を指す。ここで発生する脅威は、情報の盗聴・改ざん・妨害・不正侵入など多岐にわたる。

1.1 パケット盗聴・改ざん

  • 盗聴(スニッフィング)

    • 攻撃構造:LAN内やWi-Fiなどの通信路で、攻撃者がパケットキャプチャツール(例:Wireshark)を使い、送受信されるデータ(ID・パスワード・クレジットカード情報等)を傍受する。特に暗号化されていない通信(HTTP, Telnet等)は容易に解析される。
    • 対策:TLS/SSLによる暗号化(HTTPS化)、VPNトンネルの利用。暗号化通信では、盗聴されても内容が解読できない。
    • 実践例:社内Wi-FiはWPA2以上の暗号化を必須とし、Webサービスは必ずHTTPSを導入する。

  • 改ざん(MITM:Man-in-the-Middle)

    • 攻撃構造:攻撃者が通信経路の中間に入り、パケット内容を改変したり偽装した情報を送り込む。DNSキャッシュポイズニングやARPスプーフィングも代表的な手法。
    • 対策:証明書ピンニング(クライアント側で正しい証明書を検証)、HSTS(HTTP Strict Transport Security)による強制HTTPS化、VPNによる通信路の秘匿化。
    • 実践例:スマホアプリはサーバ証明書のピンニングを実装し、WebサーバはHSTSヘッダを返す。

1.2 サービス妨害(DoS/DDoS)

  • 攻撃構造:攻撃者が大量のリクエストやパケット(SYN Flood, UDP Flood等)を送りつけ、サーバやネットワーク機器のリソースを枯渇させてサービスを停止・遅延させる。分散型(DDoS)は複数の踏み台PCから同時攻撃。
  • 対策:レートリミット(単位時間あたりのリクエスト制限)、WAF(Web Application Firewall)による異常検知・遮断、CDN(Content Delivery Network)による負荷分散、ブラックホールルーティング(攻撃トラフィックの破棄)。
  • 実践例:クラウドサービスではDDoS対策オプションを有効化し、WAFで攻撃パターンを自動遮断。

1.3 不正アクセス・踏み台

  • 攻撃構造:TelnetやFTPなど暗号化されていない脆弱なプロトコル、初期設定のままの機器、パスワード漏洩などを突いてネットワーク内部に侵入。侵入後は踏み台として他のシステムへの攻撃に利用される。
  • 対策:SSH(Secure Shell)など暗号化プロトコルの利用、不要サービスの停止、ファイアウォールによるアクセス制限、初期パスワードの変更。
  • 実践例:IoT機器やルーターは初期パスワードを必ず変更し、外部からの管理画面アクセスはファイアウォールで遮断。

2. 防御技術の基礎

ネットワーク防御は、複数の技術を組み合わせて「多層防御」を実現する。各技術の仕組み・導入ポイントを理解しよう。

技術解説代表ツール・規格
TLS/SSL通信路を暗号化し、第三者による盗聴・改ざんを防止。証明書によるサーバ認証でなりすましも防ぐ。HTTPSはWeb通信の標準。OpenSSL, Let’s Encrypt
VPN公衆ネットワーク上に仮想専用線(トンネル)を構築し、拠点間・リモートアクセスの安全性を確保。IPsec, SSL-VPN, WireGuard等方式あり。WireGuard, OpenVPN
IDS/IPSIDSは侵入検知、IPSは侵入防御。シグネチャ(既知攻撃パターン)や振る舞い(異常検知)でネットワーク内外からの攻撃を検出・遮断。Snort, Suricata, Wazuh
プロキシクライアントとサーバの間に立ち、通信内容を中継・監視・制御。アクセスログ取得やフィルタリング、キャッシュ機能も持つ。Squid, nginx, Zscaler
WAFWebアプリ層の攻撃(XSS, SQLi等)を検知・遮断。HTTPリクエストの内容を解析し、異常なパターンをブロック。AWS WAF, F5, Cloudflare

多層防御

インターネット

ファイアウォール

IDS/IPS

プロキシ

WAF

Webサーバ

各層で異なる役割を担い、攻撃の侵入・拡大を防ぐ。

3. 通信防御の設計ポイント

ネットワーク防御は「設計思想」が重要。単なる技術導入だけでなく、運用・監査・継続的改善が不可欠。

  • ゼロトラストネットワーク:従来の「社内=安全、外部=危険」という境界防御から、全ての通信・ユーザー・端末を疑い、都度認証・暗号化する設計へ。VPNやTLSで通信路を守り、ID管理・アクセス制御を徹底。
  • 多層防御(Defense in Depth):ファイアウォール(外部遮断)、IDS/IPS(侵入検知・防御)、WAF(Web層防御)、プロキシ(監視・制御)など複数技術を組み合わせ、単一障害点を排除。
  • ログ・監査:通信履歴やアクセスログを記録・分析し、インシデント(不正アクセス・情報漏洩等)を早期発見。SIEM(Security Information and Event Management)で統合管理。
  • 脆弱性管理:ネットワーク機器・ソフトウェアの定期アップデート、脆弱性スキャン、パッチ適用。古い機器や未更新ソフトは攻撃対象となりやすい。
  • 教育・運用体制:管理者・利用者へのセキュリティ教育、インシデント対応手順の整備も重要。

4. 最新動向と実践

  • TLS 1.3の普及:従来より高速・安全な暗号化通信を実現。暗号化方式の自動交渉、前方秘匿性(PFS)など強化ポイント多数。WebサービスはTLS 1.3対応が推奨。
  • VPNの多様化:リモートワークやクラウド利用の拡大に伴い、SSL-VPNやWireGuardなど柔軟なVPN設計が求められる。ゼロトラスト型VPN(ZTNA)も登場。
  • IDS/IPSのAI活用:従来のシグネチャ型に加え、機械学習による異常検知(未知の攻撃パターン検出)が進化。大量ログから自動で脅威を抽出。
  • クラウド型WAF/プロキシ:オンプレミスだけでなく、SaaS型のセキュリティサービス(Cloudflare, Zscaler等)が普及。導入・運用負荷が低く、グローバルな防御が可能。
  • IoT・5G時代の新課題:IoT機器の脆弱性、5G通信の新たな攻撃面など、今後のネットワーク防御はより広範な視点が必要。

5. 試験対策の観点

  • TLS/VPN/IDS/IPS/プロキシの「役割・仕組み・導入ポイント」を図解・事例で整理
  • DoS/DDoSの攻撃構造(SYN Flood, UDP Flood等)と防御策(WAF, CDN,ブラックホール等)
  • ゼロトラスト・多層防御の設計思想と実践例
  • ログ・監査によるインシデント検知・対応の流れ
  • 最新動向(TLS 1.3, AI型IDS, クラウド型WAF等)の特徴と導入メリット

実務・試験ともに「仕組み→攻撃例→防御策→運用ポイント」の流れで理解することが重要。

6. 基礎知識チェック

設問 - Level 1

  1. 暗号化されていない通信(例: HTTP)において、攻撃者がネットワーク上でパケットを傍受する攻撃を何と呼びますか?
  2. 攻撃者が通信経路の中間に入り、パケット内容を改変したり偽装した情報を送り込む攻撃を何と呼びますか?
  3. サービス妨害攻撃の一種であるDDoS攻撃の「D」は何の略ですか?
  4. ファイアウォール、IDS/IPS、WAFなど複数の防御技術を組み合わせて攻撃を防ぐ設計思想を何と呼びますか?
  5. Web通信を暗号化し、盗聴や改ざんを防ぐための標準プロトコルは何ですか?
  6. 公衆ネットワーク上に仮想的な専用線(トンネル)を構築し、安全な通信路を提供する技術は何ですか?
  7. ネットワーク内外からの攻撃を「検知」するシステムをIDSと呼びますが、「防御」まで行うシステムは何ですか?
  8. クライアントとサーバーの間に立ち、通信内容を中継・監視・制御する機能を果たすものを何と呼びますか?
  9. Webアプリケーション層への攻撃(XSS, SQLiなど)を専門に検知・防御するものは何ですか?
  10. 従来の「社内=安全、外部=危険」という考え方から脱却し、全ての通信・ユーザー・端末を信用せずに認証・認可を行う設計思想を何と呼びますか?
  11. 最新のTLSバージョンで、推奨されるものは何ですか?

設問 - Level 2

  1. ネットワーク層の脅威である「パケット盗聴」と「改ざん(MITM攻撃)」について、それぞれの攻撃の仕組みと、TLS/SSLを利用した場合の対策効果を説明してください。
  2. DoS攻撃とDDoS攻撃の最も大きな違いは何ですか?また、DDoS攻撃の対策として、レートリミット、WAF以外に効果的な手法を2つ挙げてください。
  3. 不正アクセスを防ぐための対策として、TelnetやFTPではなくSSHのようなプロトコルの利用が推奨される理由を、セキュリティの観点から説明してください。
  4. ファイアウォールとIDS/IPSはどちらもネットワークの境界に配置されることがありますが、その役割と機能の違いを説明してください。
  5. プロキシサーバーの主な機能として、「中継・監視・制御」の他に、情報セキュリティの観点から重要な機能を2つ挙げ、それぞれがどのように役立つか説明してください。
  6. WAF(Web Application Firewall)が、従来のファイアウォールでは防ぎきれなかったどのようなタイプの攻撃に対応可能か、具体例を挙げて説明してください。
  7. 「ゼロトラストネットワーク」の考え方において、従来の境界防御モデルとの決定的な違いは何ですか?また、ゼロトラスト実現のために特に重要となる技術要素を2つ挙げてください。
  8. ネットワーク防御の設計ポイントとして「ログ・監査」と「脆弱性管理」が挙げられますが、これらがそれぞれインシデント対応や予防の観点からどのように重要か説明してください。
  9. TLS 1.3が、従来のTLSバージョンと比較して、より高速かつ安全であるとされる理由を、技術的な側面から2つ説明してください。
  10. リモートワーク環境でセキュアな通信を確保するために、VPN以外の選択肢として近年注目されている技術コンセプトは何ですか?その概念を簡潔に説明してください。
  11. IoT機器が普及する中で、ネットワーク防御における新たな課題としてどのような点が挙げられますか?また、それに対する基本的な対策を一つ挙げてください。
  12. HSTS(HTTP Strict Transport Security)はMITM攻撃対策として有効ですが、どのような仕組みでHTTPSへのアクセスを強制し、攻撃を防ぐのか説明してください。

回答 - Level 1

  1. 盗聴(スニッフィング)。
  2. 改ざん(MITM:Man-in-the-Middle)攻撃。
  3. Distributed(分散型)。
  4. 多層防御(Defense in Depth)。
  5. TLS/SSL(HTTPS)。
  6. VPN(Virtual Private Network)。
  7. IPS(Intrusion Prevention System)。
  8. プロキシ。
  9. WAF(Web Application Firewall)。
  10. ゼロトラストネットワーク。
  11. TLS 1.3。

回答 - Level 2

  1. パケット盗聴: 攻撃者がネットワーク上のパケットを傍受し、暗号化されていない通信内容(例: ID・パスワード)を直接読み取る攻撃。改ざん(MITM攻撃): 攻撃者が通信経路の中間に割り込み、通信内容を盗聴するだけでなく、内容を改変したり偽の情報を挿入したりする攻撃。TLS/SSLの対策効果: TLS/SSLによる暗号化は、盗聴されてもパケットの内容が暗号化されているため解読を困難にします。また、サーバー証明書を用いた認証により、通信相手が正当であることを保証し、偽のサーバーへの接続(MITM攻撃の一種)を防ぎます。
  2. DoS攻撃は単一の攻撃元(または少数の攻撃元)からサービス停止を狙うのに対し、DDoS攻撃は複数の分散された踏み台(ボットネットなど)から同時に攻撃を行い、サービス停止を狙います。DDoS対策: 1. CDN (Content Delivery Network) による負荷分散: 攻撃トラフィックを地理的に分散させ、特定のサーバーに集中するのを防ぎます。 2. ブラックホールルーティング: 攻撃トラフィックの発生源やパターンを特定し、そのトラフィックを宛先に届けずに破棄することで、サービスへの影響を最小限に抑えます。
  3. TelnetやFTPは通信内容が暗号化されずに平文でやり取りされるため、ネットワーク上でパケット盗聴されるとIDやパスワードなどの認証情報が容易に漏洩します。一方、**SSH(Secure Shell)**は通信全体が暗号化されるため、盗聴されても内容が解読されず、認証情報やコマンド内容の漏洩を防ぐことができるため推奨されます。
  4. ファイアウォールは、あらかじめ設定されたルール(IPアドレス、ポート番号など)に基づいて、ネットワーク間の通信を許可または拒否することで、不正な通信を遮断する境界防御の役割を担います。一方、IDS/IPSは、ネットワークを流れるパケットの内容を詳細に検査し、既知の攻撃パターン(シグネチャ)や異常な振る舞いを検知します。IDSは検知して警告を発するまで、IPSは検知に加えて自動的に攻撃を遮断するまで行います。ファイアウォールは「通信の入り口と出口」を制御し、IDS/IPSは「通信の中身」を監視・防御します。
  5. プロキシサーバーの重要な機能として、1. キャッシュ機能: 一度アクセスしたWebコンテンツをプロキシサーバーに保存し、再度同じコンテンツへのリクエストがあった際にキャッシュから返却することで、通信速度の向上とサーバー負荷の軽減を図ります。2. アクセスログの取得: クライアントからの全ての通信履歴を記録することで、不正アクセスの追跡やネットワーク利用状況の監査に役立ちます。
  6. WAFは、HTTPリクエスト/レスポンスの内容を詳細に解析し、Webアプリケーション固有の脆弱性を悪用する攻撃に対応します。従来のファイアウォールはIPアドレスやポート番号といったネットワーク層・トランスポート層の情報を基に判断しますが、WAFはそれよりも上位のアプリケーション層のプロトコル(HTTP)を理解し、XSS(クロスサイトスクリプティング)、SQLインジェクション、CSRF、ディレクトリトラバーサルといったWebアプリケーションの脆弱性を狙った攻撃パターンを検知・遮断することができます。
  7. 「ゼロトラストネットワーク」は、従来の境界防御が「内部ネットワークは安全、外部は危険」という前提に基づいていたのに対し、「全てを信頼せず、常に検証する」という前提に立っています。ネットワークの場所に関わらず、全てのアクセス要求に対してユーザー・デバイス・アプリケーションの正当性を都度認証・認可します。ゼロトラスト実現のために重要な技術要素として、1. 厳格な多要素認証(MFA)とID管理、2. **マイクロセグメンテーション(最小特権アクセス)**が挙げられます。
  8. ログ・監査: 通信履歴やアクセスログを継続的に記録・分析することで、インシデント発生時の早期発見や、その後の原因究明、影響範囲の特定、再発防止策の立案に不可欠な情報源となります。SIEMなどによる統合管理で、膨大なログから脅威の兆候を効率的に抽出できます。脆弱性管理: ネットワーク機器やソフトウェアの脆弱性を定期的にスキャンし、最新のパッチを適用することで、既知の攻撃経路を予防的に塞ぎます。これにより、攻撃者がシステムに侵入する足がかりを減らし、攻撃のリスクを低減します。
  9. TLS 1.3がより高速かつ安全であるとされる理由として、1. ハンドシェイクの簡略化: 従来のバージョンよりも必要なRRT(Round Trip Time)が減少し、接続確立にかかる時間が短縮されたため、通信開始が高速化されました。2. レガシーな暗号スイートの廃止と前方秘匿性(PFS)の強化: 脆弱な暗号アルゴリズムが廃止され、より強力なもののみが利用されます。また、セッションごとに異なる鍵を使用する前方秘匿性(Perfect Forward Secrecy, PFS)が標準で適用されるため、万が一長期秘密鍵が漏洩しても過去の通信が解読されるリスクが低減されます。
  10. リモートワーク環境でセキュアな通信を確保するために近年注目されているのは、「ZTNA(Zero Trust Network Access)」です。ZTNAは、VPNのようにネットワーク全体へのアクセスを許可するのではなく、ユーザーやデバイス、アプリケーションの状況をリアルタイムで評価し、必要最低限のアプリケーションレベルでのアクセスのみを許可する概念です。これにより、アクセス制御の粒度を細かくし、攻撃のリスクを最小化します。
  11. IoT機器の普及におけるネットワーク防御の新たな課題として、1. 膨大な数の多様なデバイスへの対応: リソース制限のあるデバイスが多く、従来のセキュリティ対策を適用しにくい。2. デフォルトパスワードやファームウェアの脆弱性: 供給側でのセキュリティ対策が不十分なケースが多い。3. ライフサイクルの長期化とアップデートの困難さ: 長期間利用される中で脆弱性が放置されやすい、といった点が挙げられます。基本的な対策の一つは、**IoT機器を独立したセグメントに配置し、他のネットワークから隔離する(ネットワーク分離)**ことです。
  12. HSTSは、Webサーバーがクライアント(ブラウザ)にHTTP Strict Transport Securityヘッダーを送信することで、「このサイトには常にHTTPSでアクセスするように」という指示を永続的に記憶させる仕組みです。一度HSTSヘッダーを受け取ったブラウザは、次回以降そのサイトへのHTTPアクセスを自動的にHTTPSに書き換えます。これにより、攻撃者がMITM攻撃でHTTPからHTTPSへのダウングレードを試みたり、SSL Stripping攻撃(HTTPアクセスを強制する攻撃)を行ったりしても、ブラウザがHTTPS接続を強制するため、攻撃を防ぐことができます。

~Yu Tokunaga