インターネットに代表されるネットワークの普及により、様々な情報が電子化されネットワークを通じて交換されるようになっています。前節において紹介したように、BtoB, BtoC 等の電子商取引の規模も、ますます拡大しています。
しかし、ネットワークは必ずしもセキュアなものでなく、様々な脅威が存在します。以下に、ネットワーク上に存在する主な脅威と対策を示します。
(1) 盗聴
インターネットはオープンなネットワークであり、ネットワークに流れる情報(データ)は、第三者に盗み見られる可能性があります。このため、オンラインショッピングにおいて、EC サイトに送信したクレジットカード番号が不正な利用者に盗まれる危険性があります(図 1-1)。また、企業間でやり取りされる重要な電子メールが盗聴される危険性もあります。
図 1-1 ネットワークの盗聴
盗聴の危険性に対する対策は、ネットワークに流れるデータを暗号化することです。
(2) 不正アクセス
インターネット上のサーバーは、悪意を持ったユーザによる侵入の標的となる場合があります。主な侵入手段として、以下の方法が考えられます。
- 辞書ツール [3] を用いて正規ユーザのパスワードを不正に入手する(なりすましの悪用)。
- サーバーに存在するセキュリティホールを悪用する。
不正アクセスによって、企業の機密情報や顧客情報などの重要なデータが漏洩する、Web ページが改ざんされるといった危険性が生じます(図 1-2)。
図 1-2 不正アクセス
不正アクセスの危険性に対する対策は、ファイアウォールを構築する、サーバーのセキュリティホールを塞ぐ、侵入監視ツールを導入する等が挙げられますが、最も効果があることはサーバ ーに保存している重要なデータそのものを暗号化しておくことです。
(3) なりすまし
ネットワークでは相手が見えないので、第三者が当事者になりすまして不正な行為を行う可能性があります。なりすましの手段として、以下の方法が考えられます。
- 正規ユーザの認証情報(パスワードなど)を盗聴し、その認証情報を利用する [4]。
- 電子メールにおいて、差出人の名前を詐称する(図 1-3)。
なりすましによって、不正にシステムにアクセスされる、詐欺の被害にあうといった危険性が発生します。
図 1-3 なりすまし
なりすましの危険性への対策は、強固な認証方法の導入や、電子メールに署名(デジタル署名)を付加することです。
(4) 改ざん
電子データはデジタル情報であるため、紙に書いた文字と違い容易に内容を書き換えることができます。このため、悪意を持ったユーザによって情報が不正に改ざんされる可能性があります。改ざんによる危険性としては、品物を発注した際に、その発注情報が改ざんされて相手に届くといったことが考えられます(図 1-4)。
図 1-4 発注情報の改ざん
改ざんの危険性への対策は、電子データにデジタル署名を施すことです。
(5) 否認
改ざんなどの脅威を理由にして、当事者が過去の自分の行動を否定する可能性があります。否認による危険性として、BtoB における発注の否定などが考えられます(図 1-5)。
図 1-5 否認
否認への対策は、当事者の認証とデジタル署名によって否認できない環境を作ることです。
前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.