ソフトウェア工学研究所
システムの基礎知識
-広告-
©2014 Software Engineering Laboratory
システムの基礎知識
-広告-
©2014 Software Engineering Laboratory
パケットに設定されているIPアドレス情報やポート番号とをフィルタリングテーブルと突き合わせてパケットの通過(フォワーディング)と遮断(フィルタリング)を制御する。フィルタリングテーブルは通常、アクセス制御リスト(ACL)によって実装される。通常はパケットに設定された送信先のIPアドレスでサーバへのリクエストを制御し、送信元のIPアドレスでサーバからの応答を制御する。
元来は「非武装地帯」を意味する軍事用語。ITの世界では自ネットワークと他ネットワークの中間に設定し、自ネットワークから他ネットワークへのアクセスは直接行うが、他ネットワークから自ネットワークにはこのDMZにのみアクセスを認めるのが一般的。自ネットワークの各クライアントはDMZにリソースをあらかじめ配置することで他ネットワークからの要求に直接応答せず、DMZが仲介することになる。外部に公開するWebサーバなどをこのDMZに配置するケースが多い。
暗号化や認証機能を提供するプロトコル。
ネットワーク層レベルでパケットを暗号化し、通信経路上での盗聴を防ぐセキュリティ技術にIPsec(Security Architecture for Internet Protocol)がある。
トランスポート層レベルで認証、暗号化、改ざんの検知の機能を備えたセキュリティ技術。代表的なものにSSL (Secure Sockets Layer) があり、今日のセキュリティプロトコル技術の根幹をなしている。
アプリケーション層レベルのセキュリティ技術。基本的に上記のSSLを拡張しているものが多い。
SSL技術を利用してWebをセキュアに閲覧できる仕組みにHTTPS(HTTP over SSL/TLS)がある。
| POP over SSL | SSL技術を利用してPOPをセキュアに利用する仕組み。 |
| PGP(Pretty Good Privacy) | 電子メールに対する暗号化やデジタル署名の機能を提供する。公開鍵は第三者が保証する。 RFC2440 RFC4880 RFC5581 RFC6637 |
| S/MIME (Secure/Multipurpose Internet Mail Extensions) |
電子メールに対する暗号化やデジタル署名の機能を提供する。公開鍵は認証局が保証する。 RFC2633 RFC3851 RFC5751 |
| SMTP-AUTH (SMTP Service Extension for Authentication) |
メールサーバに認証機能を設けて認証が成功したら送信する方法。 |
コンピュータをセキュアに遠隔操作するための技術にSSH(Secure Shell)がある。
ファイル転送をセキュアに行うための技術にFTPS(File Transfer Protocol over SSL/TLS)がある。
VISA International社とMasterCard International社が共同開発した規格にSET(Secure Electronic Transaction)がある。
証明書が失効しているかどうかを確認するためのプロトコルにOSCP(Online Certificate Status Protocol)がある。
SSLやIPsecの技術を利用してインターネット上に仮想的に構築する専用ネットワーク。通常はSSLアクセラレータ(SSLを実装するハードウェア)同士でインターネット網を暗号化通信してあたかも専用線を利用するかのように第三者の盗聴を防ぐことができるようにする。