セキュリティ（Security）

　セキュリティの層

　1層

　1層の物理層や2層のデータリンク層では、盗聴やより積極的な信号の挿入等の対する対策が必要になる。通信も有線の場合や無線の場合で、それぞれの通信の形態に応じて盗聴手段がある。このため手口が分かれば比較的簡単に実行できるのが恐い所である。何気なく使っている通信機器(コードレス電話等)もセキュリティ的には強くはない。

　3層

　3層はコンピュータ間の通信の層である。専門的にはIP(Internet Protocol)層で、このIP層より上の階層でのセキュリティの掛け方は、技術が進歩しているので細かく設定する事ができる。制限はWWWサーバーのアクセス制御なので、 7層のアプリケーション層でのセキュリティとも考えらる。しかし、あるコンピュータだけのアクセスを許すとか、あるネットワークからのアクセスは許可しないというのは、この層でのセキュリティである。

　4層

　4層はプロセス(プログラム)に共通な処理の層である。 TCP/IPで言う所のTCP(Transmision Control Protocol)である。 TCPは信頼性の高い相互確認付きの通信方法であるが、もう1つの4層のプロトコルにUDP(User Datagram Protocol)がある。投げっぱなしの通信である。 UDPは通常はネットワーク内部で用いられ、インターネットには通さない事が多いのであるが(特に企業では)、最近は画像系のサービスでインターネット的にも使われるようになってきた。そのため、そのUDP番号だけは通すような事をしている組織もある。「UDP**番の穴を開ける」といった表現をする。これはTCPが1パケットでも流れなかったら基本的には進めないのに比べて、画像や音声では適当にパケットが欠けてもセッションが成り立つからである。

　この4層の部分の制御は組織(イントラネット)とインターネットの関係やセキュリティ対応として大事な所である。インターネットではIPを使うのと言うのは了解事項であるが、通信規則にはIP以外にNetwareで用いられるIPXや、以前、Windows系で用いられているNetBEUIと言われる通信規則(プロトコル)がある。 NetBEUIはWindows系のPCを簡単に相互接続するのに使われていたが、インターネットでの利用はあまり考えられていない。設定をなおざりにしておくと、知らない間に知らないPCからファイル共有されたりするので気をつける必要がある。 NetBEUIが外に流れなくとも、IPのパケットの中にNetBEUIを入れる事が可能である。現在Windowsのファイル共有に使われているのはNetBios over TCP(略してNBT、または単にNetBios)がほとんどである。

　5層

　5層はセッションに関するセキュリティである。セッションと言うと難しそうであるが、多くの方は商用プロバイダにPPP接続をして、メールの取り込みにPOP(Post Office Protocol)を使っていると思う。このようなプロトコルは、認証の仕組みを持っているのでパスワードが必要なはずである。このような1つのセッション

• PPP接続での相手のプロバイダと接続して終了するまで、
• POP接続のように、メールサーバに接続してメールを送り取り込んで終了

でのセキュリティとしてパスワードを使う事で認証をするわけである。 PPP接続でもPAPと言われる認証と、CHAPと言われる認証があり、特に後者ではパスワードがそのままネットワーク上を流れないという利点さがある。

　6層

　6層は文字列や画像のセキュリティで、メールを暗号化するような事をさす。最近では暗号化電子メールも徐々にではあるが使われ始めている。今の所は、同じ環境どうし(UNIXとUNIXとか、EudoraとEudora等)でないと難しいであろうが、今までの他の技術の進歩の歴史を考えるともう2、3年で容易に普通に暗号化メールはできると思われる。この暗号化メールもアプリケーション層のセキュリティと考えられるが、基本になるのは文字列や画像等の暗号化になる。

　アプリケーション層

　最後はアプリケーション層でのセキュリティである。 WWWサーバでのアクセス制御や、電子メールのセキュリティもこの層である。インターネットでは何千万台のコンピュータが接続されていると言われているが、基本的にはサーバと呼ばれるコンピュータには誰でもがアクセスできるはずである。しかし、サーバ側ではインターネット全体にサービスしているアプリケーションと、そうではなくイントラネットだけにサービスしているアプリケーションがある。もっと細かく言うと、ある種の人達だけにしかアクセスして欲しくないサービスもある。このような場合にはちょっと複雑なアクセス制御が必要であるが、これはTCPの層で一括して制御しておけば、各アプリケーション毎に記述する必要はない。

　WWWサーバマシンは誰からでもホームページを見てもらうように、 WWWサーバーマシンのWWWサーバープログラムにはアクセスは許すが、 WWWサーバーマシンそのものにログインは限られた人しかできないように制限をしている。所がホームページの制作を外部の所に委託すると、うまくアクセス制御を掛けておかないと、思わぬ事が起こったりする (勝手にホームページが書き換えられた事件)。アクセス制御の説明だけをしたが、実際の運用では記録(ログ)を取るなどの処置が必要になる。

　セキュリティホール（Security Hole）

　セキュリティホールは、ソフトウェアの設計ミス、プログラムのバグなどによって生じることが多く、また別の目的を持つ機能が、第二のセキュリティホールとして悪用されることもある。
ブラウザのプラグインとして利用されているActiveXコントロール、会員制サービスなどで、ユーザーを識別するために使われているCookieなどがその例です。ActiveXコントロールは、ブラウザを介して特定のプログラムをサイトから自動的にダウンロードし、それをパソコン上で実行する仕組みになっている。

　WWWシステムのセキュリティ

　WWWサーバのセキュリティでは、このサーバプログラムの動作するサーバマシンのセキュリティと、 CGIのようなWWWサーバの周辺を含むWWWサーバプログラムのセキュリティ等に分かれる。また、ホームページ作成のセキュリティもある。この点については前にも触れたが、インターネット側からホームページを作成してもらう事もあるので、運用も含めてしっかりとした形をとらないといけないであろう。 WWWサーバのマシンのユーザにはパスワードをしっかりつけ、ホームページ作成だけのアカウントにはFTPだけのアカウントを出し、更にはアクセス制御して、記録も取っておくことが大事になる。 CGIも基本的にはプログラムなので、自由にユーザに作成させると思わぬトラブルを起こす事がある。

　電子メールのセキュリティ　PGP(Pretty Good Privacy)

　公開鍵暗号等を使って暗号化電子メールの実現を行うが、 PGPの言葉のなかにメールがないので分かるように、一般的にはファイルの暗号化や復号化をするソフトウェアである。しかし、公開鍵の持ち合いを友達間の信頼関係で行うなどユニークな方式を取っている。
　PGPそのものは専門的な本や、最近では電子メールソフトに実装され始めているので詳細は省く。大雑把に言うと、ユーザは自分の公開鍵と秘密鍵を持ち、公開鍵は文字通り公開する事によって、送るファイルの暗号化や電子署名を手軽に出来るようになる。公開鍵方式は単に文章の秘匿化だけでなく、電子署名にも（したがって認証にも)使えると言う点がポイントになる。
　送信者は、あるアルゴリズム（ハッシュ化）を使って電子文書から文字列を取り出して変換し、この文字列を送信者の秘密かぎで暗号化する。これをデジタル署名という。送信者はデジタル署名とともに電子文書を送信し、受信者はデジタル署名を送信者の公開かぎで復号化する。受け取った電子文書を、同じアルゴリズム（ハッシュ化）によって変換し、その結果得られた文字列1と、復号化したデジタル署名の文字列2とを照合する。両方が一致すれば、送信者の秘密かぎと電子文書の内容がともに正しいことが確認できるという仕組みである。
　署名文の作成にはハッシュ化がよく用いられる。ハッシュ化とは、入力したデータをハッシュ関数によって計算し、一定の長さの値を出力することで、計算結果からは元のデータが逆算できないような構造になっていることが特徴である。

　セキュリティとは関係ないがスパムメールなどの迷惑メールの送信や、第三者の中継による悪質ないたずらを防ぐために、メールの受信時にユーザー認証することによりメールの送信許可を行うPOP before SMTPや、メールの送信時にユーザー認証することによりメールの送信許可を行うSMTP-AUTHという2種類のユーザー認証方式がある。

　POP before SMTP

　簡単にいうとメールの送信の前に必ず受信をする必要があるという事である。受信時（POP)には認証（ユーザー確認）を行なうので、認証できた人のみ送信の許可を与えられる。
つまりメールソフトでメールを受信するときにPOP（ユーザー）認証をすることによって、メールの送信許可を行う方法。SPAM(迷惑メール)の中継を禁止する目的で導入された機能で、メールの受信操作後、設定された時間以内はメールの送信が可能となる。ただし、時間を過ぎたり、インターネットへの接続を切ったりすると認証が無効になるため、その場合は再度受信操作を行う必要がある。
POP認証とはメールサーバにログインしメールを受信する際に行われる認証で、メールアカウントとメールアカウントパスワードを使って認証を行う。認証してきたコンピュータが正規のユーザーであることだけを保証する仕組みだと言うことであるがSTMTPのやり取りそのものが正規のやり取りかは保証できない欠点がある。

　Outbound Port25 Blocking

　Outbound Port25 Blockingとは、簡単にいってしまうと「外側への（Outbound）25番ポート（Port25）をブロックする（Blocking）」という技術である。
　迷惑メールを送信するコンピュータには、大きくわけて2種類ある。1つは迷惑メールと呼ばれるメールを自分から送信しようとするコンピュータ（ユーザまたは業者）で、もう1つは、ウィルスなどに感染してしまった結果、自分が気づかないうちに大量にウィルスメールをばらまくようになってしまったコンピュータである。このようなコンピュータはゾンビPCと呼ばれている。
　迷惑メールを送るユーザもゾンビPCも、自分の契約しているプロバィダのSMTPサーバは利用しない。迷惑メールを送るユーザは自分でSMTPサーバを作成し、そのSMTPサーバを使ってメールを送信する。
　ゾンビPCでは、感染しているウィルス自身がSMTPサーバの機能を持ち、メールを送信するケースがほとんどになり、ほとんどの迷惑メ一ルは、プロバイダのSMTPサ一バ以外のSMTPサ一バから送信されているのが現状である。
　あるプロバィダから別のプロバィダに送信される25番ポートを見張っておき、許可したSMTPサーバ以外のSMTPサーバからの通信を全てブロックして中継できないようにしてしまえば、迷惑メールが送信されることはない。これが、Outbound Port25Blockingの考え方になる。
　実際、Outbound Port25 Blockingは迷惑メールの中でも、ウィルスによるメール大量送信に対して効果をあげている。
　反面、別のプロバィダやホスティングサービスなど、利用しているプロバィダ以外のSMTPサーバを使ってメールの送信を行うことが、正規のユーザであってもできなくなってしまうという欠点もある。

　SMTP-AUTH

　SMTP-AUTHを利用する場合は、メール送信時にユーザー認証を行うので、POP before SMTPのようにメール送信前にメールの受信を行う必要はない。ただし、事前にメールソフトの設定を変更する必要がある（メールソフトがSMTP-AUTHに対応している必要がある）。

　SenderID（Domain Spoofing）

　迷惑メールの多くは、送信元を偽装している。普通に使われているメールアドレスであれば、ドメイン名ブロックなどで防がれることがないという理由で、少しでもメールを読まれる可能性を上げるために有名なドメイン名を偽装する手がある。これをドメインスプ−フィングという。
　たとえば、〜@hotmail．comや〜@yahoo．comなど、また、携帯電話でも、実際にはコンピュータから送信されているのにも関わらず、〜@docomo．ne．jpや〜@ezweb．ne．jp、〜@vodafone．ne．jpといった携帯電話のアドレスに偽装する「なりすましメール」による迷惑メールがある。
　この部分を逆手にとって、ドメインを偽装しているメールを全てブロックしてしまうのがSenderIDである。
　SenderIDの考え方は、非常に単純で、まず最初に、メールアドレスのドメイン名と、そのドメイン名のメールサーバが使っているIPアドレスの一覧表を用意しておく。メールサーバはメールを受け取ったら、そのファィルを参照し、実際のメールの送信元IPアドレスと、事前に用意したファィルに書かれているIPアドレスを比較する。もしもそれが一致したら、これは認証されているメールサーバからのメールになり、もし一敦しなかったら、これはドメイン名を偽装しているということになる。
　実際には、この一覧表を管理するのはDNSサーバが行っており、問い合わせはDNSサーバに行うことになる。DNSサーバに問い合わせを行い、偽装されているメールだったらメールサーバから削除してしまうのである。

　Submission Port（Port587）

　Submission Port（Port587）従来よりメール送信に利用している[Port25]とは別に、メール送信の受付専用に利用するポート（Port587）である。 メーラーの設定を変更することで、Port25をブロックされている送信経路を避けてメールサーバにアクセスする。これで他プロバイダ等、利用しているメールサーバ経由で送信することができるようになる。

　クッキー（Cookie）のセキュリティ

　一部の Web サイトでは、サーバーコンピュータからユーザーのブラウザに情報を送信され、ユーザーのコンピュータのハードディスク上に小さなテキストファイルに保存する。このファイルを クッキー （Cookie、ウェブビーコン及びローカルストレージ）と呼ぶ。このファイルにはユーザーがオンラインで行った操作が記録されるため、過去にアクセスしたサイトを検索したり、サイトからユーザーの好みに合う情報を得る際などに役立てる。しかしユーザーはいつでもこれらの記録を削除することができる。

　クッキーはユーザーのアクセスを追跡するためにWebサイトがよく使う。ユーザーが同じ Web サイトに再びアクセスした際、このファイルの情報を使用することで、ユーザーのコンピュータを識別することが可能になる。ほとんどの場合、クッキーファイルには個人情報ではなくWebサイトにユーザーの身元を明らかにするための識別子だけが入っている。
　たとえば、ホームページを訪れた人の個別情報をユーザーのコンピュータのハードディスクに小さなサイズのシンプルなテキストファイル（Cookieとローカルストレージ）を配置してマークを付け、保存し、その人が過去にWebサイトを訪問した回数をクッキーに保存しておけば、次回にWebサイトを訪れた際に、その数字に1を加えるだけで正確な訪問回数を表示できる。そのほか、訪問者の名前を保存して利用するなど、クッキーはさまざまな場面で活用されている。
クッキーを利用するには、訪問者がWebサイトを訪れた際に必要な情報をJavaScriptの「document.cookie」を利用する。クッキーの内容は「クッキー名=値」という形式で書き込むのが一般的で、たとえばn回目の訪問を「count」というクッキー名で書き込み適時に（ウェブビーコンで）送信する。

　通常はクッキーに情報を書き込んだ場合、ブラウザを終了すると同時にクッキーの情報も削除されてしまう。これでは、クッキーを効果的に活用できないためクッキーに情報を書き込む際は、有効期限を付け加えておく。すると、指定した有効期限になるまでクッキーの情報がハードディスクに保持されるようになる。有効期限を含めるには、「クッキー名=値;expires=（有効期限）」という形式でクッキーに情報を書き込む。なお、この有効期限はGMT形式に変換しておく必要がある。

　クッキーにはいくつかの種類があり、またコンピュータへの保存を、一部の クッキーに対して許可するか、すべてのクッキーに対して許可するか、まったく許可しないかを選択することができる。すべてのクッキーを禁止すると、一部の Web サイトの表示ができなかったり、一部のカスタマイズ機能 (地域のニュースや天気予報、株式市況など) を利用できないことがある。

　Cookieの送受信はWebコンテンツの送受信に標準的に用いられるプロトコル（通信規約）であるHTTPにより行われる。ページ本体などとは異なり、通信に関する制御情報を記載するHTTPヘッダと呼ばれる領域に記載される。
　WebブラウザからWebサーバへの送信にはリクエストヘッダ中の「Cookie」フィールドを用い、「Cookie: クッキー名1=値1; クッキー名2=値2; …」という形式で複数の属性値の指定を一行に連結して送信する。サーバからブラウザへのCookieの送信はレスポンスヘッダ中の「Set-Cookie」フィールドを利用し、同じ書式で送信する。
Set-Cookieにはpath属性（path=/example/;）やdomain属性（domain=www.example.com;）を用いて通用範囲を指定したり、max-age属性（max-age=3600;）やexpire属性（expire=Tue, 19 Jan 2038 03:14:07 UTC;）で有効期限を指定することもできる。値のない属性「secure」を指定するとSSL/TLSで暗号化されたHTTPS通信時にしか読み取れないよう制限することができる。

　Cookie の種類

機能性Cookie
　サイトの基本機能の動作に必要なCookieでユーザーがWebサイトにアクセスしたときに設定される。これらのCookieはユーザーのWebサイト閲覧動作についての個人設定を記憶する。Webサイトのサーバー上の負荷を分散し、Webサイトの安定した表示を維持するため、及びセキュリティの目的でも使用さる。

• 機能性Cookieには以下の目的が含まれる。
  1. 次回の閲覧時に個人設定を認識する
  2. 1つのセッション内で行なわれた複数のリクエストを接続するために使用する
  3. フィルター、比較ツール、言語、場所、検索結果の表示数など、ユーザーの環境設定を記憶する
  4. Webサイトでそのサイト会員を識別する
  5. Webサイトの負荷を分散し、スムーズな機能と表示を維持する

分析Cookie
　閲覧者がWebサイトをどのように使用したかの情報を収集するCookie。最も頻繁に閲覧したウェブページ、エラーメッセージが表示された回数などの情報が含まれる。Webサイトは分析Cookieを使用して、Webサイトの閲覧者から統計情報を収集し、Webサイトの改善に役立てている。

• Cookieによって、以下の情報が分析システムに保存される。
  1. IPアドレスの最初の24ビット
  2. 使用しているブラウザ（Chrome、Internet Explorer、Safariなど）、コンピューター画面の解像度などの技術的特徴
  3. どのWebページから本Webサイトに遷移したか
  4. Webサイトをいつ訪問し、どのくらいの時間使用していたか
  5. Webサイトの機能を使用したかどうか（写真のアップロード、共有機能など）
  6. Webサイトでどのウェブページを閲覧したか
  7. Webサイトが提供する製品やサービスについてのユーザーとの通信

情報の目的

• ウェブページの閲覧者数をトラッキングするため
• ウェブページでの各閲覧者の滞在時間を測定するため
• Webサイトの各ウェブページを閲覧者がどの順序でアクセスしたかを調べるため
• Webサイトとアプリのどの部分に調整が必要かを査定するため

　Cookie の使われ方

　クッキーはインターネットサイトによって作成されるファイルで、そのサイトにアクセスしたときの設定などの情報をユーザーのコンピュータに保存する。たとえば、ある航空会社の Web ページでフライト スケジュールを調べたときに、そのサイトによって旅程に関する情報を含むクッキー が作成されることがある。または、サイト内のどのページを表示したかのみを記録して、次にそのサイトにアクセスしたときにそのユーザー用のページが表示されるようにすることもある。
　クッキーには、個人情報も保存することができる。個人情報とは、ユーザーを識別したり、ユーザーに連絡したりするのに使用できる氏名、電子メール アドレス、自宅または勤務先の住所、電話番号などの情報である。ただし、Web サイトは、ユーザーが提供した個人情報だけにアクセスでき、たとえば、ユーザーが入力していないのに、Web サイト側に電子メール アドレスが知られてしまうということはない。 また、Web サイトからユーザーのコンピュータにあるその他の情報にアクセスすることはできない。
　いったんクッキーがコンピュータに保存されると、クッキーを作成した Web サイトだけがそのクッキーを読むことができる。

　適正Cookie

　最も望ましい形態では、クッキーはブラウザを閉じるまでの間だけ存在する。この種類のクッキーは主にWebサイトをナビゲートしたときの選択項目を記憶するために使われる。
　多くのサイトは再びアクセスしてきたユーザーを認識するためにユーザーのコンピュータにクッキーを残す。これらのクッキーはユーザーが以前に選択したオプションをサイトへの現在のアクセスでも使うためにユーザーを識別する。たとえば、追跡したい株を記憶するサイトに頻繁にアクセスする場合、そのサイトはこのような種類のクッキーを使うと考えられる。

　不正Cookie

　　有害な形態の1つとして、あるWebサイトからのクッキーが別のWebサイトへのアクセスを追跡する場合がある。たとえば、Webサイト上のほとんどの広告は表示しているサイトから直接表示されるのではなく、多数のさまざまなサイトに広告を提供するサイトから表示される。広告サイトは広告を表示するとユーザーのコンピュータのクッキーにアクセスできる。これにより広告会社がさまざまなWebサイトに対するユーザーの利用状況を追跡したり、閲覧するサイトの傾向を調べたりできる。

　Cookieの遮断

　市販　Internet　Securityはすべてのクッキーを遮断することも、クッキーの要求ごとにユーザーに通知することもできるがすべてのクッキーを遮断した場合、多くのWebサイトで機能性が失われる。たとえば、インターネット上の一部のショップで買い物ができなくなる場合がある。Webサイトがクッキーを作成しようとするたびにメッセージが表示されるようにした場合、それぞれの要求を評価し、表示しているサイト以外のサイトからのクッキーを遮断できる。

　一時的でないクッキーは、1つのファイルとしてコンピュータ上に保存され、Internet Explorer を終了してもそのまま残る。クッキーの作成元の Web サイトを再び表示すると、その Web サイトはクッキーを読み取ることができる。

　一時的なクッキーは、現在のセッションのために保存されるだけで、Internet Explorer を終了するとコンピュータから削除される。

　ファーストパーティのクッキーは、現在表示している Web サイトで作成されたもの、またはそこに送信されるものである。これらのクッキーは一般的に、そのサイトにアクセスしたときの設定などの情報の保存に使用される。
　Webページには画像や動画、別のWebページなどを埋め込んで一体的に表示することができ、呼び出すコンテンツが置かれたサーバはページ本体と同一である必要はない。Web広告の配信はこの仕組みを利用しており、広告配信事業者の運用するWebサーバから配信された広告コンテンツをページに統合して表示している。

　サードパーティのクッキーは、現在表示している Web サイト以外の Web サイトで作成されたもの、またはそこに送信されるものである。サードパーティ Web サイトでは通常、現在表示している Web サイトのコンテンツの一部を提供している。たとえば、多くのサイトがサードパーティ Web サイトの広告を使用しているが、それらのサードパーティ Web サイトでクッキーが使用されていることがある。この種類のクッキーは、広告に使用したり、マーケティング目的で、Web ページを追跡するのが一般的な使い方である。サードパーティのクッキーは、一時的なクッキーまたは一時的でないクッキーである。

　広告を配信する際、広告コンテンツ側にもページ本体とは別にCookieを付与することができるため、広告配信サーバなどでは閲覧者の識別番号などを付与したCookieを配信することがある。広告事業者側では契約している様々なサイトから同じようにCookieの送受信が行えるため、閲覧者はその事業者の広告が掲載されているページを開くたびに、事業者側にサイト横断的に閲覧履歴を取得されることになる。

　Internet Explorer ではクッキーを使用できるが、プライバシー設定を変更して、コンピュータ上にクッキーが保存される前にメッセージが表示されるように指定したり (これによりクッキーを許可またはブロックできる)、すべてのクッキーをブロックしたりできる。
　Internet Explorer のプライバシー設定を使用すると、個別の Web サイトまたはすべての Web サイトからのクッキーをどのように処理するか指定することができる。カスタム プライバシー設定が含まれているファイルをインポートしたり、すべての Web サイトまたは個別の Web サイトのプライバシー設定をカスタマイズしたりして、自分のプライバシー設定をカスタマイズすることもできる。

参考
キャッシュ：ブラウザなどが、ウェブページの画像やデザイン情報を一時保管⇒次に同じページにアクセスしたときにサクッと表示してくれる仕組み。

　P3P（Platform　for Privacy　Preferences）　

　企業などのWebページでは、閲覧者がIDやパスワードをはじめ、名前や住所、クレジットカード番号などを入力する場合がある。それらの個人情報をどのように扱うか、そのスタンスを示すのが「プライバシーポリシー」です。最近、企業が集めた閲覧者の個人情報が外部にもれるなどの事件が相次ぎ、このプライバシーポリシーが重要視されるようになってきた。
　またWebサイトでは、「クッキー」という機能を使って、閲覧者がどんなページを閲覧したか、何に関心を持っているかなどを調査することもできる。マーケティングに便利なので広告バナーなどに利用されているが、知らない間に調査されるのは「監視」のようなものだと懸念の声も出ている。
　そこでホームページの規格団体「W3C」は、プライバシー保護の国際標準規格「P3P」を策定した。この規格では、企業はプライバシーポリシーを明文化し、P3Pの認定を受け、その内容を専用のデータ形式でWebページに埋め込むように呼びかけている。
　P3P対応のWebサイトは、ユーザーがP3P対応のブラウザーを使って閲覧すると、随時プライバシーポリシーを参照できる。また「P3P対応サイトからのクッキーのみを受け入れる」といった設定をすることも可能である。
　現在P3Pに対応しているブラウザーは「Internet Exploler6」のみである。対応WebサイトはBIGLOBEが国内の先陣を切っているが、普及にはまだしばらくかかりそうである。それまでは、IE6の対応機能もあまり意味をもたない。米国では、既に主要なIT・通信関連企業が対応を進めている。
lE6では、［表示］→［プライバシーレポート］一［詳細］で、P3P対応サイトに含まれるそれぞれのコンテンツのプライバシーポリシーを参照できる

　遠隔端末(telnet)のセキュリティ

　Telnetはユーザ側のソフト名であるが、ログインされるサーバ側にも受けるソフトウェアが必要である。このクライアント側とサーバ側をSSL(secure socket layer)と呼ばれる仕組みで接続して、流れるデータを暗号化してしまう。 SSLの仕組みそのものはTelnetだけではなくWWWシステムでもFTPでも使えるものである。

　ルーターのセキュリティ機能

 ブロードバンドルーターでセキュリティを高められるのは、IPマスカレード/NATと呼ばれるIPアドレスの変換機能、パケットフィルタリングなどパケットをチェックする機能があるからである。
　インターネット上のTCP/IP通信では、WAN側で使うグローバルIPアドレスを使って相手のパソコンなどとデータのやり取りをしている。グローバルIPアドレスは、通常インターネット接続時に1個、プロバイダーから割り当てられている。ルーターは、この1個のグローバルIPアドレスを、ルーター内部にあるルーティングテーブルを用いて複数台のパソコンで共有するアドレス変換機能（IPマスカレードなどと呼ばれる）を持っている。
　LAN側で使うプライベートIPアドレスはインターネットで利用できない（ルーティングされない）ので、それを割り当てられたパソコンに対してインターネット側から直接アクセスするのは、非常に困難である。つまり、インターネット側からパソコンのあるIPアドレスを隠すことができるためルーターを介してアクセスしているパソコンは、外部から不正侵入される可能性が低くなる。
　TCP/IPの通信ではポート番号という数値も使う。データはIPアドレスで目的のパソコンに届くが、そのパソコン内のどのアプリケーションがそのデータを使っているのか、その区別をするためにポート番号が使われている。一般的なアプリケーションで使われるポート番号は決まっており、ルーターはポート番号によってデータを通過させたり、はじいたりすること（ポートの開閉などと呼ばれる）ができる。これが パケットフィルターと呼ばれる機能である。

　ダイナミックポートコントロール

　通信セッションの状況に応じて、自動的に通信ポートの開閉をコントロールするとともに、通信セッションごとにデータパケットの整合性をチェックして不正パケットを自動的に廃棄することで、なりすまし等の不正アクセスからネットワークを防御する、高レベルのパケットフィルタリング機能。
　通信セッション開始パケットで通信ポートをオープンし、セッション終了パケットでポートをクローズする。セッション終了パケットが無い場合も、NATタイマーにより無通信時間を検出してポートをクローズする。通信セッションの状態に不適合なWAN側からのパケットを自動的に廃棄するなどの処理を自動的に行うことで、セキュリティホールの発生を防ぐことができる。

　無線LANのセキュリティ

　無線LANのセキュリティにおいても、「接続制限」および「暗号化」が一般的である。それは「接続制限」と「暗号化」である。
　「接続制限」とは、文字通りネットワークに接続できる機器を制限してしまう方法で、例えばネットワークに接続するときに、ユーザ名とパスワードを入力しないと接続できないようにするのも接続制限になる。無線LANでは、SSID（後述）という技術とMACアドレスフィルタリングという機能を使ってアクセスポイントに接続できる機器を制限している。
　「暗号化」とは、デ一夕を送り手と受け手以外にはわからないようにするための手順や方式のことをいい、データが暗号化されていれば、たとえ盗聴されてしまったりしても、盗聴者が意味のあるデータを得ることができないというわけである。
　もちろん、正規のユーザや、データを送られる側はその暗号を解読する（これを復号といいます）ことができるようになっているので、データが読めなくなってしまうというわけではない。無線LANではWEPやWPAという技術を使って暗号化を実現している。
　
　　　接続制限方式 ： SSID、MACアドレスフィルタリング
　　　暗号化方式 ： WEP、WPA、IEEE802.11iなど

　最近の無線アクセス ポイントにはいくつかのセキュリティ対応機能が装備されている。無線内容を暗号化する WEP、ESS-ID というアクセス ポイントを識別する ID を隠す機能、ネットワークカード（アダプタ）毎に異なる MAC アドレスを使って、接続できる無線 LAN カードを制限する機能などが一般的である。これらの機能によって、アクセス ポイントを隠し (ウォードライブなどから守る)、接続できるパソコンを制限し (勝手に利用できないようにする)、通信内容を暗号化 (覗き見を防ぐ) することで、かなり安全に無線 LAN を利用できるようになる。さらに Windows XP ではアクセス ポイントに接続する際に利用できる認証方式として 802.1x が利用できる。これは公開鍵暗号方式を使った強力なものでぜひ利用したい機能であるが、残念ながらアクセス ポイントでこの方式に対応しているものはまだまだ多くない。セキュリティを気にするユーザーならアクセス ポイントにこの機能があるかどうかを選考基準に加える事を勧める。

　近頃流行の公衆無線アクセス ポイントを使う場合はどうであろうか？　不特定多数のユーザーが接続しているときに気になるのは、お互いが通信できてしまうのではないかという点である。実際、いくつかのサービスでは通信内容は暗号化しているものの、同じアクセス ポイントを使っているユーザー同士ではファイル共有ができてしまうところがある。家庭や会社ならあたりまえであるが、赤の他人が勝手にファイル共有をされるのは困る。 Windows XP ならユーザーごとにアクセス制限を掛けることである程度その被害を免れることができるとはいえ、気持ちのいいものではない。これを防ぐためにはアクセス ポイントが 802.1x や Privacy Separator と呼ばれる機能を利用できることが必要である。これは同じアクセス ポイントを共有していてもお互いは通信できないようにするという機能で、公衆無線アクセス ポイントを使う場合はこのような制限があるかどうかを見極めることが重要になってくる。それまではパーソナル ファイアウォールなどでしっかりガードしておくことを忘れないように。

　（1）WEPによる暗号化、（2）IEEE 802.1x／EAP、（3）RADIUS認証サーバーの3つの技術を組み合わせた無線LANのセキュリティ対策に注目が集まっている。
　このセキュリティ対策のポイントは、ユーザーID、パスワード、電子証明書などを利用したクライアント認証によるアクセス制御と、WEPキーを一定時間ごとに自動生成して変更しながら通信するところにある。そこにプロバイダーなどのユーザー管理に使われているRADIUS認証サーバーを導入して社員のアクセス管理を行いつつ、通信データの暗号化キーを一定時間ごとにダイナミックに変更することで、高い秘話性を確保しようという狙いである。

　SSID（Service Set Identifier）

　利用する無線ネットワークを他のネットワークと識別するためのグループ名のことで、接続先のネットワークを識別するためのIDで、英数文字32文字までの範囲で設定可能である。無線LANアクセスポイントにSSIDを設定しておき、その無線LANアクセスポイントと接続するパソコン等にも同じSSIDを設定する事で、通信が可能となる。このように、SSIDで、接続する無線LANアクセスポイントを指定する事ができる。SSIDは、セキュリティ機能の一つに分類される場合もあるが、あくまでも接続先の識別機能であるので、SSIDを設定しただけでセキュリティを設定したつもりになってはいけない。
　IEEE802.11の仕様により、無線LANアクセスポイントのSSIDを知らなくても、参照する事は可能である。従って、ネットワークを所有する個人や会社名が推測可能なSSIDにすると、たまたまSSIDを参照した人の興味を引く事になり望ましくない。また、パソコン等のSSID設定を空白や"ANY"という文字列にする事は避けるべきである。"ANY"に設定すると接続を拒否されててしまう。またアクセスポイントでSSIDとANY接続拒否を設定しておけばアクセスポイントに設定されたSSIDと同じものを入力しない限りそのアクセスポイントに接続できなくなるのでセキュリティを高めることが可能になる。
　製品により、SSID以外に、ESSID、ネットワーク名、Network Nameと表記してある場合がある。
購入した無線機器の初期状態ではSSIDはメーカー設定値もしくは未設定になっているので、オリジナルの名前を設定するようにする。ただし、SSIDは盗聴を防ぐものではなく、検索をかければ容易に第三者が知りえるので最近では、設定したSSIDを隠す(ANY接続を拒否する)機能を持った無線機器もでているので、こういったセキュリティの付加機能をもった製品を購入基準とした方がよい。

　SSIDのステルス機能とは、パソコンなどにSSIDを表示しなくする機能である。
SSIDのステルス機能を有効にしたネットワークに接続するには、SSIDを手動で入力する必要があるのでこの機能によって、SSIDを知らない第三者からの不正アクセスを防止できる。

　MACアドレスフィルタリング

　無線LANカードには、有線LANとおなじく、一つひとつにMACアドレスが設定されている。
　MACアドレスとはすべてのネットワークカードに付与される固有の番号で12桁の16進数（48ビット）で表す。前半24ビットがメーカ固有のIDで、後半24ビットが各メーカ内の連番となっている。すべてのネットカードに異なる値が設定されおり、世界中に一つしかないユニークな番号になっている。なので同じ番号を持つものは存在しえず、MACアドレスから機器を特定することが可能である。
　MACアドレスフィルタリングとは、この物理アドレスを利用して特定の機器の接続の許可、拒否を設定する機能で、不正アクセスを禁止する目的で使用される。この無線LANカードのMACアドレスを無線LANアクセスポイントに登録することによって、許可されたパソコン等以外は無線LANアクセスポイントに接続することが不可能になる。この機能をMACアドレスフィルタリングという。無線LANアクセスポイントへの設定方法は機種によって異なるが、接続可能なMACアドレスを登録する方式や、接続を排除するMACアドレスを登録する方式がある。
　MACアドレスフィルタリングは侵入防止には効果がありますが、盗聴が防げる訳ではないので、WEP、SSIDの設定と併せて使用したほうがよい。

　主な暗号化方式

方式	特徴
WEP	R4Cアルゴリズムの共通鍵暗号を採用。同じ暗号化キーを設定した機器同士しか通信できないようにする暗号化技術。設定する暗号化キーの長さにより、64ビット・128ビット・154ビットがあり、ビット数が大きくなるほど暗号の解読は難しくなる。しかしセキュリティー強度が弱い
TKIP（WPA）	WEPの脆弱性を補完するために策定。パケットごとに暗号鍵を自動生成することで、不正な解読をより困難にした暗号化方式。
AES（WPA2）	TKIPがWEPの鍵管理方法を高度にした拡張版であるのに対して、AESは、近年のコンピュータの高性能化を踏まえ開発された次世代暗号方式。 128/192/256bitという長い暗号鍵が使用でき、最もセキュリティー強度が強い。

規格	暗号化方式	強度
WEP	RC4	非常に弱い
WPA	TKIP＋RC4	弱い
	AES	強い
WPA2	TKIP＋RC4	弱い
	AES	強い

WEP

WPA

WPA2

WEPキー

合成

出力

暫定の暗号化キー（TKIP）

合成

出力

暫定の暗号化キー（AES）

合成

出力

IV（24bit）

合成

MACアドレスなど

合成

演算

MACアドレスなど

合成

演算

データー本体

IV（48bit）

IV（128、192、256bit）

データー本体

データー本体

• WEP（Wired Equivalent Privacy　）

　WEPによる暗号化はもともと脆弱性があり、専用のソフトを用いて総当たりで解析すればキーの解読が可能であることが知られている。しかし、WEP設定そのものを行っていない環境では、無線LANは「外部から自由に接続可能なネットワーク」でしかない。そのネットワークがインターネットと繋がっていれば、タダ乗り可能なインターネット回線が開放されていることになってしまう。
　IEEE802.11bの無線LANで採用されている暗号化の方式で「有線と同等のプライバシー」という意味で　WEPでは, 通常40ビット長の共通の秘密鍵を用い暗号化が行なわれているが、 104ビット鍵のものが多くなっている。「104bit/128bit」は「40bit/64bit」よりもセキュリティが強化されているが、通信速度が若干低下する。
　現在主流の製品では「104bit/128bit」の秘密鍵が用いられており、通信を行う双方で同じ鍵が登録されていないことには通信が行えない。WEP機能は、パソコン等および無線LANアクセスポイント側の両方に「WEPキー（WEP暗号化鍵）」を設定する必要がある。
　鍵は直接送受信せず、 チャレンジ&レスポンス形式で鍵の交換を行なう。
　40bit(64bit)、104bit(128bit)の残りの24ビットはIV（Initialization Vector）と言われ自動的にパソコンや無線LANアクセスポイントにより付加されるデータとなる。
　WEPキーを設定するためには16進数かASCII文字を使用する。ASCII文字の方が自分が記憶する分には覚えやすいが、悪意をもって解読する方にとっても解析しやすいので、できるだけ16進数を使った乱数にしておいた方がよい。WEP設定時の文字数などについては、以下を参照。

※24ビットのヘッダーを含む。

	ASCII 設定	16進数 設定
使用可能文字、数字	a-z, A-Z, 0-9	A-F, 0-9
40bit(64bit)の暗号化(※)	5文字（5byte）	10桁
104bit(128bit)の暗号化(※)	13文字（13byte）	26桁

　WEP暗号方式では、仕様上４つのWEPキーを切り替えることができる。WEP暗号方式では、無線LANアクセスポイントと無線LAN端末の両方のキーインデックスを同じにしなければいけない。製品によってはキーインデックスの値が“0〜3”のもと“1〜4”のものがあり、設定に注意しなければならない。

• WPA２（Wi-Fi Protected Access２　）

　ワイヤレス業界団体のWi-Fi Allianceが提唱する新しいセキュリティ規格で、802.11i仕様の一部を先取りしてまとめたセキュリティ標準である。従来のWEPに変わる強固な暗号化方式で、TKIPと呼ばれる暗号化プロトコルを採用しており、TKIPによってデータの暗号化キーを一定時間ごとに、毎回違う暗号鍵を作り出す事によって盗聴の被害を防ぐほか、ユーザーをユーザ名、パスワードや電子証明書を使って個別に認証し通信を許可するIEEE802.1xによるユーザー認証の仕組みが組み込まれており、より安全に無線LANを利用することができる。IEEE 802.1Xは認証のためのサーバを必要とするが、WPAでは認証サーバを必要とするエンタープライズモードと認証サーバを利用しないホームモードがある。ホームモードでは仮共有キーによるWPA-PSKを利用する。
　TKIP（Temporal Key Integrity Protocol）についてはWEPでは24ビットのIV（Initialization Vector）をユーザの設定したWEPキーと単純に組み合わせることで暗号キーを生成していた。TKIPでは新しいキー生成アルゴリズムを用い、ユーザにより設定された仮共有キーであるWPA-PSK（パーソナル）、WPA-EAP（エンタープライズ）もしくはIEEE 802.1Xにより生成されたキーとIVおよびMACアドレスからキーを生成する。IVのビット長も48ビットに拡張され、キーは定期的に更新される。キーが一定のデータ量また時間毎に生成し、定期的に更新される事により、無線LANの通信が盗聴され、キーが解読されたとしても、すぐにキーが更新されるので、WEPと比較して高いセキュリティを実現している。
　更に暗号アルゴリズムとしてAESというアメリカ国務省標準技術局（NIST）が定めた新しい暗号アルゴリズムをオプションとして採用している。

• DES（Data Encryption Standard　）

　　DESは、データを64bit単位に区切って暗号化および復号化処理を行なう暗号システムである。DESアルゴリズムでは暗号化と復号化は対称であり、受信した暗号文を同じキーを使ってもう一度変換すれば元の文章が復元できる。
　DESでは、簡単なビット位置転置とXOR演算の組み合わせ論理を16回繰り返している。内部的にはデータのフィードバックや条件判断部分がなく、処理が逐次的なので、パイプライン化すれば高速に処理することができる。もともとLSI化することを前提にして決められたアルゴリズムであり、DESチップも多く作られている。
　DESは単純なビット置換とXORだけではないので、キーを知らずに解読するためには、現状では総当たり方式（キーの値を変えながら有意な結果が得られるまで試行する）以外の方法はないとされている。しかしキーが56bitしかないので、高速なワークステーションを何十台か用意すれば、数日で解けてしまうという報告もある。そのため、DESの安全性を高めるために、DESを何回か繰り返したり、フィードバックループを付け加えたりする手法も確立されている。たとえば、DES-CBC（Cipher Block Mode）では、入力を単純に64bitずつに区切るのではなく、最初の64bitの暗号文出力と次の64bit入力をXORし、これを次段のDESの入力としている。

• AES（Advanced Encryption Standard　）

　　128/192/256bitの暗号化キーを用いる次世代の標準暗号化方式である。従来のDES方式に変わる強固な暗号化方式として、幅広い普及が見込まれている。
　8ビットのマシンでも比較的高速に暗号化、 復号化できる。

• IEEE 802.1x

　有線LAN用に開発された認証方式だが、最近は無線LANでの認証の仕様として使用されている。簡単にいうと、接続してきたクライアントに認証の有無を確認して接続を許可、拒否するもの。そして、認証動作には、EAP（RFC2284）を使用する。EAP（Extensible Authentication Protocol）は、認証を行なうためのプロトコルの総称。複数の種類があり、採用する方式により認証の方法や暗号化キーの自動生成の有無などが決まる。EAPを実現するためには、外部サーバ（RADIUSサーバ）を用いるのが一般的である。
　通信を開始する前にユーザ名、パスワードや電子証明書を使って認証をおこない、認証されたユーザのみが通信を許可される。これにより、不正なユーザのアクセスを禁止することができ、WEPキーを一定時間ごとに自動的に配布する機能を使えば定期的にWEPキーを更新することもできる。これにより、WEPキーが固定ではなくなるため、より強固なセキュリティとすることができる。
　IEEE802.1ｘ の実現のためには、無線ＬＡＮカード、無線LANアクセスポイントがともに、IEEE802.1ｘに対応している必要があり、認証サーバも必要となる。このため、家庭の個人が使用するというよりは、オフィス等の大勢の人数での使用時に集中的に管理するのに適した方法といえる。

　暗号化（encryption）

　暗号化とは、ネットワーク上の情報が盗聴や改ざんされるのを防止するために、送信データを暗号化して他人に知られないようにする技術である。送信データを、暗号化鍵とよばれる特定の値と、暗号化アルゴリズムとよばれる特定の変換手順を用いて、第三者に判読されない形式に変換する。暗号化したデータを元に戻すことを復号化という。主な暗号化方式には、秘密鍵暗号方式と公開鍵暗号方式がある。

　秘密（共通）鍵暗号化　　　

　情報の送り手と受け手とが、あらかじめ共通の暗号・復号化の計算式を秘密鍵（データを暗号文に変換するときに用いる特定のビット列を指す）としてもち、それぞれで暗号化と複号化を行う方法である。通信する相手ごとに異なる秘密鍵を用意する必要がある。
　かぎの保管や配送に工夫が必要である。この方式で使われるかぎは送受信者以外に公開せず、送受信者は暗号文を元に戻す（復号化）ためのかぎを、あらかじめ何らかの形で互いに入手しておく必要がある。
　代表的な秘密かぎ暗号方式に、米国で標準化されたDES（Data Encryption Standard　）、NTTが開発したFEAL（Fast data Encipherment ALgorithm）などがある。
　DESは換字方式と転置方式を組み合わせたもの（混合方式）で、メッセージを64ビット単位のブロックに分け，これを64ビットのキーを用いて換字・転置を16回繰り返す。暗号強度が高いのが特徴である。

　公開鍵暗号化

　復号化用の公開鍵と復号化用の秘密鍵を使う方法である。RSA（Rivest−Shamir−Adieman）方式が広く使われている。名称は考案者の氏名の頭文字を結合したものである。そのほか、エルガマルが考案したエルガマル暗号（ElGamal暗号）、だ円曲線上の特殊な加算で暗号化／復号化を行うだ円曲線暗号などがある。
　暗号かぎと復号かぎを非対称とすることで暗号かぎを公開する。かぎ配送問題を解決できかぎの管理が比較的楽になるが、非可逆のアルゴリズムを用いているため速度が遅いという欠点がある。
　公開鍵（暗号用のかぎ）はをホームページに掲載するなどして第三者に公開するのが一般的である。送信者は、その公開鍵を入手してデータを暗号化し、受信あてに送信する。受信者は暗号を受け取って、非公開である自分だけの秘密鍵（復号用のかぎ）で復号化する。
　公開鍵で暗号化されたデータは秘密鍵でしかできないため、その内容は受信者にしか分からないという仕組みになっている。
　公開鍵は複数の相手が使用できるので、不特定多数とのやり取りに向いているが、公開鍵を商取引に用いるためには、その公開鍵を第三者の認証機関に保証してもらう。

　　AからBへ通信文　Mを送るとする。

ここで、Aの公開時号キーを（a）、秘密の複合キーを（a^-1）
　　　Bの公開暗号キーを（b）、秘密の復合キーを（b^-1）とする。

（A＝送り手）
�@　Mを暗号にする。Aの秘密の復合キー（a^-1）で暗号→a^-1（M）
�A　a^-1（M）をBの暗号公開キー（b）で暗号化→b（a^-1（M））
送信：b（a^-1（M）

（B＝受け手）
�C　b（a^-1（M））を（b）の秘密の復合キー（b^-1）で復合化
　　→b^-1［b（a^-1（M））＝a^-1（M）］
　　このa^-1（M）を保管
�D　a^-1（M）をAの公開暗号キー（a）で暗号化→a（a^-1（M））＝M
�E　平文Mを得る

　このb（a^-1（M））は、Bでなければ（b^-1をもっていなければ）復号化できない。したがって暗号化の目的は達している。
　ここでデジタル署名とは、Bが保管しているa^-1（M）という暗号文である。この（a^-1）というのはAの秘密の復号キーで、Aしかもっていない。言い方を換えれば、Aしかこのa^-1（M）という暗号文は作れない。つまりAの署名・サインと同じ意味をなす。

　認証機関（認証局）

　ネットワーク上の「なりすまし」を防ぐために、本人であることの公的な証明をする機関で、現在、民間企業などによる認証機関がある。認証機関は、依頼者を確認して電子証明書を発行する。この電子証明書には、通常、公開鍵暗号方式が用いられる。電子公証については、通産省による電子商取引実証推進協議会〈ECOM）での検討がなされており、また法務省でも「電子署名法」の法制化に取り組んでいる。

　電子署名

　送信データが途中で改ざんされていないことを証明する方法として、電子署名が用いられる。データを送信するとき、送信データ本文と一緒に、本文からあるアルゴリズムで抜き出して秘密鍵で暗号化した電子署名を送付する。受け取った側は、暗号文を送信者の公開鍵で復号化したものと、同じアルゴリズムで抜き出した文を比較することで、相手の認証とデータ内容の確認をすることができる。

　SSL（Secure Socket Layer）

　　WebブラウザとWebサーバ間で第３者に内容が漏洩しないよう安全な通信を行なうためにNetscape社が提唱するセキュリティ機能の付加されたHTTPプロトコル（HTTPS)。インターネット上でプライバシーや金銭などに関する情報を、安全にやり取りするために考案された。
　現在インターネットで広く使われているWWWやFTPなどのデータを暗号化し、プライバシーに関わる情報やクレジットカード番号、企業秘密などを安全に送受信することができる。SSLは公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数などのセキュリティ技術を組み合わせ、データの盗聴や改ざん、なりすましを防ぐことができる。OSI参照モデルではトランスポート層(第4層)にあたり、HTTPやFTPなどの上位のプロトコルを利用するアプリケーションソフトからは、特に意識することなく透過的に利用することができる。SSL 3.0をもとに若干の改良が加えられたTLS 1.0がRFC 2246としてIETFで標準化されている。
　SSLプロトコルは２階層からなり、下位層はデータの配送、圧縮などを担当し、上位層では認証やデジタル署名、暗号化などのネゴシエーションを行なう。
　通常のHTTPセッションでは、WWWサーバに接続後HTMLをGETコマンドで読み出し、その後セッションをクローズするという手順で通信が進んでいく。しかしSSLの場合は、最初に、相手の認証や使用する暗号、デジタル署名のアルゴリズムなどに関するネゴシエーションを行ない、次に相互に認証してから、最後にHTMLデータの読み出しを行なう。
　通常のSSLの通信では、認証局の署名の入った証明書を使ったサーバの認証とWebブラウザとWebサーバ間での通信内容の暗号化という2つの機能を持つ。公開鍵暗号と秘密鍵暗号を組み合わせて利用する。まず利用するのは公開鍵暗号である。最初に公開鍵を含む証明書がWebサーバから送られる。続いてWebブラウザはこのセッションの実際の通信で利用する共通鍵暗号の秘密鍵を生成し、公開鍵で暗号化して送る。秘密鍵を持っているのはWebサーバだけなので、公開鍵があればWebサーバだけが分かる暗号をかけて送信できる。これで双方が秘密鍵を持つことができ、以後は生成した秘密鍵暗号の秘密鍵を利用して暗号化を行うという流れになる。したがって、SSLを利用するためには最低限公開鍵暗号方式の公開鍵を生成する必要がある。
　Webサーバから送付される証明書は、信頼できるサイトから送付されたものであることを証明するために本来はベリサインなどの証明機関から発行してもらう必要がある。証明書を勝手に発行することも可能だが、その場合はWebブラウザで警告が表示されてしまう。もちろん、その場合も暗号化は行われている。
　このように、単純なデータの受け渡しだけでなく、最初にネゴシエーションフェーズが入るので、そのための時間とCPUパワーが余分に必要になる。そのため、一度確立したサーバ・クライアント間のセッション情報は、このネゴシエーションを簡略化して、再接続時のオーバーヘッドを下げるようになっている。
　SSLはTCP層とアプリケーション層間に位置するプロトコル層として位置しており、HTTPに限らずTelnetやFTP、SMTPなどのさまざまなアプリケーションプロトコルを暗号化できる点が特徴。ただし、UDPパケットの暗号化には対応していない。Netscape NavigatorやInternet ExplorerといったWebブラウザがすでにSSLへの対応を行なっているため、ユーザーが特に意識せずに使うことができる点もメリット。現在では、Apache、Netscape Web Server、IISなど主要なWebサーバで利用することができ、Eコマースやオンラインバンキングなどのサイトで一般的に用いられている。
　SSLの技術により保護されたページでは、URLが「http://」から「https://」になり、Webブラウザに鍵のマークのアイコンが表示されるようになる。

　電子透かし（Digital Watermarking, Electronic Watermarking）

　画像や動画、音声などのマルチメディアデータに、画質や音質にはほとんど影響を与えず、特定の情報を埋め込む技術のことである。オリジナルデータにコピー防止信号や権利者情報を加工することで、インターネットに流通している著作権保有データを不正利用から保護する。何も描かれていないように見える部分に反対側から強い光を当てると像が浮き上がる「透かし」技術は紙幣などに使われているが、これを元に電子データ中に一見すると見ることのできないデータを埋め込むことを電子透かしと呼ぶ。「透かし」データを埋め込まれた画像などのデータは、一見すると元のデータと変わりないように見えるが、専用の電子透かし検出ソフトに読み込ませると、作者名やコピー回数などの埋め込まれた情報が表示される。これにより、不正コピーやデータの改ざんなどを防ぐことができる。さらに、データの改ざんの事実だけでなく改ざんされた個所も具体的に特定できるようにすることも可能である。電子透かしには、お札のように透かしがわかる「可視透かし」と、実際には目に見えない「不可視透かし」があります。可視透かしでは、専用ソフトを使ってデータを再生したり、パスワードなどのキーを使って透かしを取り除くことでオリジナルデータを保護するようにしている。また不可視透かしでは、データの見ため自体はオリジナルと同じであるが、実際はWeb上で検索できる仕組みが施され、不正利用された場合はすぐにわかるようになっている。

　ファイアウォール（Fire Wall ）

　ネットワークと外の世界との間の保護境界線として機能するセキュリティ システムであり、社内LANとインターネットの間で、出入りするデー夕を監視するしくみ。ファイアウォールは管理者が設定したルールにしたがって、通過させてよいデータか否かを判別している。ここで使われているのはパケットフィルタリングの機能である。
　従来のダイヤルアップ接続では、インターネットへ接続するたびにプロバイダからIPアドレスを割り当てられていたが、常時接続サービスでは、同じIPアドレスを同じパソコンで長時間使うことになる。その結果、外部からの侵入や攻撃のターゲットになりやすくなる。
　しかし、ブロードバンドルーターを設置して、プライベートIPアドレスで運用している家庭内LANなら、個別のパソコンにファイアウォールソフトは入れなくてもよい。むしろ、入れることで「マイ ネットワーク」から、同じLAN内の他のパソコンが見えなくなるなど、使い勝手が悪くなることもある。ただし、外出先などで使う可能性のあるノートには、入れた方が無難。外出先のLANがグローバルIPアドレスを使っている可能性があるし、外出先がルーター利用環境でも、同じLAN内にウイルスに感染したパソコンがあれば、被害を受ける可能性がある。不特定多数のユーザーが利用するネットワークで使うときは、ファイアウォールソフトを入れておいた方が無難である。

　ハードウェアとソフトウェアから構成され、セキュリティ システムを提供している。通常、外部から内部ネットワーク (イントラネット) への不正なアクセスを防ぐ。ファイアウォールでは、ネットワークと外部コンピュータとの間で直接通信を行わず、ネットワークの外側にあるプロキシサーバーを通じて通信経路を制御する。プロキシサーバーは、ネットワークにファイルを通して安全かどうかを決定する。ファイアウォールは、セキュリティエッジ ゲートウェイ（Seculity Edge Gateway）とも呼ばれている。
　インターネット接続ファイアウォール (ICF) はファイアウォール ソフトウェアで、ホーム ネットワークまたは小規模オフィス ネットワークからユーザーのネットワークのインターネットへ、またはその逆への通信情報に制限を設定するために使用する。
　複数のコンピュータへのインターネット アクセスのために、ユーザーのネットワークがインターネット接続の共有 (ICS) を使用している場合、ICF を共有インターネット接続上で有効にする必要がある。ただし、ICS と ICF は個別に有効にできる。ICF は、インターネットに直接接続されているコンピュータのインターネット接続上で有効にする必要がある。ICF が有効であるかの確認、またはファイアウォールを有効にする方法については、「インターネット接続ファイアウォールを有効または無効にする」を参照。
　ICF はインターネットに接続された単独のコンピュータも保護する。単独のコンピュータがケーブル モデム、DSL モデム、またはダイヤルアップ モデムでインターネットに接続する場合、ICF によってインターネット接続が保護される。VPN 接続上では ICF を有効にしない。ファイルの共有やほかの VPN の機能に影響を与えることがある。

　ファイアウォールを設定していた場合、データを受信できないなどの通信上の不具合が発生する恐れのあるソフトがある。FTPクライアントやストリーム再生ソフト、ネットゲームなど、通信を行う各ソフトで通信がブロックされ、正常な動作が望めない場合、手動でポートを開く作業が必要となる。使用しているポート番号が不明な場合は、まずソフトのマニュアルを参照するか、製造元のホームページを調べるとよい。
　なおも不明の場合は、通信を許可したいソフトの起動後にWindowsのコマンドプロンプト画面で「netstat」コマンドを打ち込み、TCP/IPの通信状況を表示させ、使用しているポート番号を調査するなどの手段をとる。

　ファイアウォールのタイプ

　インターネット接続ファイアウォール (ICF) のしくみ

　ICF は "ステートフル" なファイアウォールであると考えられている。ステートフルなファイアウォールとは、そのパスを通過する通信のすべての要素を監視し、処理するメッセージごとにその送信元アドレスと送信先アドレスを検査するファイアウォールである。ユーザーの要求のないトラフィックが、接続のパブリック側からプライベート側に入ってくるのを防ぐため、ICF では ICF コンピュータから発生したすべての通信のテーブルを保存する。単独のコンピュータの場合、ICF はそのコンピュータから発生したトラフィックを追跡する。ICS と連携して使用される場合、ICF は ICF/ICS コンピュータから発生したすべてのトラフィックおよびプライベート ネットワーク コンピュータから発生したすべてのトラフィックを追跡する。インターネットからのすべての着信トラフィックは、テーブル内のエントリと比較される。着信インターネット トラフィックは、テーブル内に一致するエントリがある場合のみ、ユーザーのネットワークのコンピュータに到達できる。一致するエントリがあるということは、通信のやり取りがユーザーのコンピュータまたはプライベート ネットワークから開始されたことを意味する。
　行き来するパケットだけでそのパケットを通すか通さないか判断する。送信したパケットの内容を記録しておき、それに対応したパケットが返ってきているかを調べて信頼性を高める「パケット整合性管理」（ステートフルインスペクション）などの機能を備えているが，そもそもどんなアプリケーションソフトがその通信を行っているのかというところまではわからない。
　インターネットのように、ICF コンピュータの外のソースから開始された通信は、[サービス] タブのエントリで通過が許可されていない限り、ファイアウォールによってドロップされる。ICF は動作状況の通知を送信するのではなく、何も通知しないで要求されていない通信を破棄し、ポート スキャンなどの一般的なハッキングの企てを阻止する。こうした通知が頻繁に送信されると、邪魔になることがある。代わりに、セキュリティ ログが作成され、ファイアウォールが追跡した動作状況を見ることができる。
　インターネットからの要求されていないトラフィックを ICF コンピュータがプライベート ネットワークに転送できるようにサービスを構成することができる。たとえば、HTTP Web サーバー サービスをホストし、ICF コンピュータで HTTP サービスを有効にしている場合、要求されていない HTTP トラフィックは ICF コンピュータによって HTTP Web サーバーに転送される。サービス定義として知られる動作情報は、ICF が要求されていないインターネット トラフィックを Web サーバーに転送するために必要である。

　プライバシー保護

　クラッカー対策

　「パソコンを直接ADSLモデムにつないでいる」という点が危ない。これではlPアドレスがまる見えで、クラッカーが簡単にパソコンに侵入できてしまう。
　対策としては、モデムとパソコンの間にルーターを介するのが一番である。こうすれば、ルーターから先のインターネットにはプロバイダーから与えられた「グローバルlP」で接続するが、ルーターからパソコンまでの間は「プライベートlP」という違うアドレスに変換できる。「NAT」と呼ばれるこの機能のおかげで、クラッカーがグローバルlPめがけてアタックをかけても、パソコンにたどり着けないようになる。
　ルーターには「ポートの開閉」という役割もある。“直結”だと、ポートは全て開きっぱなしでどんなデータも素通し状態。ルーターを入れると、ポートを閉める設定をしたり、不正なデータの出入りを監視できる。パーソナルファイアウォールソフトは、この機能がさらに強周なものになっている。

　外出先での接続

　自分のパソコンのドライブを他のコンピュータと共有にしない設定にする。またグループの名前を初期設定の「WORKGROUP」にしない。ホテルなどで接続した場合、ファイルやフォルダーを共有設定にしていると他の部屋の人に見えてしまう。

　ネットカフェ

●オートコンプリートを無効にしておき、使用後はクッキーのデータをすべてクリアしておく。
IEのツール→インターネットオプション→コンテンツ→オートコンプリートでフォーム、パスワードのクリアをクリックしておく。
●Windowsフォルダー内の「Cookies」を開き、ファイルをすべて消すか
IEのツール→インターネットオプション→全般→インターネット一時ファイル→クッキの削除をクリック

　無線LAN

指定MACアドレス以外は通信しない設定にしておく。
WEPキーは最低でも月に１回程度は変更する。