TOP | 国際版!サイバーセキュリティ ひとこと言いたい! | (インドネシア)インターネットの仕組みとあなたの情報の安全が保証される方法

インターネットの仕組みとあなたの情報の安全が保証される方法
Ministry of Communication and Information Technology(インドネシア)
IPv6 supporter and Cyber-Jurisdiction researcher
Satriyo Wibowo
Deputy Director of Information Culure
Intan Rahayu
 
インターネットアクセスなく一日を過ごすことを想像したことがあるでしょうか。ここ十年間、インターネットは連絡や情報処理において斬新的な効果をもたらしており、ビジネスや個人的な目的で基本的な必需品となっています。しかし、多くのユーザはインターネットの仕組みや個人情報の保護にどう影響するかを理解していません。
 
例えば、 Ministry of Communication and Informaticsのウェブサイトにアクセスして、プライバシー保護法制に関する情報を確認したいとします。インターネットには接続済みで、Enterボタンをクリックすると、ウェブサイトのIPアドレスを知らないシステムはDNS(Domain Name Server)に問い合わせます。このサーバは、ウェブドメインとIPアドレスとを繋げるマップを保有しています。しかし、情報が存在しない場合、DNSは上位にあるルートDNSにIPアドレスを問い合わせます。
 
 目的のアドレスが取得されると、それがヘッダに追加されます。TCP/IPプロトコルを基本とするインターネットの通信は、クライアントからサーバへ、そしてサーバからクライアントに戻るインターネットパッケージの動きに大きく依存しています。インターネットパッケージにはヘッダとペイロードが含まれ、我々はパッケージに関する情報(発信元及び宛先アドレス、種類、形式、セキュリティフラグ等の情報)をヘッダに、情報をペイロードに格納します。
 
一方、ルータは主要なネットワーク機器であり、インターネットパッケージの流れに関して重要な役割を果たしています。ルータは、パッケージを宛先アドレスに誘導します。隣接するネットワークに関する情報を保存したルーティングテーブルを保有しており、情報を頻繁に更新して、ルーティングのプロトコルによってパッケージ用の最適なルート(恐らく最も速いルート)を選択することができます。
 
同じネットワーク管理内で他のルータと接続するルータや、他のネットワークとの橋渡し役をするルータもあります。それぞれのネットワーク管理には通常、AS番号と呼ばれるユニークなID番号が付けられています。インドネシアでは、Indonesia Internet Exchange(IIX)がすべてのネットワークに接続しており、国内のインターネットトラフィックが国際ネットワークに誘導されないようにして、経費や時間を大きく節約しています。IPアドレス割当管理、AS番号及びIIXはAPJII/IDNICが管理しており、インドネシア政府が監督しています。
 
インターネットパッケージが最終的な目的地に到達した場合、特定のポートを通じてサービスリクエスト毎にフィルタリングされます。例えば、ウェブサイトへのアクセスは8080番ポートを通じて行われ、メールアクセスは25番ポート、ファイルのダウンロードは20/21番ポートを通じて行われます。ペイロードが抽出され、復号され(保護通信を使用する場合)、読み込まれ、その後サーバはリクエストに応じた別のパッケージをクライアントに送信します(この例では、プライバシー保護法制のページに関する情報)。これがインターネットの仕組みであり、光の速さ、または接続環境によってはそれ以下で機能しています。
 
接続モード、有線又は無線
モバイルネットワークを通じたインターネットアクセスは、FTTH(Fiber to the Home:家庭用光ファイバ)ネットワークと実質上同じです。相違点は、モバイル技術が多くの無線アーキテクチャを使用して、スマートフォンやタブレットの情報をプロバイダのコアシステムに送信する点です。コアシステムでは、特定のサーバで情報を処理した後にインターネットにパッケージを送信します。
 
 

 
 
上図のように、パッケージの処理には多くのデバイスが関与します。SGSN/MME(Service GPRS Support Node/Mobile Management Entity)は、モバイル端末への通信を担当し、GGSN/S-PGW(Gateway GPRS Support Node/Serving - Packet Data Network Gateway)は、インターネットへの接続を担当、DNS-Giはドメインネームサーバ用ゲートウェイであり、HLR/HSS(Home Location Registry/Home Subscriber Server)は認証・許可・課金(AAA)用のクライアントデータベース、PCRF(Policy and Charging Rule Function)はサービス毎の料金請求を担当、CGNAT(Carrier Grade Network Address Translation)は内部IPアドレスを割り当てる目的で使用されます。
 
クライアントにコンテンツを届けることにフォーカスしたデバイスも幾つか存在します。VO(Video Optimizer)は、動画コンテンツを圧縮してスムーズかつ効果的に配送できるようにし、GGCとFNO(Google Global Cache and Facebook Network Alliance)は、ネットワークに負荷をかけないようにコンテンツを配送することに尽力します。
 
モバイル事業者のコアネットワークにあるこれらの機能や セキュリティ機能は、有線通信の事業者が持つ機能と事実上同じです。受信者に届く前にメールを振り分けるスパム対策やジャンクメールのフィルタ、Anti DDoSは、DDoS攻撃が疑われる認識されたリクエストのパターンを阻止することでシステムを保護して、世界中の様々なソースからの大量のリクエストによってサーバがパンクしないようにしています。DDoS攻撃は、システムをダウンさせて誰にもサービスを提供できなくさせられるため、極めて危険です。
 
そして次に、特定のポートのみを開いて、それらを通じて送受信されるインターネットパッケージを監視することでシステムを保護するファイアウォールがあります。IDS(侵入検知システム)は、悪質と特定されたパッケージのライブラリを保有し、それを使って異常がないか確認して、攻撃を検出します。ファイアウォールとIDSの機能を組み合わせたIPS(侵入保護システム)も存在します。
 
セキュリティの承認
デバイスやそのセキュリティ機能に関する長い考察を行った結果、我々は重大な質問に行き当たりました。インターネット上を行き来する我々の情報を確実に保護するために、これで十分なのか。上記の考察は、サーバの自己防衛機能を我々に教えています。我々クライアント側での攻撃や、クライアントとサーバ間の情報送受信に対する攻撃についてはどうでしょうか。
 
サイバー犯罪者にとってユーザを直接攻撃することは、情報の保護について気にしないユーザが多いことから、最も効果的かつ有効な手段です。ユーザの所有物(ノートPC、PC、スマートフォン、タブレット)に対する攻撃は、クッキー通じて悪質なソフトウェア(マルウェア)をインジェクトしたり、添付ファイルやリンクを含むメールを送付したり、既にコンピュータウイルスに感染したファイル、アプリケーションを使用したりして実行されます。
 
攻撃の目的には、認証情報の窃取やコンピュータをロックした上での身代金の直接請求、標的型攻撃、人的エラー等、様々な形態があります。我々インターネットユーザは、常に注意を怠らず、これらのリスクについて自身を教育して、必要な対策を講じる必要があります。
 
 
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。