「セキュリティが高い」とは、具体的にどんな状態を指すのでしょうか?
なんとなく「攻撃されない状態」をイメージしがちですが、CCNAでは3つの要素に分けて考えます。どんな3つか、少し考えてから読み進めてください。
セキュリティは「金庫」に似ている
ここまでルーティングを学び、パケットが正しく届く仕組みを見てきました。しかし、正しく届くだけでは不十分です。届いた情報が盗まれたり、書き換えられたり、必要なときに使えなかったりしては困ります。ここからはStage05、いよいよセキュリティの世界に入ります。金庫を思い浮かべてください。中身を見られない、勝手に書き換えられない、必要なときにちゃんと開けられる——この3つが揃って初めて「安全な金庫」と言えますよね。
CIAの3要素
情報セキュリティの目標は、CIAという3つの頭文字で整理されます。
- 機密性(Confidentiality): 許可された人だけが情報を見られること。暗号化などで実現します。
- 完全性(Integrity): 情報が正確で、勝手に改ざんされていないこと。
- 可用性(Availability): 必要なときにシステムやデータを使えること。
金庫でいえば、鍵を持つ人しか開けられない(機密性)、中身が誰かにすり替えられていない(完全性)、いざというとき確実に開く(可用性)、という3条件です。どれか1つでも欠けると、セキュリティが成立しているとは言えません。
代表的な脅威
CCNAで押さえておきたい脅威をいくつか紹介します。
- マルウェア: ウイルスやランサムウェアなど、悪意あるソフトウェア全般。
- フィッシング: 本物そっくりのメールやサイトで、パスワードなどをだまし取る手口。
- DoS攻撃(サービス拒否攻撃): 大量の通信でサーバーやネットワークをパンクさせ、可用性を奪う攻撃。複数の端末から一斉に行うものはDDoS攻撃と呼ばれます。
- 中間者攻撃(Man-in-the-Middle): 通信の途中に割り込み、盗聴や改ざんを行う攻撃。機密性・完全性の両方が脅かされます。
これらはCIAのどれを狙っているかで整理すると理解しやすくなります。DoSは可用性、中間者攻撃は機密性と完全性、という具合です。
多層防御という考え方
「これさえあれば安全」という単一の対策は存在しません。そこで重要になるのが多層防御(Defense in Depth)です。金庫のたとえで言えば、金庫室の鍵、金庫本体の鍵、警備員、監視カメラといった具合に、何重にも壁を用意する発想です。ネットワークでも、パスワード、ファイアウォール、ACL、暗号化といった対策を組み合わせ、1つが突破されても次の壁で防ぐようにします。次のレッスンからは、この多層防御を構成する具体的な要素——パスワードやSSHなど装置そのものを守る技術——を1つずつ見ていきます。
自社のWebサーバーに大量の通信を送りつけて応答不能にする攻撃は、CIAのうちどの要素を最も脅かすでしょうか?
答えを見る
答えは可用性(Availability)です。DoS攻撃・DDoS攻撃は、正規の利用者がサービスを使えない状態を引き起こすことを目的としており、可用性を直接脅かします。
試験でのポイント
CCNA試験では、CIAの各要素の定義と、与えられたシナリオがどの要素を脅かしているかを対応づける問題がよく出ます。「暗号化されていない通信を盗聴された」なら機密性、「データが途中で書き換えられた」なら完全性、「サーバーがダウンして使えない」なら可用性、という対応関係を整理しておきましょう。また、フィッシングと中間者攻撃、マルウェアとDoS攻撃のように、手口が混同されやすい用語の違いも狙われやすいポイントです。多層防御は「単一の対策に頼らない」という考え方そのものが問われることがあります。
「これさえ導入すれば、ネットワークは完全に安全になる」という考え方はなぜ危険でしょうか?
答えを見る
どんな対策にも弱点や突破される可能性があるためです。単一の対策に頼るのではなく、パスワード・ファイアウォール・暗号化などを組み合わせる多層防御の考え方が重要になります。1つの壁が破られても、次の壁で被害を防ぎます。
CIA(機密性・完全性・可用性)と、代表的な脅威、そして多層防御の考え方——これがセキュリティ全体の土台だよ。金庫のたとえ、イメージつかめたかな。次は、実際にルーターやスイッチという「装置そのもの」をどう守るか、パスワードとSSHの設定を見ていくよ。