セキュリティ対策の残り、アクセスコントロールから始めましょう。

コンピュータに対して、与えられた権限以上の操作を行うことを不正アクセスという。

１．ファイアウォール
　組織内部のLANと、その内部に広がるインターネットとの間に、外部からの不正なアクセスを防ぐ目的で設置されるルータやコンピュータ、またはその機能的役割のことである。インターネットを通じて第三者が侵入し、データやプログラムの盗み、改ざんなどが行われることがないように、外部から送られてくるデータを監視し、不正なアクセスを検出・遮断する機能を持つ。また企業内部からの不用意な情報の流出を防止するための機能も併せ持つ。

　●ファイアウォール　→　予め流出・流入を拒否する内容を設定。
　　　　　　　　　　　　外部からも内部からも不正なアクセスを防ぐ

①パケットフィルタリング機能
　パケットのあて先を調べて、通過させてよいパケットは通過させ、通過させてはならないパケットは通過させない機能。外部のやり取りを制限することで内部の情報などを保護する。

②プロキシサーバ（代理サーバ）の機能
　インターネットとのやり取りを仲介する機能。
企業内クライアントは、プロキシサーバにアクセス要求を送信し、プロキシサーバが代理でインターネット上のサーバにアクセスする。インターネット上のサーバは、プロキシサーバに結果を送信し、プロキシサーバが代理でクライアントに応答する。これにより内部の情報を隠蔽することが可能になり、内部の情報などを保護できる。
なお、URLリストとの照合によって不適切なサイトへのアクセスをブロックする機能は、URLフィルタリングと呼ばれる。プロキシサーバがアクセス制御装置となり、OSI基本参照モデルのアプリケーション層で機能する。URLはWebブラウザを使って入力したりするのでアプリケーションですね。

　●URLフィルタリング　→　プロキシサーバで制御。アプリケーション層で機能
　●MACアドレスフィルタリング　→　スイッチングハブやアクセスポイントで制御。
　　　　　　　　　　　　　　　　　　データリンク層で機能

２．DMZ
　DMZとは、DeMilitarised Zone といい、非武装地帯と呼ばれる。
インターネットなど信頼性の低い外部ネットワークと、社内ネットワークの中間に置かれる区域のこと。Webサーバやメールサーバなどインターネットに公開しなければならないサーバは、DMZに設置するのが望ましい。DMZは１つだけとは限らず、内部の利用者からサーバを保護する目的などで、複数のDMZを設ける場合もある。

　●DMZ　→　“やられ役”　複数設けることも出来る

３．IDS
　不正アクセスを監視する侵入検知システム。Intrusion Detection System の略。不正アクセスやDoS攻撃に関するデータベース（シグネチャデータベース）を持ち、事前に設定した不正アクセス検出ルールに基づく事象を検知する。
アクセスの制御はファイアウォールを設置することで実現できるが、すべての不正アクセスを遮断できるとは限らない。IDSはファイアウォールで遮断出来ない攻撃に対して現在のアクセス状況を監視し、不正アクセスを検出する機能を持つ。セキュリティ対策を強固なものにするためにはファイアウォールとIDSを併用して設置することが望ましい。

　●セキュリティ対策　→　ファイアウォールやIDSなど組み合わせることが望ましい

①ネットワーク型IDS
　ネットワーク中（回線上）を流れるパケットを監視し、不正アクセスを検知する。専用機を用いるのが一般的。

　●ネットワーク型IDS　→　ネットワーク中のパケットを監視

②ホスト型IDS
　保護したいコンピュータそれぞれにIDS用のソフトウエアをインストールする方法。
IDSソフトウエアは、各コンピュータのアクセスログの内容やファイルの変更有無などを監視する。

　●ホスト型IDS　→　個々のコンピュータにインストールする

　続いては、無線LANのセキュリティ対策です。無線LANは、電波が届く範囲内であれば、第三者でもデータを受け取ることが可能であり、ネットワークへ侵入されやすい。そのため有線LANよりも強固な対策が必要となる。有線でも無線でも、これといった対策の特効薬はないので多様な方法を多重に実施することが重要である。

１．SSID
　SSIDとは、Service Set ID の略で、アクセスポイントを識別するためのIDのこと。アクセスポイントと同じSSIDを設定した無線LANだけが接続可能となる。とはいえ、機能としては弱っちい。

　●SSID　→　無線LAN端末およびアクセスポイントに同じSSIDを設定

また、無線LANのクライアント側において、SSIDに「ANY」や空白を設定した場合は、どのアクセスポイントとも接続できると規約上決められている。よって、「ANY」や空白などを設定したクライアント側からのアクセスを禁止する設定をアクセスポイントに行うことが必要となる。悪意で「ANY」や空白などにしてアクセスしようとする輩がいるかもしれないし。

２．MACアドレスフィルタリング
　MACアドレスとは、各イーサネットカードに付された固有のID番号である。ちなみにMACとは、Media Access Control の略。MACアドレスは有線だけでなく、無線LANにも付与されている。MACアドレスフィルタリングは、侵入防止には効果がある。

　●MACアドレスフィルタリング　→　侵入防止に効果
　●MACアドレス　→　無線LANにも付いている

個々の無線LANカードのMACアドレスをアクセスポイントに登録しておき、許可されたMACアドレスをもつ無線LAN端末以外は接続できなくすることによって、第三者の侵入を防ぐことが可能になる。
盗聴防止には効果がなく、したがって、WEPと併せて使用することが望ましい。

　●MACアドレスフィルタリング　→　盗聴防止に効果なく、WEPと併用することが望ましい

３．WEP
　Wired Equivalent Privacy の略で、無線LAN規格（IEEE802.11）で規格化されている暗号化方式の一つ。WEPを設定することはすなわち暗号化することなので、盗聴されても暗号を解読しないと判読出来ないし、またあて先のMACアドレスなども暗号化されるため無線LANに侵入することも出来なくなる。

　●WEP　→　暗号化。MACアドレスも暗号化される

　WEPは、無線LAN端末と無線アクセスポイント（AP）の両方に「WEPキー」を設定する必要がある（共通鍵暗号方式）。WEPキーは定期的に変更することが望ましい。

　●WEPキー　→　無線LAN端末とAPの両方に設定する
　●WEPキー　→　共通鍵暗号方式

４．WPA
　Wi-Fi Protected Access の略。Wi-Fi Aliance によるセキュリティ強化を目的とした規格。
WEPの代わりに、TKIP（Tenporal Key Integrity Protocol）という暗号化規格を採用する。TKIPでは、暗号化鍵を一定時間ごとに自動的に更新する機能がある。なお、WPAはIEEE802.1ｘのユーザ認証規格も含んでいる。

　●WPA　→　TKIPという暗号化規格
　●TKIP　→　自動的に更新される

　また、IEEE802.1ｘ とはユーザ認証の方式の一つ。通信を開始する前にユーザIDと、パスワードまたは電子証明書を使って認証を行い、認証されたユーザのみの通信を許可する。
認証を行う際には、RADIUSという認証サーバが必要となる。

とりあえず、ここまでかなぁ。
続く。