基本情報技術者試験対策（34）「セキュリティ対策」

ウイルス対策ソフト

セキュリティ対策の種類を紹介しよう。 最初に紹介するのは、ウィルス対策ソフトである。 これは、ウイルスの検出と除去を行うソフトウェアのことである。ただし、ウイルスに限らず、ワームやスパイウェアなどのマルウェア全般を対象としている。

ウイルス対策ソフトがウイルスの検出を行う方法には、チェックサム法(checksum=チェック用の合計値)、 コンペア法 (compare = 比較)、 パターンマッチング法 (pattern matching =パターンの一致) ヒューリスティック法 (heuristic = 発見)、 ビヘイビア法 (behavior = 振る舞い) などがある。 それぞれの特徴を、下表に示す。

ウイルス対策ソフトがウイルスの検出を行う方法

ファイアウォール

ファイアウォール (fire wall) は、 直訳すると 「防火壁」 という意味である。 コンピュータのファイアウォールは、社内LANの外部から内部に入ってくるパケットと、社内LANの内部から外部に出ていくパケットをチェックして、許可されていないパケットの通過を禁止する。 不正なパケットを火災に見立て、その通過を禁止する。

社内LANとインターネットをつなぐルータの中には、ファイアウォールの機能を持つものがあり、 データの宛先と差出人のIPアドレスとポート番号を見て、パケットの通過の禁止と許可を判断する。 これをパケットフィルタリング型ファイアウォールと呼ぶ。

DMZ

ファイアウォールの機能を持つルータで、 社内のネットワークを2つの部分に分けて、一方にはインターネットに公開する Web サーバやメールサーバを配置し、もう一方にはインターネットに公開しないデータベースサーバやクライアントを配置することがある。

このようなネットワーク構成で、 インターネットに公開するサーバを置いた部分をDMZ (De-Militarized Zone = 非武装地帯)と呼ぶ。危険なインターネットと接していることを、紛争状態の国境に設けられた非武装地帯 に例えているのである。

1台のファイアウォールによって、 外部セグメント ( インターネットのこと)、DMZ、 内部セグメントに分割されたネットワークを図示すると、下図のようになる。

外部セグメントにいる利用者は、 Web サーバにアクセスして、データを要求する。 Web サーバは、DBサーバにアクセスして、データを取得し、それを利用者に返す。

利用者の要求を受け付けるWeb サーバは、利用者がアクセスできるDMZに配置しなければならない。 重要なデータを保護するために、DBサーバ は内部セグメントに配置しなければならない。

WAF

ファイアウォールによって防げるのは、基本的に不正アクセスだけである。
従って、例えばインターネットからDMZ のWeb サーバへのアクセス許可しているなら、 Webサーバで動作しているWebアプリケーションにSQLインジェクション攻撃やクロスサイトスクリプティングなどの攻撃が仕掛けられてしまう恐れがある。

これらの攻撃の対策をWebアプリケーションごとに用意するのは、とても時間がかかる作業である。 この場合には、 WAF (Web Application Firewall:ワフ）を使うと便利である。

WAFは、Webアプリケーションに仕掛けられる様々な攻撃をブロックする。
通常のファイアウォールは、許可されていないパケットの通過を防ぐ防火壁になるが、 WAFは攻撃を遮断する防火壁になるのである（下図）。

脆弱性と修正パッチ

OSやアプリケーションに、プログラムの不具合や設計上のミスが原因となって発生したセキュリティ上の欠陥があることを脆弱性やセキュリティホール(security hole ＝セキュリティの穴)と呼ぶ。このような部分を修正するプログラムを修正パッチと呼ぶ。 パッチ (patch)とは、穴をふさぐ 「継ぎ当て」 のことである。 修正パッチを適用することも、 マルウェア対策になる。

（参考）情報処理教科書 出るとこだけ！基本情報技術者［科目A］［科目B］2025年