攻撃者は何を 狙う のか
攻撃の目的は、整理すると大きく 3 つしかない。「機密性を破る」「完全性を破る」「可用性を破る」。この 3 つを総称して CIA トライアド と呼ぶ。ネットワーク防御はこの 3 つを同時に守る戦い。
機密性を破る
他人の通信を盗み見る。クレカ番号・パスワード・メール内容を取る。防御は 暗号化。
完全性を破る
通信を改ざんする。「振込先口座を書き換える」「ダウンロードファイルを差し替える」。防御は 電子署名・ハッシュ。
可用性を破る
サービスを使えなくする。DDoS でサーバを落とす、ランサムウェアでデータを暗号化して身代金要求。防御は 冗長化と検知。
公開鍵暗号 ── 鍵が 2 つある 鍵
従来の暗号(共通鍵暗号)は、暗号化と復号で 同じ鍵 を使う。鍵を相手に渡すときに盗まれたら終わり。インターネット上で「事前に鍵を共有する」のは不可能に近い。
公開鍵暗号は、公開鍵 と 秘密鍵 のペアを作る。公開鍵は世界中に配って良い。秘密鍵は本人だけが持つ。公開鍵で 暗号化 したものは、対応する秘密鍵でしか 復号 できない ── この非対称性が、インターネット上の安全な通信を可能にしている。
TLS ハンドシェイク ── HTTPS の 裏側
ブラウザのアドレスバーに 🔒 が出ているとき、わずか 0.1 秒足らずで以下の儀式が完了している。
① クライアント → サーバ:ClientHello
「TLS 1.3 で話したい。これらの暗号スイートが使える」
② サーバ → クライアント:ServerHello + 証明書
「TLS 1.3 OK。私の公開鍵 + 第三者の証明書を送る」
③ クライアント:証明書を検証
「この証明書は CA(認証局)の署名がある?期限内?」
「ドメイン名は一致してる?」
④ 鍵交換(Diffie-Hellman)
「セッション鍵をお互いに計算する。
途中盗聴されても再構築不可能」
⑤ ここから先は暗号化された通信
GET / HTTP/1.1
Host: example.com
...証明書と CA ── 第三者 が保証する
「この公開鍵は本当に example.com のもの?」を保証するのが SSL 証明書。CA(Certificate Authority/認証局)が「うちが確認した」とデジタル署名する。
主な CA:DigiCert / GlobalSign / GMO / Let's Encrypt。Let's Encrypt は 無料・90 日有効・自動更新 という三点セットで、HTTPS 普及率を一気に押し上げた業界の革命児。
ドメイン認証
ドメイン所有のみ確認。Let's Encrypt はこれ。個人ブログから上場企業まで、ほぼこれで十分。
企業実在確認
登記簿などで企業実在を確認。法人サイトでブランドを示したいときに。
厳格な実在確認
最も厳格な審査。銀行・金融系。かつてアドレスバーに緑色の会社名が出たが、最近は UI から消えた。
VPN ── 暗号化された トンネル
VPN(Virtual Private Network)は、インターネット上に 専用の暗号化トンネル を張る技術。物理的に専用線を引かなくても、論理的に「自分だけの道」を作れる。
用途:
- ① 在宅勤務で会社のネットワークに繋ぐ
- ② 公衆 Wi-Fi で盗聴を防ぐ
- ③ 地理制限を回避する(合法性は要確認)
| プロトコル | 特徴 |
|---|---|
| OpenVPN | 古典的・実績豊富・設定がやや複雑 |
| WireGuard | 新世代・シンプル・高速。2026 年の標準 |
| IPsec | 企業 VPN 王道。L2TP/IPsec の組合せで使う |
| Tailscale | WireGuard ベースの SaaS。設定の手間ゼロ |
ゼロトラスト ── 信用しない 前提
従来は「社内ネットは安全、社外は危険」だった。
ゼロトラストは「社内も社外も信用しない。すべての通信を、毎回、認証・認可する」。 — Zero Trust Doctrine
背景:リモートワーク・クラウド化・モバイル化で 「社内」の境界が消えた。VPN だけでは内部からの攻撃に弱いし、SaaS のデータを VPN で囲うこともできない。
ゼロトラストの 4 原則:
- ① 暗黙の信頼を排除(社内 IP でも認証要求)
- ② 最小権限(必要な分だけアクセス許可)
- ③ 継続的検証(毎リクエストごとに確認)
- ④ デバイスの健全性(マルウェア感染してないかチェック)
よくある攻撃と防御
MitM(中間者攻撃)
通信の途中に攻撃者が割り込んで傍受する。防御:HTTPS + 証明書検証。フリー Wi-Fi で大事な通信をするときは特に注意。
DDoS(大量リクエスト)
何千台もの bot から大量アクセスでサーバを潰す。防御:Cloudflare / AWS Shield / Akamai で吸収。
DNS スプーフィング
偽の DNS 応答で攻撃者のサーバへ誘導。防御:DNSSEC / DoH / DoT。
SSL ストリッピング
攻撃者が HTTPS リダイレクトを邪魔して平文通信に降格させる。防御:HSTS ヘッダで「次回からも必ず HTTPS」を強制。