なぜネットワークを理解する必要があるか

すべてのサイバー攻撃はネットワークを通じて行われます。プロトコルの仕組みを理解することで、「なぜその攻撃が成立するのか」「どう防ぐのか」が明確になります。

OSIモデルとセキュリティ

ネットワーク通信は7層のOSIモデルで理解できます。各層に特有の脅威と対策があります。

プロトコル例主な脅威対策
7 アプリケーションHTTP, DNS, SMTPフィッシング, SQLi, XSSWAF, 入力検証
6 プレゼンテーションTLS/SSL証明書詐称, ダウングレード証明書ピンニング
5 セッションNetBIOSセッションハイジャックセッション管理
4 トランスポートTCP, UDPSYNフラッド, ポートスキャンファイアウォール, IPS
3 ネットワークIP, ICMPIPスプーフィング, MITMuRPF, IPsec
2 データリンクARP, EthernetARPスプーフィングDAI (Dynamic ARP Inspection)
1 物理ケーブル, Wi-Fi盗聴, 物理アクセスWPA3, 物理セキュリティ

TCP/IP とセキュリティ

TCPの3ウェイハンドシェイク

クライアント → SYN       → サーバー
クライアント ← SYN-ACK  ← サーバー
クライアント → ACK       → サーバー

SYNフラッド攻撃はこのハンドシェイクを悪用します。攻撃者は大量のSYNパケットを送り、サーバーのキューを枯渇させます。

対策: SYN Cookie(TCPスタックの機能)、レート制限、Anycast型DDoS防御

IPアドレスとNAT

プライベートIPアドレス(10.x.x.x / 172.16-31.x.x / 192.168.x.x)はインターネットにルーティングされません。NATは内部ネットワークを隠蔽する効果がありますが、セキュリティ対策の代替にはなりません。

DNSの仕組みと攻撃

DNS(Domain Name System)はドメイン名をIPアドレスに変換するシステムです。インターネットの「電話帳」と呼ばれます。

DNSキャッシュポイズニング

攻撃者がDNSサーバーのキャッシュに
偽の応答を注入 → ユーザーを悪意のあるサイトへ誘導

対策:

  • DNSSEC: DNSレスポンスへのデジタル署名
  • DNS over HTTPS (DoH): DNS通信の暗号化
  • DNS over TLS (DoT): TLSによるDNS保護
DNSSEC普及の現状

日本ではDNSSECの普及率はまだ低い状況です。ただし、多くのパブリックDNS(8.8.8.8, 1.1.1.1)はDNSSEC検証をサポートしています。

HTTP vs HTTPS

HTTP vs HTTPS の比較
項目HTTPHTTPS
暗号化なし(平文)TLS 1.2/1.3 で暗号化
盗聴リスク高いほぼなし
改ざんリスク高いなし(TLSで保護)
なりすまし検証不可サーバー証明書で検証
パフォーマンスわずかに速いHTTP/2併用で実用上差なし
SEO影響ネガティブポジティブ(Googleランキング)

TLSのハンドシェイク

TLS(Transport Layer Security)は以下の手順で安全な通信路を確立します:

  1. Client Hello(対応するTLSバージョン・暗号スイートを提示)
  2. Server Hello(選択した暗号スイート)+ サーバー証明書送信
  3. 証明書の検証(CAチェーン、有効期限、ドメイン一致)
  4. 鍵交換(Diffie-Hellman等で共通シークレット生成)
  5. 暗号化通信の開始
TLS 1.2 ハンドシェイクの流れ(TLS 1.3 では往復回数が削減)
証明書の有効期限管理

TLS証明書の失効は即座に通信障害を引き起こします。Let’s Encryptなどの自動更新機能(ACME)を活用し、有効期限の監視も設定しましょう。2026年現在、多くのブラウザは証明書の有効期間を47日以下に短縮する方向で議論が進んでいます。

ファイアウォールの基本

ファイアウォールはネットワークトラフィックをルールに基づいてフィルタリングします。

種類動作特徴
パケットフィルタリング型IP/ポート単位でフィルタ高速・シンプル
ステートフル型接続状態を追跡より高精度
アプリケーション型(WAF)HTTP内容を検査Webアプリ特化
NGFW全層を統合的に検査最も高機能
理解度チェック

DNSキャッシュポイズニング攻撃への対策として最も効果的なものはどれですか?