セキュリティ | ビズドットオンライン

共通鍵暗号方式/公開鍵暗号方式とは？初心者向けに３分でわかりやすく解説

ビズドットオンライン — Mon, 22 Jul 2024 02:43:09 +0000

暗号化の技術・考え方は、現代のシステム開発においては非常に重要です。インターネット通信（HTTPS）やオンラインバンキング、エンドツーエンドのメッセージアプリやデジタル署名など、多くの技術が暗号化の技術によって支えられています。

特に近年ではますます暗号化技術の重要性が増しており、システム開発に携わるエンジニアにとっては暗号化の基礎知識は理解必須です。このページではその第１歩として共通鍵暗号方式と公開鍵暗号方式の仕組みについて初心者向けにわかりやすくご説明します。

特徴	共通鍵暗号方式	公開鍵暗号方式
鍵の使用	同じ鍵を使用	異なる鍵を使用
処理速度	高速	遅い
鍵の管理	鍵の配送と管理が難しい	公開鍵の配布が容易
用途	大量データの暗号化、VPN、無線LAN	鍵交換、電子署名、SSL/TLS
代表的な暗号方式	AES、DES、3DES	RSA、ECC、DSA

共通鍵暗号方式とは？
1. 共通鍵暗号方式のメリット
2. 共通鍵暗号方式のデメリット
公開鍵暗号方式とは？
1. 公開鍵暗号方式のメリット
2. 公開鍵暗号方式のデメリット
デジタル署名の仕組み
1. デジタル署名の仕組みをわかりやすく

共通鍵暗号方式とは？

まずは簡単な方から。共通鍵暗号方式は「あいことば」のようなものです。

図１：共通鍵暗号方式

共通鍵暗号方式は、同じ鍵を使ってデータを暗号化しその鍵を使ってデータを復号する方法です。これは友達と秘密のメッセージを交換するとき、あらかじめ合言葉を決めておくようなもので、この合言葉が共通鍵にあたります。メッセージを送るとき、送り手はこの合言葉を使ってメッセージを暗号化。受け取り手は同じ合言葉を使ってメッセージを解読します。

ポイント　共通鍵暗号方式

同じ鍵を使用: 暗号化と復号に同じ合言葉（＝共通鍵）を利用する。
高速処理: すぐに暗号化・復号できるので、大量のデータを扱うのに向いている。
鍵の管理が重要: 共通鍵が漏れないようにする必要がある。合言葉が第三者に知られてしまうと、メッセージが解読されてしまいます。

共通鍵暗号方式のメリット

高速な暗号化・復号化
- 共通鍵暗号方式は対称鍵暗号方式とも呼ばれ、非対称鍵暗号方式（公開鍵暗号方式）に比べて処理速度が速い。大容量データの暗号化に適しています。
実装が比較的簡単
- 暗号化と復号化に同じ鍵を使用するため、アルゴリズムの実装が比較的簡単であり、リソースが限られた環境でも利用しやすいです。
効率的な通信
- 一度共通鍵を共有すれば、通信相手とのデータ交換が効率的に行えます。これにより、リアルタイムの通信にも適しています。

共通鍵暗号方式は、暗号化・復号化に同じ鍵を利用するため、感覚的にイメージがしやすい＆実装も比較的簡単にできるというのが大きなメリットです。

共通鍵暗号方式のデメリット

鍵の管理が困難
- 共通鍵を安全に配布し、管理することが比較的難しい。特に多人数間で鍵を共有する場合、鍵の漏洩リスクが高まります。
鍵の配布問題
- 共通鍵を安全に送信するための方法が必要です。初期の鍵交換時に安全な通信手段が求められ、これが実現されないと鍵が盗まれるリスクがあります。
スケーラビリティの問題
- 多くのユーザーがいる場合、それぞれのペアで異なる共通鍵を使う必要があるため、鍵の数が膨大になり管理が複雑化します。

同じ鍵をつかう（＝あいことばを使う）という性質上、その「あいことば」を広く一般的に共有してしまうとそもそもの暗号化する意味というものが薄れてしまいます。これを避けるためには、相手によって鍵（＝あいことば）を使い分ける必要があるのですが、誰とどの鍵を共有しているのか？を管理するということが難しくなってくるというのが共通鍵暗号方式のデメリットの１つ。

また、共通鍵を相手と共有する手段も考慮する必要があります。この共有手順で仮に盗聴が発生してしまうとすると、いくら相手と秘密の通信を行ったとしても意味がありません。

パスワード漏洩が発生してしまうと、途端に通信の秘匿性・データの機密性保持が崩れてしまうというのがポイントです。

公開鍵暗号方式とは？

公開鍵暗号方式（Public Key Cryptography）は、暗号化と復号化に異なる鍵を使用する暗号技術です。この方式では、2つの鍵、「公開鍵」と「秘密鍵」を用います。

図2：公開鍵暗号方式

ポイント　公開鍵暗号方式の仕組み

鍵の生成: 一対の公開鍵と秘密鍵を生成する。
公開鍵の配布: 公開鍵は広く公開され、誰でもアクセスできるようにしておく。
データの暗号化: 送信者は受信者の公開鍵を使用してデータを暗号化する。
データの復号化: 受信者は自身の秘密鍵を使用して暗号化されたデータを復号する。

公開鍵で暗号化されたデータは、対応する秘密鍵でのみ復号化することができるため、通信の機密性が保たれます。また、秘密鍵を使用してデータに署名することで、公開鍵で署名を検証し、送信者の認証も可能になります。

公開鍵と秘密鍵の関係を、南京錠とその鍵に例えてみます。

南京錠（公開鍵）と鍵（秘密鍵）
- 公開鍵は、誰でも使える南京錠のようなものです。
- 秘密鍵は、その南京錠を開けるための鍵で、これは持ち主だけが持っています。
南京錠の配布
- あなたは、特別な南京錠（公開鍵）をたくさん用意して、友達に配ります。友達は誰でもこの南京錠を使うことができます。
データの暗号化
- 友達があなたに秘密のメッセージを送りたいとします。その友達は、メッセージを箱に入れ、南京錠（公開鍵）で箱をロックします。
- この状態では、南京錠を開ける鍵（秘密鍵）がなければ誰も箱を開けることができません。
データの復号化:
- あなたは、自分だけが持っている鍵（秘密鍵）を使って南京錠を開け、箱の中のメッセージを取り出します。

要するに、公開鍵は誰でも使える鍵で、データを暗号化するために用いるもの。秘密鍵は持ち主だけが持つ鍵で、暗号化されたデータを復号化するために使います。

図3：公開鍵

この仕組みによって、公開鍵を使って暗号化されたメッセージは、対応する秘密鍵を持つ人だけが復号化して読むことができるため、データの安全性が保たれます。

公開鍵暗号方式のメリット

安全な鍵交換:
- 公開鍵暗号方式では、公開鍵を広く公開しても安全なので、事前に安全なチャネルを使って鍵を共有する必要がありません。秘密鍵は自分だけが持っており、公開鍵で暗号化されたメッセージは秘密鍵でしか復号化できません。
非対称性の利点:
- 公開鍵と秘密鍵の組み合わせにより、一方の鍵が漏洩しても、もう一方の鍵の安全性が保たれます。特に、秘密鍵の保護が重要であり、公開鍵は広く配布できます。
拡張性:
- 公開鍵暗号方式は、大規模なシステムでの利用に適しています。各ユーザーが自分の公開鍵を配布するだけで、安全な通信が可能です。

公開鍵暗号方式では、復号化するための秘密鍵を誰にも共有する必要がないので非常に安全です。公開鍵が世界中に公開されたとしても、あなたしか知らない秘密鍵を外に持ち出さなければセキュリティリスクは発生しえません。

公開鍵暗号方式のデメリット

計算コストの高さ
- 公開鍵暗号方式は、共通鍵暗号方式に比べて計算コストが高く、処理が遅い。大規模なデータの暗号化には不向き。
鍵の長さ:
- 高い安全性を確保するためには、長い鍵が必要です。これにより、データの処理時間やリソース消費が増加します。
初期設定の複雑さ:
- 公開鍵と秘密鍵の生成、管理、配布のプロセスが複雑です。適切に管理しないと、セキュリティリスクが発生する可能性があります。
信頼の基盤:
- 公開鍵の信頼性を確保するために、公開鍵インフラストラクチャ（PKI）や認証局（CA）が必要です。これには追加のコストと運用の手間がかかります。

公開鍵暗号方式は、安全な鍵交換と認証を提供する強力なツールですが、計算コストの高さや複雑な鍵管理がデメリットとなります。これらのメリットとデメリットを理解し、適切なシステムに応じて公開鍵暗号方式を選択することが重要です。

デジタル署名の仕組み

実は、公開鍵暗号方式には２つの主要な用途があります。これまでの説明は以下１に該当するのですが、もう１つ重要な用途にデジタル署名があります。

暗号化：南京錠（公開鍵）でデータを暗号化し、秘密鍵でデータを復号化する。
デジタル署名（認証）：秘密鍵でデータに署名し、公開鍵で署名を検証する。

１と２は南京錠と鍵の関係が逆になっている、と考えればわかりやすいです。

図4：デジタル署名の原理

デジタル署名の仕組みをわかりやすく

秘密鍵（署名するための南京錠）と公開鍵（署名を検証するための南京錠の鍵）:
- 秘密鍵は署名するための南京錠です。送信者がこの南京錠を使ってメッセージに署名します。
- 公開鍵はその南京錠を開けるための鍵です。受信者はこの鍵を使って署名を検証します。
手順:
- あなたはメッセージを送るとき、自分の秘密鍵（南京錠）を使ってメッセージに署名します。この署名は、南京錠を使ってメッセージをロックするイメージ。
- 受信者はあなたの公開鍵（南京錠の鍵）を使って署名を検証します。この検証は、南京錠を開けるようなもので、メッセージがあなたから送られたものであることを確認できます。

要するに鍵を公開しておくというのがポイント。南京錠（＝秘密鍵）でロックできるのは自分だけという状態を作っておくことで、受信者は確かにあなたから送信されたものですね！ということを確認できるようになるわけです。仮に、鍵をあけることができなければ、偽の送信者から送信されているということになるので、これでセキュリティが強化されることになります。

まとめ　共通鍵暗号方式と公開鍵暗号方式

特徴	共通鍵暗号方式	公開鍵暗号方式（暗号化）	公開鍵暗号方式（認証：デジタル署名）
鍵の数	1つの共通鍵	2つの鍵（公開鍵と秘密鍵）	2つの鍵（公開鍵と秘密鍵）
鍵の生成	送信者と受信者が共通の鍵を生成・共有	公開鍵と秘密鍵のペアを生成	公開鍵と秘密鍵のペアを生成
鍵の共有	鍵を安全に共有する必要がある	公開鍵は公開し、秘密鍵は秘密に保持	公開鍵は公開し、秘密鍵は秘密に保持
データの暗号化	共通鍵でデータを暗号化	受信者の公開鍵でデータを暗号化
データの復号化	共通鍵でデータを復号化	受信者が自分の秘密鍵でデータを復号化
署名の生成			送信者がデータのハッシュ値を秘密鍵で暗号化
署名の検証			受信者が送信者の公開鍵で署名を検証

DMZとは何か？ – 初心者のためのネットワークセキュリティ基礎

ビズドットオンライン — Tue, 09 Jan 2024 09:45:10 +0000

DMZ（DeMilitarized Zone：非武装地帯）とは、インターネットと内部ネットワークの間に設置される保護層のことで、外部からの不正アクセスを防ぎつつ、必要な通信を許可するためのセキュリティの仕組み。DMZはインターネットの急速な進化とともに、個人や企業のデータを守る上で不可欠な要素となっており、ネットワークエンジニアを目指す方であれば必要不可欠な基本知識です。

この記事では、DMZがどのように機能し、ネットワークセキュリティにおいてなぜ重要なのかを、初心者の方にもわかりやすくご説明します。

サイバー攻撃、データ漏洩、その他のオンライン脅威からの保護を目的として、DMZは重要な役割を担っています。

この記事を通じて、DMZの基礎知識を身につけ、より安全なデジタル環境を構築するための理解を深めていきましょう！

このページで学べる内容

DMZの基本
DMZの構成要素
DMZの利点とリスク
実践例

ネットワークエンジニアを目指す方であれば知らないと恥ずかしい超・基本知識の１つです。是非最後までご覧ください。

DMZとは？
DMZの利点とリスク

DMZとは？

DMZ（非武装地帯）とは、ネットワークセキュリティの世界で用いられる重要な概念です。 DMZは、「Demilitarized Zone」の略で、文字通り「非武装地帯」という意味を持ちます。ネットワークの文脈でこの言葉を使用する際、インターネットや他の不信頼なネットワークと信頼される内部ネットワーク（例えば、企業ネットワーク）の間に位置する安全な領域を指します。

図1：DMZとは何か？

DMZの主な目的は、セキュリティリスクを最小限に抑えながら、インターネットからのアクセスが必要なサービス（例えば、Webサーバーやメールサーバー）をホストすることです。このようなサービスをDMZに配置することで、万が一サーバーが攻撃された場合でも、攻撃者が内部ネットワークへアクセスするのを困難にします。

図2：DMZの役割

ポイント　基本的なネットワーク構成例

外部ファイアウォール: 最初のファイアウォールは、インターネットからの不正アクセスを防ぐために設置されます。このファイアウォールは、外部ネットワーク（インターネット）とDMZの間に位置します。
DMZネットワーク: DMZ内には、外部からのアクセスが必要なサーバーが配置されます。例えば、ウェブサーバーやメールサーバーがこれに該当します。これらのサーバーは外部のユーザーにサービスを提供しながら、内部ネットワークにはアクセスされないように隔離されています。
内部ファイアウォール: 二つ目のファイアウォールは、DMZと内部ネットワーク（例えば、企業の主要ネットワーク）の間に設置されます。このファイアウォールは、DMZからの不正アクセスを内部ネットワークに侵入させないためのものです。
内部ネットワーク: 内部ネットワークは、企業の重要なデータやシステムが含まれている領域です。この領域は、二重のファイアウォールによって保護されており、セキュリティリスクが最小限に抑えられています。

参考　ファイアウォールとは？

DMZは特に企業や大規模な組織で一般的に見られるセキュリティの仕組みで、インターネットへの露出が必要なサービスを内部ネットワークから物理的に分離することで、セキュリティを強化し、潜在的な攻撃から企業の貴重なリソースを守ることができます。また、DMZの設計には様々なアプローチがあり、それぞれの組織のニーズやセキュリティ要件に合わせてカスタマイズすることが可能です。

ポイント　DMZの構築ステップ（超・概要）

Webサーバーとメールサーバーの配置: 企業は通常、Webサイトやメールサーバーをインターネットに公開する必要があります。（公開しないともちろんインターネット通信を行うことはできません。）これらのサービスはDMZ内に配置され、インターネットからの直接的なアクセスを受け付けます。こうすることで、もしサーバーが攻撃されたとしても、内部ネットワークは保護されます。
ファイアウォールの設定: 企業のネットワークエンジニアは、DMZを保護するために2つのファイアウォールを設定します。外部ファイアウォールはインターネットからのアクセスを制御し、内部ファイアウォールはDMZから内部ネットワークへのアクセスを制御します。
セキュリティポリシーの実施: DMZ内のサーバーは、定期的なセキュリティ更新とパッチ適用を受けます。また、企業はDMZ内での活動を監視し、不審なトラフィックや不正アクセスを検出するためのシステムを導入します。
災害復旧計画の一部としてのDMZ: 企業は、DMZを災害復旧計画の一環として利用することもあります。例えば、内部ネットワークがダウンした際にも、DMZ内のサーバーを通じて基本的なビジネス機能を維持することができます。

DMZの利点とリスク

DMZの導入は、ネットワークセキュリティを大幅に強化することができますが、それには一定のリスクも伴います。

ここでは、DMZを利用することの主な利点とリスクについて説明します。

利点

セキュリティの向上: DMZは、不正アクセスから内部ネットワークを保護する重要な層です。外部からのアクセスはDMZを通じて処理されるため、直接内部ネットワークに影響を与えることが難しくなります。
サービスの分離: DMZにサーバーを配置することで、インターネットに公開されるサービスと内部ネットワークを物理的に分離できます。これにより、サーバーが侵害された場合でも内部ネットワークへの影響を最小限に抑えることができます。
監視と管理の効率化: DMZを設置することで、ネットワークの監視ポイントが明確になり、セキュリティの管理と監視が効率的に行えます。

リスク

複雑な設定と管理: DMZの設計と管理は複雑であり、適切な知識とスキルが必要です。不適切な設定はセキュリティホールを生じさせる可能性があります。
追加のコスト: DMZを設置するには、追加のハードウェア（例えば、ファイアウォール、サーバー）とメンテナンスが必要です。これは、特に小規模な組織にとっては大きなコスト負担となることがあります。
セキュリティの誤解: DMZを導入することで万全のセキュリティが保証されるわけではありません。依然として、内部のセキュリティ対策も継続的に行う必要があります。

まとめ　DMZとは何か？

定義: DMZは、「Demilitarized Zone」の略で、ネットワークセキュリティにおける「非武装地帯」を指す。
目的: インターネットと内部ネットワークの間に位置する保護層であり、外部からの不正アクセスを防ぎつつ、必要な通信を許可するために設計される。
機能: 外部の脅威から内部ネットワークを保護し、インターネットに公開されるサービス（例: ウェブサーバー、メールサーバー）をホストする。
配置: 通常、DMZは2つのファイアウォールによって保護される。１つは外部ネットワークからのアクセスを制御し、もう１つは内部ネットワークへのアクセスを制御する。
利点: DMZの設置により、セキュリティが強化され、内部ネットワークへの直接的な攻撃リスクが減少する。

ネットワーク学習の決定版（ネットワークエンジニアを目指すなら必見！）

マスタリングTCP/IP　入門編（第6版）

インターネットのプロトコルTCP/IP入門書の決定版!

Amazon

楽天

↑ページ数が多く誰でも手軽に読める内容ではありませんが、ネットワークエンジニアであれば、ほぼ全員が一度は読んだことがある超・有料書籍。是非一度読破しておきたい１冊のご紹介です。

読者特典＞　0から学ぶネットワーク入門

侵入検知システム（IDS）/侵入防御システム（IPS）とは？1分でおさらい

ビズドットオンライン — Tue, 09 Jan 2024 06:52:03 +0000

侵入検知システム（IDS）と侵入防御システム（IPS）について１分で解説します。

ポイント　①IDSは攻撃を検出　②IPSは攻撃を阻止

インターネットのセキュリティ脅威は日々進化しており、企業や個人のデータを保護することがこれまで以上に重要になっています。このような背景の中で、侵入検知システム（IDS）と侵入防御システム（IPS）は、ネットワークセキュリティの不可欠な要素となっています。特に、大企業などのシステム構築を行う際にはこれらの知識が必須となる場合が多いです。

このページでは、IDSとIPSとは何か？両者はどのように機能するか？具体的な製品概要を端的に解説します。

このページで学べる内容

IDS（侵入検知システム）について
- IDSの基本的な役割と機能。
- 異なるタイプのIDS（ネットワークベース、ホストベース）とその動作の違い。
IPS（侵入防御システム）について
- IPSの基本的な役割と機能。
- IDSとの違いと、なぜ両方が必要なのか。

ネットワークエンジニアを目指す方であれば知らないと恥ずかしい超・基本知識です。是非最後までご覧ください。

IDS（侵入検知システム）とは？
1. IDSの種類
IPS（侵入防御システム）について
1. IPSの機能
2. IPSの種類
代表的なIDS/IPS製品
1. IDS/IPSの導入ステップ

IDS（侵入検知システム）とは？

IDS（侵入検知システム）とは、不正なアクセスや異常なトラフィックパターンを検知するシステムのことです。

ザックリいえば、不審な通信を見つけるためのシステム・ツールだと理解すればOK。

IDSの主な目的は、セキュリティ侵害の徴候や不審な活動を検出し、それを管理者に通知すること。ネットワーク内の通信を監視し、既知の攻撃パターンや異常な振る舞いを持つトラフィックを検出しアラートを発することで、セキュリティチームへ対応の開始を知らせることを目的としています。

IDSの種類

IDSには主に２つのタイプがあります。

ネットワークベースのIDS (NIDS)
- NIDSは、ネットワーク全体を監視し、データパケットを解析して異常を検出。
- 主に、企業や組織のネットワークゲートウェイで使用される。
ホストベースのIDS (HIDS)
- HIDSは、特定のデバイスやサーバー上で動作し、そのシステム内の活動を監視。
- システムファイルやログの変更を追跡し、異常な挙動を検出。

IPS（侵入防御システム）について

侵入防御システム（IPS）は、不正なアクセスや攻撃からネットワークを守る役割を果たします。

IDS（侵入検知システム）が異常を検出する役割を担う一方で、IPSはその一歩先、検出された脅威に対して積極的に介入し、攻撃を阻止する役割を持っています。

IPSは、不正なトラフィックを検知した際に、それを遮断または修正することで、ネットワークへの侵入を防ぎます。このシステムは、IDSによって検出された脅威を分析し、自動的に応答することで、セキュリティ侵害のリスクを減らします。IPSは、潜在的な攻撃を即座に阻止することで、データの損失やシステムへの被害を未然に防ぎます。

IPSの機能

IPSの主な機能は以下の通りです：

トラフィックの監視と分析
- ネットワークトラフィックをリアルタイムで監視し、異常なパターンや既知の攻撃シグネチャを検出。
攻撃の阻止
- 検出された攻撃や不審なトラフィックを自動的に遮断し、ネットワークを保護。
レポートと通知：
- セキュリティ侵害の試みに関する詳細なレポートを生成し、管理者に通知。

IPSの種類

IPSには、主に以下の二つのタイプがあります。

ネットワークベースのIPS (NIPS)
- NIPSはネットワークトラフィック全体を監視し、異常を検出した場合に対処。
ホストベースのIPS (HIPS)
- HIPSは特定のデバイスやサーバー上で動作し、そのシステム固有の脅威に対処。

IPSは、サイバーセキュリティの戦略において不可欠な要素です。攻撃者がますます巧妙になる中で、IDSと組み合わせて使用することで、組織のデジタル資産を守るための強固な防御線を提供します。

代表的なIDS/IPS製品

ここでは代表的なIDS/IPS製品をご紹介しつつ、IDS/IPS製品が何者かをちょっとだけ具体的に解説していきます。

製品名	種類	特徴
Cisco Firepower	IDS/IPS	高度な脅威分析、統合された防御機能を提供。広範囲のネットワークに対応。
Palo Alto Networks	IDS/IPS	次世代ファイアウォール機能を含む、包括的なセキュリティソリューション。
Check Point Software	IDS/IPS	簡単な管理と柔軟な配置オプションを提供。効率的なセキュリティ管理。
Fortinet FortiGate	IDS/IPS	高速な処理能力とAIによる脅威分析機能。中小企業から大企業まで対応。
Snort	IDS	オープンソースで、カスタマイズ可能。広範なユーザーコミュニティ。

IDS/IPSの導入ステップ

インストールと配置：
- IDS/IPSを適切なハードウェアにインストールします。これは、企業のネットワークアーキテクチャによって異なりますが、通常、ネットワークの戦略的なポイント（たとえば、ファイアウォールの後ろや重要なサーバーの前）に設置されます。
ネットワークの設定：
- IDS/IPSは、監視するネットワークセグメントやデバイスを正確に認識できるように設定する必要があります。これには、IPアドレス範囲、サブネット、および重要なエンドポイントの情報が含まれます。
ポリシーとルールの設定：
- IDS/IPSシステムには、特定の脅威や異常行動を検出するためのポリシーとルールを設定します。これには、既知の攻撃シグネチャ、異常なトラフィックパターン、不審なアクティビティなどが含まれます。
アラートと通知の設定：
- 管理者やセキュリティチームが迅速に対応できるように、アラートと通知の設定を行います。これには、アラートの重大度、通知方法（メール、SMS、ダッシュボード上のポップアップなど）、および対応プロトコルが含まれます。
テストと調整：
- システムの運用を開始する前に、設定をテストし、必要に応じて調整します。これは、誤検知（False Positives）や見逃し（False Negatives）を最小限に抑えるために重要です。
継続的な更新とメンテナンス：
- サイバー脅威は常に進化しているため、IDS/IPSシステムのソフトウェアを定期的に更新し、ルールセットを最新の脅威情報に基づいて維持することが不可欠です。

まとめ　IDS/IPSとは？

侵入検知システム（IDS）

目的：ネットワークやシステムへの不正なアクセスや攻撃を検出する。

主な種類：

ネットワークベースのIDS：ネットワークトラフィックを監視し、異常を検出。
ホストベースのIDS：個々のデバイス上で動作し、システムログや活動を監視。

検出方法：

シグネチャベース：既知の攻撃パターンと比較して検出。
異常ベース：通常の振る舞いからの逸脱を検出。

利点：不正アクセスを早期に検出し、警告を発することで対応時間を確保。

課題：誤検知の可能性、新しいタイプの攻撃の検出が難しいこと。

侵入防御システム（IPS）

目的：攻撃を検出し、自動的に阻止する。

種類：

ネットワークベースのIPS：ネットワークレベルで攻撃を阻止。
ホストベースのIPS：個々のデバイス上で動作し、攻撃を阻止。

機能：

アクティブ防御：攻撃をリアルタイムで検出し、自動的にブロック。
トラフィックの正規化：異常なトラフィックパターンを修正または拒否。

利点：攻撃の自動阻止により、セキュリティの迅速な強化を実現。

課題：誤検知による正当なトラフィックのブロック、パフォーマンスへの影響。

ネットワーク学習の決定版（ネットワークエンジニアを目指すなら必見！）

マスタリングTCP/IP　入門編（第6版）

インターネットのプロトコルTCP/IP入門書の決定版!

Amazon

楽天

読者特典＞　0から学ぶネットワーク入門

【SAP】権限 (ユーザ/ロール) の仕組みを3分でわかりやすく解説

ビズドットオンライン — Thu, 22 Jul 2021 12:00:00 +0000

このページでは、SAPにおける権限制御の基本的な仕組み（ユーザマスタ/ロール）を１からわかりやすく初心者向けに解説します。

ユーザ管理の仕方や権限オブジェクト/単体ロール・集合ロールの仕組みなど、SAP初心者にとっては聞きなれない用語が多く、きちんと理解できている人が実は少ないのがこの分野です。

このページでは、ユーザマスタの仕組み→権限制御の方式の順にSAPにおける権限の考え方をわかりやすく図解します。

このページで学べる内容

SAPにおける権限制御の仕組み
- ユーザ管理：ユーザマスタの基本
- 権限管理：単体ロール/集合ロールの基本
  - 権限オブジェクト
  - 権限項目
  - 権限プロファイル
権限制御の注意点/Tips

SAP：権限の考え方（ユーザ/ロール）
SAP：ユーザマスタとは？
SU01：ユーザマスタ登録/更新/削除
SAP：権限ロールとは？
単体ロール（単一ロール）と集合ロール
PFCG：権限ロールの設定
SAP / ABAPを１から学習したい方は

SAP：権限の考え方（ユーザ/ロール）

SAPの権限制御の仕組みはユーザマスタとロールの仕組みを理解できればOKです。

ユーザマスタとロール、この2つを設定することで例えば経理部の〇〇さんは「伝票登録」はできるけど「伝票削除」はできません―。といった権限制御が可能になります。

権限の設定（ユーザ/ロール）を誤ると、意図しない人が意図しない処理を行ってしまうなど会社全体への影響が出てしまうため注意が必要です。

まずは、SAPのユーザマスタについて１から解説します。

SAP：ユーザマスタとは？

ユーザマスタは、その名の通りSAPを利用するユーザに関する情報を一元的に管理したマスタです。

SAP：SU01―ユーザマスタ管理画面

氏名や職位、所属する部署の情報や連絡先など。個人に関する情報はすべてユーザマスタから確認することが可能です。後述するロールをユーザマスタ上で指定することにより、当該ユーザが利用できる機能や参照できるデータ範囲が決まります。

ユーザマスタレコードはSAPを利用する全ての人間に割り振られます。経理部門、総務部門など実際のSAPユーザはもちろん、SAP開発者・管理者もすべからくこのマスタで管理されます。ユーザマスタが存在しない場合はSAPを利用することはできません。

SU01：ユーザマスタ登録/更新/削除

SAPのユーザ管理はトランザクションコード：SU01から登録します。

この章ではユーザマスタの主な項目を簡単に解説します。

SAP：SU01―ユーザマスタ管理画面

ユーザマスタ①：アドレス

SU01：ユーザマスタのアドレスタブでは以下のような情報を設定できます。

SU01：ユーザマスタ

アドレスタブの主な項目

姓・名
職務・部署
電話番号・メールアドレス

主にそのユーザの基本情報を登録します。アドオン機能を開発していなければ、システム的にはあまり大きな意味を持たない項目が多く、最低限氏名だけを登録して運用している場合も多いです。

注意

アドオンタブは個人情報に該当します。そのため、ユーザマスタの管理を行う担当者は最新の注意を払う必要があります。

そのため、電話番号やメールアドレスなどはあえて登録せずに利用する場合も多く存在。

ただし、電話番号やメールアドレスを登録しておくことで運用担当者から直接ユーザに連絡することも可能となるなと便利な側面もあるので、ユーザマスタ管理については種々検討したうえでしっかりと運用ルールを定めておく必要があります。

ユーザマスタ②：Logon Data

SU01：ユーザマスタのLogon Data タブでは、SAPへログオンする場合のパスワードや、ユーザの有効期限を管理しています。

SU01：ユーザマスタ

ログオンデータタブの主な項目

パスワード
有効期限
ユーザタイプ（ダイアログユーザ/システムユーザ等）

SAPにログオンする際の基本設定を行う項目です。SAPでは通常5回パスワードを間違えるとユーザがロック（＝ログオン不可）されてしまいますが、このタブからパスワードの変更やロックの解除を行うことができます。

SAPの運用が開始されるとパスワード誤りによるユーザロックは非常に多くなります。そのため、このLogon Dataタブを頻繁に利用することになるでしょう。

ユーザタイプ

ユーザタイプは以下の5種類から選択します。基本的には、ダイアログユーザ/システムユーザのどちらかを利用することが一般的です。

ユーザタイプ

ダイアログユーザ
システムユーザ
通信（RFC）ユーザ
サービスユーザ
参照ユーザ

一般のユーザはダイアログユーザを選択します。ダイアログユーザは、SAP GUIを利用してSAPを操作できるユーザを指します。

一方で例えば定期ジョブを実行するためのユーザを登録する場合はシステムユーザを選択します。

システムユーザの場合は、SAP GUIを利用することができなかったり、多重ログオンが許可されるなど様々な違いがあります。

ユーザマスタ③：SNC

SU01：ユーザマスタのSNCタブは、セキュアネットワーク通信 (SNC) を利用してSAPへシングルサインオンする際の設定を行うタブです。

ユーザマスタ④：デフォルト

SU01：ユーザマスタのデフォルトタブでは、主に以下のような設定を行うことができます。

SU01：ユーザマスタ

デフォルトタブの主な項目

デフォルトのログオン言語
数値の書式設定
日付の書式設定

帳票印刷などを行う際には、実はこのデフォルトタブの設定を参照する場合が多くあります。例えば日付で言えば「DD/MM/YYYY」なのか？「MM/DD/YYYY」なのか？この設定が異なると帳票や一覧を印刷する際にも異なる印字がされます。

例えばFIモジュールの自動支払いデータの作成などではこのデフォルトタブの設定が参照されるので誤った設定をしてしまうとエラーが発生してしまうこともあるので注意が必要です。

ユーザマスタ④：パラメータ

SU01：ユーザマスタのパラメータタブでは、ユーザパラメータを管理します。

ユーザパラメータ

SAPのユーザパラメータとは、ユーザ単位で保持しておける変数のようなもの。

例えば画面の初期表示をする際に、プログラムでユーザパラメータを読み込みその値を初期値として表示したりすることができます。

パラメータID	説明	例
BUK	会社コード	1000
KOS	原価センタ	1000
HNA	管理会計グループ	9000

主なユーザパラメータ

アドオンでユーザパラメータを追加することもできます。このユーザパラメータを参照して、アドオンで権限の制御を行ったりすることも可能です。

SU01：ユーザマスタのまとめ

ユーザマスタはSAPを利用するユーザに関する情報を一元的に管理したマスタ
ユーザマスタが存在しない場合はSAPを利用することはできない
SAPのユーザ管理はトランザクションコード：SU01から行う

続いては、ロールの仕組みについての解説に移ります。

SAP：権限ロールとは？

権限ロールとは、SAPで利用することができる機能や参照できるデータ範囲をまとめたものです。

例えば経理部ロールを作成する場合には、会計伝票の登録などを利用できるように設定しておきます。そして、このロールをユーザに紐づけることで、ロールを割り当てられたユーザが会計伝票の登録を行えるようにするという仕組みです。

ユーザマスタを登録しても何のロールも割り当たっていない場合は、SAPのどの機能を利用することもできません・・・。

ユーザマスタの登録とロールの登録は両方を適切に行うことが重要です。

単体ロール（単一ロール）と集合ロール

SAPの権限ロールは単体ロールと集合ロールの２つに大別されます。それぞれの関係を示したのが以下の図です。

簡単に言えば親子関係にあるのが単体ロールと集合ロールです。

ユーザには単体ロールと集合ロールのどちらも割り当てることが可能ですが、基本的には集合ロールを割り当てることが一般的です。

実際の設定内容を含めて、単体ロールと集合ロールの関係/ユーザマスタとの関係を表すと以下のような形になります。

単体ロールとしてどのような機能を利用できるのか？をまとめ、各集合ロールには単体ロールを割り当てていきます。この際、単体ロールは複数の集合ロールに割り当てることが可能です。

以上を踏まえて、実際に権限ロールを登録していく方法を解説します。

PFCG：権限ロールの設定

権限ロールの設定はトランザクションコード：PFCGから行います。

PFCG：権限ロールの設定

主要な設定項目に絞って解説します。

権限ロール①：利用可能メニュー（トランザクションコード）の設定

その権限ロールを割り当てられたユーザがSAP GUIにログオンした際に画面上に表示されるトランザクションの一覧を定義することができます。

SAPのメニューをそのまま利用するとメニューが膨大な数となってしまうため、そのロールで必要とされるトランザクションコードだけを指定することでユーザビリティが向上します。

トランザクション追加後の作業

次の章でも解説しますが、ここで追加したトランザクションコードはあくまでも「メニューを定義しているだけ」なので、まだそのトランザクションコードを利用することはできません（＝トランザクションコードを利用する権限は与えられていません）。

そのため、以下のような作業が必要となります。

権限プロファイルの生成

ステップ①：権限タブの「権限データ変更」をクリック
ステップ②：利用可能としたトランザクションコードに基づき自動的に権限が提案される
ステップ③：権限を設定する
ステップ④：権限プロファイルの生成

権限ロール②：権限オブジェクトの設定

権限オブジェクトとはSAPにおける権限制御の最小単位で、簡単に言えば「処理の単位」です。

具体的な権限オブジェクトの例を見たほうが理解が進むと思いますので、以下に権限オブジェクトのサンプルを例示します。

権限オブジェクトの例

S_GUI
→GUI アクティビティの権限
S_DATASET
→ファイルアクセス権限
S_USER_GRP
→ユーザマスタ管理：ユーザグループ
G_GLTP
→特別目的元帳

これらの権限オブジェクトを単体ロールに割り当てることによって、ファイルアクセス権限やユーザマスタ管理権限が付与される仕組みです。

権限オブジェクトとは

権限オブジェクトは利用可能トランザクションコードから自動的に生成することができますが、マニュアル登録もできます。

RFCでSAPを利用する場合など（SAPの画面は利用しないが、SAPの機能を利用する場合）などにマニュアルで権限オブジェクトを生成します。

権限ロール③：権限項目

権限項目とは、権限オブジェクト（＝処理内容）をさらに細かく指定できる項目のことです。

権限項目

権限オブジェクト　⇒　「G_GLTP」特別目的元帳データベース

権限項目　　　　　⇒　「ACTVT」アクティビティ

設定内容　　　　　⇒　「02：変更」「03：照会」

上記のように権限項目を設定することで、特別目的元帳に対する変更・照会処理が行えるようになります。

権限項目は権限オブジェクトの種類によって内容は異なります。「ACTVT（＝処理の種類）」などはメジャーな権限項目ですが、例えばファイルアクセス権限オブジェクトの「S_DATASET」には「FILENAME（＝どのファイルを編集できるか？）」といったものもあります。

このようにSAPでは非常に細かい権限制御を行うことができるというメリットがあります。

権限ロール④：権限プロファイル

権限プロファイルとは、権限オブジェクトから生成される権限の実態です。

上記のように説明されてしまうと分かりづらいですが「システムが理解しやすいようにした裏側の情報」と理解していればOKです。

よくある落とし穴として、権限オブジェクトを変更したのに利用できる機能が変わらない・・・！といったミスがあります。

これは権限オブジェクト変更後の「権限プロファイルの生成」を行っていないことが主な理由です。権限修正後は必ず権限プロファイルの生成を行うことを忘れないようにしましょう。

ちなみに、権限オブジェクトではなく権限プロファイルを直接修正することも可能です。権限プロファイルを直接修正することでユーザに割り当てる権限の内容を変更可能。

ただし、この方法はSAP社が公式に推奨しておらずかえって思わぬバグを生んでしまう可能性があるため十分注意しましょう。

権限のまとめ

権限は権限項目→権限オブジェクト→単体ロール→集合ロールという階層構造をとる
単体ロールまたは集合ロールをユーザに割り当てることで権限制御を実現する

アドオンプログラムでも権限項目や権限オブジェクトの基本知識は必須です。以下の記事ではABAPで権限チェックを行う方法や仕組みを詳しく解説しておりますので、ABAPerを目指す方は是非合わせて学習しておきましょう！

【ABAP】AUTHORITY-CHECK命令→SAPの権限チェックを３分で

【初心者でも３分で理解できます】SAPにおける権限チェック命令「AUTHORITY-CHECK」を１からわかりやすく解説します。権限の仕組みからサンプルコードまで網羅的にご説明しています。

SAP / ABAPを１から学習したい方は

SAP / ABAPを１から学習したい初心者の方向けに、できるだけ網羅的にABAPが理解できるよう以下ページに知識体系を整理しています。

ABAPとは？―初心者向け/勉強法【５０記事で解説】基礎編

【ABAP入門】SAPを構成するプログラミング言語―ABAP（あばっぷ）の勉強方法を初心者向けに１つのページにまとめました。基本的な構文ルールから、内部テーブルの利用、システム項目まで！このページを理解すれば、簡単な機能の実装が可能になります。【豊富なサンプルコード付き】

特に初心者のうちは、どこから学べばよいか？どう勉強すれば良いか？すらわからない状態になりがち。

ある程度の知識を持ったうえで、はじめて実践的な理解へとつながります。