質問
90年代のセキュリティ機能の実情を教えてください。 |
解答
いい質問ですね。 90年代は「セキュリティ機能が整備され始めたけれど、まだまだ脆弱」という過渡期でした。 インターネットの商用利用が広がり、攻撃や防御の両方が爆発的に進化した時代です。 1. OSレベルのセキュリティ * Windows系 * Windows 3.x(1990~1992):個人利用前提、マルチユーザやアクセス制御なし。 * Windows 95(1995):ネットワーク機能は強化されたが、セキュリティ機能は弱く、実質シングルユーザOS。 * Windows NT(1993):本格的なセキュリティ機構(ユーザごとのアクセス制御、NTFSのACL、ドメイン認証)を導入。 サーバ市場で普及。 * UNIX系 * 既に「ユーザ/グループ/その他」のパーミッション、`root` 権限、`chroot` などの基本的機構は完成していた。 * ただしネットワークサービス(telnet, ftp, rshなど)が 平文認証で使われており、盗聴が容易。 2. ネットワークと通信 * 暗号化は黎明期 * 1994〜1995:Netscape が SSL 1.0/2.0 を開発し、Webブラウザで暗号化通信(https://)が可能に。 * それ以前のWebやメールはほぼすべて平文通信。 * 認証の実情 * SMTP(メール送信)は認証なしで誰でも利用可能 → スパムメールの爆発的増加。 * telnetやftpもユーザ名+パスワードを平文で送信。 盗聴されれば即座にアカウント乗っ取り。 * SSHが1995年に登場し、徐々に置き換えが始まる。 * ファイアウォールの普及 * 1994年ごろから企業が導入。内部と外部を分離する意識が広まる。 * 当初は「パケットフィルタ型」、後に「アプリケーションゲートウェイ型」も登場。 3. ウイルス・マルウェア対策 * PCウイルスの大流行 * 感染経路:フロッピーディスク、添付ファイル、マクロ(Word/Excel)。 * 代表例:Michelangelo(1992)、Melissa(1999)。 * アンチウイルスソフトの普及 * McAfee、Symantec、Trend Micro などが商用ウイルス対策ソフトを一般PCに広める。 4. セキュリティ思想・標準化 * 暗号化アルゴリズムの標準化 * DES(1977)は90年代でも利用されていたが、脆弱性が指摘され始める。 * 1997年:AESコンペティション開始(2000年代に普及)。 * 公開鍵基盤(PKI)の発展 * 90年代後半、SSL証明書を発行する認証局(CA)がビジネス化。 * セキュリティ産業の立ち上がり * IDS(侵入検知システム)が商用化され、システム監視が広まる。 5. まとめ * 90年代は「インターネットの爆発的普及」と「セキュリティ対策の出遅れ」が同時に進行した時代。 * 実情としては: * 暗号化 → ほとんど未導入(後半からようやくSSL, SSH) * 認証 → パスワード平文送信が当たり前 * OS → Windowsは脆弱、UNIXは基礎はあるが運用に依存 * 攻撃 → ウイルス、ワーム、スパムが爆発的に拡大 * 防御 → アンチウイルス、ファイアウォール、IDSが普及開始 つまり「攻撃は急成長、防御はまだ未成熟で追いつかない」状態だった、といえます。 |
 |
 |
この記事へのコメント