情報セキュリティ 第 02 回
大久保誠也 静岡県立大学経営情報学部
2/42
はじめに
情報セキュリティの目的
種々の脅威
演習
3/42
情報セキュリティの目的
4/42
何を思い浮かべますか?
5/42
情報セキュリティとは何か
代表的なのは、以下の事柄を保つことです。
完全性:
情報が完全な形で保たれていること
機密性:
必要のある人以外に、情報がわたらないこと
可用性:
必要なときに、情報が利用出来ること かなり広い概念です
6/42
完全性とは
以下の事柄を保つことです。
完全性:
情報が完全な形で保たれていること
あれれ?
欲しい情報が 変わってしまって いるような……
7/42
Web サイトのクラック
8/42
機密性とは
以下の事柄を保つことです。
秘密性:
必要のある人以外に、情報がわたらないこと あの会社から
情報を盗んでやろう……
9/42
情報流出
10/42
可用性とは
以下の事柄を保つことです。
可用性:
必要なときに、情報が利用出来ること この肝心なときに
情報が利用できない!?
11/42
サイトのダウン
12/42
情報セキュリティのまとめ
完全性、機密性、可用性を保つこと。
技術で防ぐことができることと、できないことがある。
人的な原因で問題が発生することも多い。
ネットワーク社会になり、問題が発生しやすく。
ウイルスの様に、完全性、機密性、可用性すべてに影 響を与えるような原因も!
適切な情報を集めて、対応することが重要。
13/42
種々の脅威とその対策
14/42
脅威とは
情報セキュリティを脅かすものを「脅威」と言 います。
この世の中には、多くの「脅威」が存在してい ます。
「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。
15/42
例:登録したサイトから漏れる
個人情報を提供した会社や店舗から漏れていく
「個人情報漏洩事件」で検索
「個人情報 過去5年」で検索
「米Yahoo 漏洩」で検索
自分の個人情報を誰が持っているのか、
事故が起きたとき、自分の個人情報も漏れていないか、
確認できるように。
16/42
ウイルス
コンピュータに被害をもたらす不正なプログラム
ネットワークやUSBメモリ等から進入 データが変わってる?
変な動作をするぞ?
ウイルス対策ソフトのインストールが一般的
ウイルス対策ソフトは、ウイルスの侵入や活動を防 いでくれます。
定期的にアップデートすることを忘れずに。
ウイルスは、完全性・機密性・可用性のすべてに影響
17/42
セキュリティホール
セキュリティの穴/不具合
できてはいけないことができてしまう/されてしまう。
データが変わってる?
変な動作をするぞ?
セキュリティ ホール発見!
攻撃だ!
パッチを当てることで、穴を塞ぐことができます。
毎月出るので、アップデートすることを忘れずに。
セキュリティホールも、
完全性・機密性・可用性のすべてに影響 セキュリティーパッチを当てましょう
18/42
データが変わってる?
変な動作をするぞ?
セキュリティ ホール発見!
攻撃だ!
クラッキング
不正にシステムに侵入したり、データを改ざんしたりす る方法。
セキュリティパッチを当ててないシステムに侵入したり する。
19/42
クラックされた後:改竄
クラッキングされた後に行われる行為。
データを変更される。
Webサーバーをクラッキングされ、データを改ざんされ
る等。
「HP 改ざん」で検索してみましょう。
20/42
他にも 攻撃だ!
攻撃だ!
攻撃されてる!
苦情がきた... 苦情だ!
クラックされた後:攻撃
クラッキングされた後に行われる行為。
システムに不正侵入され、乗っ取られた後、他の計算 機への攻撃に利用される。
21/42
DoS攻撃だ! 処理が多すぎる
重いなぁ
DoS アタック
DoS攻撃(Denial of Service atack)は、攻撃を行うこ とで、対象となるシステムがサービスを続行することを 難しくする攻撃。
代表的なものとして、Webサーバーに大量のリクエス トを送る等(F5アタック)。
22/42
メールの盗聴
Hello World
Hello World Hello
World 送信 Bob
Alice
Hello World
Hello World
Eve 盗聴
A:>
Hello World
覗き見して やろう
メールは基本的に 平文なので、
盗聴し放題!
Aliceから メールが来た。
送信
重要な情報は メールしない
or 暗号化
23/42
パソコンの故障
データのバックアップや、計算機の冗長化等で 被害を防止できます。
故障や災害は、どうしても発生してしまいます パソコンから異音が!
火山が噴火して、
計算機が燃えた!
24/42
パスワードの管理
あれ?
これは...
覚えられない なぁ...
パスワードは適切に管理する
初期パスワードは必ず変更する。数ヵ月に1回パスワードの変 更を行う。
他人に教えたりしない。他人に推測されづらいこと(×誕生日)。
短いパスワードはダメ。英数文字と記号を組み合わせる等)。
紙などに記入するなどのメモを作らない
25/42
メールの誤送信
極秘
あれ?
これは...
極秘
送信 Bob
Alice あて先はきちんと確認する
あ!
送り間違えた!
26/42
パソコンの盗難
あれ? パソコンがない
しめしめ、
上手く盗めたぞ
重要な情報は持ち出さない。
持ち出したら目を離さない。
パソコンを外に持ち出て、物理的に盗まれることも 例:車上荒らし
パソコンは持ち出し禁止にする会社も。
27/42
トラッキング
ゴミから情報 もういらないや 入手!
物品を捨てるときは、その中に「重要な情報」が含まれていない かに注意する。
ハードディスク等は、OSの機能で削除していても、データを復元 できることも。
ゴミ箱等に廃棄された情報を回収、復元することで情 報を得ようとする手法。
情報はきちんと削除する
28/42
進入
建物や施設に物理的に侵入すること。
誰でも侵入できる施設の場合、他の人と一緒に入って しまう場合、関係者か否かが区別つきづらいとき等。
教職員も、県大 の名札を持って いたりする。
29/42
なりすまし
悪意のある人が、他の人になりすまして、不正に情報 にアクセスしたり、施設に侵入する方法。
パスワードが漏れたときとかに発生。
Alice
Mallory 自分の名前は
Aliceだよっと... あなたは
Aliceだね
30/42
キーロガー
計算機に悪意のあるプログラムを仕込んでお き、その計算機で入力されたキーを記録してお く手法。
入力されたキーがそのまま記録されるので、パ スワード等も漏れる。
31/42
スキミング
「銀行」「スキミング」をキーワードに検索してみ ましょう。
32/42
フィッシング詐欺:
信頼のある企業になりすまして、パスワード等の重 要な情報を盗み取ろうとする詐欺。
スパムメール
無差別に大量に広告メールを出すこと。また、その メール自体。
Active Mail にはスパムメールを判別する機能が 備わっています。
メールボム
メールを大量に送りつけてパンクさせる
その他の脅威 (1)
33/42
プログラム作成時に生じてしまうセキュリティホール
バッファオーバーフロー
SQLインジェクション
クロスサイトスクリプティング
ファイル共有ソフトでの機密情報流出
winnyによる事件が有名
対策:使わない 等々...
その他の脅威 (2)
34/42
脅威に備える
35/42
備えるために
技術的な面と人的な面がある。
機械は暗号化等の技術で守ることができる。
最新の技術や動向を知る
一方、人は技術では完全には守れない。
その行動は大丈夫か、常に意識して行動
故障や災害は、何時、どのようにして起きるかわから ない。
データのバックアップ、計算機を複数準備する等、
事前に備えておく
36/42
不正アクセス禁止法
正式名称[不正アクセス行為の禁止等に関する法律]
2000年に制定。
以下のような行為を取り締まる。
他人のパスワード等で計算機等を利用すること。
計算機のセキュリティホールを利用すること。
他社の不正行為を手助けすること。
管理者はきちんとした計算機管理をすることが求めら れる。
37/42
Alice
Bob
技術で守れるもの守れないもの
盗聴防止 改ざん防止
クラック防止 技術で守れる部分
技術範疇外
技術範疇外
技術で通信経路や計算機は守れる。
技術だけでは、人の行動は縛れない。
技術で ルールや
ポリシーで
38/42
この講義で扱うこと
情報セキュリティを維持するために...
技術的な側面
暗号化技術
種々の通信技術 等
人的な側面
情報倫理
情報セキュリティポリシー 等
39/42
演習:
情報流出の事例
40/42
セキュリティ的な事故のニュース
Googleで「情報流出 原因」で検索してみよう。
ニュースになる多くの事件は、「人」が「問題になる行 動」を起こした結果、生じてしまうことも多い。
41/42
次のことを調べ、レポートにまとめて提出する
「情報流出」「SQLインジェクション」等をキーワード に検索し、どのような事故があったか調べる。
ファイル名は学籍番号の末尾にbをつけたもの。
経情グループウェアから提出する。
課題と課題の提出
42/42
ハッカーとクラッカー
ニュース等だと同じような意味で使用されています が、本当は違う言葉です。
ハッカー:
すごいコンピュータ技術の利用が可能な人。
クラッカー:
ネットワークへの侵入や改ざん等の悪意を持った行為
(クラッキング)を行う人。
