1
情報セキュリティ 第11回
大久保誠也 静岡県立大学経営情報学部
2/48
はじめに
はじめに
脅威とは
ソフトウェア等のライセンス
演習3/48
種々の脅威とその対策
4/48
復習:
情報セキュリティの主要な要素
以下の事柄を保つことです。
完全性:情報が完全な形で保たれていること
機密性:必要のある人以外に、情報がわたらないこと
可用性:必要なときに、情報が利用出来ること
5/48
脅威とは
情報セキュリティを脅かすものを「脅威」と言 います。
この世の中には、多くの「脅威」が存在してい ます。
「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。
6/48
復習:
パソコンの故障
データのバックアップや、計算機の冗長化等で 被害を防止できます。
故障や災害は、どうしても発生してしまいます パソコンから異音が!
火山が噴火して、
計算機が燃えた!
7/48
復習:
パソコンの盗難
あれ? パソコンがない
しめしめ、
上手く盗めたぞ
重要な情報は持ち出さない。
持ち出したら目を離さない。
パソコンを外に持ち出て、物理的に盗まれることも 例:車上荒らし
パソコンは持ち出し禁止にする会社も。8/48
脅威の例:なりすまし
悪意のある人が、他の人になりすまして、不正に情報 にアクセスしたり、施設に侵入する方法。
パスワードが漏れたときとかに発生。
Alice
Mallory
自分の名前はAlice
だよっと...
あなたは
Alice
だね9/48
脅威の例:進入
建物や施設に物理的に侵入すること。
誰でも侵入できる施設の場合、他の人と一緒に入って しまう場合、関係者か否かが区別つきづらいとき等。
教職員も、県大 の名札を持って いたりする。
10/48
脅威の例:トラッキング
ゴミ箱等に廃棄された情報を回収、復元することで情 報を得ようとする手法。
ゴミから情報 もういらないや 入手!
11/48
脅威の例:クラッキング
不正にシステムに侵入したり、データを改ざんしたりす る方法。
セキュリティパッチを当ててないシステムに侵入したり する。
データが変わってる?
変な動作をするぞ?
セキュリティ ホール発見!
攻撃だ!
12/48
クラックされた後の例:踏み台
クラッキングされた後に行われる行為。
システムに不正侵入され、乗っ取られた後、他の計算 機への攻撃に利用される。
他にも 攻撃だ!
攻撃だ!
攻撃されてる!
苦情がきた... 苦情だ!
13/48
クラックされた後の例:改竄
クラッキングされた後に行われる行為。
データを変更される。
Webサーバーをクラッキングされ、データを改ざんされ
る等。
「HP 改ざん」で検索してみましょう。
14/48
ポートスキャン
計算機の空いているポートをスキャンすること。
ポートをスキャンすることで、その計算機で動作してい るサービス(例:Webサーバー)を知ることができます。
80番ポートが空いていて、
httpが動いているな
15/48
脅威の例:DoSアタック
DoS攻撃(Denial of Service atack)は、攻撃を行うこ
とで、対象となるシステムがサービスを続行することを 難しくする攻撃。 代表的なものとして、Webサーバーに大量のリクエス トを送る等(F5アタック)。
DoS攻撃だ!
処理が多すぎる重いなぁ
16/48
脅威の例:
クロスサイトスクリプティング
脆弱性の一つ。
動的にページを生成するアプリケーションで、制作者 ではない第三者が任意の要素を挿入できる脆弱性。
挿入する要素が悪意のあるスクリプトだったりすると、
重要な情報が盗まれたりする。
17/48
脅威の例:スパムメール
無差別に大量に広告メールを出すこと。また、
そのメール自体。
Active Mail にはスパムメールを判別する機能
が備わっています。18/48
キーロガー
計算機に悪意のあるプログラムを仕込んでお き、その計算機で入力されたキーを記録してお く手法。
入力されたキーがそのまま記録されるので、パ スワード等も漏れる。
19/48
その他の脅威(1)
フィッシング詐欺:
信頼のある企業になりすまして、パスワード等の重 要な情報を盗み取ろうとする詐欺。 スパムメール
無差別に大量に広告メールを出すこと。また、その メール自体。 Active Mail
にはスパムメールを判別する機能が備 わっています。 メールボム
メールを大量に送りつけてパンクさせる 20/48その他の脅威(2)
バッファオーバーフロー
プログラムしたときのバグが原因で、想定外のこと を実行される場合がある。
SQLインジェクション
データベースを扱うプログラムのバグで、データ ベースに自由にアクセスされたりする。
等々...
21/48
ハッカーとクラッカー
ニュース等だと同じような意味で使用されていますが、
本当は違う言葉です。
ハッカー:
すごいコンピュータ技術の利用が可能な人。
クラッカー:
ネットワークへの侵入や改ざん等の悪意を持った行 為(クラッキング)を行う人。
22/48
不正アクセス禁止法
正式名称[不正アクセス行為の禁止等に関する法律]
2000年に制定。
以下のような行為を取り締まる。
他人のパスワード等で計算機等を利用すること。
計算機のセキュリティホールを利用すること。
他社の不正行為を手助けすること。 管理者はきちんとした計算機管理をすることが求めら れる。
23/48
ソフトウェア等のライセンス
24/48
ソフトウェアのライセンス
日本語だと「使用許諾条件」。
ある一定の条件のもとで、
そのソフトウェアの利用等を 認める。
インストール時や初実行時 に表示される(ことが多い)
「マイクロソフト 使用許諾」で検索してみましょう。
Firefox
のURLバーに「about:license」と入力してみよう。25/48
フリーソフトウェアとフリーソフト
日本では、昔から「無料」で使用できるソフトをフリーソ フトと言ってきた。フリーは「無料」という意味。
フリーソフトウェアのフリーは「自由な」という意味。
フリーソフトとフリーソフトウェアは違うもの。
フリーソフトウェアの「自由な」の意味
自由に利用することができる
自由に改変することができる
自由に配布することができる 等々... 種々のライセンスがある。 26/48
オープンソースライセンス
種々のオープンソースライセンスがある。
GNU General Public License
BSDライセンス(修正BSDライセンス)
Mozilla Public License
Firefox
やThunderbird 等が利用する。
Apache Software License
Apache
(Web
サーバー)等が利用する。27/48
GNU General Public License
主要なオープンソースウェアライセンスの一つ。
Linux等はGPLで公開されている。
以下のような特徴がある。
条件下で、実行・複製・配布・改変が自由。 GPLのプログラムを持っている人は、ソースコードを
得る権利がある。
GPLのプログラムソースを利用して作成されたプロ
グラムは、GPLでなければならない。
事件が一番多い。
28/48
修正BSDライセンス
主要なオープンソースウェアライセンスの一つ。
FreeBSD等は修正BSDライセンスで公開されている。
以下のような特徴がある。
無保証の明記と、著作権表示のみが再頒布の条 件なので、利用者にとって非常に緩い。
実行、複製、配布、改変が自由。
ソースコードを得る権利はない。逆に言えば、ソースコード公開の義務がない。
修正されていない「BSDライセンス」もある
29/48
文章のライセンス
文章も「著作権」で保護されている。
無断でコピーしたりすると違法。
ソフトウェアと同様に、文章でもライセンス付きで公開 されているものもある。
GNU Free Documentation License
クリエイティブ・コモンズ・ライセンス 等々...30/48
クリエイティブ・コモンズ・ライセンス
クリエイティブ・コモンズが制定したライセンス。
以下の各項目について、設定する。
著作者の表示・非表示(2.0以降は表示必須)
営利目標での使用利用許可・不許可
改変の可否
二次著作物へのライセンスの継承の必要性
Wikipediaは、このライセンスで文章を公開している。
Wikipediaを開いて、一番下を見てみましょう。
31/48
GNU Free
Documentation License
GPLの文章版。
条件にしたがえば、改変・配布・利用が自由。
条件とは、以下のようなもの
ライセンス文章を添付する。
改変履歴と著作者を、すべて表記する。
二次著作物は、GFDLとする。 以前のWikipediaは、GFDLだった。
32/48
ライセンス関係のニュース
Googleで「GPL違反」をキーワードで検索してみま
しょう。
33/48
情報倫理
34/48
インターネット
情報が、
いつでも
どこでも
早く
大量に35/48
企業や社会
インターネットで繋がり、世界は狭くなった?
遠くの情報もすぐに手に入る! 連絡できる!
企業のグローバル化
情報の発信が容易に! 36/48世界が近くなったということは
あなたから世界が近くなった分、世界からあたなへも近くなっている!
あなた自信も情報を発信!情報社会になって、
新しく注意なければならないことも発生
37/48
個人情報
情報倫理
ネットで情報公開だ!
自分の個人情報が 公開されてる!?
こんな情報 公開していいの?
38/48
情報倫理や
情報セキュリティーについて、
正しい知識が必要
情報倫理と情報セキュリティー
新しいツールであるが故に、新しいマナーや危険も伴っている!
この通信は安全なの?
相手は信用できるの?
こんなことはやっても大丈夫?どうしたら いいんだ……?
39/48
情報化社会
情報を扱う活動が顕著である社会
情報倫理
情報セキュリティー 何をやって良いの?
ルールは?
どうやって管理したらよい?
どうやったら安全にすごせる? 40/48
情報倫理とは何か
情報を扱う上で、守らなければならないルール。
ネット上に限らず、守らなければならないルールが多 い。ex:著作権、プライバシーの侵害等々
ネットワークを介することで、何か問題が起きたとき の影響が、非常に大きいことに!ex:張り紙→ 影響は近所だけ
ネット→ 世界中に影響が!41/48
著作権
レポート作成
そのままコピーしたりすると、
著作権侵害になります ネットで情報収集だ
インターネットで容易 に情報が集まります。
しかし、それにも著作 権が存在しています。駄目です 面倒だから、そのまま文 章を写しちゃおうかな...
42/48
誹謗中傷
他人の名誉を 傷つけることは してはいけません
Aのやつの悪口を
書き込んでやる!
!! なにか酷いこと 書かれてる!?
Aって悪いやつ
なんだなぁ 駄目です
43/48
個人情報
この情報は有益だ
から公開しよう! 無許可で 自分の情報が 掲載されてる!
駄目です
個人を特定できる情報を個人情報と言います
個人情報保護法違反事業形態により、
適用される法律は 変わります 個人情報を無目的に集めたり、
目的外利用してはいけません。
そして、適切に扱う必要があります。 44/48
情報倫理のまとめ
情報を扱う上で、守らなければならないルール。
ネット上に限らず、守らなければならないルールが多 い。
ネットワークを介することで、何か問題が起きたとき の影響が、非常に大きいことに!
その行動の結果、何が起きるかを想定してから、個々の行動を行うことが重要。
基本的に、モラル(と法律)に従っていれば大丈夫45/48
演習:
ファイルの復元
46/48
本日やること
削除したファイルの復元を体験します。
以下の手順を行います。
ファイル復元ソフトをダウンロードする USBメモリ上にファイルを作成する。
作成したファイルを削除する。
復元ソフトを使ってファイルを復元する。47/48
ファイルのダウンロード(1)
DataRecoveryというファイルを使用します。
1. Googleで「窓の社 DataRecovery」をキーワー
ドとして検索をしましょう。2. TOPに窓の社の DataRecoveryの
ページが出るので、クリックします。
48/48
ファイルのダウンロード(2)
3. DataRecoveryの
ページが開いたら、Downloadを
クリックします。49/48
ファイルのダウンロード (3)
4.
クリックしてしばらく待つと、ダウンロードが始ま るので、デスクトップに保存します。
5. DataRecovery.lzhが
デスクトップにできる ので、ダブルクリック して解凍します。フォルダが 作成されます。
50/48
ファイルを作成して削除する (1)
1.
適当な内容のMS-Word のファイルをUSBメモ
リ上に作成します。ある程度ファイルサイズを稼ぐため、本文に何 か書きましょう。
2.
ファイル名は、今回はkadai0628.doc
としておきましょう。51/48
ファイルを作成して削除する (2)
3.
先ほど作成したファイルを削除します。(ゴミ箱にドラッグするか、選択してDELキーを 押す)
4.
ゴミ箱の中にない(つまり、MS-Windowsの機 能では復元できない)ことを確認しましょう。52/48
復元ソフトの実行 (1)
1.
先ほど解答したフォルダ(ディレクトリ)中にあるDataRecovery.exe
を実行しましょう。53/48
復元ソフトの実行(2)
2. USBメモリを選択し、スキャンボタンを押します。
USBメモリを
選択してスキャンボタンを 押す
54/48
復元ソフトの実行(3)
3.
スキャンが終わったら、右側に復元可能ファイ ルの一覧が表示されます。4.
「さらにスキャンするか?」と聞いてくるので、
今回は
[キャンセル]
しましょう。
キャンセルを 押す
55/48
復元ソフトの実行 (4)
5.
復元したいファイル(今回はkadai0622.txt)を 選択し、[リカバリ]をクリックします。復元したいファイルを選択して
リカバリボタンを押す
56/48
ファイルを確認する
1. USBメモリの中に、ファイルが存在していること
を確認しましょう。2.
ファイルを開いてみて、中身も正しいことを確認 しましょう。57/48
復元ソフトの終了
1.
右上の[×]をクリックして 終了します。2.
ツールのインストールに ついて聞いてくるので、今回はチェックを全部 外して、[OK]をクリック します。
今回は、チェックを すべて外す
58/48
何故可能なのか (1)
多くのファイルシステムでは、ディスク上に
ディスク上のどこにデータがあるかの情報
実際のデータを別々の場所に持っています。
データ
1 データ
1 データ
1 データ
2 データ1は1~3にある
データ2は4にある
59/48
何故可能なのか(2)
データを書き込むときには、「ディスク上のどこにデータ があるかの情報」で空いている部分に書き込まれます。
データ
1 データ
1 データ
1 データ
2 データ 3 データ1は1~3にある
データ2は4にある
データ3は5にある 空いている部分に データを書き込んだ
60/48
何故可能なのか(3)
ファイルを削除したときは、「ディスク上のどこにデータ があるかの情報」を削除します。
多くの場合、削除記号がつくだけだったりします。
データ領域は弄らないことに注意。
データ1 データ
1 データ
1 データ
3 データ1は1~3にある
× データ2は4にある データ3は5にある
情報を削除 こちらはそのまま
データ2
61/48
何故可能なのか (4)
データ領域はそのままなので、データ領域を直に眺め ると、データを復旧できる場合があります。
データ
1 データ
1 データ
1 データ
3 データ1は1~3にある
× データ2は4にある
データ3は5にある スキャンして、ファイル として復元したりする
データ 2
削除マークを取り除いたり
62/48
何故可能なのか (4)
「ディスク上のどこにデータがあるかの情報」では空い ていることになっているので、そのうち、他のデータで 上書きされます。
そうなったら、復元は難しくなります。
データ
1 データ
1 データ
1 データ
3 データ1は1~3にある
データ4は4にある データ3は5にある
データは上書きされた
データ 4
空いているので、
他のデータを書き込んだ
63/48
課題と課題の提出
kadai0628.docを削除しましょう。
適当なファイルをUSBにコピーしていくと、そのうち
kadai0628.docを復元できなくなるはずである。
ファイルを追加 → スキャン
を繰り返し、復元できなくなることを確かめ、何回必要 だったかを報告してください。
10個のファイルを追加しても復元可能だったら、必要
だった回数の代わりに、その旨を報告すること。
ファイル名は学籍番号の末尾にkをつけたもの。
