1
情報セキュリティ 第12回
大久保誠也 静岡県立大学経営情報学部
2/41
はじめに
はじめに
ソフトウェア等のライセンス
情報倫理
電子メールのセキュリティ
演習3/41
ソフトウェア等のライセンス
4/41
ソフトウェアのライセンス
日本語だと「使用許諾条件」。
ある一定の条件のもとで、
そのソフトウェアの利用等を 認める。
インストール時や初実行時 に表示される(ことが多い)
「マイクロソフト 使用許諾」で検索してみましょう。
Firefox
のURLバーに「about:license」と入力してみよう。フリーソフトウェアとフリーソフト
日本では、昔から「無料」で使用できるソフトをフリーソ フトと言ってきた。フリーは「無料」という意味。
フリーソフトウェアのフリーは「自由な」という意味。
フリーソフトとフリーソフトウェアは違うもの。
フリーソフトウェアの「自由な」の意味
自由に利用することができる
自由に改変することができる等々...
オープンソースライセンス
種々のオープンソースライセンスがある。
GNU General Public License
BSDライセンス(修正BSDライセンス)
Mozilla Public License
Firefox
やThunderbird 等が利用する。
Apache Software License
Apache(Webサーバー)等が利用する。
7/41
GNU General Public License
主要なオープンソースウェアライセンスの一つ。
Linux等はGPLで公開されている。
以下のような特徴がある。
条件下で、実行・複製・配布・改変が自由。 GPLのプログラムを持っている人は、ソースコードを
得る権利がある。
GPLのプログラムソースを利用して作成されたプロ
グラムは、GPLでなければならない。
事件が一番多い。
8/41
修正 BSD ライセンス
主要なオープンソースウェアライセンスの一つ。
FreeBSD等は修正BSDライセンスで公開されている。
以下のような特徴がある。
無保証の明記と、著作権表示のみが再頒布の条 件なので、利用者にとって非常に緩い。
実行、複製、配布、改変が自由。
ソースコードを得る権利はない。逆に言えば、ソースコード公開の義務がない。
修正されていない「BSDライセンス」もある
9/41
文章のライセンス
文章も「著作権」で保護されている。
無断でコピーしたりすると違法。
ソフトウェアと同様に、文章でもライセンス付きで公開 されているものもある。
GNU Free Documentation License
クリエイティブ・コモンズ・ライセンス 等々...10/41
クリエイティブ・コモンズ・ライセンス
クリエイティブ・コモンズが制定したライセンス。
以下の各項目について、設定する。
著作者の表示・非表示(2.0以降は表示必須)
営利目標での使用利用許可・不許可
改変の可否
二次著作物へのライセンスの継承の必要性
Wikipediaは、このライセンスで文章を公開している。
Wikipediaを開いて、一番下を見てみましょう。
GNU Free
Documentation License
GPLの文章版。
条件にしたがえば、改変・配布・利用が自由。
条件とは、以下のようなもの
ライセンス文章を添付する。
改変履歴と著作者を、すべて表記する。
二次著作物は、GFDLとする。
以前のWikipediaは、GFDLだった。情報倫理
13/41
情報倫理とは何か
情報を扱う上で、守らなければならないルール。
ネット上に限らず、守らなければならないルールが多 い。ex
:著作権、プライバシーの侵害等々
ネットワークを介することで、何か問題が起きたとき の影響が、非常に大きいことに!ex
:張り紙→ 影響は近所だけ ネット→ 世界中に影響が!14/41
著作権
レポート作成
そのままコピーしたりすると、
著作権侵害になります ネットで情報収集だ
インターネットで容易 に情報が集まります。
しかし、それにも著作 権が存在しています。駄目です
面倒だから、そのまま文 章を写しちゃおうかな...
15/41
誹謗中傷
他人の名誉を 傷つけることは してはいけません
Aのやつの悪口を
書き込んでやる!
!! なにか酷いこと 書かれてる!?
Aって悪いやつ
なんだなぁ 駄目です
16/41
個人情報
この情報は有益だ
から公開しよう! 無許可で
自分の情報が 掲載されてる!
駄目です
個人を特定できる情報を個人情報と言います
個人情報保護法違反事業形態により、
適用される法律は 変わります 個人情報を無目的に集めたり、
目的外利用してはいけません。
そして、適切に扱う必要があります。
情報倫理のまとめ
情報を扱う上で、守るべきルール。
ネット上に限らず、守るべきルールが多い。
ネットワークを介することで、何か問題が起きたとき の影響が、非常に大きいことに!
その行動の結果、何が起きるかを想定してから、個々の行動を行うことが重要。
基本的に、モラル(と法律)に従っていれば大丈夫日常生活において
19/41
日常生活と情報セキュリティ
現在では、多くの媒体がネットワークに繋がっている。
日常生活で、メールやブラウジング、携帯電話やパソ コン等、さまざまな情報機器を日常的に利用している。
これからの社会を安全に過ごしていくためには、これ らのことを理解し身につけておく必要がある。
企業の不祥事等が報道されている。個人も様々な危 険にさらされている。
これらのことを踏まえて、学生生活を送る際に必要と なる、基本的な情報セキュリティと情報倫理の考え方 についてまとめて復習する。20/41
使用している情報機器等の問題
我々は様々な機器やソフトウェアを利用している。こ れらの機器が安全であるか否かは、非常に重要。
セキュリティホール:
自分は何を使っているのか?
パッチは当てているか?
機械の故障
形在る物はいつかは壊れる
バックアップはとってある?21/41
人の不注意や無理解による 情報流出
ソフトウェア自体には問題がなくとも、我々の理解不 足や不適切利用は、大きな問題を引き起こす
情報の管理の仕方
人の不注意や意識の低さは、それそのものが脆弱 性である。
その行動が何を引き起こすのか、理解していない。
「パスワード書いた紙を落としてしまった」「メールの 宛先を間違えてしまった」「不用意に個人情報を書 いてしまった」「セキュリティパッチを面倒であてな かった」等々22/41
例:
「初音ミクTカード アップロード」
で検索。
問題の流れ:
初音ミクのTカードをゲットし、喜び勇んで画像を
アップロードする人が続出。
ところがTカード番号は、個人情報的に重要。
会社が警告を出す。
http://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=6433 http://mikut.jp/
考えて行動する
ソフトや仕組みを盲目的に利用
思いもよらない情報が重要な役目を果たしてしまうシ ステムも存在している。
どのような情報がどのぐらい重要か、把握する必 要がある。
盲目的にそのソフトを使って大丈夫?情報の流れる範囲の無理解
mixi
、来事を簡単に外部に発信することができる。
"
つぶやき"
などと呼ばれているため言葉的には限定された範囲を想像するが、実際には全世界に叫んで いるのに等しい場合がある。
その行動により情報が流れる範囲を常に意識して行 うべきである。25/41
発信する情報の内容 (1)
あまり考えず、思ったままに書き込みを行ってしまう 人が、この世の中には存在している。
個人情報やプライベートな、はては無免許運転、万 引き、カンニング等の犯罪行為までが存在している。
そもそも犯罪行為自体が問題外だが、全世界 に向けて告白してしまうことにより、問題を大きくして しまう場合がある。26/41
発信する情報の内容 (2)
本人だけの問題に留まらず、本人が所属する組織や、組織に所属する他のメンバーの名誉を失墜する可能 性がある。
発信する情報はよく吟味し、問題が無いと判断できた ときのみに発信するべきである。27/41
例:
「twitter 炎上」で 検索をすると、沢山出てきます。
28/41
まとめ
情報は電子の海を勢いよく広がっていき、一度放っ てしまうと回収することは困難。
「その情報は流して大丈夫なのか」「情報はどの範囲 で流れるのか」をよくよく検討することが重要。電子メールの セキュリティ
セキュリティの知識が必要な例 2
これは何を言っているのでしょうか?
31/41
AliceからBobにメールを送る場合、
「Aliceのパソコン」→「Aliceのメールサーバー」
→「
Bob
のメールサーバー」 → 「Bob
のパソコン」と伝わっていく。
メールの経路の概略図
パソコン サーバー サーバー
パソコン
明日、10時
明日、10時
明日、10時
32/41
パスワードやメールの内容が、やりとりされる
やりとりされるデータ
メールの内容
サーバー サーバー
パソコン
明日、10時
明日、10時
明日、10時
パスワード
メールの内容
メールの内容 パスワード
33/41
パスワードやメールの盗聴防止や、
メールの内容の改竄
守りたいもの
メールの内容
サーバー サーバー パソコン
明日、10時
明日、10時
明日、10時
パスワード
メールの内容
メールの内容 パスワード 盗聴防止
改竄防止
盗聴防止 改竄防止
盗聴防止
なりすましを 防止したい
盗聴防止
盗聴防止
改竄防止 34/41
POP
Post Office Protocolの略。
メールを受信するときに、「クライアントとサーバー間」で、
メールをやり取りするためのプロトコル。
パスワードで正しいユーザーか認証できる。
ユーザーがメールを送信するときに、「送信する前に一度POPで認証する」
という形でも使用される(POP before SMTP)
パスワード、メールの内容、すべてが平文でやりとりさ れる。POP
:Post Office Protocol
メールを受信するプロトコルPOP の概要
メールの内容
サーバー サーバー パソコン
明日、10時
明日、10時
明日、10時
パスワード
メールの内容
メールの内容 パスワード 盗聴可能
盗聴可能 改竄可能
なりすまし可能
盗聴可能
APOP
Authenticated Post Office Protocolの略。
メールを受信するときに、「クライアントとサーバー間」で、
メールをやり取りするためのプロトコル。
パスワードで正しいユーザーか認証できる。
メールを送信するときに、「送信する前に一度POPで認証する」
という形でも使用される(POP before SMTP)
37/41
APOP:Authenticated Post Office Protocol
パソコンとサーバー間のパスワードのみを暗号化
APOP の概要
メールの内容
サーバー サーバー
パソコン
明日、10時
明日、10時
明日、10時
パスワード
メールの内容
メールの内容 パスワード 盗聴可能
改竄可能
盗聴可能 改竄可能
なりすまし可能
盗聴防止
盗聴防止
盗聴可能
改竄可能 38/41
POP over SSL
メールを送信・受信するときに、「クライアントとサーバー間」を、
暗号化するためのプロトコル。
パスワードで正しいユーザーか認証できる。
「クライアントとサーバー間」は、パスワードも内容も暗 号化。
「クライアントとサーバー間」は、内容は平文。 GmailをThunderbird等で利用した場合、この方法が利
用できる。39/41
パソコン・サーバー間を暗号化
POP over SSL の概要
メールの内容
サーバー サーバー パソコン
明日、10時
明日、10時
明日、10時
パスワード
メールの内容
メールの内容 パスワード 盗聴防止
改竄防止
盗聴可能 改竄可能
なりすまし可能
盗聴防止
盗聴防止
盗聴防止 改竄防止
さlkdfjl
さlkdfjl
40/41
https 利用の Web メール
httpsは、
「クライアントとサーバー間」の、
データを暗号化するためのプロトコル。
Webメールにログインするときのパスワードや、ブラウ
ザから入力した文章内容も暗号化される。
ようするに、「クライアントのサーバー間」は、パスワー ドも内容も暗号化。
「サーバーのサーバー間」は、内容は平文。 GmailやHotMail等でも利用できる。
パソコン・サーバー間を暗号化
https 利用の
Web メールの概要
メールの内容
サーバー サーバー パソコン
明日、10時
明日、10時
明日、10時
パスワード
メールの内容
メールの内容 パスワード 盗聴防止
改竄防止
盗聴可能 改竄可能
なりすまし可能
盗聴防止
さlkdfjl
さlkdfjl
ここまでの説明では
メールの内容
サーバー サーバー パソコン
明日、10時
明日、10時
明日、10時
パスワード
メールの内容 パスワード
さlkdfjl
さlkdfjl
自分で 制御できる
基本
相手 次第
43/41
セキュリティの知識が必要な例 2
(少なくとも)あなたのパソコンとサーバーの間は 情報が守られます
44/41
PGP(Pretty Good Privacy)
PGPは、
「クライアントとクライアント間」の、
データを暗号化するための手法。
Aliceが公開鍵暗号方式で暗号化・認証用データ作成
を行う。Bobは復号や認証用データの確認を行う。
ようするに、「クライアントとクライアント間」で、内容を 暗号化する。認証もできる。
パスワードについては何もしないので、他の「クライア ントとサーバー間」の暗号化手法を同時に使用する
一般にあまりに普及してない。45/41
アリスのが送るメールを暗号化。
認証用のデータ付き。
PGP
メールの内容
サーバー サーバー パソコン
さlkdfjl
さlkdfjl
さlkdfjl
パスワード
メールの内容
メールの内容 パスワード 盗聴防止
改竄防止
盗聴防止 改竄防止
なりすまし防止
盗聴可能
盗聴可能
盗聴防止 改竄防止
明日、10時
明日、10時
46/41
演習:
情報流出の事例
課題と課題の提出
次のことを調べ、レポートにまとめて提出する
