情報セキュリティ第14回

(1)

1

情報セキュリティ第14回

大久保誠也静岡県立大学経営情報学部

2/48

はじめに

 はじめに

 情報セキュリティ雑感

 本講義のまとめ

3/48

情報セキュリティに関するニュース

4/48

MD5の脆弱性

 2007年4月にIPAが、メールのプロトコルであるAPOP に関する脆弱性を警告。

 MD5の脆弱性を利用し、盗聴したデータからパス

ワードを解析可能。

768ビットのRSA暗号

 RSA 社は、 2007 年までコンテストを開き、何ビットまでは解読可能かを実施していた。

 2010年、複数の国の共同グループは、768ビット長

（10進数だと232桁）のとある整数を因数分解することに成功。

数百台の計算機を2～3年動かした。

ソニーの情報流出

 2011 年発生。

 史上最大規模とも言われる個人情報流出

 原因は「脆弱性への対応をしていなかったため、そこ

を突かれた」と言われている。

(2)

7/48

セキュリティに関する団体・サイト

8/48

主要な団体やサイトの例

 この世の中には、情報セキュリティに関して活動している団体やサイトが数多くあります。

 啓蒙活動

 脆弱性の情報収集・提供

 情報セキュリティに関する研究開発

 ここでは、いくつかの団体やサイトを紹介します。

9/48

IPA

 独立行政法人情報処理推進機構

 情報技術の推進や啓蒙を行う。

 情報処理技術者試験の実施。

 未踏ソフトウェア事業

 情報セキュリティに関する情報収集や啓蒙

10/48

JPCERT

 JPCERT コーディネーションセンター

（Japan Computer Emergency Response Team Coordination Center ）

 情報セキュリティの情報収集や対応の支援等を行う。

JVN

 脆弱性対策情報データベース

 JPCERT/CCの活動関係が中心となった情報を提供し

ている。

 JPCERT/CCやIPAが共同で管理。

JVN iPedia

 脆弱性対策情報データベース

 国内で使用されている製品の脆弱性情報のデータベース。

 JPCERT/CCやIPAが共同で管理。

(3)

13/48

CVE

 Common Vulnerabilities and Exposures

 脆弱性のデータベース。

 各種脆弱性に一意の番号を振っている。

 各種脆弱性の詳細な内容は、他まかせ。

14/48

身近にあるLinux

 「whr-hp-g54 linux」で検索してみましょう。

15/48

講義のまとめ

16/48

情報セキュリティまとめその１

 本講義で取り扱った内容：全体的なもの

 情報セキュリティとは

 完全性、機密性、可用性

 脅威とは何か。脅威の例。

 本講義で取り扱った内容：人的なもの

 情報セキュリティポリシー

 情報倫理

情報セキュリティまとめその２

 本講義で取り扱った内容：技術的なもの

 公開鍵暗号方式、秘密鍵暗号方式の考え方

 ハッシュ値と一方向関数

 乱数

 各種の認証方式と暗号化方式、通信方式

 RSA暗号、ssh、メール関係、https

 認証と生体認証

 量子通信

重要なことその１

結局のところ、この世の中は信用で成り立っている！

 情報セキュリティも一緒。

 何を信用すると、この仕組みは上手くいくのかを、きちんと認識する。信用の伝搬を認識する。

 ex：技術、人、会社、仕組み、装置等々

 「それが信用できるのか」を意識する必要がある。

信用信用

何がどれだけ信用できるのかな？

(4)

19/48

重要なことその２

 情報化社会になり、ニュース等でもセキュリティに関することが話題になるように。

 インターネットの普及により、常に外界と接続状態に。

結果、情報セキュリティの知識が重要に。

その行為がどのような影響を与えるのか。

情報セキュリティ的に大丈夫なのか。

これらのことを理解する基本的な知識が必要となる。

20/48

重要なことその３

 「ある仕組みの安全性を評価できる」ということは、「ある仕組みの利点・欠点を正しく認識できる」ということ。

その技術は善悪表裏一体である。

 暗号では「現在の技術では、そのように信じられている」というものが多い！ある日突然「その技術は使えなくなりました」ということが発生する分野。

学んだ知識を悪用してはいけない！

情報セキュリティという分野

 幾つもの分野にまたがる応用分野。

 数学的知識（特に離散数学）

 計算量の知識（理論計算機科学の知識）

 2進数や論理演算の知識

 情報理論の知識

 ネットワークの知識

 人をどのように動かすのか等の知識

 法規関係の知識等々...

現状の評価や明日の技術を研究

22/48

情報セキュリティの発展

 状況は、日々刻々変わってくる。

 新しい解読技術の発見。

 計算機の性能の上昇。

安全危険

新しい技術。

新しい暗号。

等々 ...

新しい技術。

計算機の性能向上。

等々...

テストについて

 07月31日5限（来週のこの時間）

 部屋：4213 （実習室ではないことに注意）

 紙類持ち込み可

 範囲：

 講義で説明した内容

 講義で配布したプリント内容

 本日現時点でのWebサイト上の内容

もっと深くやりたい人は

(5)

25/48

暗号とネットワークセキュリティ

26/48

情報セキュリティ白書

27/48

IT人材白書

28/48

課題の提出

 アンケートを提出してください。

情報セキュリティ 第14回

情報セキュリティ 第14回

大久保誠也 静岡県立大学経営情報学部

はじめに

 はじめに

 情報セキュリティ雑感

 本講義のまとめ

情報セキュリティに関するニュース

MD5の脆弱性

 2007年4月にIPAが、メールのプロトコルであるAPOP に関する脆弱性を警告。

 MD5の脆弱性を利用し、盗聴したデータからパス

ワードを解析可能。

768ビットのRSA暗号

 RSA 社は、 2007 年までコンテストを開き、何ビットまで は解読可能かを実施していた。

 2010年、複数の国の共同グループは、768ビット長

（10進数だと232桁）のとある整数を因数分解するこ とに成功。

数百台の計算機を2～3年動かした。

ソニーの情報流出

 2011 年発生。

 史上最大規模とも言われる個人情報流出

 原因は「脆弱性への対応をしていなかったため、そこ

を突かれた」と言われている。

セキュリティに関する団体・サイト

主要な団体やサイトの例

 この世の中には、情報セキュリティに関して活動して いる団体やサイトが数多くあります。

 啓蒙活動

 脆弱性の情報収集・提供

 情報セキュリティに関する研究開発

 ここでは、いくつかの団体やサイトを紹介します。

IPA

 独立行政法人 情報処理推進機構

 情報技術の推進や啓蒙を行う。

 情報処理技術者試験の実施。

 未踏ソフトウェア事業

 情報セキュリティに関する情報収集や啓蒙

JPCERT

 JPCERT コーディネーションセンター

（Japan Computer Emergency Response Team Coordination Center ）

 情報セキュリティの情報収集や対応の支援等を行う。

JVN

 脆弱性対策情報データベース

 JPCERT/CCの活動関係が中心となった情報を提供し

ている。

 JPCERT/CCやIPAが共同で管理。

JVN iPedia

 脆弱性対策情報データベース

 国内で使用されている製品の脆弱性情報のデータ ベース。

 JPCERT/CCやIPAが共同で管理。

CVE

 Common Vulnerabilities and Exposures

 脆弱性のデータベース。

 各種脆弱性に一意の番号を振っている。

 各種脆弱性の詳細な内容は、他まかせ。

身近にあるLinux

 「whr-hp-g54 linux」 で検索してみましょう。

講義のまとめ

情報セキュリティまとめ その１

 本講義で取り扱った内容：全体的なもの

 情報セキュリティとは

 完全性、機密性、可用性

 脅威とは何か。脅威の例。

 本講義で取り扱った内容：人的なもの

 情報セキュリティポリシー

 情報倫理

情報セキュリティまとめ その２

 本講義で取り扱った内容：技術的なもの

 公開鍵暗号方式、秘密鍵暗号方式の考え方

 ハッシュ値と一方向関数

 乱数

 各種の認証方式と暗号化方式、通信方式

 RSA暗号、ssh、メール関係、https

 認証と生体認証

 量子通信

重要なこと その１

結局のところ、この世の中は信用で成り立っている！

 情報セキュリティも一緒。

 何を信用すると、この仕組みは上手くいくのかを、き ちんと認識する。信用の伝搬を認識する。

 ex：技術、人、会社、仕組み、装置 等々

 「それが信用できるのか」を意識する必要がある。

信用 信用

情報セキュリティ第14回

情報セキュリティ第14回

大久保誠也静岡県立大学経営情報学部

 RSA 社は、 2007 年までコンテストを開き、何ビットまでは解読可能かを実施していた。

（10進数だと232桁）のとある整数を因数分解することに成功。

 この世の中には、情報セキュリティに関して活動している団体やサイトが数多くあります。

 独立行政法人情報処理推進機構

 国内で使用されている製品の脆弱性情報のデータベース。

 「whr-hp-g54 linux」で検索してみましょう。

情報セキュリティまとめその１

情報セキュリティまとめその２

重要なことその１

 何を信用すると、この仕組みは上手くいくのかを、きちんと認識する。信用の伝搬を認識する。

 ex：技術、人、会社、仕組み、装置等々

信用信用

重要なことその２

 情報化社会になり、ニュース等でもセキュリティに関することが話題になるように。

重要なことその３

 「ある仕組みの安全性を評価できる」ということは、「ある仕組みの利点・欠点を正しく認識できる」ということ。

 暗号では「現在の技術では、そのように信じられている」というものが多い！ある日突然「その技術は使えなくなりました」ということが発生する分野。

 法規関係の知識等々...

安全危険