情報セキュリティ 第02回

情報セキュリティ 第 02 回

大久保誠也 静岡県立大学経営情報学部

2/41

はじめに

 情報セキュリティの目的

 種々の脅威

 演習

3/41

情報セキュリティの目的

4/41

何を思い浮かべますか？

5/41

情報セキュリティとは何か

代表的なのは、以下の事柄を保つことです。

 完全性：

情報が完全な形で保たれていること

 機密性：

必要のある人以外に、情報がわたらないこと

 可用性：

必要なときに、情報が利用出来ること かなり広い概念です

6/41

完全性とは

以下の事柄を保つことです。

 完全性：

情報が完全な形で保たれていること

あれれ？

欲しい情報が 変わってしまって いるような……

1

7/41

Web サイトのクラック

 「Wordpress改ざん キャンペーン」で検索

8/41

機密性とは

以下の事柄を保つことです。

 秘密性：

必要のある人以外に、情報がわたらないこと あの会社から

情報を盗んでやろう……

9/41

例：登録したサイトから漏れる

 個人情報を提供した会社や店舗から漏れていく

 「住宅金融支援機構 情報流出」

 「個人情報漏洩事件」で検索

 「個人情報 過去５年」で検索

 「米Yahoo 漏洩」で検索

 自分の個人情報を誰が持っているのか、

事故が起きたとき、自分の個人情報も漏れていないか、

確認できるように。

10/41

可用性とは

以下の事柄を保つことです。

 可用性：

必要なときに、情報が利用出来ること この肝心なときに

情報が利用できない！？

11/41

サイトのダウン

 「サーバー ダウン」で検索

12/41

情報セキュリティのまとめ

 完全性、機密性、可用性を保つこと。

 技術で防ぐことができることと、できないことがある。

人的な原因で問題が発生することも多い。

 ネットワーク社会になり、問題が発生しやすく。

 ウイルスの様に、完全性、機密性、可用性すべてに影 響を与えるような原因も！

 適切な情報を集めて、対応することが重要。

2

13/41

種々の脅威とその対策

14/41

脅威とは

 情報セキュリティを脅かすものを「脅威」と言 います。

 この世の中には、多くの「脅威」が存在してい ます。

 「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。

15/41

ウイルス

 コンピュータに被害をもたらす不正なプログラム

 ネットワークやUSBメモリ等から進入 データが変わってる？

変な動作をするぞ？

ウイルス対策ソフトのインストールが一般的

 ウイルス対策ソフトは、ウイルスの侵入や活動を防 いでくれます。

 定期的にアップデートすることを忘れずに。

ウイルスは、完全性・機密性・可用性のすべてに影響 16/41

セキュリティホール

 セキュリティの穴／不具合

 できてはいけないことができてしまう／されてしまう。

データが変わってる？

変な動作をするぞ？

セキュリティ ホール発見！

攻撃だ！

 パッチを当てることで、穴を塞ぐことができます。

 毎月出るので、アップデートすることを忘れずに。

セキュリティホールも、

完全性・機密性・可用性のすべてに影響 セキュリティーパッチを当てましょう

17/41

データが変わってる？

変な動作をするぞ？

セキュリティ ホール発見！

攻撃だ！

クラッキング

 不正にシステムに侵入したり、データを改ざんしたりす る方法。

 セキュリティパッチを当ててないシステムに侵入したり する。

18/41

クラックされた後：改竄

 クラッキングされた後に行われる行為。

 データを変更される。

 Webサーバーをクラッキングされ、データを改ざんされ

る等。

 「HP 改ざん」で検索してみましょう。

3

19/41

他にも 攻撃だ！

攻撃だ！

攻撃されてる！

苦情がきた... 苦情だ！

クラックされた後：攻撃

 クラッキングされた後に行われる行為。

 システムに不正侵入され、乗っ取られた後、他の計算 機への攻撃に利用される。

20/41

DoS攻撃だ！ 処理が多すぎる

重いなぁ

DoS アタック

 DoS攻撃（Denial of Service atack）は、攻撃を行うこ とで、対象となるシステムがサービスを続行することを 難しくする攻撃。

 代表的なものとして、Webサーバーに大量のリクエス トを送る等（F5アタック）。

21/41

メールの盗聴

Hello World

Hello World Hello

World 送信 Bob

Alice

Hello World

Hello World

Eve 盗聴

A:>

Hello World

覗き見して やろう

メールは基本的に 平文なので、

盗聴し放題！

Aliceから メールが来た。

送信

重要な情報は メールしない

or 暗号化 22/41

パソコンの故障

データのバックアップや、計算機の冗長化等で 被害を防止できます。

故障や災害は、どうしても発生してしまいます パソコンから異音が！

火山が噴火して、

計算機が燃えた！

23/41

パスワードの管理

あれ？

これは...

覚えられない なぁ...

パスワードは適切に管理する

 初期パスワードは必ず変更する。数ヵ月に1回パスワードの変 更を行う。

 他人に教えたりしない。他人に推測されづらいこと（×誕生日）。

短いパスワードはダメ。英数文字と記号を組み合わせる等）。

 紙などに記入するなどのメモを作らない 24/41

メールの誤送信

極秘

あれ？

これは...

極秘

送信 Bob

Alice あて先はきちんと確認する

あ！

送り間違えた！

4

25/41

パソコンの盗難

あれ？ パソコンがない

しめしめ、

上手く盗めたぞ

重要な情報は持ち出さない。

持ち出したら目を離さない。

 パソコンを外に持ち出て、物理的に盗まれることも 例：車上荒らし

 パソコンは持ち出し禁止にする会社も。

26/41

トラッキング

ゴミから情報 もういらないや 入手！

 物品を捨てるときは、その中に「重要な情報」が含まれていない かに注意する。

 ハードディスク等は、OSの機能で削除していても、データを復元 できることも。

 ゴミ箱等に廃棄された情報を回収、復元することで情 報を得ようとする手法。

情報はきちんと削除する

27/41

進入

 建物や施設に物理的に侵入すること。

 誰でも侵入できる施設の場合、他の人と一緒に入って しまう場合、関係者か否かが区別つきづらいとき等。

教職員も、県大 の名札を持って いたりする。

28/41

なりすまし

 悪意のある人が、他の人になりすまして、不正に情報 にアクセスしたり、施設に侵入する方法。

 パスワードが漏れたときとかに発生。

Alice

Mallory 自分の名前は Aliceだよっと...

あなたは Aliceだね

29/41

キーロガー

 計算機に悪意のあるプログラムを仕込んでお き、その計算機で入力されたキーを記録してお く手法。

 入力されたキーがそのまま記録されるので、パ スワード等も漏れる。

30/41

スキミング

 「銀行」「スキミング」をキーワードに検索してみ ましょう。

5

31/41

 フィッシング詐欺：

 信頼のある企業になりすまして、パスワード等の重 要な情報を盗み取ろうとする詐欺。

 スパムメール

 無差別に大量に広告メールを出すこと。また、その メール自体。

 Active Mail にはスパムメールを判別する機能が 備わっています。

 メールボム

 メールを大量に送りつけてパンクさせる

その他の脅威 (1)

32/41

 プログラム作成時に生じてしまうセキュリティホール

 バッファオーバーフロー

 SQLインジェクション

 クロスサイトスクリプティング

 ファイル共有ソフトでの機密情報流出

 winnyによる事件が有名

 対策：使わない 等々...

その他の脅威 (2)

33/41

脅威に備える

34/41

備えるために

 技術的な面と人的な面がある。

 機械は暗号化等の技術で守ることができる。

 最新の技術や動向を知る

 一方、人は技術では完全には守れない。

 その行動は大丈夫か、常に意識して行動

 故障や災害は、何時、どのようにして起きるかわから ない。

 データのバックアップ、計算機を複数準備する等、

事前に備えておく

35/41

不正アクセス禁止法

 正式名称[不正アクセス行為の禁止等に関する法律]

 2000年に制定。

 以下のような行為を取り締まる。

 他人のパスワード等で計算機等を利用すること。

 計算機のセキュリティホールを利用すること。

 他社の不正行為を手助けすること。

 管理者はきちんとした計算機管理をすることが求めら れる。

36/41

Alice

Bob

技術で守れるもの守れないもの

盗聴防止 改ざん防止

クラック防止 技術で守れる部分

技術範疇外

技術範疇外

 技術で通信経路や計算機は守れる。

 技術だけでは、人の行動は縛れない。

技術で ルールや

ポリシーで

6

37/41

この講義で扱うこと

 情報セキュリティを維持するために...

 技術的な側面

 暗号化技術

 種々の通信技術 等

 人的な側面

 情報倫理

 情報セキュリティポリシー 等

38/41

演習：

情報流出の事例

39/41

セキュリティ的な事故のニュース

 Googleで「情報流出 原因」で検索してみよう。

 ニュースになる多くの事件は、「人」が「問題になる行 動」を起こした結果、生じてしまうことも多い。

40/41

 次のことを調べ、レポートにまとめて提出する

 「情報流出」「SQLインジェクション」等をキーワード に検索し、どのような事故があったか調べる。

 ファイル名は学籍番号の末尾にbをつけたもの。

 経情グループウェアから提出する。

課題と課題の提出

41/41

ハッカーとクラッカー

 ニュース等だと同じような意味で使用されています が、本当は違う言葉です。

 ハッカー：

すごいコンピュータ技術の利用が可能な人。

 クラッカー：

ネットワークへの侵入や改ざん等の悪意を持った行為

（クラッキング）を行う人。

7