情報セキュリティ第02回

(1)

1

情報セキュリティ第02回

大久保誠也静岡県立大学経営情報学部

2/41

はじめに



情報セキュリティの目的



種々の脅威



演習

3/41

情報セキュリティの目的

4/41

何を思い浮かべますか？

5/41

情報セキュリティとは何か

代表的なのは、以下の事柄を保つことです。



完全性：

情報が完全な形で保たれていること



機密性：

必要のある人以外に、情報がわたらないこと



可用性：

必要なときに、情報が利用出来ること

かなり広い概念です

6/41

完全性とは

以下の事柄を保つことです。



完全性：

情報が完全な形で保たれていること

あれれ？

欲しい情報が変わってしまっているような……

(2)

7/41

例：ウイルス



コンピュータに被害をもたらす不正なプログラム



ネットワークや

USB

メモリ等から進入データが変わってる？

変な動作をするぞ？

ウイルス対策ソフトのインストールが一般的



ウイルス対策ソフトは、ウイルスの侵入や活動を防いでくれます。



定期的にアップデートすることを忘れずに。

ウイルスは、完全性・機密性・可用性のすべてに影響 8/41

例：セキュリティホール



セキュリティの穴／不具合



できてはいけないことができてしまう／されてしまう。

データが変わってる？

セキュリティホール発見！

攻撃だ！



パッチを当てることで、穴を塞ぐことができます。



毎月出るので、アップデートすることを忘れずに。

セキュリティホールも、

完全性・機密性・可用性のすべてに影響セキュリティーパッチを当てましょう

9/41

機密性とは



秘密性：

あの会社から

情報を盗んでやろう……

10/41

例：メールの盗聴

Hello World

Hello World Hello

World

Bob

送信

Alice

Hello World

Eve

盗聴

A:>

Hello World

覗き見してやろう

メールは基本的に平文なので、

盗聴し放題！

Alice

からメールが来た。

送信

重要な情報はメールしない

or 暗号化

11/41

例：メールの誤送信

極秘

あれ？

これは

...

極秘

送信

Bob

Alice

あて先はきちんと確認する

あ！

送り間違えた！

12/41

例：パスワードの管理

あれ？

これは

...

覚えられないなぁ...

パスワードは適切に管理する



初期パスワードは必ず変更する。数ヵ月に

1

回パスワードの変更を行う。



他人に教えたりしない。他人に推測されづらいこと（×誕生日）。

短いパスワードはダメ。英数文字と記号を組み合わせる等）。



紙などに記入するなどのメモを作らない

(3)

13/41

例：パソコンの盗難

あれ？パソコンがない

しめしめ、

上手く盗めたぞ

重要な情報は持ち出さない。

持ち出したら目を離さない。



パソコンを外に持ち出て、物理的に盗まれることも例：車上荒らし



パソコンは持ち出し禁止にする会社も。

14/41

対策：暗号化

極秘

暗号化されていて、

よくわからんなぁ

Bob

Alice

暗号化することで機密性を保てるあ！

送り間違えた！

極秘送信

暗号化：

第三者が見てもわからないように変換すること

15/41

例：その他



ファイル共有ソフトでの機密情報流出

 winny

による事件が有名



対策：使わない



ハードディスクやCD等のメディアを廃棄したら、そこから情報が流出



捨てる前に、メディアを読み取り不可な状態に。

 CD

の裁断。



ハードディスクのデータをツールにより消去。

Windows

のゴミ箱から削除しただけでは、復元出

来てしまいます。 ^16/41

機密性とは – まとめ



機密性：



暗号化等の技術で、防止することができます。



不注意等、人的な部分から問題が発生することも多いです。



その行動は大丈夫なのか、常に意識して行動する必要があります。

17/41

可用性とは



可用性：

この肝心なときに情報が利用できない！？

18/41

例：パソコンの故障

データのバックアップや、計算機の冗長化等で被害を防止できます。

故障や災害は、どうしても発生してしまいますパソコンから異音が！

火山が噴火して、

計算機が燃えた！

(4)

19/41

可用性とは – まとめ



可用性：



データのバックアップ、計算機を複数準備する等で、

防止することができます。



故障や災害は、いつ何時、どのようにして起きるかわかりません。



何が起きても大丈夫なように、事前に備えておくことが重要です。

20/41

情報セキュリティのまとめ



完全性、機密性、可用性を保つこと。



技術で防ぐことができることと、できないことがある。

人的な原因で問題が発生することも多い。



ネットワーク社会になり、問題が発生しやすく。



ウイルスの様に、完全性、機密性、可用性すべてに影響を与えるような原因も！。



適切な情報を集めて、対応することが重要。

21/41

この講義で扱う情報セキュリティ



情報セキュリティを維持するために...



技術的な側面



暗号化技術



種々の通信技術等



人的な側面



情報セキュリティポリシー等

22/41

種々の脅威とその対策

23/41

脅威とは

 情報セキュリティを脅かすものを「脅威」と言います。

 この世の中には、多くの「脅威」が存在しています。

 「どうやって備えるのか」を決めるには、「何を脅威と認識するか」が重要です。

24/41

復習：

パソコンの故障

データのバックアップや、計算機の冗長化等で被害を防止できます。

故障や災害は、どうしても発生してしまいますパソコンから異音が！

火山が噴火して、

計算機が燃えた！

(5)

25/41

復習：

パソコンの盗難

あれ？パソコンがない

しめしめ、

上手く盗めたぞ

重要な情報は持ち出さない。

持ち出したら目を離さない。



パソコンを外に持ち出て、物理的に盗まれることも例：車上荒らし



パソコンは持ち出し禁止にする会社も。

26/41

脅威の例：トラッキング

ゴミから情報もういらないや入手！



物品を捨てるときは、その中に「重要な情報」が含まれていないかに注意する。



ハードディスク等は、OSの機能で削除していても、データを復元できることも。

 ゴミ箱等に廃棄された情報を回収、復元することで情報を得ようとする手法。

情報はきちんと削除する

27/41

脅威の例：なりすまし

 悪意のある人が、他の人になりすまして、不正に情報にアクセスしたり、施設に侵入する方法。

 パスワードが漏れたときとかに発生。

Alice

Mallory

自分の名前は

Aliceだよっと...

あなたは

Aliceだね

28/41

脅威の例：進入

 建物や施設に物理的に侵入すること。

 誰でも侵入できる施設の場合、他の人と一緒に入ってしまう場合、関係者か否かが区別つきづらいとき等。

教職員も、県大の名札を持っていたりする。

29/41

脅威の例：クラッキング

 不正にシステムに侵入したり、データを改ざんしたりする方法。

 セキュリティパッチを当ててないシステムに侵入したりする。

データが変わってる？

セキュリティホール発見！

攻撃だ！

30/41

クラックされた後の例：踏み台

 クラッキングされた後に行われる行為。

 システムに不正侵入され、乗っ取られた後、他の計算機への攻撃に利用される。

他にも攻撃だ！

攻撃だ！

攻撃されてる！

苦情がきた... 苦情だ！

(6)

31/41

クラックされた後の例：改竄

 クラッキングされた後に行われる行為。

 データを変更される。



Webサーバーをクラッキングされ、データを改ざんされ

る等。

 「HP 改ざん」で検索してみましょう。

32/41

ポートスキャン

 計算機の空いているポートをスキャンすること。

 ポートをスキャンすることで、その計算機で動作しているサービス（例：Webサーバー）を知ることができます。

80番ポートが空いていて、

http

が動いているな

33/41

脅威の例： DoS アタック



DoS攻撃（Denial of Service atack）は、攻撃を行うこ

とで、対象となるシステムがサービスを続行することを難しくする攻撃。

 代表的なものとして、Webサーバーに大量のリクエストを送る等（F5アタック）。

DoS攻撃だ！

処理が多すぎる

重いなぁ

34/41

脅威の例：

クロスサイトスクリプティング

 脆弱性の一つ。

 動的にページを生成するアプリケーションで、制作者ではない第三者が任意の要素を挿入できる脆弱性。

 挿入する要素が悪意のあるスクリプトだったりすると、

重要な情報が盗まれたりする。

35/41

キーロガー

 計算機に悪意のあるプログラムを仕込んでおき、その計算機で入力されたキーを記録しておく手法。

 入力されたキーがそのまま記録されるので、パスワード等も漏れる。

36/41

スキミング

 「銀行」「スキミング」をキーワードに検索してみましょう。

(7)

37/41

その他の脅威 (1)

 フィッシング詐欺：



信頼のある企業になりすまして、パスワード等の重要な情報を盗み取ろうとする詐欺。

 スパムメール



無差別に大量に広告メールを出すこと。また、そのメール自体。

 Active Mail にはスパムメールを判別する機能が備

わっています。

 メールボム



メールを大量に送りつけてパンクさせる ^38/41

その他の脅威 (2)

 バッファオーバーフロー

 プログラムしたときのバグが原因で、想定外のことを実行される場合がある。



SQLインジェクション

 データベースを扱うプログラムのバグで、データベースに自由にアクセスされたりする。

等々...

39/41

ハッカーとクラッカー

 ニュース等だと同じような意味で使用されていますが、

本当は違う言葉です。

 ハッカー：

すごいコンピュータ技術の利用が可能な人。

 クラッカー：

ネットワークへの侵入や改ざん等の悪意を持った行為（クラッキング）を行う人。

40/41

不正アクセス禁止法

 正式名称[不正アクセス行為の禁止等に関する法律]



2000年に制定。

 以下のような行為を取り締まる。



他人のパスワード等で計算機等を利用すること。



計算機のセキュリティホールを利用すること。



他社の不正行為を手助けすること。

 管理者はきちんとした計算機管理をすることが求められる。

41/41

演習：

情報流出の事例

42/41

課題と課題の提出

 次のことを調べ、レポートにまとめて提出する



「情報流出」等をキーワードに検索し、どのような事故があったか調べる。

 ファイル名は学籍番号の末尾にkをつけたもの。

情報セキュリティ 第02回