1
情報セキュリティ 第10回
大久保誠也 静岡県立大学経営情報学部
2/48
はじめに
はじめに
今までのことで守れるもの
人的なセキュリティとは
セキュリティ的な脅威の代表例
セキュリティポリシー
演習3/48
今までのことで 守れるもの 守れないもの
4/48
今までやってきたこと
情報セキュリティについて、主に通信関係についての 技術を取り扱ってきた。
公開鍵暗号
秘密鍵暗号
ハイブリッド暗号
一方向関数
認証
鍵配送問題
パスワード SSH
HTTPS
メールに関するセキュリティAlice
5/48Bob
通信関係技術で守れるもの(1)
盗聴防止 改ざん防止
なりすまし 防止 守れる部分
今まで講義で取り扱った情報通信技術で、通信関係 は守れる。Alice
6/48Bob
通信関係技術で守れるもの(2)
盗聴防止 改ざん防止
なりすまし 防止 守れる部分
範疇外
範疇外
今までの取り扱った情報通信技術では、「人に関する セキュリティ」や「計算機管理そのもの」は、フォローし ていない。7/48
セキュリティ的な事故のニュース
Googleで「情報流出 原因」で検索してみよう。
ニュースになる多くの事件は、「人」が「問題になる行 動」を起こした結果、生じてしまうことも多い。8/48
今日からやること
情報セキュリティについて、主に通信関係以外の事 柄を取り扱う。
情報流出と人的なセキュリティ
情報セキュリティポリシー
認証とは何か
(ライセンス)
(知的財産権)9/48
セキュリティの重要性
どんなに技術がすぐれていても、それを扱っているの は、あくまでも「人」。
「人」は、最大のセキュリティホールになりうる。
セキュリティパッチの当て忘れ
情報のずさんな管理セキュリティを維持するためには、
技術だけではなく、運用等も大事
10/48
復習:
情報セキュリティの主要な要素
以下の事柄を保つことです。
完全性:情報が完全な形で保たれていること
機密性:必要のある人以外に、情報がわたらないこと
可用性:必要なときに、情報が利用出来ること
11/48
脅威とは
情報セキュリティを脅かすものを「脅威」と言 います。
この世の中には、多くの「脅威」が存在してい ます。
「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。種々の脅威は来週以降にやります
12/48
復習:
パソコンの故障
データのバックアップや、計算機の冗長化等で 被害を防止できます。
故障や災害は、どうしても発生してしまいます パソコンから異音が!
火山が噴火して、
計算機が燃えた!
13/48
復習:
パソコンの盗難
あれ? パソコンがない
しめしめ、
上手く盗めたぞ
重要な情報は持ち出さない。
持ち出したら目を離さない。
パソコンを外に持ち出て、物理的に盗まれることも 例:車上荒らし
パソコンは持ち出し禁止にする会社も。14/48
例:物品の廃棄
ゴミから情報 もういらないや 入手!
情報はきちんと削除する
物品を捨てるときは、その中に「重要な情報」が含まれていない かに注意する。
ハードディスク等は、OSの機能で削除していても、データを復元 できることも。15/48
情報を守るための方策
16/48
情報セキュリティポリシー
組織におけるセキュリティ対策を実施するため、「基本的なセキュリティ方針」を明確にしたもの。
関連文章は次の3つ:
情報セキュリティ基本方針
情報セキュリティ対策基準
情報セキュリティ実施手順セキュリティ ポリシー
17/48
個々の文章
情報セキュリティ基本方針:
情報セキュリティに対する、基本的な立場(目的)や、用語の定義、文章構成等を示す。
情報セキュリティ対策基準:
基本方針の目的を達成するために、「何を守るの か」「どのような組織体制で臨むのか」「どのぐら い守るのか」の基準を示す。
情報セキュリティ実施手順:
具体的にどのように行動するかを示す。18/48
情報セキュリティの評価
実施する際には、
何を守るべきなのか
どのぐらいの強さで守るのか
どのぐらいコストとリスクがあるのかを評価する必要があります。
書類?個人情報?
紙?ハードディスク?
部屋に施錠すれば大丈夫? 金庫に入れる?
漏れた場合の影響は? 日常的に運用できる体制か?
特に守らなければならないものはどれか?
19/48
情報資産と情報の分類
情報資産:
守るべきターゲット
「情報そのもの」や「情報を含んだ物体」も含まれてい る。つまり、「紙」も情報資産になりうる。
情報資産は、重要性に応じてランク付けされる。たとえば、「公開情報」「社外秘情報」「機密情報」等。
20/48
県大の情報セキュリティポリシー
21/48
県大の情報セキュリティポリシー
情報セキュリティ基本方針:策定済み
情報セキュリティ対策基準:策定済み
情報セキュリティ実施手順:対策基準策定後に作成する?(予定)
22/48
ファイルのダウンロード(1)
県大のTOPページにアクセスし、左側のメ ニューにある[法人情報]をクリックする。23/48
ファイルのダウンロード(2)
上から9番目の項目[法人情報]の一番最後に ある[情報セキュリティ基本方針]をクリック。
開いたページにある「情報セキュリティ基本方 針」をクリック24/48
何が書かれているのか(1)
第1条:
目的や、この文章の位置づけが書かれてい ます。25/48
何が書かれているのか(2)
第2条:
一連のセキュリティ関連文書で使用される用 語の定義をしています。
場合によっては他と違う定義が書かれてい ることもあるので、注意が必要です。26/48
何が書かれているのか(3)
第3条、第4条
この規定を誰が守らないといけないか
守らないといけない人の義務27/48
何が書かれているのか(4)
第5条
何を脅威としてとらえるのかの例が書かれて いる。つまり、何に備えたいのか。28/48
何が書かれているのか(5)
第6条、第7条、第8条
実施内容の策定
実施内容の評価
実施内容の見直し のサイクルが書かれている。29/48
何が書かれているのか(6)
第9条、第10条、第11条、別表
他の文章(セキュリティ対策基準と実施手 順)を策定すること
全部の文章それぞれの位置づけについて30/48
県大の情報セキュリティ対策基準
31/48
ファイルのダウンロード(1)
県大のTOPページにアクセスし、左側のメ ニューにある[法人情報]をクリックする。32/48
ファイルのダウンロード(2)
上から9番目の項目[法人情報]の一番最後に ある[情報セキュリティ対策基準]をクリック。
開いたページにある「情報セキュリティ対策基 準」をクリック33/48
情報セキュリティ基本方針 第9条:
(情報セキュリティ対策基準の策定)情報セキュリティ対策を実施するために、具 体的な遵守事項及び判断基準等を定める情 報セキュリティ対策基準を策定する。なお、
情報セキュリティ対策基準は、公にすること により法人の業務運営に重大な支障を及ぼ すおそれがあることから非公開とする。
学外に内容を漏らさないこと
取り扱いにおける注意点
34/48
何が書かれているのか(1)
第1条:35/48
何が書かれているのか(2)
第2条:36/48
何が書かれているのか(3)
第3条~第10条:37/48
何が書かれているのか(4)
第11条:38/48
何が書かれているのか(5)
第12条~第13条:39/48
何が書かれているのか(6)
第14条、第17条:40/48
何が書かれているのか(7)
第15条:41/48
何が書かれているのか(8)
第16条:42/48
何が書かれているのか(9)
第18条:43/48
何が書かれているのか(10)
第19条~第21条:44/48
何が書かれているのか(12)
第22条:45/48
何が書かれているのか(13)
第23条~第24条:46/48
何が書かれているのか(14)
第25条~第26条:47/48
情報セキュリティ実施手順
対策基準を満たすために、具体的にどのように 行動するかが記載されている。
記載方法は様々。 適用される部署毎に文章が違う場合もある。
対策基準のうち、適用されるものを抜き出し、
それぞれの基準を満たすための具体的手順を記す。
48/48
演習:
ファイルの復元
49/48
本日やること
削除したファイルの復元を体験します。
以下の手順を行います。
ファイル復元ソフトをダウンロードする USBメモリ上にファイルを作成する。
作成したファイルを削除する。
復元ソフトを使ってファイルを復元する。50/48
ファイルのダウンロード (1)
DataRecoveryというファイルを使用します。
1. Googleで「窓の社 DataRecovery」をキーワー
ドとして検索をしましょう。2. TOPに窓の社の DataRecoveryの
ページが出るので、クリックします。
51/48
ファイルのダウンロード (2)
3. DataRecoveryの
ページが開いたら、Downloadを
クリックします。52/48
ファイルのダウンロード (3)
4.
クリックしてしばらく待つと、ダウンロードが始ま るので、デスクトップに保存します。
5. DataRecovery.lzhが
デスクトップにできる ので、ダブルクリック して解凍します。フォルダが 作成されます。
53/48
ファイルを作成して削除する(1)
1.
適当な内容のMS-Word のファイルをUSBメモ
リ上に作成します。ある程度ファイルサイズを稼ぐため、本文に何 か書きましょう。
2.
ファイル名は、今回はkadai0612.doc
としておきましょう。54/48
ファイルを作成して削除する(2)
3.
先ほど作成したファイルを削除します。(ゴミ箱にドラッグするか、選択してDELキーを 押す)
4.
ゴミ箱の中にない(つまり、MS-Windowsの機 能では復元できない)ことを確認しましょう。55/48
復元ソフトの実行 (1)
1.
先ほど解答したフォルダ(ディレクトリ)中にあるDataRecovery.exe
を実行しましょう。56/48
復元ソフトの実行 (2)
2. USBメモリを選択し、スキャンボタンを押します。
USB
メモリを 選択してスキャンボタンを 押す
57/48
復元ソフトの実行 (3)
3.
スキャンが終わったら、右側に復元可能ファイ ルの一覧が表示されます。4.
「さらにスキャンするか?」と聞いてくるので、
今回は
[キャンセル]
しましょう。
キャンセルを 押す
58/48
復元ソフトの実行 (4)
5.
復元したいファイル(今回はkadai0622.txt)を 選択し、[リカバリ]をクリックします。復元したいファイルを選択して
リカバリボタンを押す
59/48
ファイルを確認する
1. USBメモリの中に、ファイルが存在していること
を確認しましょう。2.
ファイルを開いてみて、中身も正しいことを確認 しましょう。60/48
復元ソフトの終了
1.
右上の[×]をクリックして 終了します。2.
ツールのインストールに ついて聞いてくるので、今回はチェックを全部 外して、[OK]をクリック します。
今回は、チェックを すべて外す
61/48
何故可能なのか (1)
多くのファイルシステムでは、ディスク上に
ディスク上のどこにデータがあるかの情報
実際のデータを別々の場所に持っています。
データ
1
データ1
データ1
データ2
データ1は1~3にあるデータ2は4にある
62/48
何故可能なのか (2)
データを書き込むときには、「ディスク上のどこにデータ があるかの情報」で空いている部分に書き込まれます。
データ
1
データ1
データ1
データ2
データ3
データ1は1~3にあるデータ2は4にある
データ3は5にある 空いている部分に データを書き込んだ
63/48
何故可能なのか (3)
ファイルを削除したときは、「ディスク上のどこにデータ があるかの情報」を削除します。
多くの場合、削除記号がつくだけだったりします。
データ領域は弄らないことに注意。
データ
1
データ1
データ1
データ3
データ1は1~3にある× データ2は4にある データ3は5にある
情報を削除 こちらはそのまま
データ
2
64/48
何故可能なのか (4)
データ領域はそのままなので、データ領域を直に眺め ると、データを復旧できる場合があります。
データ
1
データ1
データ1
データ3
データ1は1~3にある× データ2は4にある
データ3は5にある スキャンして、ファイル として復元したりする
データ
2
削除マークを取り除いたり
65/48
何故可能なのか(4)
「ディスク上のどこにデータがあるかの情報」では空い ていることになっているので、そのうち、他のデータで 上書きされます。
そうなったら、復元は難しくなります。
データ
1
データ1
データ1
データ3
データ1は1~3にあるデータ4は4にある データ3は5にある
データは上書きされた
データ
4
空いているので、
他のデータを書き込んだ
66/48
課題と課題の提出
kadai0612.doc
を削除しましょう。 適当なファイルをUSBにコピーしていくと、そのうち
kadai0612.doc
を復元できなくなるはずである。 ファイルを追加 → スキャン
を繰り返し、復元できなくなることを確かめ、何回必要 だったかを報告してください。
10個のファイルを追加しても復元可能だったら、必要
だった回数の代わりに、その旨を報告すること。
ファイル名は学籍番号の末尾に
