1/301
情報セキュリティ 第02回
2/30
はじめに
情報セキュリティの目的
種々の脅威
演習3/30
情報セキュリティの目的
4/30
何を思い浮かべますか?
5/30
情報セキュリティとは何か
代表的なのは、以下の事柄を保つことです。
完全性:情報が完全な形で保たれていること
機密性:必要のある人以外に、情報がわたらないこと
可用性:必要なときに、情報が利用出来ること かなり広い概念です
6/30
完全性とは
以下の事柄を保つことです。
完全性:情報が完全な形で保たれていること
あれれ?
欲しい情報が 変わってしまって いるような……
7/30
Web サイトのクラック
8/30
機密性とは
以下の事柄を保つことです。
秘密性:必要のある人以外に、情報がわたらないこと あの会社から
情報を盗んでやろう……
9/30
情報流出
10/30
可用性とは
以下の事柄を保つことです。
可用性:必要なときに、情報が利用出来ること この肝心なときに
情報が利用できない!?
11/30
サイトのダウン
12/30
情報セキュリティのまとめ
完全性、機密性、可用性を保つこと。
技術で防ぐことができることと、できないことがある。人的な原因で問題が発生することも多い。
ネットワーク社会になり、問題が発生しやすく。
ウイルスの様に、完全性、機密性、可用性すべてに影 響を与えるような原因も!
適切な情報を集めて、対応することが重要。13/30
種々の脅威とその対策
14/30
脅威とは
情報セキュリティを脅かすものを「脅威」と言 います。
この世の中には、多くの「脅威」が存在してい ます。
「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。
15/30
ウイルス
コンピュータに被害をもたらす不正なプログラム
ネットワークやUSBメモリ等から進入 データが変わってる?変な動作をするぞ?
ウイルス対策ソフトのインストールが一般的
ウイルス対策ソフトは、ウイルスの侵入や活動を防 いでくれます。
定期的にアップデートすることを忘れずに。ウイルスは、完全性・機密性・可用性のすべてに影響 16/30
セキュリティホール
セキュリティの穴/不具合
できてはいけないことができてしまう/されてしまう。データが変わってる?
変な動作をするぞ?
セキュリティ ホール発見!
攻撃だ!
パッチを当てることで、穴を塞ぐことができます。
毎月出るので、アップデートすることを忘れずに。セキュリティホールも、
完全性・機密性・可用性のすべてに影響 セキュリティーパッチを当てましょう
17/30
ポートスキャン
計算機の空いているポートをスキャンすること。
ポートをスキャンすることで、その計算機で動作してい るサービス(例:Webサーバー)を知ることができます。
80番ポートが空いていて、
httpが動いているな
18/30
クラッキング
不正にシステムに侵入したり、データを改ざんしたりす る方法。
セキュリティパッチを当ててないシステムに侵入したり する。
データが変わってる?
変な動作をするぞ?
セキュリティ ホール発見!
攻撃だ!
19/30
クラックされた後:改竄
クラッキングされた後に行われる行為。
データを変更される。
Webサーバーをクラッキングされ、データを改ざんされ
る等。
「HP 改ざん」で検索してみましょう。
20/30
クラックされた後:攻撃
クラッキングされた後に行われる行為。
システムに不正侵入され、乗っ取られた後、他の計算 機への攻撃に利用される。
他にも 攻撃だ!
攻撃だ!
攻撃されてる!
苦情がきた... 苦情だ!
21/30
DoS アタック
DoS攻撃(Denial of Service atack)は、攻撃を行うこ
とで、対象となるシステムがサービスを続行することを 難しくする攻撃。 代表的なものとして、Webサーバーに大量のリクエス トを送る等(F5アタック)。
DoS攻撃だ!
処理が多すぎる重いなぁ
22/30
メールの盗聴
Hello World
Hello World Hello
World
Bob
送信
Alice
Hello World
Hello World
Eve
盗聴A:>
Hello World
覗き見して やろう
メールは基本的に 平文なので、
盗聴し放題!
Alice
から メールが来た。送信
重要な情報は メールしない
or 暗号化
23/30
パソコンの故障
データのバックアップや、計算機の冗長化等で 被害を防止できます。
故障や災害は、どうしても発生してしまいます パソコンから異音が!
火山が噴火して、
計算機が燃えた!
24/30
パスワードの管理
あれ?
これは
...
覚えられない なぁ...
パスワードは適切に管理する
初期パスワードは必ず変更する。数ヵ月に1
回パスワードの変 更を行う。
他人に教えたりしない。他人に推測されづらいこと(×誕生日)。短いパスワードはダメ。英数文字と記号を組み合わせる等)。
紙などに記入するなどのメモを作らない25/30
メールの誤送信
極秘
あれ?
これは...
極秘
送信
Bob
Alice
あて先はきちんと確認するあ!
送り間違えた!
26/30
パソコンの盗難
あれ? パソコンがない
しめしめ、
上手く盗めたぞ
重要な情報は持ち出さない。
持ち出したら目を離さない。
パソコンを外に持ち出て、物理的に盗まれることも 例:車上荒らし
パソコンは持ち出し禁止にする会社も。27/30
トラッキング
ゴミから情報 もういらないや 入手!
物品を捨てるときは、その中に「重要な情報」が含まれていない かに注意する。
ハードディスク等は、OSの機能で削除していても、データを復元 できることも。 ゴミ箱等に廃棄された情報を回収、復元することで情 報を得ようとする手法。
情報はきちんと削除する
28/30
進入
建物や施設に物理的に侵入すること。
誰でも侵入できる施設の場合、他の人と一緒に入って しまう場合、関係者か否かが区別つきづらいとき等。
教職員も、県大 の名札を持って いたりする。
29/30
なりすまし
悪意のある人が、他の人になりすまして、不正に情報 にアクセスしたり、施設に侵入する方法。
パスワードが漏れたときとかに発生。
Alice
Mallory
自分の名前はAliceだよっと...
あなたはAliceだね
30/30
キーロガー
計算機に悪意のあるプログラムを仕込んでお き、その計算機で入力されたキーを記録してお く手法。
入力されたキーがそのまま記録されるので、パ スワード等も漏れる。
31/30
スキミング
「銀行」「スキミング」をキーワードに検索してみ ましょう。
32/30
フィッシング詐欺:
信頼のある企業になりすまして、パスワード等の重 要な情報を盗み取ろうとする詐欺。
スパムメール
無差別に大量に広告メールを出すこと。また、その メール自体。 Active Mail にはスパムメールを判別する機能が
備わっています。
メールボム
メールを大量に送りつけてパンクさせるその他の脅威 (1)
33/30
プログラム作成時に生じてしまうセキュリティホール
バッファオーバーフロー SQLインジェクション
クロスサイトスクリプティング
ファイル共有ソフトでの機密情報流出 winny
による事件が有名
対策:使わない 等々...その他の脅威 (2)
34/30
脅威に備える
35/30
備えるために
技術的な面と人的な面がある。
機械は暗号化等の技術で守ることができる。
最新の技術や動向を知る
一方、人は技術では完全には守れない。
その行動は大丈夫か、常に意識して行動
故障や災害は、何時、どのようにして起きるかわから ない。
データのバックアップ、計算機を複数準備する等、事前に備えておく
36/30
不正アクセス禁止法
正式名称[不正アクセス行為の禁止等に関する法律]
2000年に制定。
以下のような行為を取り締まる。
他人のパスワード等で計算機等を利用すること。
計算機のセキュリティホールを利用すること。
他社の不正行為を手助けすること。 管理者はきちんとした計算機管理をすることが求めら れる。
37/30
Alice
Bob
技術で守れるもの守れないもの
盗聴防止 改ざん防止
クラック防止 技術で守れる部分
技術範疇外
技術範疇外
技術で通信経路や計算機は守れる。
技術だけでは、人の行動は縛れない。技術で ルールや
ポリシーで
38/30
この講義で扱うこと
情報セキュリティを維持するために...
技術的な側面
暗号化技術
種々の通信技術 等
人的な側面
情報倫理
情報セキュリティポリシー 等39/30
演習:
情報流出の事例
40/30
セキュリティ的な事故のニュース
Googleで「情報流出 原因」で検索してみよう。
ニュースになる多くの事件は、「人」が「問題になる行 動」を起こした結果、生じてしまうことも多い。41/30
次のことを調べ、レポートにまとめて提出する
「情報流出」「SQLインジェクション」等をキーワード に検索し、どのような事故があったか調べる。
ファイル名は学籍番号の末尾にbをつけたもの。
経情グループウェアから提出する。課題と課題の提出
42/30
ハッカーとクラッカー
ニュース等だと同じような意味で使用されていますが、
本当は違う言葉です。
ハッカー:
すごいコンピュータ技術の利用が可能な人。
クラッカー:
ネットワークへの侵入や改ざん等の悪意を持った行 為(クラッキング)を行う人。
