第二回 新情報セキュリティ技術研究会 公開セミナー
イターネット時代の
セキュリティー
ー IT封鎖とプライバシー保護 ー
平成14年11月11日
東京大学先端科学技術研究センター
東京大学国際・産学共同研究センンター
講演概要
講演概要
何故セキュリティが重要になった
被害の実
怖さのポイン
対策の基
IT封鎖を避けるには(対策A,B,C,・・)
まと
インターネットの進展とEC社会(2)
インターネットの進展とEC社会(2)
■ エクストラネット利用拡大
■ 基幹システムのイントラネット化
■ Eマーケットプレース誕生
■ 重要情報の送受信・受発注・決済処理
■ 行政の変革、企業活動・業態の変革、個人・家庭の生活のあり方の変革
(eガバメント、eビジネス、eライフ/社会形態変動)
■ 生活者主体の確立に向けた社会構造への大潮流変化
第2フェーズ(
2000
∼)
0.065 0.19 0.43 0.87 1.62 3.16 9 12 19 29 43 68 9.065 12.19 19.43 29.87 44.62 71.6 0 10 20 30 40 50 60 70 80 1998年 1999年 2000年 2001年 2002年 2003年 兆 円BtoC BtoB BtoBto C
前通商産業省「日米電子商取引の市場規模調査」1999年3月発表より作成
サイバーセキュリティの重
要性の増大
サイバーセキュリティの重
要性の増大
社会構造の変化
社会構造の変化
社会構造の改革
社会構造の改革
社会構造の改革
組織統治の戦略
リスクマネージメント内部リスクへの対応
電子政府
電子政府
製造業・流通業、その他様々な産業構造の変化
業界での「業態の変化」産業構造の変化
製造業・流通業、その他様々な 業界での「業態の変化」業務のアウトソーシング
派遣ビジネスの拡大業務のアウトソーシング
派遣ビジネスの拡大組織の分割・合併・M&A等
の激増
組織の分割・合併・M&A等
の激増
変化する社
変化する社
国際
国際
EC社会の到来→各種取引の電子化と危険
C:消費者EC
証券取引、書籍/DVD/CD販売、
自動車販売、オークション、指値販売、
座席予約、バンキング、
ショッピングモール etc
C:消費者EC
証券取引、書籍/DVD/CD販売、
自動車販売、オークション、指値販売、
座席予約、バンキング、
ショッピングモール etc
B:企業間EC
電子市場/自動車部品、鋼材、
電子機器、建材
鉄鋼プラント設備管理、電力設備管理
各種EDI、CAD設計 etc
B:企業間EC
電子市場/自動車部品、鋼材、
電子機器、建材
鉄鋼プラント設備管理、電力設備管理
各種EDI、CAD設計 etc
G:電子政府
公共事業調達、貿易手続き、
特許申請、税務申告、
住民票、免許証 etc
G:電子政府
公共事業調達、貿易手続き、
特許申請、税務申告、
住民票、免許証 etc
盗
盗
なりすま
なりすま
改ざ
改ざ
機密漏
機密漏
妨
妨
不正アクセ
不正アクセ
侵
侵
ウイル
ウイル
■ グルーバルなEC社会
ボーダレスな取引の日常化
■ インターネット社会での契約の促進
電子政府、電子行政、政府申請業務の電子化
各種商取引の電子化
電子市場、受発注、コンテンツ流通、オークション
■ 電子申請業務、商取引の安全性の確保
インターネット前
企業
企業
個人
対面
伝言・託送
郵便
電話網
情報は紙の上
種々の形態で
統合化されていない
インターネットへの依存と危険
企業
企業
個人
インターネット
eガバメント、eビジネス、eライ
情報は電子形態
簡単に統合化される
まとめて壊される
TCP
TCP
-
-
IP
IP
による統合網イメージ
による統合網イメージ
電
FA
ビデオテック
TV会議端
電
FA
ビデオテック
TV会議端
振
り
分
け
機
能
64Kbs/s系回線交換機
高速系回線交換機
パケット交換機能
専用線機能
電話
FAX
ビデオテックス
TV会議端末
振
り
分
け
機
能
TCP-IP網
電話
FAX
ビデオテックス
TV会議端末
ディジタル化
統一プロトコル
コネクション型とコネクションレス型
コネクション型ネットワーク例
市外中継交換機 制御機構 アドレス データ 電話用サービス 加入者交換機コネクション型とコネクションレス型
コネクションレス型ネットワーク例
メモリ CPU メモリインターネット
CPU a d c データ アドレス d c a a d c メモリ CPU メモリ CPUマイクロコミュニケーション形成とコンテンツ流通促進
マイクロコミュニケーション形成とコンテンツ流通促進
マスコミ
プロコンテンツ
ブロード
キャスティング
パーソナル
キャスティング
コミュニケーション
ミニコミ
セミプロコンテンツ
マイクロコミ
アマコンテンツ
エニー
キャスティング
発信源数
創る
送る
視聴対象数
楽しむ
受ける
ビデオカメラ普及:35%(約1600万世帯)
*1・PC普及:50.5%
*2パーソナルコンテンツ年間延べ時間数:26.4億分(4400万巻×約60分)
*3 出典: *1. 総理府統計局(2000年) *2. 総務省情報通信政策局総合政策課統計企画課(2000年10月) *3. 社団法人日本記録メディア工業会、ソニー株式会社(2000年)有名なウィルスとその害
Nimda
htmlファイル、Javaスクリプトコードの改ざん
被害件数
2001/09/18
ユーザ操作不用→感染力大 (実害?)
294件 178万ユーザ
CodeRed
リモートWeb Serverのバッファオーバフローを引 被害件数
200108/04
き起こす。一部のルータの動作を停止させる
100件以上 多数
Sircam
ディスク(Cドライブ)の内容を全て削除する
被害件数
2001/07/20
起動時にディスクの未使用スペースを埋める
1441件
ファイルを勝手にメールに添付して送信してしまう
Loveletter 拡張子が vbs jpg mp3
等のファイルを破壊
被害件数
2000/05/04
ウィルスを添付したメールを自動送信
1.6万
IRC(Internet Relay Chat)を通じて自己増殖
Magistr
感染1カ月後、システム設定やディスク
被害件数
2001/04
のファイルが消される
59件(4月のみ)
Pretty
感染するとPC内eメールアドレスリスト
被害件数
現在起きている被害データ
世界のWeb改ざん被害
ホームページ改ざん日本企業被害
http://www.people.site.ne.jpより
0 50 100 150 200 250 300 350 400 1月 3月 5月 7月 9月 11月 2 0 0 0 年 2 0 0 1 年0
500
1000
1500
2000
2500
3000
3500
1月
3月
5月
7月
9月
11月
2000年
2001年
http://www.attrition.org/、http://www.alldas.de/より
日本企業・組織のセキュリティ対策事情
3月 運輸施設整備事業団 成田空港検疫所 埼玉県 国立ガンセンタ− 河川環境管理財団 国際協力銀行 国立医薬品食品衛生研究所 雇用・能力開発機構 2月 血液製造調査機構 物産プラザふくしま ビル管理教育センタ− 農業農村整備情報総合センタ− 大和町役場 北海道・東川町 県立広島病院 揖斐川町商工会 大阪市阿倍野区医師会 岸和田市農業共同組合 1月 国際通信経済研究所 国際農林業協力協会被害例
被害例
)
)
∼官公庁被害
∼官公庁被害
6月 札幌市教育センタ− 富山県婦中町役場 国立社会保障・人口問題研究所 5月 衆議院議員 下村博文公式サイト 京都市住宅供給公社 財団法人 国際交流センタ− 奈良県 砂防河川雨量情報 日本原子力研究所 大分県治山林道協会 福岡市教育委員会 尼崎市 鹿児島県 宮崎県議会 瀬戸市立図書館 大宮商工会議所 福岡市 福岡設計共同事務所 運輸省海技大学校 財団法人核物質管理センタ− 鹿児島県総合教育センタ− 4月 0日本企業・組織のセキュリティ対策事情
被害例
被害例
)
)
∼大学・教育機関被害
∼大学・教育機関被害
5月 福岡工業大学 横浜山手女子高校 香川中央高校 熊本商高 弘前大学 九州大学航空工学科 安田女子大学 中部日本高校演劇連盟 和歌山県立医科大学 東京医科歯科大学 佐賀医科大学 島根大学 東京商船大学 関西学院大学 明星大学 東京家政学院筑波短期大学 帝塚山大学 神戸大学 慶応義塾大学 山梨大学 京都工芸繊維大学 東京工業大学 京都大学 日本中央学園 山口大学 大阪国際学園 工学院大学 新潟大学 愛知大学 東京大学 日本大学 室蘭工業大学 茨城大学 九州工業大学 筑波大学 6月 群馬女子短期大学 兵庫科学技術専門学校 1月 神田女学園高校 九州電子開発学園 北海道早稲田情報科学専門学校 2月 北海道工業大学 奈良産業大学 玉川大学 東京大学 常磐会学園 東北大学学友会吹奏部 呉大学短期大学部 天理大学付属図書館 不二聖心女子高校 3月 東邦大学 山梨県立産業技術短期大学 4月 長崎大学 化学センサ研究会 熊本学園大学図書館ルートサーバーに大規模
ルートサーバーに大規模
DoS
DoS
攻撃も、大きな混乱なし
攻撃も、大きな混乱なし
AP通信 2002年10月22日 4:23pm PDT
ワシントン発ー10月21日午後(米国時間)、非常に強力な電子的攻撃
が行なわれ、全世界のインターネット・トラフィックを管理している13基の
ルートサーバーのうち9基にサービス拒否攻撃(DoS)を受け、短時間の
障害が起こっていたことを、米連邦当局が22日に明らかにした。
ただしこの攻撃は1時間続いただけだったので、ほとんどのインター
ネット・ユーザーは気づかなかったという。
13基のルートサーバーは、物理的な災害に備えて世界各地に分散
して置かれており、米国政府機 関、大学、企業、私的機関などによって
運営されている。
インターネットは理論上、1基のルートサーバーだけで稼動できるが、
4基以上のルートサーバーが一定の時間にわたって停止した場合はパ
フォーマンスが低下すると考えられる。
侵入者像の認識の転換
侵入者像の認識の転換
=
=
対策の転換
対策の転換
愉快犯的個人レベルの攻撃
組織的攻撃=サイバーテロ
総会屋
テロリストグループ
ならずもの国家やサイバー軍隊
傾向
より組織化され、高度化された攻撃へ
犯行声明による目に見える被害から
深く静かに潜行する目に見えない被害へ
今後の重要視点
踏み台にされた企業・個人の社会
的責任問題
ADSLの各家庭常時接続の期待とそ
の裏にある無数の家庭が踏み台の
温床となる危険性
重要インフラ保護のきっかけ:
重要インフラ保護のきっかけ:
Eligible Receiver
2002.2.6 グローコム山田氏資料より
DARPAによる1996年3月の演習“The Day After…”
に続く、DoDによる1997年6月の実験
職員35人がハッカーに扮し、二つの課題を実行
z
通信、電力など重要インフラの管理システムの
スイッチ切断
z
DoDのコンピュータネットワークへの侵入
職員への条件
z
職業上知りえた知識は使用しない
z
コンピュータは市販のもの
Eligible Receiver
Eligible Receiver
の結果
の結果
2002.2.6 グローコム山田氏資料より
3ヶ月の準備期間中にすべての課題をクリア
DoDのコンピュータネットワークへの侵入
z
テスト4万回で36回、侵入に成功
z
このうち管理者による検知はわずか2回
連邦政府に大きな衝撃
z
少人数の攻撃で中枢機能が麻痺する危険への認識
z
民間が運営するインフラ防御の重要性の認識
•
General Minihan (National Security Agency) said the
main target could be our critical infrastructure areas.
(上院公聴会1998年6月)
インターネットにおける危険の特徴
つながっていると波及が止められない
つながっているだけで害になることがある
管理の中枢がないのでモグラたたきでつぶす
セキュリティレベルの低いところが問題
危険なものはつなぐな(村八分にしろ)
IT封鎖
電子政府へのブロードバンド危険
電子政府へのブロードバンド危険
今でもウィルス拡散速度は百倍可能
ブロードバンドでもっと速度が上がる
常時接続でもっと危険になる
例えば 顧客ファイルの漏洩
(500バイト∼3キロバイト)x10万人=50MB∼300MB
ISDN(128Kbps)なら、0.87∼5.2時間、
100Mbpsなら、4∼24秒であっという間に送れるので盗むのも簡単
今は小手調べ(偵察)・仕込み段階
慎重にしなければすべてバックドアが組み込まれてしまう
何が最も怖いのか
何が最も怖いのか
情報の集積・記録容易化と不正流出
プラバシー不保護から社会基盤の崩壊へ
守っている事例→図書館
貸し出し業務
貸し出中
すべて記録
二条川原の落書に見る社会基盤への示唆
二条川原の落書に見る社会基盤への示唆
此頃都ニハヤル物 夜討・強盗・謀綸旨 召人・早馬・虚騒動 生頸・還
俗・自由出家 俄大名・迷者 安堵・恩賞・虚軍 本領ハナルル訴訟人
文書入タル細葛 追従・讒人・禅律僧 下克上スル成出物 器用ノ堪
否沙汰モナク モルル人ナキ決断所キツケヌ冠・上ノキヌ 持モナラハ
落書 らくしょ
時の政情や社会風潮の風刺、批判、陰謀の密告、特定の個人に対する
嘲弄・攻撃のために作成し、ひそかに、人目につきやすい場所に落して
おいたり(落しぶみ)、門戸や壁に書きつけたり、紙に書いて掲示したり
した匿名の文書。
→情報源の秘匿 →ログの管理
プライバシー(ID)と匿名性
プライバシー(ID)と匿名性
フェース to フェース
マスコミの良識
ID?
電気通信無し
マスコミ時代
インターネット時代
信
頼
性
匿
名
性
読み人知らずの噂話
ニュース源の秘匿
ログ廃棄 ?
セキュリティインフラの必要性(1)
コンピュータ犯罪被害
電子商取引の不安
・重要情報の窃盗 40%
・金融詐欺 25%
・内部濫用 9%
・ウイルス 12%
・不正侵入 5%
一社当たり月間8回の
Highクラスのアタック
・情報の漏えいが不安
・通信相手が信頼でき
ない
・通信内容、情報の保護
・ネット上での身分確認
不正侵入の実態
ハッキング・ウイルス脅
威に対する防御
セキュリティインフラの必要性(2)
サイバーセキュリティは、組織内外のネットワークシステム基盤の重要要素
であり、組織活動における信用・信頼を支える仕組みである。
ネットワーク内での信頼構造の実現
PKI、PMI、の導入
・通信内容、情報の保護
・ネット上での身分確認
堅牢なネットワークの維持
24時間セキュリティ監視が必要
ハッキング・ウイルス脅
威に対する防御
・サイバーセキュリティは、企業活動にとって必須の手段。
・オープンなネットワーク環境下でいかにセキュリティを確保しながら
ビジネスシステムをつくるかが重要。
ネットワークセキュリティに関わる特徴
ー頭隠して尻隠さずー
イ
ン
ン
タ
ー
ネ
ッ
ト
本社
支社
出張所
出張所
出張所
支社
FW等
ユーザ
携帯接続
FWでガードしても
下から犯される
ネットワークの切り離し
ネットワークの切り離し
ネットワーク
ネットワーク
ネットワーク
攻撃
ネットワーク
攻撃
ネットワーク
ネットワーク
ネットワーク
ネットワーク
ネットワーク
セキュリティのための
D : 戦略決定レイヤ 甲社ネットワーク 乙社ネットワーク 丙社ネットワーク 丁社ネットワーク げーと げーと げーと げーと げーと
