1
情報科学 第06回 前半 情報セキュリティの基礎
2/63
情報セキュリティの目的
3/63
何を思い浮かべますか?
4/63
情報セキュリティとは何か
代表的なのは、以下の事柄を保つことです。
完全性:情報が完全な形で保たれていること
機密性:必要のある人以外に、情報がわたらないこと
可用性:必要なときに、情報が利用出来ること
かなり広い概念です
5/63
完全性とは
以下の事柄を保つことです。
完全性:情報が完全な形で保たれていること
あれれ?
欲しい情報が 変わってしまって いるような……
6/63
例:ウイルス
コンピュータに被害をもたらす不正なプログラム
ネットワークやUSB
メモリ等から進入 データが変わってる?変な動作をするぞ?
ウイルス対策ソフトのインストールが一般的
ウイルス対策ソフトは、ウイルスの侵入や活動を防 いでくれます。
定期的にアップデートすることを忘れずに。ウイルスは、完全性・機密性・可用性のすべてに影響
7/63
例:セキュリティホール
セキュリティの穴/不具合
できてはいけないことができてしまう/されてしまう。データが変わってる?
変な動作をするぞ?
セキュリティ ホール発見!
攻撃だ!
パッチを当てることで、穴を塞ぐことができます。
毎月出るので、アップデートすることを忘れずに。セキュリティホールも、
完全性・機密性・可用性のすべてに影響 セキュリティーパッチを当てましょう
8/63
機密性とは
以下の事柄を保つことです。
秘密性:必要のある人以外に、情報がわたらないこと
あの会社から
情報を盗んでやろう……
9/63
例:メールの盗聴
Hello World
Hello World Hello
World
Bob
送信
Alice
Hello World
Hello World
Eve
盗聴A:>
Hello World
覗き見して やろう
メールは基本的に 平文なので、
盗聴し放題!
Alice
から メールが来た。送信
重要な情報は メールしない
or 暗号化
10/63例:メールの誤送信
極秘
あれ?
これは...
極秘
送信
Bob
Alice
あて先はきちんと確認するあ!
送り間違えた!
11/63
例:パスワードの管理
あれ?
これは
...
覚えられない なぁ...
パスワードは適切に管理する
初期パスワードは必ず変更する。数ヵ月に1
回パスワードの変 更を行う。
他人に教えたりしない。他人に推測されづらいこと(×誕生日)。短いパスワードはダメ。英数文字と記号を組み合わせる等)。
紙などに記入するなどのメモを作らない 12/63例:パソコンの盗難
あれ? パソコンがない
しめしめ、
上手く盗めたぞ
重要な情報は持ち出さない。
持ち出したら目を離さない。
パソコンを外に持ち出て、物理的に盗まれることも 例:車上荒らし
パソコンは持ち出し禁止にする会社も。13/63
対策:暗号化
極秘
暗号化されていて、
よくわからんなぁ
Bob
Alice
暗号化することで機密性を保てる あ!
送り間違えた!
極秘 送信
暗号化:
第三者が見ても わからないように 変換すること
14/63
例:その他
ファイル共有ソフトでの機密情報流出 winny
による事件が有名
対策:使わない
ハードディスクやCD等のメディアを廃棄したら、そこ から情報が流出
捨てる前に、メディアを読み取り不可な状態に。 CD
の裁断。
ハードディスクのデータをツールにより消去。Windows
のゴミ箱から削除しただけでは、復元出 来てしまいます。15/63
機密性とは – まとめ
以下の事柄を保つことです。
機密性:必要のある人以外に、情報がわたらないこと
暗号化等の技術で、防止することができます。
不注意等、人的な部分から問題が発生することも多 いです。
その行動は大丈夫なのか、常に意識して行動する必 要があります。16/63
可用性とは
以下の事柄を保つことです。
可用性:必要なときに、情報が利用出来ること
この肝心なときに 情報が利用できない!?
17/63
例:パソコンの故障
データのバックアップや、計算機の冗長化等で 被害を防止できます。
故障や災害は、どうしても発生してしまいます パソコンから異音が!
火山が噴火して、
計算機が燃えた!
18/63
可用性とは – まとめ
以下の事柄を保つことです。
可用性:必要なときに、情報が利用出来ること
データのバックアップ、計算機を複数準備する等で、防止することができます。
故障や災害は、いつ何時、どのようにして起きるかわ かりません。
何が起きても大丈夫なように、事前に備えておくこと が重要です。19/63
情報セキュリティのまとめ
完全性、機密性、可用性を保つこと。
技術で防ぐことができることと、できないことがある。人的な原因で問題が発生することも多い。
ネットワーク社会になり、問題が発生しやすく。
ウイルスの様に、完全性、機密性、可用性すべてに 影響を与えるような原因も!。
適切な情報を集めて、対応することが重要。20/63
種々の脅威
21/63
脅威とは
情報セキュリティを脅かすものを「脅威」と言 います。
この世の中には、多くの「脅威」が存在してい ます。
「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。
22/63
脅威の例:なりすまし
悪意のある人が、他の人になりすまして、不正に情報 にアクセスしたり、施設に侵入する方法。
パスワードが漏れたときとかに発生。
Alice
Mallory
自分の名前はAliceだよっと...
あなたは
Aliceだね
23/63
脅威の例:進入
建物や施設に物理的に侵入すること。
誰でも侵入できる施設の場合、他の人と一緒に入って しまう場合、関係者か否かが区別つきづらいとき等。
教職員も、県大 の名札を持って いたりする。
24/63
脅威の例:トラッキング
ゴミ箱等に廃棄された情報を回収、復元することで情 報を得ようとする手法。
ゴミから情報 もういらないや 入手!
25/63
脅威の例:クラッキング
不正にシステムに侵入したり、データを改ざんしたりす る方法。
セキュリティパッチを当ててないシステムに侵入したり する。
データが変わってる?
変な動作をするぞ?
セキュリティ ホール発見!
攻撃だ!
26/63
クラックされた後の例:踏み台
クラッキングされた後に行われる行為。
システムに不正侵入され、乗っ取られた後、他の計算 機への攻撃に利用される。
他にも 攻撃だ!
攻撃だ!
攻撃されてる!
苦情がきた... 苦情だ!
27/63
クラックされた後の例:改竄
クラッキングされた後に行われる行為。
データを変更される。
Webサーバーをクラッキングされ、データを改ざんされ
る等。
「HP 改ざん」で検索してみましょう。
28/63
ポートスキャン
計算機の空いているポートをスキャンすること。
ポートをスキャンすることで、その計算機で動作してい るサービス(例:Webサーバー)を知ることができます。
80番ポートが空いていて、
httpが動いているな
29/63
脅威の例: DoS アタック
DoS攻撃(Denial of Service atack)は、攻撃を行うこ
とで、対象となるシステムがサービスを続行することを 難しくする攻撃。 代表的なものとして、Webサーバーに大量のリクエス トを送る等(F5アタック)。
DoS
攻撃だ! 処理が多すぎる重いなぁ
30/63
脅威の例:
クロスサイトスクリプティング
脆弱性の一つ。
動的にページを生成するアプリケーションで、制作者 ではない第三者が任意の要素を挿入できる脆弱性。
挿入する要素が悪意のあるスクリプトだったりすると、
重要な情報が盗まれたりする。
31/63
脅威の例:スパムメール
無差別に大量に広告メールを出すこと。また、
そのメール自体。
Active Mail にはスパムメールを判別する機能
が備わっています。
32/63
キーロガー
計算機に悪意のあるプログラムを仕込んでお き、その計算機で入力されたキーを記録してお く手法。
入力されたキーがそのまま記録されるので、パ スワード等も漏れる。
33/63
その他の脅威 (1)
フィッシング詐欺:
信頼のある企業になりすまして、パスワード等の重 要な情報を盗み取ろうとする詐欺。 スパムメール
無差別に大量に広告メールを出すこと。また、その メール自体。 Active Mail にはスパムメールを判別する機能が備
わっています。 メールボム
メールを大量に送りつけてパンクさせる 34/63その他の脅威 (2)
バッファオーバーフロー
プログラムしたときのバグが原因で、想定外のこと を実行される場合がある。
SQLインジェクション
データベースを扱うプログラムのバグで、データ ベースに自由にアクセスされたりする。
等々...
35/63
ハッカーとクラッカー
ニュース等だと同じような意味で使用されていますが、
本当は違う言葉です。
ハッカー:
すごいコンピュータ技術の利用が可能な人。
クラッカー:
ネットワークへの侵入や改ざん等の悪意を持った行 為(クラッキング)を行う人。
36/63
不正アクセス禁止法
正式名称[不正アクセス行為の禁止等に関する法律]
2000年に制定。
以下のような行為を取り締まる。
他人のパスワード等で計算機等を利用すること。
計算機のセキュリティホールを利用すること。
他社の不正行為を手助けすること。 管理者はきちんとした計算機管理をすることが求めら れる。
