• 検索結果がありません。

情報セキュリティ 第11回

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "情報セキュリティ 第11回"

Copied!
10
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 10 ページ )

全文

(1)

1

情報セキュリティ 第11回

大久保誠也 静岡県立大学経営情報学部

2/48

はじめに

はじめに

脅威とは

ソフトウェア等のライセンス

演習

3/48

種々の脅威とその対策

4/48

復習:

情報セキュリティの主要な要素

以下の事柄を保つことです。

完全性:

情報が完全な形で保たれていること

機密性:

必要のある人以外に、情報がわたらないこと

可用性:

必要なときに、情報が利用出来ること

5/48

脅威とは

情報セキュリティを脅かすものを「脅威」と言 います。

この世の中には、多くの「脅威」が存在してい ます。

「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。

6/48

復習:

パソコンの故障

データのバックアップや、計算機の冗長化等で 被害を防止できます。

故障や災害は、どうしても発生してしまいます パソコンから異音が!

火山が噴火して、

計算機が燃えた!

(2)

7/48

復習:

パソコンの盗難

あれ? パソコンがない

しめしめ、

上手く盗めたぞ

重要な情報は持ち出さない。

持ち出したら目を離さない。

パソコンを外に持ち出て、物理的に盗まれることも 例:車上荒らし

パソコンは持ち出し禁止にする会社も。

8/48

脅威の例:なりすまし

悪意のある人が、他の人になりすまして、不正に情報 にアクセスしたり、施設に侵入する方法。

パスワードが漏れたときとかに発生。

Alice

Mallory

自分の名前は

Alice

だよっと

...

あなたは

Alice

だね

9/48

脅威の例:進入

建物や施設に物理的に侵入すること。

誰でも侵入できる施設の場合、他の人と一緒に入って しまう場合、関係者か否かが区別つきづらいとき等。

教職員も、県大 の名札を持って いたりする。

10/48

脅威の例:トラッキング

ゴミ箱等に廃棄された情報を回収、復元することで情 報を得ようとする手法。

ゴミから情報 もういらないや 入手!

11/48

脅威の例:クラッキング

不正にシステムに侵入したり、データを改ざんしたりす る方法。

セキュリティパッチを当ててないシステムに侵入したり する。

データが変わってる?

変な動作をするぞ?

セキュリティ ホール発見!

攻撃だ!

12/48

クラックされた後の例:踏み台

クラッキングされた後に行われる行為。

システムに不正侵入され、乗っ取られた後、他の計算 機への攻撃に利用される。

他にも 攻撃だ!

攻撃だ!

攻撃されてる!

苦情がきた... 苦情だ!

(3)

13/48

クラックされた後の例:改竄

クラッキングされた後に行われる行為。

データを変更される。

 Webサーバーをクラッキングされ、データを改ざんされ

る等。

「HP 改ざん」で検索してみましょう。

14/48

ポートスキャン

計算機の空いているポートをスキャンすること。

ポートをスキャンすることで、その計算機で動作してい るサービス(例:Webサーバー)を知ることができます。

80番ポートが空いていて、

httpが動いているな

15/48

脅威の例:DoSアタック

 DoS攻撃(Denial of Service atack)は、攻撃を行うこ

とで、対象となるシステムがサービスを続行することを 難しくする攻撃。

代表的なものとして、Webサーバーに大量のリクエス トを送る等(F5アタック)。

DoS攻撃だ!

処理が多すぎる

重いなぁ

16/48

脅威の例:

クロスサイトスクリプティング

脆弱性の一つ。

動的にページを生成するアプリケーションで、制作者 ではない第三者が任意の要素を挿入できる脆弱性。

挿入する要素が悪意のあるスクリプトだったりすると、

重要な情報が盗まれたりする。

17/48

脅威の例:スパムメール

無差別に大量に広告メールを出すこと。また、

そのメール自体。

 Active Mail にはスパムメールを判別する機能

が備わっています。

18/48

キーロガー

計算機に悪意のあるプログラムを仕込んでお き、その計算機で入力されたキーを記録してお く手法。

入力されたキーがそのまま記録されるので、パ スワード等も漏れる。

(4)

19/48

その他の脅威(1)

フィッシング詐欺:

信頼のある企業になりすまして、パスワード等の重 要な情報を盗み取ろうとする詐欺。

スパムメール

無差別に大量に広告メールを出すこと。また、その メール自体。

 Active Mail

にはスパムメールを判別する機能が備 わっています。

メールボム

メールを大量に送りつけてパンクさせる 20/48

その他の脅威(2)

バッファオーバーフロー

プログラムしたときのバグが原因で、想定外のこと を実行される場合がある。

 SQLインジェクション

データベースを扱うプログラムのバグで、データ ベースに自由にアクセスされたりする。

等々...

21/48

ハッカーとクラッカー

ニュース等だと同じような意味で使用されていますが、

本当は違う言葉です。

ハッカー:

すごいコンピュータ技術の利用が可能な人。

クラッカー:

ネットワークへの侵入や改ざん等の悪意を持った行 為(クラッキング)を行う人。

22/48

不正アクセス禁止法

正式名称[不正アクセス行為の禁止等に関する法律]

 2000年に制定。

以下のような行為を取り締まる。

他人のパスワード等で計算機等を利用すること。

計算機のセキュリティホールを利用すること。

他社の不正行為を手助けすること。

管理者はきちんとした計算機管理をすることが求めら れる。

23/48

ソフトウェア等のライセンス

24/48

ソフトウェアのライセンス

日本語だと「使用許諾条件」。

ある一定の条件のもとで、

そのソフトウェアの利用等を 認める。

インストール時や初実行時 に表示される(ことが多い)

「マイクロソフト 使用許諾」で検索してみましょう。

 Firefox

のURLバーに「about:license」と入力してみよう。

(5)

25/48

フリーソフトウェアとフリーソフト

日本では、昔から「無料」で使用できるソフトをフリーソ フトと言ってきた。フリーは「無料」という意味。

フリーソフトウェアのフリーは「自由な」という意味。

フリーソフトとフリーソフトウェアは違うもの。

フリーソフトウェアの「自由な」の意味

自由に利用することができる

自由に改変することができる

自由に配布することができる 等々...

種々のライセンスがある。 26/48

オープンソースライセンス

種々のオープンソースライセンスがある。

 GNU General Public License

 BSDライセンス(修正BSDライセンス)

 Mozilla Public License

 Firefox

Thunderbird 等が利用する。

 Apache Software License

 Apache

Web

サーバー)等が利用する。

27/48

GNU General Public License

主要なオープンソースウェアライセンスの一つ。

 Linux等はGPLで公開されている。

以下のような特徴がある。

条件下で、実行・複製・配布・改変が自由。

 GPLのプログラムを持っている人は、ソースコードを

得る権利がある。

 GPLのプログラムソースを利用して作成されたプロ

グラムは、GPLでなければならない。

事件が一番多い。

28/48

修正BSDライセンス

主要なオープンソースウェアライセンスの一つ。

 FreeBSD等は修正BSDライセンスで公開されている。

以下のような特徴がある。

無保証の明記と、著作権表示のみが再頒布の条 件なので、利用者にとって非常に緩い。

実行、複製、配布、改変が自由。

ソースコードを得る権利はない。

逆に言えば、ソースコード公開の義務がない。

修正されていない「BSDライセンス」もある

29/48

文章のライセンス

文章も「著作権」で保護されている。

無断でコピーしたりすると違法。

ソフトウェアと同様に、文章でもライセンス付きで公開 されているものもある。

 GNU Free Documentation License

クリエイティブ・コモンズ・ライセンス 等々...

30/48

クリエイティブ・コモンズ・ライセンス

クリエイティブ・コモンズが制定したライセンス。

以下の各項目について、設定する。

著作者の表示・非表示(2.0以降は表示必須)

営利目標での使用利用許可・不許可

改変の可否

二次著作物へのライセンスの継承の必要性

 Wikipediaは、このライセンスで文章を公開している。

 Wikipediaを開いて、一番下を見てみましょう。

(6)

31/48

GNU Free

Documentation License

 GPLの文章版。

条件にしたがえば、改変・配布・利用が自由。

条件とは、以下のようなもの

ライセンス文章を添付する。

改変履歴と著作者を、すべて表記する。

二次著作物は、GFDLとする。

以前のWikipediaは、GFDLだった。

32/48

ライセンス関係のニュース

 Googleで「GPL違反」をキーワードで検索してみま

しょう。

33/48

情報倫理

34/48

インターネット

情報が、

いつでも

どこでも

早く

大量に

35/48

企業や社会

インターネットで繋がり、世界は狭くなった?

遠くの情報もすぐに手に入る! 連絡できる!

企業のグローバル化

情報の発信が容易に! 36/48

世界が近くなったということは

あなたから世界が近くなった分、

世界からあたなへも近くなっている!

あなた自信も情報を発信!

情報社会になって、

新しく注意なければならないことも発生

(7)

37/48

個人情報

情報倫理

ネットで情報公開だ!

自分の個人情報が 公開されてる!?

こんな情報 公開していいの?

38/48

情報倫理や

情報セキュリティーについて、

正しい知識が必要

情報倫理と情報セキュリティー

新しいツールであるが故に、

新しいマナーや危険も伴っている!

この通信は安全なの?

相手は信用できるの?

こんなことはやっても大丈夫?

どうしたら いいんだ……?

39/48

情報化社会

情報を扱う活動が顕著である社会

情報倫理

情報セキュリティー 何をやって良いの?

ルールは?

どうやって管理したらよい?

どうやったら安全にすごせる? 40/48

情報倫理とは何か

情報を扱う上で、守らなければならないルール。

ネット上に限らず、守らなければならないルールが多 い。

ex:著作権、プライバシーの侵害等々

ネットワークを介することで、何か問題が起きたとき の影響が、非常に大きいことに!

ex:張り紙→ 影響は近所だけ

ネット→ 世界中に影響が!

41/48

著作権

レポート作成

そのままコピーしたりすると、

著作権侵害になります ネットで情報収集だ

インターネットで容易 に情報が集まります。

しかし、それにも著作 権が存在しています。

駄目です 面倒だから、そのまま文 章を写しちゃおうかな...

42/48

誹謗中傷

他人の名誉を 傷つけることは してはいけません

Aのやつの悪口を

書き込んでやる!

!! なにか酷いこと 書かれてる!?

Aって悪いやつ

なんだなぁ 駄目です

(8)

43/48

個人情報

この情報は有益だ

から公開しよう! 無許可で 自分の情報が 掲載されてる!

駄目です

個人を特定できる情報を個人情報と言います

個人情報保護法違反

事業形態により、

適用される法律は 変わります 個人情報を無目的に集めたり、

目的外利用してはいけません。

そして、適切に扱う必要があります。 44/48

情報倫理のまとめ

情報を扱う上で、守らなければならないルール。

ネット上に限らず、守らなければならないルールが多 い。

ネットワークを介することで、何か問題が起きたとき の影響が、非常に大きいことに!

その行動の結果、何が起きるかを想定してから、

個々の行動を行うことが重要。

基本的に、モラル(と法律)に従っていれば大丈夫

45/48

日常生活において

46/48

情報倫理のまとめ

現在では、多くの媒体がネットワークに繋がっている。

日常生活で、メールやブラウジング、携帯電話やパソ コン等、さまざまな情報機器を日常的に利用している。

これからの社会を安全に過ごしていくためには、これ らのことを理解し身につけておく必要がある。

企業の不祥事等が報道されている。個人も様々な危 険にさらされている。

これらのことを踏まえて、学生生活を送る際に必要と なる、基本的な情報セキュリティと情報倫理の考え方 についてまとめて復習する。

47/48

使用している情報機器等の問題

我々は様々な機器やソフトウェアを利用している。こ れらの機器が安全であるか否かは、非常に重要。

セキュリティホール:

自分は何を使っているのか?

パッチは当てているか?

機械の故障

形在る物はいつかは壊れる

バックアップはとってある?

48/48

人の不注意による情報流出

ソフトウェア自体には問題がなくとも、我々の理解不 足や不適切利用は、大きな問題を引き起こす

情報の管理の仕方

人の不注意や意識の低さは、それそのものが脆弱 性である。

「パスワード書いた紙を落としてしまった」「メールの 宛先を間違えてしまった」「不用意に個人情報を書 いてしまった」「セキュリティパッチを面倒であてな かった」等々

(9)

49/48

ソフトを盲目的に利用

思いもよらない情報が重要な役目を果たしてしまうシ ステムも存在している。

本当は、システムが悪いとしか言いようがない

そのようなシステムを利用しないように気をつける 必要がある。

盲目的にそのソフトを使って大丈夫?

50/48

情報の流れる範囲の無理解

 twitter

mixi

facebook

等、身近な話題や日頃の出

来事を簡単に外部に発信することができる。

 "つぶやき" などと呼ばれているため言葉的には限定

された範囲を想像するが、実際には全世界に叫んで いるのに等しい場合がある。

その行動により情報が流れる範囲を常に意識して行 うべきである。

51/48

発信する情報の内容(1)

あまり考えず、思ったままに書き込みを行ってしまう 人が、この世の中には存在している。

個人情報やプライベートな、はては無免許運転、万 引き、カンニング等の犯罪行為までが存在している。

そもそも犯罪行為自体が問題外だが、全世界 に向けて告白してしまうことにより、問題を大きくして しまう場合がある。

52/48

発信する情報の内容(2)

本人だけの問題に留まらず、本人が所属する組織や、

組織に所属する他のメンバーの名誉を失墜する可能 性がある。

発信する情報はよく吟味し、問題が無いと判断できた ときのみに発信するべきである。

53/48

まとめ

情報は電子の海を勢いよく広がっていき、一度放っ てしまうと回収することは困難。

「その情報は流して大丈夫なのか」「情報はどの範囲 で流れるのか」をよくよく検討することが重要。

54/48

演習:

情報流出の事例

(10)

55/48

課題と課題の提出

次のことを調べ、レポートにまとめて提出する

「情報流出」等をキーワードに検索し、どのような事 故があったか調べる。

「twitter」「facebook」「mixi」「飲酒運転」「カンニン グ」等をキーワードに検索し、どのような事例がある かを調べる

ファイル名は学籍番号の末尾にkをつけたもの。

参照

今ダウンロードする ( PDF - 10 ページ - 908.03 KB )

関連したドキュメント

Hikky Voice

7.自助グループ

事 業 報 告 書

 在籍者 101 名の内 89 名が回答し、回収 率は 88%となりました。各事業所の内訳 は、生駒事業所では在籍者 24 名の内 18 名 が回答し、高の原事業所では在籍者

幸せの探求

エッジワースの単純化は次のよう な仮定だった。すなわち「すべて の人間は快楽機械である」という

平成 30 年度北区政策課題研究会 ROSE 事業提案書

Google マップ上で誰もがその情報を閲覧することが可能となる。Google マイマップは、Google マップの情報を基に作成されるため、Google

一般会計予算

町の中心にある「田中 さん家」は、自分の家 のように、料理をした り、畑を作ったり、時 にはのんびり寝てみた

ANNUAL REPORT 2015

参加者は自分が HLAB で感じたことをアラムナイに ぶつけたり、アラムナイは自分の体験を参加者に語っ たりと、両者にとって自分の

第 3 8 回 東 京 都 環 境 審 議 会 総 会

しかしながら、世の中には相当情報がはんらんしておりまして、中には怪しいような情 報もあります。先ほど芳住先生からお話があったのは

平成 28 年度第 2 回排出量取引の運用に関する専門家委員会 議事録

前回ご報告した際、これは昨年度の下半期ですけれども、このときは第1計画期間の