情報セキュリティ 第02回

情報セキュリティ 第 02 回

大久保誠也 静岡県立大学経営情報学部

2/41

はじめに

 そもそも、情報って何？

 ちょっと昔のこととインターネットの普及

 情報化社会で身につけておきたいこと情報セキュリテ ィの目的

 種々の脅威

 演習

3/41

はじめる前に ……

 以下は持っていたり、使ったことはありますか？

ポケベル

黒電話

携帯電話

パソコン通信

インターネット

インターネット通販

暗号

ユビキタス社会 _4/41

そもそも、情報って何？

5/41

情報とは？

 「情報」とは、何でしょうか？

 「情報」として、何を勉強してきた？

6/41

じゃんけん

相手がどのような手を出すか、

過去の経験から予想する。

このジャンケンで勝

つためには…… この人、

グーしか 出さない！？

7/41

情報とは

相手がどのような手を出すか、

過去の経験から予想する。

この人、

グーしか 出さない！？

相手は

グーしか出さない

材料 自分は

パーを出す 判断

情報とは……

判断や決定をするときに材料とするすべてのものごと。

分野によっては、用語の定義は違う場合があります

8/41

日常と情報

 日常から、「情報」を分析して「判断」を行っ ている（はず）

何を買おうか……。

どこに行こうか……。

今日はどうしよう。

明日は晴れるかな……。

9/41

情報の収集

なんか、量が多いな……

簡単に情報が集まるぞ！

10/41

情報を適切に収集し、

分析する力が必要に！

情報と判断

 適切に「判断」を行うためには、もととなる

「情報」が重要！！。

 どうやって情報を集める？

 どれが重要な情報なのか？

 どのような判断を下す？

どうしたら いいんだ……？

11/41

情報化社会

情報を扱う活動が顕著である社会 情報を収集

取捨選択・情報を解析 最終的な判断 何を集める？

どのように

分析する？ どうやって

判断する？ 12/41

情報を扱う技術

 情報の分析

判断を迅速に行うための技術

小さくて高速な計算機 等

 情報をどのように表現するか

グラフィカルな表示 等

 情報の伝達・保存

必要なときに必要な人だけアクセス可能に

安心安全なネットワーク 等

13/41

この授業で行うこと

情報の分析

情報の保存・伝達 情報の表現

MS-Word 統計処理

MS-Excel

情報セキュリティ

14/41

ちょっと昔のことと、

インターネットの普及

15/41

手紙とメール

人力

車

インターネット _16/41

携帯電話

前

今

電話機を 捜さないと……

家にいたから、

運良く出られたぞ

電話するかな 電話が来た

17/41

通信販売

前

テレビや本で見て、

電話で注文

今

ネットで選んで ネットで買い物

18/41

調べ物

前

今

ネットで情報収集 テレビや本、新聞 で情報収集

19/41

インターネット

情報が、

いつでも

どこでも

早く

大量に

20/41

企業や社会

インターネットで繋がり、世界は狭くなった？

遠くの情報もすぐに手に入る！ 連絡できる！

企業のグローバル化

情報の発信が容易に！

21/41

世界が近くなったということは

あなたから世界が近くなった分、

世界からあたなへも近くなっている！

あなた自信も情報を発信！

情報社会になって、

新しく注意なければならないことも発生

22/41

情報化社会で

身につけておきたいこと

23/41

Bobに

メールを…… ^Hello

World

Hello World

電子メールは 非常に便利

Hello World

Bob 送信

Alice

Hello World

速い。

安い。

簡単。

情報化社会に 欠かせないツールに

Aliceから メールが来た。

24/41 Hello

World

Hello World

今そこにある危険

Hello World

Bob 送信

Alice

Hello World

Hello World

Eve 盗聴

A:>

Hello World

覗き見して やろう

Aliceから メールが来た。

送信

ネットならではの、

新しい犯罪や 危険も発生！

情報セキュリティー

25/41

個人情報

ネットで情報公開だ！

自分の個人情報が 公開されてる！？

こんな情報 公開していいの？

情報倫理 やっていいことと

いけないこと

26/41

情報倫理や

情報セキュリティーについて、

正しい知識が必要

情報倫理と情報セキュリティー

 新しいツールであるが故に、

新しいマナーや危険も伴っている！

 この通信は安全なの？

 相手は信用できるの？

 こんなことはやっても大丈夫？

どうしたら いいんだ……？

27/41

情報倫理と情報セキュリティー

情報を扱う活動が顕著である社会

情報倫理

情報セキュリティー 何をやって良いの？

ルールは？

どうやって管理したらよい？

どうやったら安全にすごせる？ _28/41

セキュリティの知識が必要な例 1

これは何を言っているのでしょうか？

29/41

セキュリティの知識が必要な例 2

何が問題なので

しょうか？ _30/41

セキュリティの知識が必要な例 3

開発者 利用者

受注 発注

開発の知識 利用の知識 こういうのが欲し

いんだけど

こんなんで

どうでしょう？ これで 大丈夫かな？

評価できる 知識が必要

31/41

セキュリティの知識が必要な例 4

はい。

わかりました。

重要書類だから。

気をつけて

具体的には、

何をどうしろと？

移動 保存 扱い 廃棄 機密

書類

32/41

本講義の内容

33/41

取り扱う内容

情報セキュリティとは

現在使われている技術

暗号技術の基礎

生体認証

メールやWebでの セキュリティ

未来の暗号

情報を扱う上で必要となる情報セキュリティに関する 知識を体得すること。

目的

情報倫理

情報セキュリティポリシー

現代社会における脅威

34/41

成績の付け方等

レポート（55%）ならびに期末テスト（45%）による。

なお、出席回数が足りない場合は不可とする。

出張の関係で、補講期間中に補講を行います。

35/41

情報セキュリティの目的

36/41

何を思い浮かべますか？

37/41

情報セキュリティとは何か

代表的なのは、以下の事柄を保つことです。

 完全性：

情報が完全な形で保たれていること

 機密性：

必要のある人以外に、情報がわたらないこと

 可用性：

必要なときに、情報が利用出来ること かなり広い概念です

38/41

完全性とは

以下の事柄を保つことです。

 完全性：

情報が完全な形で保たれていること

あれれ？

欲しい情報が 変わってしまって いるような……

39/41

Web サイトのクラック

 「Wordpress改ざん キャンペーン」で検索

40/41

機密性とは

以下の事柄を保つことです。

 秘密性：

必要のある人以外に、情報がわたらないこと あの会社から

情報を盗んでやろう……

41/41

例：登録したサイトから漏れる

 個人情報を提供した会社や店舗から漏れていく

 「住宅金融支援機構 情報流出」

 「個人情報漏洩事件」で検索

 「個人情報 過去５年」で検索

 「米Yahoo 漏洩」で検索

 自分の個人情報を誰が持っているのか、

事故が起きたとき、自分の個人情報も漏れていないか、

確認できるように。

42/41

可用性とは

以下の事柄を保つことです。

 可用性：

必要なときに、情報が利用出来ること この肝心なときに

情報が利用できない！？

43/41

サイトのダウン

 「サーバー ダウン」で検索

44/41

情報セキュリティのまとめ

 完全性、機密性、可用性を保つこと。

 技術で防ぐことができることと、できないことがある。

人的な原因で問題が発生することも多い。

 ネットワーク社会になり、問題が発生しやすく。

 ウイルスの様に、完全性、機密性、可用性すべてに影 響を与えるような原因も！

 適切な情報を集めて、対応することが重要。

45/41

種々の脅威とその対策

46/41

脅威とは

 情報セキュリティを脅かすものを「脅威」と言 います。

 この世の中には、多くの「脅威」が存在してい ます。

 「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。

47/41

ウイルス

 コンピュータに被害をもたらす不正なプログラム

 ネットワークやUSBメモリ等から進入 データが変わってる？

変な動作をするぞ？

ウイルス対策ソフトのインストールが一般的

 ウイルス対策ソフトは、ウイルスの侵入や活動を防 いでくれます。

 定期的にアップデートすることを忘れずに。

ウイルスは、完全性・機密性・可用性のすべてに影響 48/41

セキュリティホール

 セキュリティの穴／不具合

 できてはいけないことができてしまう／されてしまう。

データが変わってる？

変な動作をするぞ？

セキュリティ ホール発見！

攻撃だ！

 パッチを当てることで、穴を塞ぐことができます。

 毎月出るので、アップデートすることを忘れずに。

セキュリティホールも、

完全性・機密性・可用性のすべてに影響 セキュリティーパッチを当てましょう

49/41

データが変わってる？

変な動作をするぞ？

セキュリティ ホール発見！

攻撃だ！

クラッキング

 不正にシステムに侵入したり、データを改ざんしたりす る方法。

 セキュリティパッチを当ててないシステムに侵入したり する。

50/41

クラックされた後：改竄

 クラッキングされた後に行われる行為。

 データを変更される。

 Webサーバーをクラッキングされ、データを改ざんされ

る等。

 「HP 改ざん」で検索してみましょう。

51/41

他にも 攻撃だ！

攻撃だ！

攻撃されてる！

苦情がきた... 苦情だ！

クラックされた後：攻撃

 クラッキングされた後に行われる行為。

 システムに不正侵入され、乗っ取られた後、他の計算 機への攻撃に利用される。

52/41

DoS攻撃だ！ 処理が多すぎる

重いなぁ

DoS アタック

 DoS攻撃（Denial of Service atack）は、攻撃を行うこ とで、対象となるシステムがサービスを続行することを 難しくする攻撃。

 代表的なものとして、Webサーバーに大量のリクエス トを送る等（F5アタック）。

53/41

メールの盗聴

Hello World

Hello World Hello

World 送信 Bob

Alice

Hello World

Hello World

Eve 盗聴

A:>

Hello World

覗き見して やろう

メールは基本的に 平文なので、

盗聴し放題！

Aliceから メールが来た。

送信

重要な情報は メールしない

or 暗号化 54/41

パソコンの故障

データのバックアップや、計算機の冗長化等で 被害を防止できます。

故障や災害は、どうしても発生してしまいます パソコンから異音が！

火山が噴火して、

計算機が燃えた！

55/41

パスワードの管理

あれ？

これは...

覚えられない なぁ...

パスワードは適切に管理する

 初期パスワードは必ず変更する。数ヵ月に1回パスワードの変 更を行う。

 他人に教えたりしない。他人に推測されづらいこと（×誕生日）。

短いパスワードはダメ。英数文字と記号を組み合わせる等）。

 紙などに記入するなどのメモを作らない 56/41

メールの誤送信

極秘

あれ？

これは...

極秘

送信 Bob

Alice あて先はきちんと確認する

あ！

送り間違えた！

57/41

パソコンの盗難

あれ？ パソコンがない

しめしめ、

上手く盗めたぞ

重要な情報は持ち出さない。

持ち出したら目を離さない。

 パソコンを外に持ち出て、物理的に盗まれることも 例：車上荒らし

 パソコンは持ち出し禁止にする会社も。

58/41

トラッキング

ゴミから情報 もういらないや 入手！

 物品を捨てるときは、その中に「重要な情報」が含まれていない かに注意する。

 ハードディスク等は、OSの機能で削除していても、データを復元 できることも。

 ゴミ箱等に廃棄された情報を回収、復元することで情 報を得ようとする手法。

情報はきちんと削除する

59/41

進入

 建物や施設に物理的に侵入すること。

 誰でも侵入できる施設の場合、他の人と一緒に入って しまう場合、関係者か否かが区別つきづらいとき等。

教職員も、県大 の名札を持って いたりする。

60/41

なりすまし

 悪意のある人が、他の人になりすまして、不正に情報 にアクセスしたり、施設に侵入する方法。

 パスワードが漏れたときとかに発生。

Alice

Mallory 自分の名前は

Aliceだよっと... あなたは

Aliceだね

61/41

キーロガー

 計算機に悪意のあるプログラムを仕込んでお き、その計算機で入力されたキーを記録してお く手法。

 入力されたキーがそのまま記録されるので、パ スワード等も漏れる。

62/41

スキミング

 「銀行」「スキミング」をキーワードに検索してみ ましょう。

63/41

 フィッシング詐欺：

 信頼のある企業になりすまして、パスワード等の重 要な情報を盗み取ろうとする詐欺。

 スパムメール

 無差別に大量に広告メールを出すこと。また、その メール自体。

 Active Mail にはスパムメールを判別する機能が 備わっています。

 メールボム

 メールを大量に送りつけてパンクさせる

その他の脅威 (1)

64/41

 プログラム作成時に生じてしまうセキュリティホール

 バッファオーバーフロー

 SQLインジェクション

 クロスサイトスクリプティング

 ファイル共有ソフトでの機密情報流出

 winnyによる事件が有名

 対策：使わない 等々...

その他の脅威 (2)

65/41

脅威に備える

66/41

備えるために

 技術的な面と人的な面がある。

 機械は暗号化等の技術で守ることができる。

 最新の技術や動向を知る

 一方、人は技術では完全には守れない。

 その行動は大丈夫か、常に意識して行動

 故障や災害は、何時、どのようにして起きるかわから ない。

 データのバックアップ、計算機を複数準備する等、

事前に備えておく

67/41

不正アクセス禁止法

 正式名称[不正アクセス行為の禁止等に関する法律]

 2000年に制定。

 以下のような行為を取り締まる。

 他人のパスワード等で計算機等を利用すること。

 計算機のセキュリティホールを利用すること。

 他社の不正行為を手助けすること。

 管理者はきちんとした計算機管理をすることが求めら れる。

68/41

Alice

Bob

技術で守れるもの守れないもの

盗聴防止 改ざん防止

クラック防止 技術で守れる部分

技術範疇外

技術範疇外

 技術で通信経路や計算機は守れる。

 技術だけでは、人の行動は縛れない。

技術で ルールや

ポリシーで

69/41

この講義で扱うこと

 情報セキュリティを維持するために...

 技術的な側面

 暗号化技術

 種々の通信技術 等

 人的な側面

 情報倫理

 情報セキュリティポリシー 等

70/41

演習：

情報流出の事例

71/41

セキュリティ的な事故のニュース

 Googleで「情報流出 原因」で検索してみよう。

 ニュースになる多くの事件は、「人」が「問題になる行 動」を起こした結果、生じてしまうことも多い。

72/41

 次のことを調べ、レポートにまとめて提出する

 「情報流出」「SQLインジェクション」等をキーワード に検索し、どのような事故があったか調べる。

 ファイル名は学籍番号の末尾にbをつけたもの。

 経情グループウェアから提出する。

課題と課題の提出

73/41

ハッカーとクラッカー

 ニュース等だと同じような意味で使用されています が、本当は違う言葉です。

 ハッカー：

すごいコンピュータ技術の利用が可能な人。

 クラッカー：

ネットワークへの侵入や改ざん等の悪意を持った行為

（クラッキング）を行う人。