2013/12/1 情報セ10 情報セ10 ウイルス対策の基本 • ウイルス対策ソフトをインストールし、最新の定義ファイルに自動更新するよう設定 • Window Updateを毎月実施する • 入手経路不明ファイルはダブルクリックしない • 不審なメールの添付ファイルは開かない • 不審なメールの中のリンクはクリックしない • 不審なサイトは閲覧しないセキュリティ対策方法２（ウイルス対策、認証、VPN） 2013年12月3日後保範 1 情報セ10 ウイルス対策ソフトの機能(1/2) 2 情報セ10 ウイルス対策ソフトの機能(2/2) • パターンファイル検知ハードディスク,DVD,USBなどのファイルの読み書き時に、ファイルを検査メールの添付ファイルやホームページからのダウンロードされるファイルの検査ホームページに含まれるスクリプトの検査 • ヒューリスティック・スキャンプログラムの挙動を監視して、ウイルスと疑わしき動作から検知 • パーソナルファイアウォール不正な通信が外部から内部、内部から外部宛てに発生していないか監視 • フィルタリング有害サイトへのアクセスを警告、禁止 • Spamメール判別メールのヘッダ内の情報、送信もとアドレス、文面の特徴からspamメールを判別して削除 • PCの状態監視ディスク最適化やレジストリのクリーンアップを行い、 PCを安定して利用できるようにする 3 情報セ10 ウイルス対策ソフトの役割 4 情報セ10 対策ソフトによるウイルス検出方法 (1)ウイルスの侵入を防御（常時動かすことが重要） (2) 定期的あるいはユーザの指示でファイルをチェック日経BP社のHPより日経BP社のHPより 5 6 1 2013/12/1 情報セ10 感染した場合の対応方法情報セ10 復元ポイントによる修復(Windows XP) ウィルスに感染した場合はWindowsシステムの復元が最も手っ取り早い (1) Windowsは起動できる場合復元ポイントを使用して、過去のシステムの状態に戻す。通常復元ポイントは自動作成されている (2) Windowsが起動できない場合再セットアップによりシステムを購入時の状態に戻す。立ち上げ時にF8キーの連打で可能。ディスクから可能だが、外部媒体の方がより確実 2013/12/1 7 • 「システムの復元」ダイアログボックスの表示スタート  すべてのプログラム  アクセサリ  システムツール  システムの復元 • 実行するタスクの選択コンピュータを以前の状況に復元する  次へ • 復元ポイントを選択暦内の太字の日付  復元ポイント  次へ • 選択した復元ポイントを確認 • コンピュータの再起動 2013/12/1 8 情報セ10 復元ポイント選択画面(Windows XP) 情報セ10 ウイルス対策の基本（システム管理） • 水際で進入を阻止するウイルス対策ゲートウエイを設置 • 感染の可能性を減らす設定、パッチの適用、情報の収集、社員への教育、検疫の実施 • 感染の拡大を防ぐ感染後の対応を決めておく • ウイルス感染からの復旧 2013/12/1 9 10 情報セ10 企業のspamメール対策情報セ10 利用者側のspamメール対策 • 本人が希望しない広告等の受信の増大を防止 • 積極的な対策 spamメールの送信先のブラックリストをデータベースにして提供しているMAPS.RBL,spamhaus,spamcop等を利用し、受信拒否の設定をする • 消極的な対策受信したspamメールのヘッダや本文に含まれる情報を分析し、統計解析を行ってspamメールかどうか判別する 11 • spamメールを拡大させない対策メールアドレスを不用意に、Blogや掲示板等に書き込まないホームページやBlogにメールアドレスを載せる必要がある場合は@を[at]といった文字に置き換える • Spamメールの受信拒否対策メールヘッダの情報や本文に含まれた言葉から統計解析を行う個人向けソフト（ウイルス対策ソフトに含まれる場合が多い）を利用した振り分けを行う 12 2 2013/12/1 情報セ10 情報セ10 アクセス制御認証の強化 • アクセス制御とは、利用できる者と禁止すべきものを区別し、利用者に許可を与える • アクセス制御の種類物理的アクセス制御ネットワークによるアクセス制御ユーザIDによるアクセス制御時間帯によるアクセス制御 • なりすましによる侵入を防ぐため、パスワードを始めとする認証技術で制限する • 認証方法は下記のよう区分される本人にしか知れ得ない情報による認証 (something you know) 本人の持ち物による認証 (something you have) 本人と識別できる特徴による認証 (something you are) 13 14 情報セ10 情報セ10 認証方式の種類と特徴本人しか知りえない情報代表例認証対象操作性コスト安全性使い易さパスワードパスワード △ ◎ × ○ 本人の持ち物パスワードによる認証本人の特徴 • パスワードが解読されないことが必須条件 • パスワードを解読されにくくするための注意バイオ ICカード等メトリスクカード身体的特徴 ○ ○ ○ △ △ ◎ ○ △ 電話番号や誕生日といった類推できるものにしない短いパスワードは避ける意味のある単語は避ける大文字、小文字、数字、記号を組み合わせる定期的に変更する紙、メモに書いて保存しない  暗号化して保存 15 16 情報セ10 情報セ10 PAP認証（暗号化なし送信） CHAP認証（暗号化送信） IPA(情報処理推進機構）の資料より 2013/12/1 IPA(情報処理推進機構）の資料より 17 2013/12/1 18 3 2013/12/1 情報セ10 ワンタイムパスワード情報セ10 マトリックス認証 • ログインするたびにパスワードを変えることで、盗聴されたパスワードの使用を防ぐ • ワンタイムパスワードの方式時刻同期（タイムシンクロナス）方式トークン・デバイスなる専用ICカードで一定時間限り有効なパスワードをクライアント側と認証側で作成イベント同期方式一定数のパスワードを一回認証ごとに使い捨てるチャレンジレスポンス方式認証側から受信したチャレンジコードをPINカード等に入力し、レスポンスを表示。レスポンスで認証 19 http://www.cseltd.co.jp/より情報セ10 20 情報セ10 バイオメトリクス認証 VPNとは • 本人の身体的特徴（指紋、声紋、掌紋、顔、虹彩、網膜、静脈パターンなど）を利用した認証 • 認証システムをだますことが非常に困難 • VPN: Virtual Private Network（仮想私設網） • VPNとはインターネット回線上に仮想プライベートネットワークを実現し、専用線を使用せずにネットワークを接続する技術 • 長いパスワードを記憶する負担をなくした強固な認証が可能 • 装置が小型化し、利用可能になった • 体調や環境により認証されない可能性も残る  複数の認証方式を組み合わせる • インターネットや公衆回線上において、カプセル化によるトンネリング、暗号化、認証といったセキュリティ技術を使って、機密性を確保した仮想の通信路を構築する 21 22 情報セ10 情報セ10 VPNによるトンネリング VPNの方式通信相手との間に仮想的なトンネルをつくり，インタネットを経由できないプライベートアドレスの通信， TCP/IP以外の通信を可能にする • PPTP (Point to point Tunneling Protocol) マイクロソフトが開発し方式で、OSI参照モデルの第2 層のPPPパケットを包み込んでトンネリングを行う • L2F (Layer 2 Forwarding) シスコシステム社がリモートアクセス用に開発し、 PPTPと異なるのはアクセスポイントからトンネリング • L2TP (Layer 2 Tunneling Protocol) PPTPとL2Fに対しIETFが標準化を行っている • IPec (Security Architecture for Internet Protocol) オリジナルのIPヘッダが残るのでプライベートアドレスを利用して通信が可能 http://itpro.nikkeibp.co.jp/より 23 24 4 2013/12/1 情報セ10 PPTP,L2F,L2TPトンネルの違い情報セ10 IPsecとは • IP層でVPN機能を提供し、インターネット経由で社内 LANを接続するだけでなく、部分的にセキュリティを確保したい場合などに、広く応用できる • 完全性、機密性を確保する機能 AH（認証ヘッダ）認証によりデータの改ざんやなりすましを防止 ESP（暗号ペイロード）認証に加え、データを暗号化 IKE（鍵交換）安全に暗号鍵を交換するプロトコル PPTPトンネル L2F,L2TPトンネル http://tomohyodollx.web.fc2.com/より 25 26 情報セ10 情報セ10 IPsecの通信モード IDSとIDP • トランスポートモード元のIPヘッダを認証、暗号化の対象にしないクライアントやサーバが直接Ipsecで送信 • トンネルモード IPヘッダも含めて暗号化し新しいIPアドレスを付加して送信クライアントにIpsecを実装する必要はなく、プライベートアドレスを利用して通信が可能 • IDS: Intrusion Detection System • IDP: Intrusion Detection and Protection • IDSとは通信回線やログを監視し、ネットワークへの侵入や異常を管理者に通報するシステム • ファイアウォールのフィルタリング機能はIPアドレスやポート番号を元に、通信の状態まで含めて許可、禁止を判断する • 通信内容まで含めてより詳細に不正アクセスを分析、検知する場合はIDSを使用 • IDPは更に、不正な通信の遮断まで自動で実施 27 28 情報セ10 IPSの仕組み http://itpro.nikkeibp.co.jp/より 29 5