2013/12/1 情報セ10 情報セ10 ウイルス対策の基本 • ウイルス対策ソフトをインストールし、最新の 定義ファイルに自動更新するよう設定 • Window Updateを毎月実施する • 入手経路不明ファイルはダブルクリックしない • 不審なメールの添付ファイルは開かない • 不審なメールの中のリンクはクリックしない • 不審なサイトは閲覧しない セキュリティ対策方法2 (ウイルス対策、認証、VPN) 2013年12月3日 後 保範 1 情報セ10 ウイルス対策ソフトの機能(1/2) 2 情報セ10 ウイルス対策ソフトの機能(2/2) • パターンファイル検知 ハードディスク,DVD,USBなどのファイルの読み書き 時に、ファイルを検査 メールの添付ファイルやホームページからのダウン ロードされるファイルの検査 ホームページに含まれるスクリプトの検査 • ヒューリスティック・スキャン プログラムの挙動を監視して、ウイルスと疑わしき動 作から検知 • パーソナルファイアウォール 不正な通信が外部から内部、内部から外部宛てに 発生していないか監視 • フィルタリング 有害サイトへのアクセスを警告、禁止 • Spamメール判別 メールのヘッダ内の情報、送信もとアドレス、文面の 特徴からspamメールを判別して削除 • PCの状態監視 ディスク最適化やレジストリのクリーンアップを行い、 PCを安定して利用できるようにする 3 情報セ10 ウイルス対策ソフトの役割 4 情報セ10 対策ソフトによるウイルス検出方法 (1)ウイルスの侵入を防御(常時動かすことが重要) (2) 定期的あるいはユーザの指示でファイルをチェック 日経BP社のHPより 日経BP社のHPより 5 6 1 2013/12/1 情報セ10 感染した場合の対応方法 情報セ10 復元ポイントによる修復(Windows XP) ウィルスに感染した場合はWindowsシステムの 復元が最も手っ取り早い (1) Windowsは起動できる場合 復元ポイントを使用して、過去のシステムの状態 に戻す。通常復元ポイントは自動作成されている (2) Windowsが起動できない場合 再セットアップによりシステムを購入時の状態 に戻す。立ち上げ時にF8キーの連打で可能。 ディスクから可能だが、外部媒体の方がより確実 2013/12/1 7 • 「システムの復元」ダイアログボックスの表示 スタート すべてのプログラム アクセサリ システムツール システムの復元 • 実行するタスクの選択 コンピュータを以前の状況に復元する 次へ • 復元ポイントを選択 暦内の太字の日付 復元ポイント 次へ • 選択した復元ポイントを確認 • コンピュータの再起動 2013/12/1 8 情報セ10 復元ポイント選択画面(Windows XP) 情報セ10 ウイルス対策の基本(システム管理) • 水際で進入を阻止する ウイルス対策ゲートウエイを設置 • 感染の可能性を減らす 設定、パッチの適用、情報の収集、社員への教育、 検疫の実施 • 感染の拡大を防ぐ 感染後の対応を決めておく • ウイルス感染からの復旧 2013/12/1 9 10 情報セ10 企業のspamメール対策 情報セ10 利用者側のspamメール対策 • 本人が希望しない広告等の受信の増大を防止 • 積極的な対策 spamメールの送信先のブラックリストをデータベース にして提供しているMAPS.RBL,spamhaus,spamcop等 を利用し、受信拒否の設定をする • 消極的な対策 受信したspamメールのヘッダや本文に含まれる情報 を分析し、統計解析を行ってspamメールかどうか判 別する 11 • spamメールを拡大させない対策 メールアドレスを不用意に、Blogや掲示板等に書き 込まない ホームページやBlogにメールアドレスを載せる必要 がある場合は@を[at]といった文字に置き換える • Spamメールの受信拒否対策 メールヘッダの情報や本文に含まれた言葉から統計 解析を行う個人向けソフト(ウイルス対策ソフトに含 まれる場合が多い)を利用した振り分けを行う 12 2 2013/12/1 情報セ10 情報セ10 アクセス制御 認証の強化 • アクセス制御とは、利用できる者と禁止すべ きものを区別し、利用者に許可を与える • アクセス制御の種類 物理的アクセス制御 ネットワークによるアクセス制御 ユーザIDによるアクセス制御 時間帯によるアクセス制御 • なりすましによる侵入を防ぐため、パスワード を始めとする認証技術で制限する • 認証方法は下記のよう区分される 本人にしか知れ得ない情報による認証 (something you know) 本人の持ち物による認証 (something you have) 本人と識別できる特徴による認証 (something you are) 13 14 情報セ10 情報セ10 認証方式の種類と特徴 本人しか知 りえない情報 代表例 認証対象 操作性 コスト 安全性 使い易さ パスワード パスワード △ ◎ × ○ 本人の 持ち物 パスワードによる認証 本人の特徴 • パスワードが解読されないことが必須条件 • パスワードを解読されにくくするための注意 バイオ ICカード等 メトリスク カード 身体的特徴 ○ ○ ○ △ △ ◎ ○ △ 電話番号や誕生日といった類推できるものにしない 短いパスワードは避ける 意味のある単語は避ける 大文字、小文字、数字、記号を組み合わせる 定期的に変更する 紙、メモに書いて保存しない 暗号化して保存 15 16 情報セ10 情報セ10 PAP認証(暗号化なし送信) CHAP認証(暗号化送信) IPA(情報処理推進機構)の資料より 2013/12/1 IPA(情報処理推進機構)の資料より 17 2013/12/1 18 3 2013/12/1 情報セ10 ワンタイムパスワード 情報セ10 マトリックス認証 • ログインするたびにパスワードを変えることで、盗聴 されたパスワードの使用を防ぐ • ワンタイムパスワードの方式 時刻同期(タイムシンクロナス)方式 トークン・デバイスなる専用ICカードで一定時間限り 有効なパスワードをクライアント側と認証側で作成 イベント同期方式 一定数のパスワードを一回認証ごとに使い捨てる チャレンジレスポンス方式 認証側から受信したチャレンジコードをPINカード等 に入力し、レスポンスを表示。レスポンスで認証 19 http://www.cseltd.co.jp/より 情報セ10 20 情報セ10 バイオメトリクス認証 VPNとは • 本人の身体的特徴(指紋、声紋、掌紋、顔、虹彩、 網膜、静脈パターンなど)を利用した認証 • 認証システムをだますことが非常に困難 • VPN: Virtual Private Network(仮想私設網) • VPNとはインターネット回線上に仮想プライ ベートネットワークを実現し、専用線を使用せ ずにネットワークを接続する技術 • 長いパスワードを記憶する負担をなくした強 固な認証が可能 • 装置が小型化し、利用可能になった • 体調や環境により認証されない可能性も残る 複数の認証方式を組み合わせる • インターネットや公衆回線上において、カプセ ル化によるトンネリング、暗号化、認証といっ たセキュリティ技術を使って、機密性を確保し た仮想の通信路を構築する 21 22 情報セ10 情報セ10 VPNによるトンネリング VPNの方式 通信相手との間に仮想的なトンネルをつくり,イン タネットを経由できないプライベートアドレスの通信, TCP/IP以外の通信を可能にする • PPTP (Point to point Tunneling Protocol) マイクロソフトが開発し方式で、OSI参照モデルの第2 層のPPPパケットを包み込んでトンネリングを行う • L2F (Layer 2 Forwarding) シスコシステム社がリモートアクセス用に開発し、 PPTPと異なるのはアクセスポイントからトンネリング • L2TP (Layer 2 Tunneling Protocol) PPTPとL2Fに対しIETFが標準化を行っている • IPec (Security Architecture for Internet Protocol) オリジナルのIPヘッダが残るのでプライベートアドレ スを利用して通信が可能 http://itpro.nikkeibp.co.jp/より 23 24 4 2013/12/1 情報セ10 PPTP,L2F,L2TPトンネルの違い 情報セ10 IPsecとは • IP層でVPN機能を提供し、インターネット経由で社内 LANを接続するだけでなく、部分的にセキュリティを 確保したい場合などに、広く応用できる • 完全性、機密性を確保する機能 AH(認証ヘッダ) 認証によりデータの改ざんやなりすましを防止 ESP(暗号ペイロード) 認証に加え、データを暗号化 IKE(鍵交換) 安全に暗号鍵を交換するプロトコル PPTPトンネル L2F,L2TPトンネル http://tomohyodollx.web.fc2.com/より 25 26 情報セ10 情報セ10 IPsecの通信モード IDSとIDP • トランスポートモード 元のIPヘッダを認証、暗号化の対象にしない クライアントやサーバが直接Ipsecで送信 • トンネルモード IPヘッダも含めて暗号化し新しいIPアドレスを 付加して送信 クライアントにIpsecを実装する必要はなく、プ ライベートアドレスを利用して通信が可能 • IDS: Intrusion Detection System • IDP: Intrusion Detection and Protection • IDSとは通信回線やログを監視し、ネットワークへの 侵入や異常を管理者に通報するシステム • ファイアウォールのフィルタリング機能はIPアドレス やポート番号を元に、通信の状態まで含めて許可、 禁止を判断する • 通信内容まで含めてより詳細に不正アクセスを分析、 検知する場合はIDSを使用 • IDPは更に、不正な通信の遮断まで自動で実施 27 28 情報セ10 IPSの仕組み http://itpro.nikkeibp.co.jp/より 29 5
© Copyright 2024 Paperzz