印刷資料

2013/12/1
情報セ10
情報セ10
ウイルス対策の基本
• ウイルス対策ソフトをインストールし、最新の
定義ファイルに自動更新するよう設定
• Window Updateを毎月実施する
• 入手経路不明ファイルはダブルクリックしない
• 不審なメールの添付ファイルは開かない
• 不審なメールの中のリンクはクリックしない
• 不審なサイトは閲覧しない
セキュリティ対策方法2
(ウイルス対策、認証、VPN)
2013年12月3日
後 保範
1
情報セ10
ウイルス対策ソフトの機能(1/2)
2
情報セ10
ウイルス対策ソフトの機能(2/2)
• パターンファイル検知
ハードディスク,DVD,USBなどのファイルの読み書き
時に、ファイルを検査
メールの添付ファイルやホームページからのダウン
ロードされるファイルの検査
ホームページに含まれるスクリプトの検査
• ヒューリスティック・スキャン
プログラムの挙動を監視して、ウイルスと疑わしき動
作から検知
• パーソナルファイアウォール
不正な通信が外部から内部、内部から外部宛てに
発生していないか監視
• フィルタリング
有害サイトへのアクセスを警告、禁止
• Spamメール判別
メールのヘッダ内の情報、送信もとアドレス、文面の
特徴からspamメールを判別して削除
• PCの状態監視
ディスク最適化やレジストリのクリーンアップを行い、
PCを安定して利用できるようにする
3
情報セ10
ウイルス対策ソフトの役割
4
情報セ10
対策ソフトによるウイルス検出方法
(1)ウイルスの侵入を防御(常時動かすことが重要)
(2) 定期的あるいはユーザの指示でファイルをチェック
日経BP社のHPより
日経BP社のHPより
5
6
1
2013/12/1
情報セ10
感染した場合の対応方法
情報セ10
復元ポイントによる修復(Windows XP)
ウィルスに感染した場合はWindowsシステムの
復元が最も手っ取り早い
(1) Windowsは起動できる場合
復元ポイントを使用して、過去のシステムの状態
に戻す。通常復元ポイントは自動作成されている
(2) Windowsが起動できない場合
再セットアップによりシステムを購入時の状態
に戻す。立ち上げ時にF8キーの連打で可能。
ディスクから可能だが、外部媒体の方がより確実
2013/12/1
7
• 「システムの復元」ダイアログボックスの表示
スタート  すべてのプログラム  アクセサリ 
システムツール  システムの復元
• 実行するタスクの選択
コンピュータを以前の状況に復元する  次へ
• 復元ポイントを選択
暦内の太字の日付  復元ポイント  次へ
• 選択した復元ポイントを確認
• コンピュータの再起動
2013/12/1
8
情報セ10
復元ポイント選択画面(Windows XP)
情報セ10
ウイルス対策の基本(システム管理)
• 水際で進入を阻止する
ウイルス対策ゲートウエイを設置
• 感染の可能性を減らす
設定、パッチの適用、情報の収集、社員への教育、
検疫の実施
• 感染の拡大を防ぐ
感染後の対応を決めておく
• ウイルス感染からの復旧
2013/12/1
9
10
情報セ10
企業のspamメール対策
情報セ10
利用者側のspamメール対策
• 本人が希望しない広告等の受信の増大を防止
• 積極的な対策
spamメールの送信先のブラックリストをデータベース
にして提供しているMAPS.RBL,spamhaus,spamcop等
を利用し、受信拒否の設定をする
• 消極的な対策
受信したspamメールのヘッダや本文に含まれる情報
を分析し、統計解析を行ってspamメールかどうか判
別する
11
• spamメールを拡大させない対策
メールアドレスを不用意に、Blogや掲示板等に書き
込まない
ホームページやBlogにメールアドレスを載せる必要
がある場合は@を[at]といった文字に置き換える
• Spamメールの受信拒否対策
メールヘッダの情報や本文に含まれた言葉から統計
解析を行う個人向けソフト(ウイルス対策ソフトに含
まれる場合が多い)を利用した振り分けを行う
12
2
2013/12/1
情報セ10
情報セ10
アクセス制御
認証の強化
• アクセス制御とは、利用できる者と禁止すべ
きものを区別し、利用者に許可を与える
• アクセス制御の種類
物理的アクセス制御
ネットワークによるアクセス制御
ユーザIDによるアクセス制御
時間帯によるアクセス制御
• なりすましによる侵入を防ぐため、パスワード
を始めとする認証技術で制限する
• 認証方法は下記のよう区分される
本人にしか知れ得ない情報による認証
(something you know)
本人の持ち物による認証
(something you have)
本人と識別できる特徴による認証
(something you are)
13
14
情報セ10
情報セ10
認証方式の種類と特徴
本人しか知
りえない情報
代表例
認証対象
操作性
コスト
安全性
使い易さ
パスワード
パスワード
△
◎
×
○
本人の
持ち物
パスワードによる認証
本人の特徴
• パスワードが解読されないことが必須条件
• パスワードを解読されにくくするための注意
バイオ
ICカード等 メトリスク
カード
身体的特徴
○
○
○
△
△
◎
○
△
電話番号や誕生日といった類推できるものにしない
短いパスワードは避ける
意味のある単語は避ける
大文字、小文字、数字、記号を組み合わせる
定期的に変更する
紙、メモに書いて保存しない  暗号化して保存
15
16
情報セ10
情報セ10
PAP認証(暗号化なし送信)
CHAP認証(暗号化送信)
IPA(情報処理推進機構)の資料より
2013/12/1
IPA(情報処理推進機構)の資料より
17
2013/12/1
18
3
2013/12/1
情報セ10
ワンタイムパスワード
情報セ10
マトリックス認証
• ログインするたびにパスワードを変えることで、盗聴
されたパスワードの使用を防ぐ
• ワンタイムパスワードの方式
時刻同期(タイムシンクロナス)方式
トークン・デバイスなる専用ICカードで一定時間限り
有効なパスワードをクライアント側と認証側で作成
イベント同期方式
一定数のパスワードを一回認証ごとに使い捨てる
チャレンジレスポンス方式
認証側から受信したチャレンジコードをPINカード等
に入力し、レスポンスを表示。レスポンスで認証
19
http://www.cseltd.co.jp/より
情報セ10
20
情報セ10
バイオメトリクス認証
VPNとは
• 本人の身体的特徴(指紋、声紋、掌紋、顔、虹彩、
網膜、静脈パターンなど)を利用した認証
• 認証システムをだますことが非常に困難
• VPN: Virtual Private Network(仮想私設網)
• VPNとはインターネット回線上に仮想プライ
ベートネットワークを実現し、専用線を使用せ
ずにネットワークを接続する技術
• 長いパスワードを記憶する負担をなくした強
固な認証が可能
• 装置が小型化し、利用可能になった
• 体調や環境により認証されない可能性も残る
 複数の認証方式を組み合わせる
• インターネットや公衆回線上において、カプセ
ル化によるトンネリング、暗号化、認証といっ
たセキュリティ技術を使って、機密性を確保し
た仮想の通信路を構築する
21
22
情報セ10
情報セ10
VPNによるトンネリング
VPNの方式
通信相手との間に仮想的なトンネルをつくり,イン
タネットを経由できないプライベートアドレスの通信,
TCP/IP以外の通信を可能にする
• PPTP (Point to point Tunneling Protocol)
マイクロソフトが開発し方式で、OSI参照モデルの第2
層のPPPパケットを包み込んでトンネリングを行う
• L2F (Layer 2 Forwarding)
シスコシステム社がリモートアクセス用に開発し、
PPTPと異なるのはアクセスポイントからトンネリング
• L2TP (Layer 2 Tunneling Protocol)
PPTPとL2Fに対しIETFが標準化を行っている
• IPec (Security Architecture for Internet Protocol)
オリジナルのIPヘッダが残るのでプライベートアドレ
スを利用して通信が可能
http://itpro.nikkeibp.co.jp/より
23
24
4
2013/12/1
情報セ10
PPTP,L2F,L2TPトンネルの違い
情報セ10
IPsecとは
• IP層でVPN機能を提供し、インターネット経由で社内
LANを接続するだけでなく、部分的にセキュリティを
確保したい場合などに、広く応用できる
• 完全性、機密性を確保する機能
AH(認証ヘッダ)
認証によりデータの改ざんやなりすましを防止
ESP(暗号ペイロード)
認証に加え、データを暗号化
IKE(鍵交換)
安全に暗号鍵を交換するプロトコル
PPTPトンネル
L2F,L2TPトンネル
http://tomohyodollx.web.fc2.com/より
25
26
情報セ10
情報セ10
IPsecの通信モード
IDSとIDP
• トランスポートモード
元のIPヘッダを認証、暗号化の対象にしない
クライアントやサーバが直接Ipsecで送信
• トンネルモード
IPヘッダも含めて暗号化し新しいIPアドレスを
付加して送信
クライアントにIpsecを実装する必要はなく、プ
ライベートアドレスを利用して通信が可能
• IDS: Intrusion Detection System
• IDP: Intrusion Detection and Protection
• IDSとは通信回線やログを監視し、ネットワークへの
侵入や異常を管理者に通報するシステム
• ファイアウォールのフィルタリング機能はIPアドレス
やポート番号を元に、通信の状態まで含めて許可、
禁止を判断する
• 通信内容まで含めてより詳細に不正アクセスを分析、
検知する場合はIDSを使用
• IDPは更に、不正な通信の遮断まで自動で実施
27
28
情報セ10
IPSの仕組み
http://itpro.nikkeibp.co.jp/より
29
5