セキュリティ - 大阪市立大学 学術情報総合センター

今日の話
情報基礎
セキュリティ
O
O
O
大阪市立大学
創造都市研究科/学術情報総合センター
中野秀男
O
O
O
[email protected]
[email protected]
http://www.media.osaka-cu.ac.jp/~nakano/
セキュリティとは
認証とパスワード
物理的なセキュリティ
電子メールのセキュリティ
Webのセキュリティ
今日の話は主に利用者のためのセキュリ
ティです。管理者用にはもっと厳しい
セキュリティ(1)
O
セキュリティは計れる
セキュリティ(2)
O
O
オープンシステムの脆弱性
1995年前後からインターネットの利用が始まり、
オープンなシステムが増えた
{ インターネットにつながったシステム
{ Script
O
SPAMメールの増加
不正侵入と、そこを踏み台とした攻撃
{ ホームページの書き換え
{ コンピュータ・ウィルス
{ 個人データ流失事件
{
セキュリティ対策は
暗号について
1.技術
{ たとえばウィルスチェックは必ずする
O
O
O
{ 悪い人は捕まえる
3.モラル、倫理、教育
{ 中長期的にはモラルや倫理の確立
{ 今はその確立を始めた時代かな
データの秘匿化と認証のために使われる
慣用暗号:DES暗号が有名
{ 鍵をすべて秘密にする
2.規則、法律
{ 高速処理出来るので大量データに利用
{ その上で規則や法律でガードして
O
増え続けるアタック
{
少数の悪い人たちがいる
{ まずは技術で守れるものは守りましょう
kids
レベル2:深い知識でアタック
{ レベル3:犯罪者
{ Webから入れるシステムが増えてきた
O
レベル1:ちょっと知っていて悪さをする
{
{
{
ハッカーではなくクラッカー
{
セキュリティに強いとか弱いではなく
{ 攻めたり守るのに要するリソースの量
{ リソース:お金、時間、技術力、運用力
{
O
公開鍵暗号:RSA暗号が有名
{ 片方の鍵を公開
{ 認証にも使われ、これが見つかってから電
子商取引などが出来るようになった
1
認証(1)
O
カテゴリー
認証
O
要素
{ 身体情報(Something
{ ユーザとコンピュータの間
You Are)
{ 指紋、声紋、DNA
{ ex:ユーザ名とパスワードでログイン
{ 知っている事(Something
{ コンピュータとコンピュータの間
You Know)
{ パスワード、暗証番号
{ ユーザとユーザの間
{ 持っているもの(Something
{ ex:もらったメールをその内容から確かに相
手が誰か信じる
You Have)
{ 銀行カード、クレジットカード、ICカード
{ 身分証明書、運転免許書、保険証
{ これらを組み合わせると強力に
パスワード(1)
O
Bad Password
{ 辞書に載っている単語は使わない
O
パスワード(2)
O
パスワードが脆弱だと
{
Good Password
{ 文章の単語の頭文字に数字記号を挿入
{
O
{ トンネルを抜けるとそこは雪国だった。川
パスワードが生でネットワークを流れないように
するようなソフトを使う
{
端康成: tnsy7kby(8文字なら)
O
適当な周期でパスワードは変更する
{
O
O
O
{ 火災・煙・ほこり(ファン)、音頭の上昇下降
O
{ 地震、爆発、雷
O
{ 電気ノイズ、
O
{ 湿気・水(コーヒー)・飲食物(煎餅等)
O
破壊欲
毎回変わるパスワード
暗号化電子メール
物理的なセキュリティ
環境
暗号チャネルを使った電子メール
暗号チャネルを使ったファイル転送
これからはパスワードとIC(ID)カードか?
One time passwordもあります
{
O
自分のファイルが破壊されるだけでない
利用される踏み台攻撃
本文の秘匿化
本文の認証(書き換え防止)
発信者の認証(なりすまし防止)
代表的な暗号化電子メール
{ PGP(Pretty
O
Good Privacy)
でも最後は人と人の信頼関係
{ ケーブル、コネクタ、部屋の侵入
{ 機器の持ち出し
O
盗聴
2
WWWのセキュリティ
O
クレジットカード番号などを送るのに暗号チャ
ネルを利用
{ セキュアソケット層(SSL)を利用
{ セキュアHTTP(S-HTTP)
O
アクセス出来るネットワークやユーザを制限
{ ホームページの学内限定など
{ 会員制ホームページ
3