はじめに 情報セキュリティ 第02回 情報セキュリティの目的 種々の脅威 演習 1/42 1 2/42 何を思い浮かべますか? 情報セキュリティの目的 3/42 情報セキュリティとは何か 4/42 完全性とは 代表的なのは、以下の事柄を保つことです。 完全性: 情報が完全な形で保たれていること 機密性: 必要のある人以外に、情報がわたらないこと 可用性: 必要なときに、情報が利用出来ること 以下の事柄を保つことです。 完全性: 情報が完全な形で保たれていること あれれ? 欲しい情報が 変わってしまって いるような…… かなり広い概念です 5/42 6/42 Webサイトのクラック 機密性とは 以下の事柄を保つことです。 秘密性: 必要のある人以外に、情報がわたらないこと あの会社から 情報を盗んでやろう…… 7/42 8/42 情報流出 可用性とは 以下の事柄を保つことです。 可用性: 必要なときに、情報が利用出来ること この肝心なときに 情報が利用できない!? 9/42 10/42 サイトのダウン 情報セキュリティのまとめ 11/42 完全性、機密性、可用性を保つこと。 技術で防ぐことができることと、できないことがある。 人的な原因で問題が発生することも多い。 ネットワーク社会になり、問題が発生しやすく。 ウイルスの様に、完全性、機密性、可用性すべてに影 響を与えるような原因も! 適切な情報を集めて、対応することが重要。 12/42 脅威とは 種々の脅威とその対策 情報セキュリティを脅かすものを「脅威」と言 います。 この世の中には、多くの「脅威」が存在してい ます。 「どうやって備えるのか」を決めるには、「何 を脅威と認識するか」が重要です。 13/42 14/42 ウイルス セキュリティホール コンピュータに被害をもたらす不正なプログラム ネットワークやUSBメモリ等から進入 データが変わってる? セキュリティ ホール発見! 攻撃だ! 変な動作をするぞ? ウイルス対策ソフトのインストールが一般的 変な動作をするぞ? パッチを当てることで、穴を塞ぐことができます。 毎月出るので、アップデートすることを忘れずに。 セキュリティホールも、 完全性・機密性・可用性のすべてに影響 15/42 ポートスキャン データが変わってる? セキュリティーパッチを当てましょう ウイルス対策ソフトは、ウイルスの侵入や活動を防 いでくれます。 定期的にアップデートすることを忘れずに。 ウイルスは、完全性・機密性・可用性のすべてに影響 セキュリティの穴/不具合 できてはいけないことができてしまう/されてしまう。 16/42 クラッキング 計算機の空いているポートをスキャンすること。 ポートをスキャンすることで、その計算機で動作してい るサービス(例:Webサーバー)を知ることができます 80番ポートが空いていて、 httpが動いているな 不正にシステムに侵入したり、データを改ざんしたりす る方法。 セキュリティパッチを当ててないシステムに侵入したり する。 セキュリティ ホール発見! 攻撃だ! 17/42 データが変わってる? 変な動作をするぞ? 18/42 クラックされた後:改竄 クラックされた後:攻撃 クラッキングされた後に行われる行為。 データを変更される。 Webサーバーをクラッキングされ、データを改ざんされ る等。 「HP 改ざん」で検索してみましょう。 クラッキングされた後に行われる行為。 システムに不正侵入され、乗っ取られた後、他の計算 機への攻撃に利用される。 攻撃だ! 他にも 攻撃だ! 攻撃されてる! 苦情だ! 20/42 苦情がきた... 19/42 Aliceから メールが来た。 DoSアタック メールの盗聴 DoS攻撃(Denial of Service atack)は、攻撃を行うこ とで、対象となるシステムがサービスを続行することを 難しくする攻撃。 代表的なものとして、Webサーバーに大量のリクエス トを送る等(F5アタック)。 DoS攻撃だ! 重いなぁ 処理が多すぎる 送信 送信 Hello World Bob Hello World 盗聴 Hello World Alice メールは基本的に 平文なので、 盗聴し放題! A:> 覗き見して やろう Eve Hello World 21/42 パソコンの故障 パソコンから異音が! Hello World Hello World 重要な情報は メールしない or 暗号化 22/42 パスワードの管理 火山が噴火して、 計算機が燃えた! あれ? これは...... 覚えられない なぁ...... パスワードは適切に管理する 故障や災害は、どうしても発生してしまいます データのバックアップや、計算機の冗長化等で 被害を防止できます。 23/42 初期パスワードは必ず変更する。数ヵ月に1回パスワードの変 更を行う。 他人に教えたりしない。他人に推測されづらいこと(×誕生日)。 短いパスワードはダメ。英数文字と記号を組み合わせる等)。 24/42 紙などに記入するなどのメモを作らない メールの誤送信 パソコンの盗難 あれ? これは...... あれ? パソコンがない しめしめ、 上手く盗めたぞ あ! 送り間違えた! 極秘 送信 極秘 パソコンを外に持ち出て、物理的に盗まれることも 例:車上荒らし パソコンは持ち出し禁止にする会社も。 Bob 重要な情報は持ち出さない。 持ち出したら目を離さない。 あて先はきちんと確認する Alice 25/42 トラッキング 進入 ゴミ箱等に廃棄された情報を回収、復元することで情 報を得ようとする手法。 ゴミから情報 入手! もういらないや 26/42 情報はきちんと削除する 建物や施設に物理的に侵入すること。 誰でも侵入できる施設の場合、他の人と一緒に入って しまう場合、関係者か否かが区別つきづらいとき等。 教職員も、県大 の名札を持って いたりする。 物品を捨てるときは、その中に「重要な情報」が含まれていない かに注意する。 ハードディスク等は、OSの機能で削除していても、データを復元 27/42 できることも。 28/42 Alice なりすまし キーロガー 悪意のある人が、他の人になりすまして、不正に情報 にアクセスしたり、施設に侵入する方法。 パスワードが漏れたときとかに発生。 自分の名前は Aliceだよっと... あなたは Aliceだね 計算機に悪意のあるプログラムを仕込んでお き、その計算機で入力されたキーを記録してお く手法。 入力されたキーがそのまま記録されるので、パ スワード等も漏れる。 Mallory 29/42 30/42 その他の脅威(1) スキミング 「銀行」「スキミング」をキーワードに検索してみ ましょう。 31/42 フィッシング詐欺: 信頼のある企業になりすまして、パスワード等の重 要な情報を盗み取ろうとする詐欺。 スパムメール 無差別に大量に広告メールを出すこと。また、その メール自体。 Active Mail にはスパムメールを判別する機能が 備わっています。 メールボム メールを大量に送りつけてパンクさせる 32/42 その他の脅威(2) プログラム作成時に生じてしまうセキュリティホール バッファオーバーフロー SQLインジェクション クロスサイトスクリプティング ファイル共有ソフトでの機密情報流出 winny による事件が有名 対策:使わない 等々...... 脅威に備える 33/42 34/42 備えるために 不正アクセス禁止法 技術的な面と人的な面がある。 機械は暗号化等の技術で守ることができる。 最新の技術や動向を知る 一方、人は技術では完全には守れない。 その行動は大丈夫か、常に意識して行動 故障や災害は、何時、どのようにして起きるかわから ない。 データのバックアップ、計算機を複数準備する等、 事前に備えておく 35/42 正式名称[不正アクセス行為の禁止等に関する法律] 2000年に制定。 以下のような行為を取り締まる。 他人のパスワード等で計算機等を利用すること。 計算機のセキュリティホールを利用すること。 他社の不正行為を手助けすること。 管理者はきちんとした計算機管理をすることが求めら れる。 36/42 この講義で扱うこと 技術で守れるもの守れないもの 技術で通信経路や計算機は守れる。 技術だけでは、人の行動は縛れない。 技術で守れる部分 ルールや ポリシーで Bob 盗聴防止 改ざん防止 技術範疇外 技術範疇外 クラック防止 Alice 技術で 情報セキュリティを維持するために...... 技術的な側面 暗号化技術 種々の通信技術 等 人的な側面 情報倫理 情報セキュリティポリシー 等 37/42 38/42 セキュリティ的な事故のニュース Googleで「情報流出 原因」で検索してみよう。 ニュースになる多くの事件は、「人」が「問題になる行 動」を起こした結果、生じてしまうことも多い。 演習: 情報流出の事例 39/42 40/42 課題と課題の提出 ハッカーとクラッカー 次のことを調べ、レポートにまとめて提出する 「情報流出」「SQLインジェクション」等をキーワード に検索し、どのような事故があったか調べる。 ファイル名は学籍番号の末尾にbをつけたもの。 経情グループウェアから提出する。 41/42 ニュース等だと同じような意味で使用されています が、本当は違う言葉です。 ハッカー: すごいコンピュータ技術の利用が可能な人。 クラッカー: ネットワークへの侵入や改ざん等の悪意を持った行為 (クラッキング)を行う人。 42/42
© Copyright 2024 Paperzz
