佐藤周行（情報基盤センター/ 基盤情報学専攻） 日本ベリサイン・コンサルティング部

Presentation on theme: "佐藤周行（情報基盤センター/ 基盤情報学専攻） 日本ベリサイン・コンサルティング部"— Presentation transcript:

1 佐藤周行（情報基盤センター/ 基盤情報学専攻） 日本ベリサイン・コンサルティング部
情報セキュリティ基盤論 佐藤周行（情報基盤センター/ 　　　　　　基盤情報学専攻） 日本ベリサイン・コンサルティング部　

2 開講に当たって この講義は、以下の目的で開講するものです。
　昨今、インターネットを舞台としたセキュリティ侵害に関する事件、事故が多発している。それらに対応するために暗号化、PKIを含むさまざまな技術と制度が提案され、実際に効果を上げている。ここでは、セキュリティに関係する技術とそれを実際に配備する制度の両方について講義を行い、学会と社会の具体的な要求に応えることを目標とする。

3 今日の予定 まぁ、1時間くらいかな この授業を取るべきかどうかの決定をするための情報を与えるのが目的です 進行予定
セキュリティについてのバックグラウンド 授業の進行予定（プラン） 各項目についての基礎的な説明 おまけ

4 セキュリティについてのバックグラウンド

5 具体的にはどういう授業か セキュリティの授業です。 セキュリティは、技術的な要素と、社会的な要素を持っています。
「社会的な要素」には、（できるだけ）技術の裏づけがなければなりません。

6 「技術的な要素」 「技術的な要素」には、以下が含まれます アクセス制御技術 認証技術 暗号技術
Authentication/Authorization for an ID 暗号技術 秘匿性　完全性　否認防止性

7 「社会的な要素」とは 社会的な要素には、以下が含まれます ポリシーの構築 組織の構築 運用の統制 対外的な信用 コンプライアンス ブランド

8

9 ブランド UCSFやられた。 半年前にはUCLAがやられている ブランドに対する被害は甚大 経営層は事件がおきるまで何もしないのが普通
事件がおきてから厳しくできるかどうかは、統制力の問題

10 情報セキュリティの目的 このようにして何を守るのか？ 情報のもつ価値とは? 情報を
権限を有しない人からのアクセス（読み（窃盗を含む）書き（改竄を含む））や暴露から 守る 情報のもつ価値とは?

11 朝日新聞２００７年４月１１日 個人情報漏洩に関する記事

12 情報のもつ価値 安全保障 スパイ映画でおなじみ 財産 財産、経済活動に関する情報 情報自体のもつ財産的な価値 自己決定権 プライバシー-

13 Digital WorldにおけるID 「認証」 ＝インターネットの世界で、プロセスの持ち主をどのように識別するか
「認証」　＝インターネットの世界で、プロセスの持ち主をどのように識別するか 　　In computer security, authentication is the process of attempting to verify the digital identity of the sender of a communication such as a request to log in.

14 Digital Identity 認証のためにはDigital Identityの管理が本質的

15 Digital Identity Digital Identityの管理は、自然におおがかりなものになります － 組織の中でのＩＤ管理体系
公開鍵基盤（PKI）がこの管理で非常に有望だと思われ続けています パスワード認証で十分では? 共通鍵を使った認証で十分では?

16 授業のプラン １．授業導入 ２．セキュリティ・コンプライアンンス ３．情報セキュリティと統制 ４．認証技術と暗号
５．ハッキング防御技術とネット診断 ６．東京大学の現状と将来

17 セキュリティコンプライアンス 実社会に多くの例 情報セキュリティのための組織論 リスク分析 コンプライアンスの必要性
情報セキュリティの経済的価値 法の強制(SOX, J-SOXなど) コンプライアンスのための組織

18 情報セキュリティと統制 アクセス制御とその技術 Digital Identity 認証 認可・権限

19 認証技術と暗号 暗号技術 共通鍵暗号 公開鍵暗号 ハッシュ関数 SSL PKI 電子証明書の発行と運用 サーバ証明書

20 ハッキング防御技術とネット診断 さまざまなアタック 対処方法

21 PKI すでにある応用 サーバ証明書とSSL 住民基本台帳システム では、PKIを支える技術とは? 技術的な要素 組織的、社会的な要素

22 セキュリティサービス セキュリティ技術は、もはや社会基盤を構成する要素になっている。 セキュリティに関連するサービスを提供することには、
技術を提供する（製品の提供） 「社会的要素」を提供する（運用代行、コンサルティング） 　が含まれます

23 サービス提供の現状 ネットワークセキュリティサービス PKIサービス セキュリティサービス提供がビジネスとして成立している

24 セキュリティ基盤の現状 セキュリティ基盤とは何か? 具体的にサーバ証明書が機能するためには何が必要か？ あの警告にはどんな意味があるのか？
警告を無視してよい場合があるか？

25 セキュリティ基盤の現状 組織内でのセキュリティ基盤の確立の必要性 組織を超えた基盤の必要性 学生証を信用してもらうための何か
電子入札のための、電子証明書　－　特定認証業務の認定 Webサーバの証明書の確かさを保証するWTCA

26 東大での現状と近未来 学生証はスマートカード化 全学的なセキュリティ基盤はまだ 世間的（パブリック）な信用を得るための努力
強い認証基盤構築の可能性 全学的なセキュリティ基盤はまだ 世間的（パブリック）な信用を得るための努力 技術開発（インソース・アウトソース）

27 授業のプラン １．授業導入 ２．セキュリティ・コンプライアンンス ３．情報セキュリティと統制 ４．認証技術と暗号
５．ハッキング防御技術とネット診断 ６．東京大学の現状と将来

28 講師 佐藤周行（情報基盤センター・ＰＫＩプロジェクト） 日本ベリサイン

29 Communications Mail Web Page
Password認証