LINDDUN 分析 Yoshioka & Takenouchi 2013/11/7. 在学生・修了生情報 Web サーバ ユーザ 在学生情報 DB Web サーバ 認証 サーバ ID DB 大学事務 SMTP サーバ イベントの電子 メール通知 イベント情報 DB 修了生情報 DB.

Slides:



Advertisements
Similar presentations
ユーザ認証を考慮した 情報コンセントの活用 明治大学 情報システム管理課 服部裕之 ( ) ’ 99私情協 学内 LAN 運用管理講習会.
Advertisements

セッション管理 ソフトウェア特論 第 8 回. ここでの内容 セッション管理の基本を知る。 HttpSession の使い方を知る。
統一メールアドレス 管理ページの使い方 ジュリナビ運営事務局. 統一メールアドレスとは 統一メールアドレス管理ページでできること 統一メールアドレス管理ページを開く(BASIC認証) 統一メールアドレスを新規発行する(1)(2) 登録者向けに一斉メールを配信する(1)(2)(3) 登録者情報をダウンロードする(1)(2)
情報セキュリティ読本 情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料 (第 1 章 IT (情報技術)に潜む危険)
フォレンジック市場分析 E-Detective 説明 Decision Group Inc. フォレンジックとは? 不正アクセス 機密情報漏洩 などの犯罪 紛争が起こり 原因究明と捜査が開 始 電子的記録の収集、分析を 法的な証拠にする技術 「デジタル鑑識」 2,000 年より、 E-Detective.
Iptables の設定と 動作確認方法 野口 哲. 1. はじめに 近年では、ウイルスなどでネットワーク 上の 近年では、ウイルスなどでネットワーク 上の 危険が非常に多くなっている。また、個人 情報 などを入手するために不正に他人のパソコ ンに 侵入する人なども増えている。本研究では、 このような被害を受けないようにするため.
ファーストステップガイド ( 管理者向け) ナレッジスイート株式会社 Copyright (c) knowledgesuite inc. All rights reserved.1.
ダウンロードした データの利用例. CSV データダウンロード機能によっ て... DEBUT にデータベースとして登録されて いる自施設のデータを生データとして入手 できることから,これらのデータを解析・ 集計することによって, WEB 上にて閲覧す るのとは異なった切り口で研修実績を評価 できる.
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
© 2012 IBM Corporation ISCCD7.5 構築 その 3 IBM SmarterCloud Control Desk 7.5 導入 2011/09/30 日本アイ・ビー・エム株式会社.
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
トレーニングの際はスライド, ノートの両方を確認してください
Curlの特徴.
佐藤周行(情報基盤センター/ 基盤情報学専攻) 日本ベリサイン・コンサルティング部
経済学のための情報処理 はじめに.
セキュリティ・アーキテクチャに基づく IT 設計
認証実用化実験協議会 平成10年度第1回定例研究会 ICAT 認証実用化実験協議会(ICAT) の広域認証実験
受動的攻撃について Eiji James Yoshida penetration technique research site
Ibaraki Univ. Dept of Electrical & Electronic Eng.
WebDAVでOpenOffice.org の文章を共有する
Microsoft Office Project 2007
CGI Programming and Web Security
Web使用のファイル送受信システムの実験
Vulnerability of Cross-Site Scripting
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
本学のAUP(Acceptable Use Policy)
メールシステム メールシステムの変更 通信プロトコルの変更 ローカルメーラー設定変更 DEEPMail セキュリティ強化
図書館の場合 インターネット時代のセキュリティ管理.
GoNET 競合比較 POPCHAT 2015年04月 アイビーソリューション株式会社.
第2章 第1節 情報通信の仕組み 1 ネットワークの仕組み 2 通信プロトコル 3 認証と情報の保護
2016年度秋期 成果発表会 2016年11月25日 大阪開発センター 技術一部 畑中 龍樹.
ホームページリニューアル時 社内ヒアリングシート
スマホでクリッカー(1) clickest を使ってみよう.
本学のAUP(Acceptable Use Policy)
管理画面操作マニュアル <サイト管理(1)> 基本設定 第9版 改訂 株式会社アクア 1.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
ビジネスプラン (キャッチコピー) 株式会社○○○○.
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
セキュリティ(5) 05A2013 大川内 斉.
情報セキュリティ - IT時代の危機管理入門 -
ネットワークアプリケーションと セキュリティ
事務所における情報化の問題点 データが所内で共有されていない、各課ごとに個別に利用されている
インターネットにおける真に プライベートなネットワークの構築
Cisco Umbrella のご紹介 2018 年 1 月.
Webセキュリティ 情報工学専攻 1年 赤木里騎 P226~241.
【お知らせ】福岡SC・北九州SSにおけるWi-Fi利用について
物履歴に基づいた ユーザプロファイリング機構の構築
~ 第5回 認証のためのプロキシー Web Application Proxy
【お知らせ】滋賀学習センターにおけるWi-Fi利用について
公開鍵認証方式の実習 MacOS Xの場合.
○○中学校・高等学校は 2019年度入学試験において インターネット出願を導入します。 いつでもどこでも、出願できます。
ネットワークプログラミング (3回目) 05A1302 円田 優輝.
じんもんこん2017 KH Coderチュートリアル
E-Shopのご提案 ビズ ぱそ 朝日 太郎 2001/12/22 ビズPASO株式会社 E-コマース事業部.
アフィリエイト・サイトA or 情報携帯金庫サイト アフィリエイト・サイトA 情報携帯金庫サーバ バナー、リンク等で告知
Service Access Management Tool
E-Shopのご提案 ビズ ぱそ 朝日 太郎 2001/12/22 ビズPASO株式会社 E-コマース事業部.
サイバー攻撃シミュレーション サービス Cisco Cyber Range (シスコ サイバー レンジ)サービス
ICカード認証プリントシステム MR.PRINT-GATE 株式会社  ミューチュアル.
ホームページを見ているだけで情報が通知される? ~Cookie編~
B2 須山哲 (susan) 所属:Stream
情報スキル入門 第8週 情報倫理.
サーバーレス キャンペーンインフラご提案 特徴 料金 初期費用 0円 月額 120,000円 初期費用 0円 月額 380,000円
オブジェクト指向言語における セキュリティ解析アルゴリズムの提案と実現
SMTPプロトコル 2001年8月7日 龍 浩志.
LOGO メインビジュアル サービス紹介 お店情報 地図 商品一覧 当店について アクセス お問合せ
オープンデータ流通推進コンソーシアム 情報流通連携基盤・外部仕様書 (平成24年度版) Call for Comment結果報告
E-Shopのご提案 ビズ ぱそ 朝日 太郎 2001/12/22 ビズPASO株式会社 E-コマース事業部.
Presentation transcript:

LINDDUN 分析 Yoshioka & Takenouchi 2013/11/7

在学生・修了生情報 Web サーバ ユーザ 在学生情報 DB Web サーバ 認証 サーバ ID DB 大学事務 SMTP サーバ イベントの電子 メール通知 イベント情報 DB 修了生情報 DB

説明会 Web サーバ ユーザ 登録情報 DB (参加履歴) Web サーバ ID DB 大学事務 Web サーバ 統計 パッ ケージ

Privacy Threats :説明会 LinkIdNon-RDetectDisclUnawareNon-C Data Store 登録情報 DB (参加履歴) 11XX1 ID DB 11XX1 Process Web サーバ XXXX 統計パッケージ XXXX Entity ユーザ 11X1 大学ユーザ XXX111 Data flow Web サーバ⇔登録情報 DB XXXX Web サーバ⇔大学事務 XXXX Web サーバ⇔ ID DB XXXX Web サーバ⇔統計パッケー ジ 11XX1 Web サーバ⇔ユーザ 11XX1 Web サーバ⇔大学事務 xXXX1

Likability of DataStore ( 登録情報 DB) Likability of DataStore ( 登録情報 DB) Weak access control Weak data anonymization Likability of DataStore (ID DB) Likability of DataStore (ID DB) Weak access control Weak data anonymization 「登録情報 DB 」や「 ID DB 」に登録した登録情報が、他人から Linkable や Identifiable であると プライバシ侵害になりうる Threat Tree: Linkability/Identifiability of DataStore ( 「登録情報 DB 」, 「 ID DB 」 ) Identifiability of DataStore ( 登録情報 DB) Identifiability of DataStore ( 登録情報 DB) Weak access control Weak data anonymization Identifiability of DataStore (ID DB) Identifiability of DataStore (ID DB) Weak access control Weak data anonymization

Likability of Entity ( ユーザ ) Likability of Entity ( ユーザ ) Data flow not fully protected Non anonymous communication are linked Threat Tree: Linkability/Identifiability of Entity( ユーザ ) ユーザに関する登録情報が、他人にから Linkable や Identifiable であると プライバシ侵害になりうる ※ Identitiability も同じ Threat Tree であるため省略

Likability of DataFlow (Web サーバ⇔統計パッ ケージ ) Likability of DataFlow (Web サーバ⇔統計パッ ケージ ) Data flow not fully protected Non anonymous communication are linked Threat Tree: Linkability/Identifiability of Data Flow (Web サーバ⇔統計パッケージ、 Web サーバ⇔ユー ザ ) Likability of DataFlow (Web サーバ⇔ユーザ ) Likability of DataFlow (Web サーバ⇔ユーザ ) Data flow not fully protected Non anonymous communication are linked 「 Web サーバ⇔統計パッケージ」「 Web サーバ⇔ユーザ」に流れる登録情報が、 統計パッケージ(の管理者)から Linkable や Identifiable であるとプライバシ侵害になりうる ※ Identitiability も同じ Threat Tree であるため省略

Threat Tree: Non-repudiation( 否認不可 ) 否認不可については、プライバシ上の問題は無いように思える。 竹之内メモ: LINDDUN 論文によると、否認不可( Non-repudiation) の機能はセキュリティ上必要 になる場合があるが、場合によってはプライバシ上の問題にもなるとのこと。 【例】 否認不可( Non-repudiation) が必要になる例: e-commerce サイトでは、購買したことを否認することを防ぐために 否認不可( Non-repudiation) の機能は必須だろう。 否認不可( Non-repudiation) がプライバシ上の問題となる例: off-the-recode conversation (匿名会話 ? )のシステムでは、参加者は参加 していることを否認したい。否認不可の機能はプライバシ性を低下させる。

Threat Tree: Disclosure 9 Disclosure of 登録情報 Disclosure of 登録情報 Information disclosure of 登録情報 Information disclosure of 登録情報 セキュリ ティ脅威と 同じ

Threat Tree: Unawareness 10 Unawareness of 登録情報の利用 Unawareness of 登録情報の利用 必要以上の 個人情報を 登録 間違った登録情報 による間違った判 断 登録情報の期 限が切れてい る 目的外の個人 情報を登録 個人情報の利 用承諾がない 登録情報の変更 が反映されてい ない 期限を設定する必要 がある??

Privacy Objectives LINDDUN threatsPrivacy Objectives Disclosure of 登録情報 Confidentiality of 登録情報 Disclosure of 大学事務 Confidentiality of 大学事務 Disclosure of Web サーバ⇔統計パッケー ジ Confidentiality of Web サーバ⇔統計 パッケージ Disclosure of Web サーバ⇔ユーザ Confidentiality of Web サーバ⇔ユーザ Disclosure of Web サーバ⇔大学事務 Confidentiality of Web サーバ⇔大学事 務 Content Unawareness of ユーザ Content awareness of ユーザ Content Unawareness of 大学事務 Content awareness of 大学事務 11 利用目的以外の利用 しないようにする