October/22/2003 ネットワーク社会におけるセキュ リティの重要性 大阪市立大学 創造都市研究科 都市情報学 情報基盤研究分野 学術情報総合センター 中野秀男
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 全体の構成 インターネット / インターネット技術 情報ネットワーク セキュリティとは セキュリティの層 個別(アプリケーション)のセキュリ ティ セキュリティ管理 情報通信倫理
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 インターネット概論 インターネットの歴史 1970(ARPANET)-1983(TCP/IP,The Internet)- 1990,1993( 商用利用可 )- 現在:あって当たり前 インターネット技術の変移:技術 → 利用 → 文化 1.電子メール、ファイル転送、電子ニュース 2. WWW system( ホームページ ) Web-based system 3.インターネット放送, インターネット会議
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 インターネットの現状 キャリアとコンテンツの住分け 通信媒体と中身 キャリアとしてのインターネット 情報発信・共有・交換としてのインタ - ネット 新しい問題点を解決しながら前進 通信料金 セキュリティ・プライバシ・倫理 ビジネスモデル
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 情報システム 目的に合わせたコンピュータとソフト ウェア いろいろな組み合わせ 大型汎用計算機と業務端末 UNIX系サーバとPC端末 WindowsNT サーバと Windows95,98,2K 端 末 集中、分散、アウトソーシング CPU, ファイル, I/O オープン系、クローズ系、官と民
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 セキュリティ セキュリティは計れる オープンシステムの脆弱性 ハッカーではなくクラッカー:レベル1,2, 3 増え続けるアタック SPAM、SPAMの踏み台攻撃 ホームページの書き換え コンピュータ・ウィルス 簡単になる攻撃、難しくなる防御 Tiger Team (外部監査チーム) IDS (侵入検知システム)
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 インターネットのセキュリ ティ 攻められながら改善されている セキュリティ x 利便性 = 技術力 x 運 用力 守るツールと破るツールは表裏一体 アクセスコントロールと個人識別 CERT advisory ファイアウォール(防火壁) SOHO時代のセキュリティ技術
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 セキュリティ対策は 1.技術 2.規則、法律 3.モラル、倫理、教育 保険もあります
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 暗号について 目的: データの秘匿化と認証 専門家: 研究と実践 種類: 慣用暗号と公開鍵暗号 暗号の強さ: 解読に要するリソース量 理論から実践へ 慣用暗号と公開鍵暗号 慣用暗号: 鍵をすべて秘密にする 公開鍵暗号: 片方の鍵を公開
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 サーバ・クライアント クライアント(マシン、ユーザ)を信 用するか 知識だけがあるユーザが増えた サーバ・マシンを信用するか CRACK 版のコマンド 3 tier モデル Netscape - WWW server – Database 最近は P2P モデル: Peer to Peer
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 対象と守るべきもの 対象 ネットワーク管理者 ユーザ 守るべきもの セキュリティ プライバシー 大事な情報通信倫理
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 認証 カテゴリー ユーザ~ホスト間 ホスト~ホスト間 ユーザ~ユーザ間 要素 身体情報 (Something You Are) 知っている事 (Something You Know) 持っているもの (Something You Have)
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 パスワード(1) Bad Password 辞書に載っている単語は使わない CRACK攻撃 Good Password 文章の単語の頭文字に数字記号を挿入 8 文字のパスワードの弱さ そろそろ Pass-phrase
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 パスワード(2) 自分のファイルが破壊されるだけでな い 利用される踏み台攻撃 組織内では適正な指導を パスワードのない人は使用禁止 パスワードの見える telnet これからはパスワードとICカード か? 増える One time password
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 セキュリティ・ホール セキュリティ的な対策がされていない 穴 CERTから報告されている Computer Emergency Response Team 良く使われているものほどアタックさ れる 報告された穴は塞ぐ 表裏一体のセキュリティ監視ソフト CRACK,ISS,SATAN
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 セキュリティの層(ネット ワーク) 1層:物理的なセキュリティ 2層:1つのネットワークでのセキュ リティ 3層:コンピュータ間のセキュリティ 4層:プログラム間で共通なセキュリ ティ 5層:セッション毎のセキュリティ 6層:文字列、画像等のセキュリティ 7層:特定のプログラム間のセキュリ ティ
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 物理的なセキュリティ(環 境) 火災・煙・ほこり(ファン) 地震(阪神淡路大震災) 爆発(阪大爆発事件) 温度の上昇と下降 虫(小さな虫) 電気ノイズ(電源 ON/ OFF) 雷(廊下にイーサ) 湿気・水(コーヒー)・飲食物(煎餅 等)
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 物理的なセキュリティ(破壊 欲) ネットワーク・ケーブル ネットワーク・コネクタ 部屋の無断侵入 機器の持ち出し
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 物理的なセキュリティ(盗 聴) ワイヤによる盗聴 (passive,active) イーサネットでの盗聴 対策: Secure IP (暗号化) 無線による盗聴 端末の補助ポート 電磁波漏れ ディスプレー、プリンタケーブル
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 IP/TCP 層におけるセキュリ ティ Ping of Death( 大きなPINGパケット ) ネットワーク・スヌーピング(覗き 見) メッセージ応答を記録して後から不正 使用 メッセージ変更 メッセージ遅延と拒否 アドレス・マスカレーディング ルーティング攻撃
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 アプリケーションのセキュリ ティ SMTP(電子メール):成りすまし POP(電子メールの受信) NNTP(電子ニュース) :INN 攻撃 WWWシステム(サーバとブラウザ) telnet (遠隔端末):パスワードが見え る SSL Telnet や ssh(secure shell) TCP Wrapper
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 暗号化電子メール 本文の秘匿化 本文の認証(書き換え防止) 発信者の認証(なりすまし防止) 代表的な暗号化電子メール PEM (Privacy Enhanced Mail) PGP (Pretty Good Privacy) でも最後は人と人の信頼関係
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 WWWのセキュリティ セキュアソケット層(SSL) セキュアHTTP(S - HTTP) WWWブラウザのセキュリティ 保護なしフォームの提出の問題 java 等のセキュリティホール ホームページの書き換え バッファーオーバーフロー攻撃 これからは商取引に
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 大阪市立大学の場合(1) 全学のファイアウォールは Packet Filtering 各部局はそれに準じるかきつく OCUNET運用の指針に明記 教員や研究目的は基本的にフリー 情報処理教育システムは学内のみ到達 WWWは Proxy Server でカバー
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 大阪市立大学の場合(2) 学術情報総合センター内は機能毎に フィルター 一部の業務は物理的に別のネット パスワードのないアカウントは認めな い ネットワーク上での問題は トラフィックの運用上の問題以外は 当該の部局や委員会で対応
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 セキュリティ管理 組織内の規則とガイドライン 階層的セキュリティ管理 外からのアタックと、内からの情報漏 れ 外からのアタックと、内の犯罪者 ログと情報収集 ( security ho le ) SOHO 環境でのセキュリティ管理 公開の場でのセキュリティ管理
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 トータルなセキュリティ セキュリティ x 利便性 = 1 セキュリティ x 利便性 = 技術力 セキュリティ x 利便性 = 技術力 x 運 用力 セキュリティ x 利便性 = 技術力 x 気 力
October/22/2003 ネットワーク社会におけるセキュ リティの重要性 情報倫理 倫理基準は時代とともに変わる ホームページの著作権 カード時代におけるセキュリティと倫 理 不幸のメール : chain mail 匿名通信 プライバシーの保護