q q 情報セキュリティ 第1回:2005年4月8日(金) q q
この科目について 5セメスタ(3年次前期)の専門選択科目 担当者は村川猛彦(むらかわ たけひこ) 授業情報はWebで 新課程科目で旧課程科目との対応がつけられていないもの…旧課程学生がこれを単位取得すれば,専門選択科目として認定する.(履修手引p.39) 情報通信システム学科以外の受講も歓迎 担当者は村川猛彦(むらかわ たけひこ) 質問・相談は takehiko@sys.wakayama-u.ac.jp へ 授業情報はWebで http://www.wakayama-u.ac.jp/~takehiko/secu2005/
この科目で何を学ぶか 情報資産の守り方 キーワード 暗号系:古典暗号(単一換字暗号),秘密鍵暗号(DES,AES),公開鍵暗号(RSA) 認証:ディジタル署名,一方向ハッシュ関数,PKI 個人・組織のセキュリティ:パスワード,セキュリティポリシー,MSIS システムセキュリティ:ファイアウォール,安全なアプリケーション開発 基礎:計算理論,暗号プロトコル
情報セキュリティは,なぜ学ぶことが多いのか? システムの安全性は,その中の最も弱い箇所によって決まるから. 弱い箇所(the weakest link)の例 今となっては安全でない手法を使用 パスワードや鍵の杜撰な管理 身内に甘い運用 社内のセキュリティポリシーを一人で策定 内外をつなぐリンクが複数 電話一本即応答
情報セキュリティは何「ではない」か ハッカーの養成ではない 暗号理論ではない 「破られたらおしまい」という考え方ではない 専門家だけのものではなく,パスワードなど,誰もが注意しないといけない問題もある. 暗号理論ではない 「理論」と「実装」と「運用」の一つでも不十分なシステムは,正しく機能しない. 「破られたらおしまい」という考え方ではない 破られるのにどれだけのコストを必要とするかが安全性の尺度となる.つまり,情報セキュリティは対象を定量的に取り扱える.
情報セキュリティを学ぶのに必要なもの 広く深い知識 思いやりの心 ある種の数学 プログラミングやインターネットの基礎知識 常にメンテナンス 知識を得るための知識も 思いやりの心 情報セキュリティは人の問題 「誰がいて,それぞれ何ができて何をしたいか」の分析が必須 ある種の数学 離散数学,アルゴリズム理論,計算理論 プログラミングやインターネットの基礎知識 現在では必須
授業の進め方 教科書 教科書にない話にも触れる 予習・復習 結城浩, 『暗号技術入門―秘密の国のアリス』, ソフトバンクパブリッシング, ISBN4797322977 第3回より使用.4月までに軽く読み通してほしい 教科書にない話にも触れる 可能な限りスライドを作って公開する インターネット上の文書,ソフトウェアも活用する 予習・復習 予習は,教科書を読み通す以外,不要 復習は,しっかりやってほしい
成績評価の方法 レポート20点+期末試験80点=100点 昨年度実施した授業・試験の例 個別の点数照会には応じない レポートは10点×2回 期末試験は,自筆ノートのみ持込可(教科書も不可)の予定 出席点なし サイエンスコース/エンジニアリングコースの区別なし 昨年度実施した授業・試験の例 http://www.wakayama-u.ac.jp/~takehiko/secu2004/ 個別の点数照会には応じない
本日学ぶこと 「情報セキュリティ」とは ユーザサイドのセキュリティ
情報セキュリティの三大要素 機密性(Confidentiality)…漏れない 完全性(Integrity)…書き換えられない 許可されている人だけが情報にアクセスできる状態 完全性(Integrity)…書き換えられない 情報が整合性が取れて保存されている状態 可用性(Availability)…立入禁止にならない 必要な時に情報にアクセス出来る状態 定性的には,この3つをすべて満たすものが「安全(セキュア,Secure)」 定量的に表現することもある 資産価値 = 機密性 + 完全性 資産価値 = 機密性 × 完全性 http://www.can.or.jp/archives/articles/20020320-01/ http://blogs.yahoo.co.jp/sinkavout/386318.html
機密性・完全性・可用性 透明の封筒に入った情報 ホワイトボードにあれこれ書き込む どこかの本に秘密のメモを挟み,忘れてしまう 完全性を満たすが,機密性は満たさない ホワイトボードにあれこれ書き込む 可用性を満たすが,完全性は満たさない どこかの本に秘密のメモを挟み,忘れてしまう 機密性を満たすが,可用性は満たさない
ユーザサイドのセキュリティ パスワード管理 計算機管理 ソーシャルエンジニアリング
パスワード管理 パスワードが知られると… では,どうすればいいか? 他人が自分の名前(ID)で入って悪さし放題 良いパスワードを利用する 「wakayama」や「20050408」は良いパスワード?? ときどき変更する パスワード情報の管理方法を知っておく 暗号化されているか? だれもがアクセスできる状態になっていないか?
計算機管理 計算機管理を怠ると… では,どうすればいいか? ウイルスが蔓延する 踏み台攻撃の被害者になる 踏み台攻撃のイメージ 計算機管理を怠ると… ウイルスが蔓延する 踏み台攻撃の被害者になる では,どうすればいいか? ウイルス対策ソフト(Anti-virus software)を入れる Windows Updateなどによる更新をまめに実施し, 安全な(バージョンの)ソフトウェアを使う 異変に気づけば,まずネットワークの遮断 LANケーブルを引っこ抜け! で加害者
ソーシャルエンジニアリング ソーシャルエンジニアリングを知らないと… ソーシャルエンジニアリングの例 では,どうすればいいか? 機密情報やアクセス権限が奪われる ソーシャルエンジニアリングの例 「ご利用のオンラインバンクですが,手違いでパスワードを消失してしまいました.誠に申し訳ございませんが,http://~~/ にて,再登録をお願いします.」というメール では,どうすればいいか? 善意を装った情報収集,情報操作には応じない 保護すべき計算機や情報を把握しておく 日々ニュースを見聞きする
まとめ 情報セキュリティの三大要素は,機密性・完全性・可用性 情報セキュリティは専門家だけのものではなく, ユーザサイドでもより安全にすることが可能