Q q 情報セキュリティ 第13回:2006年7月14日(金) q q.

Slides:



Advertisements
Similar presentations
個人情報を保護する仕組みに 関する一考察(その2) 満保 雅浩 東北大学 情報処理教育センター 情報科学研究科.
Advertisements

情報セキュリティ 第13回:2005年7月8日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.
個人情報を守る学習指導 柏市立土南部小学校 教諭 西田 光昭
個人情報保護講座 目 次 第1章 はじめに 第2章 個人情報と保有個人情報 第3章 個人情報保護条例に規定されている県の義務 第4章 個人情報の漏えい 第5章 個人情報取扱事務の登録 第6章 保有の制限 第7章 個人情報の取得制限 第8章 利用及び提供の制限 第9章 安全性及び正確性の確保 第 10.
2.校務情報の整理と管 理 6 校務の情報化. この項目のねらい 校務に関する情報の整理の考え方について理 解する。校務に関する情報の管理にかかる留 意点について理解する。
1 個人情報保護について 弁護士法人龍馬 弁護士 舟木 諒,板橋俊幸. 情報化社会 □ 個人情報保護法の概要 2003 年(平成 15 年) 5 月 23 日成立, 2005 年(平成 17 年) 4 月 1 日全面施行。 ◆成立の背景 プライバシー侵害 国際上の問題 住民基本台帳問題 個人情報漏洩問題.
1 1.制度の理解と住民説明 平成 28 年 1 月 個人番号の利用開始(申請者等に対し、各種申請書類へ個人番号の記入を求め る等) このため、窓口担当者を含め関係業務に関わる職員は、住民等からの問合せに対応できるよう、 番号制度への理解を深める必要がある。 ※ マイナンバーホームページ(内閣官房 HP.
オープン&ビッグデータ活用・地方創生推進機構 事務局 オープン&ビッグデータ活用・地方創生推進機構 自治体条例調査資料 平成26年度 第1回データガバナンス委員会資料 資料1-6.
電子社会設計論 第12回 Electronic social design theory 中 貴俊.
情報セキュリティ 第13回:2007年7月13日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度, ISMS  コンピュータ犯罪を取り締まる法律  個人情報保護法 セキュリティポリシーとは,組織の情報資産を守るため の方針や基準を明文化したものである.
1 Copyright © Japanese Nursing Association. All Rights Reserved. Copyright 2016, Japanese Nursing Association. 日本看護協会 情報システム部 会員情報課 2016年7月29日 新会員情報管理(ナースシップ)
第6章 インターネットと法律(後編) [近代科学社刊]
情報セキュリティ読本 - IT時代の危機管理入門 -
2014年6月男女平等月間 学習会資料 連合総合男女平等局
秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然として知られていないもの(不2Ⅳ)
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ 西村 和夫 オープンキャンパス/模擬授業 2008年7月21日 駒澤大学 経営学部 教授 1
情報モラル.
マイナンバー対策 実演セミナー 1 2 第一部 13:30~14:30 2015年7月21日(火) 第二部 14:40~15:40
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
 テーマ別解説 情報モラルの5つの領域 岐阜聖徳学園大学 教育学部 准教授 石原 一彦.
Q q 情報セキュリティ 第6回:2005年5月20日(金) q q.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
大谷経営労務管理事務所のISO9001認証取得について
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
個 人 情 報 保 護 法(2) 情報社会と情報倫理 第5回.
セキュリティ・チェックリスト解説 【5~10分】
利用者が守るセキュリティー (パスワードについて)
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
マイナンバーは 企業のさまざまな場面で 取り扱われるため 企業の規模を問わず 情報漏えい対策は必須です!
情報セキュリティ - IT時代の危機管理入門 -
第6章 インターネットと法律(後編) [近代科学社刊]
ニッセン WEB広告での個人情報取り扱い審査内容について
情報モラル学習(教職員) これだけは知っておいてほしい情報モラル.
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
マイナンバー制度導入に伴う システム対応について
情報セキュリティとは? 環境情報学部1年      卯野木邦宏.
情報セキュリティ - IT時代の危機管理入門 -
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
第2回 コンピュータ化システム 適正ガイドラインについて
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
「コンピュータと情報システム」 10章 システムの運用と管理
Japan Adult Expo 2014出展申込書 シート1
第10回 情報セキュリティ 伊藤 高廣 計算機リテラシーM 第10回 情報セキュリティ 伊藤 高廣
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
Q q 情報セキュリティ 第12回:2006年7月7日(金) q q.
トレーニングの際はスライド, ノートの両方を確認してください
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
5.RSA暗号 素因数分解の困難性を利用した暗号.
改正 個人情報保護法が全面施行 どう対策 すればいいの? 何が変わるの? POINT.1 小規模取扱い事業者への対応 POINT.2
セキュリティ・チェックリスト 【5分】 セキュリティ全般について USBメモリ等でデータを持ち出す際について
Q q 情報セキュリティ 第12回:2007年7月6日(金) q q.
2014年6月男女平等月間 学習会資料 連合総合男女平等局
2001.12.4 エルティ総合法律事務所所長弁護士 システム監査技術者 藤 谷 護 人
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
総合講義B:インターネット社会の安全性 第12回 権利の保護
コミュニケーションと ネットワークを探索する
第一回 情報セキュリティ 05A1027 後藤航太.
筑波大学附属視覚特別支援学校 情報活用 村山 慎二郎
Diffie-Hellman 鍵共有 ElGamal 暗号 楕円曲線暗号,量子コンピュータ
情報社会の安全と情報技術.
Q q 情報セキュリティ 第8回:2004年5月28日(金) の補足 q q.
内部統制とは何か.
Q q 情報セキュリティ 第7回:2005年5月27日(金) q q.
情報モラル06 情報 セキュリティ.
○ 大阪府におけるHACCP普及について S 大阪版 評価制度を設ける 大阪府の現状 大阪府の今後の方向性 《従来型基準》
個人情報に関する基本方針 基本方針 具体的な取り組み 相談体制
Presentation transcript:

q q 情報セキュリティ 第13回:2006年7月14日(金) q q

本日学ぶこと 暗号プロトコル 組織におけるセキュリティ Fiege-Fiat-Shamirの認証プロトコル セキュリティポリシー 規格・制度 コンピュータ犯罪を取り締まる法律 個人情報保護法

暗号プロトコルの具体例 鍵配布センターを利用したセッション鍵共有 RSAの署名を用いた認証プロトコル Feige-Fiat-Shamirの認証プロトコル 本日

Feige-Fiat-Shamirの認証プロトコル 「FFS方式」「Fiat-Shamir方式」などとも呼ばれる 証明者が秘密の情報を持っていれば,プロトコルの実行により間違いなくそれを認証者が確認できる. 秘密の情報は認証者にも知られない…ゼロ知識対話証明(Zero-Knowledge Interactive Proof,ZKIP) 秘密の情報を持っていない者が,なりすましてプロトコルを実行しても,成功する確率はせいぜい1/2 繰り返し実行すると,成功率は指数的に小さくなる. Prover (証明者) Verifier (認証者) ユーザ情報を入力 OK/NG

FFSプロトコルの前提 事前に生成しておく情報 計算の困難さ 素数 p,q は非公開とし,n←pq を公開 証明者は整数 s (1≦s<n)を秘密情報として持つ 整数 v ← s2 mod n も公開する 計算の困難さ 素因数分解は困難 大きな整数 m と整数 a (1≦a<m)が与えられたときに, b2 mod m = a を満たす b (mを法とするaの平方根)を求めるのは m が素数ならば容易(効率のよいアルゴリズムが存在する) m が合成数ならば容易ではない

FFSプロトコル(記述) Step 1: 証明者は乱数 r を生成し,x ← r2 mod nを計算して,x を認証者に送る. Step 2: 認証者は e∈{0,1} をランダムに選び,証明者に送る. Step 3: 証明者は y ← r・se mod n を計算して認証者に送る. e=0 ⇒ y ← r mod n e=1 ⇒ y ← rs mod n Step 4: 認証者は y2 mod n = x・ve mod n が成り立つか 確かめ,成り立たなければ認証しない. e=0 ⇒ y2 mod n = r2 mod n ? e=1 ⇒ y2 mod n = r2s2 mod n = (r2 mod n)(s2 mod n) mod n 成り立てば,認証者が納得いくまでStep1~4を行う. ?

FFSプロトコル(図) 証明者 認証者 x ← r2 mod n e∈{0,1} y ← r・se mod n n, v(=s2) n, s ランダム に選ぶ x は保存しておく x ← r2 mod n x を 計算する e を ランダム に選ぶ e∈{0,1} y を 計算する y ← r・se mod n y2 = x・ve ?

なぜFFSプロトコルでうまくいく? 攻撃者の目標:整数 s を持たないが,証明者になりすまして認証者から認証されること 攻撃者があらかじめ x と y の組を生成しておけば? yをランダムに生成してから,x ← y・v-1 mod n を作ると, e=1のときは成功するが, e=0のときは失敗する(nを法とするxの平方根は求められない). 攻撃者が過去に盗聴した情報を送れば(リプレイ攻撃)? 以前の通信とeが異なっていれば失敗する. すべての(x,e,y)を保存するのが現実的に難しくなるよう, p,qの大きさを決めればよい.

プロトコルのまとめ 基礎となる暗号技術が安全であっても,それを用いた暗号プロトコルが安全であるとは限らない. 暗号プロトコルに限らず,多数の人が関わるシステムを設計するときは 実行環境には誰がいて,それぞれ何ができて何ができず,何をしたいかを明確にする. 「うまくいく」根拠を明確にする. 悪意のある者や何らかのトラブルも考慮に入れ,それでも安全な環境を維持できるようにする.

組織におけるセキュリティ:学ぶ内容 セキュリティポリシーとは,組織の情報資産を守るための方針や基準を明文化したものである 情報セキュリティに関する規格・制度により,セキュリティの水準を客観的に評価できる 個人情報保護法は,企業・組織が,個人情報を適切に管理・使用するための方針を定めた法律である

セキュリティポリシー セキュリティポリシーとは? あるとどうなる? 何を書く? 組織の情報資産を守るための方針や基準を明文化したもの 情報セキュリティレベルの向上 セキュリティ対策の費用対効果の向上 対外的な信頼性の向上 何を書く? 組織の長の,情報セキュリティに関する方針・考え 適切な情報セキュリティを確保・維持するために遵守すべきルール

セキュリティポリシーの基本構成 情報 セキュリティ 基本方針 情報セキュリティ 対策基準 情報セキュリティ 対策実施手続き,規定類 概要 Policy 情報 セキュリティ 基本方針 Standard 情報セキュリティ 対策基準 Procedure 情報セキュリティ 対策実施手続き,規定類 詳細

セキュリティポリシーをだれが作る?どう書く? セキュリティポリシー策定担当者の例 情報システム部門の責任者 総理部門・法務部門・監査部門の責任者 人事部門・人材育成部門の責任者 組織内システム管理者,組織内ネットワーク管理者 セキュリティポリシー策定の注意点 ポリシーを策定する範囲を明確にする 適用対象者を明確にする 目的や罰則を明確にする 運用を意識して,実現可能な内容にする 「パスワードは毎週変更すること」と書いて,みんなやって くれる?

情報セキュリティに関する規格・制度:背景 なぜ規格や制度が必要? 一体どこまでコストをかけて,セキュリティ対策を実施すればいいのか? 自分の組織の情報セキュリティの水準は,同業者や世間一般と比較してどの程度なのだろうか? 情報セキュリティの水準を客観的に評価するための基準や制度があればいい!

規格・制度の例 ISO/IEC 15408 (JIS X 5070) プライバシーマーク制度 (JIS Q 15001) IT関連製品のセキュリティ品質を評価・認証 プライバシーマーク制度 (JIS Q 15001) 企業における個人情報保護措置の適切性を評価・認定 ISO/IEC 17799 (BS7799, JIS X 5080, ISMS) 情報セキュリティマネジメントの適切性を評価・認定 国際規格ISO/IEC 27001:2005 (JIS Q 27001:2006)へ ISO 9000 (ISO 9001:2000, JIS Q 9001:2000) 品質マネジメントシステム ISO 14001 (JIS Q 14001:1996) 環境マネジメントシステム JABEE 技術者教育プログラム http://www.atmarkit.co.jp/aig/04biz/iso9000.html

ISMS (Information Security Management System) 組織の情報マネジメント体制を維持管理していくための管理文書・管理体制・実施記録等からなる一連の仕組み 情報セキュリティマネジメントのデファクトスタンダード Plan-Do-Check-Actのサイクル Plan: 情報セキュリティ対策の計画・ 方針・目標などを策定 Do: 計画に基づいて対策を実施 Check: 対策の実施・運用状況を 点検・監視 Act: 対策の適切性について評価・ 是正処置 やりっぱなしではいけない P D C A http://www.isms.jipdec.jp/faq/faq1.html http://www.atmarkit.co.jp/fsecurity/rensai/policy11/policy01.html

ISMS適合性評価制度 評価希望事業者の申請により,日本情報処理開発協会(JIPDEC)が指定した審査登録機関が審査・認証する 予備審査(任意),文書審査,実地審査を受け,合格すれば認証される 認証後も,半年~1年ごとの継続審査,3年ごとの更新審査がある http://www.isms.jipdec.jp/about/

新しいISMS いつ始まった? 新しいISMSの特徴 ISO/IEC 27001:2005は2005年10月から JIS Q 27001:2006は2006年5月から 新しいISMSの特徴 国際規格になった 「ISMS基本方針」は,事業目的を反映したもの リスク・アセスメントへの取り組み 管理策の有効性検証(例:ウイルスや不正アクセスの被害回数などを監視・報告) 内部監査の重要性 http://itpro.nikkeibp.co.jp/article/COLUMN/20060621/241442/?ST=security&P=2 http://allabout.co.jp/career/corporateit/closeup/CU20051121A/

コンピュータ犯罪を取り締まる法律 電子計算機損壊等業務妨害(刑法第234条の2) 電子計算機使用詐欺(刑法第246条の2) コンピュータや電子データの破壊 コンピュータの動作環境面での妨害 電子計算機使用詐欺(刑法第246条の2) 財産権に関する不実の電子データを作成 財産権に関する偽の電子データを使用 不正アクセス行為の禁止等に関する法律(不正アクセス防止法) 権限を持たない者がアクセス そのようなアクセスを助長 他人のパスワードを勝手に公開,販売 具体的な被害を与えていなくても処罰の対象になる

個人情報保護法 目的(第1条) 機密性 可用性 個人 情報 完全性 個人の権利と利益の保護 個人情報は,データ化した企業・組織のものではなく, 個人情報の本人のもの 高度情報通信社会における個人情報の有用性の配慮 企業・組織が,個人情報を 適切に管理・使用するため の方針を定める 機密性 可用性 個人 情報 完全性

個人情報の例 氏名 生年月日,住所,居所,電話番号,メールアドレス 会社における所属や職位 電話帳や刊行物などで公表されている個人情報 名刺 電子化するしないに関わらず対象 施行前に収集した情報も対象 個人情報でないもの 法人などの団体に関する情報(企業の財務情報など) 役員氏名などは個人情報になり得る 特定の個人を識別できない形にした統計情報

個人情報とプライバシーの違い 個人情報保護 プライバシーの保護 事業者の個人情報に対する管理責任に関するもの 他人に知られたくないことを秘匿すること 牧野二郎: 間違いだらけの情報処理,インプレス より

個人情報取扱事業者 事業活動を行っていれば,個人でも法人でも非営利団体でも任意団体でも対象となる 個人情報取扱事業者に該当しないもの 国の機関,地方公共団体,独立行政法人,独立地方行政法人 同じ役割の別の法律がすでに施行 個人情報の数が,過去6か月で5000件以下の事業者 「法」には基づかないが,社会的な信頼を考えると,対応しておくべきである 行政機関の保有する個人情報の保護に関する法律 独立行政法人等の保有する個人情報の保護に関する法律 http://www.soumu.go.jp/gyoukan/kanri/horei_kihon.html

運用上の義務① 利用目的をはっきりさせ,本人の同意を得る. 適切な方法で個人情報を取得する. 個人情報は安全に管理する. 利用目的は具体的に 利用目的・利用者が変更する場合も,事前に告知と同意を 適切な方法で個人情報を取得する. 子供から親の情報を聞き出すのは違法 名簿業者から買うのはもってのほか 個人情報は安全に管理する. アクセス制限やデータの暗号化も 委託してもよいが,管理・監督の責任を負う ノートPCやUSBメモリに入れて,紛失することのないように

運用上の義務② 本人からの依頼には適切に対処 個人情報の破棄も細心の注意を払う. 個人情報保護への取り組み 開示・訂正・利用停止など 問い合わせ窓口を設置 本人確認も忘れずに 個人情報の破棄も細心の注意を払う. 紙…シュレッダー,溶解処理 コンピュータ…抹消用ソフトウェア,物理的な破壊 個人情報保護への取り組み プライバシーポリシー・個人情報保護規定を制定し, PDCAのサイクルで運用 プライバシーマークの取得 http://privacymark.jp/

オプトアウト 「あらかじめ同意を得る」という原則(オプトイン)の例外規定 第三者提供におけるオプトアウト(第23条第2項) 第三者への提供にあたり,あらかじめ本人に通知するか,本人が容易に知り得る状態にしておき,本人の求めに応じて第三者への提供を停止すること 目的・手段・対象のほか,本人の求めに応じて第三者への提供を停止することを明記しておく. http://www.atmarkit.co.jp/aig/04biz/optout.html

個人情報保護 運用上の注意(1) メールアドレスは個人情報にならない? 個人情報保護 運用上の注意(1) メールアドレスは個人情報にならない? nihon_taro@abc.co.jpは個人情報になるかも 個人情報を暗号化しておけば,個人情報としての取り扱い義務が免除される? 暗号化しても個人情報であることには変わりない 電話帳にある氏名や電話番号は個人情報ではない? 個人情報であるかどうかは,公にされているかとは関係ない 社会貢献だけを目的とする団体なら,個人情報取扱事業者にならない? 営利であるか,法人であるかに関係なく,社会通念上「事業」と認められる活動をしていれば,なり得る NECネクサソリューションズ: よくわかる「個人情報保護」,東洋経済新報社 より

個人情報保護 運用上の注意(2) 名刺は社員個人で収集管理するので,個人情報にあたらない? 学校でクラス名簿を作ってはいけない? 個人情報保護 運用上の注意(2) 名刺は社員個人で収集管理するので,個人情報にあたらない? 事業に関連して収集するので,会社の責任で管理する(個人情報になり得る) 学校でクラス名簿を作ってはいけない? 生徒がお互いを知るためであれば,作ってよい 病室の入口に患者の名前を記入してはいけない? 緊急援助や患者の取り違い防止のためならば,禁止する必要はない 牧野二郎: 間違いだらけの個人情報保護,インプレス より

まとめ 組織のセキュリティ セキュリティポリシー,個人情報保護 だれのために実施する? 組織のため? 社会(対外的アピール)のため? 情報の持ち主のため?