ネット時代のセキュリティ1(概要) 2SK 情報機器工学.

Slides:



Advertisements
Similar presentations
情報セキュリティ 第13回:2005年7月8日(金)   . 2 本日学ぶこと 組織におけるセキュリティ  セキュリティポリシー  規格・制度  コンピュータ犯罪を取り締まる法律  個人情報保護法.
Advertisements

不正アクセス禁止法 他人のパスワードを不正に入手して使用 することや、セキュリティホールを悪用 してパスワードなしにアクセスを行うこ とがあげられる。 他人のパスワードを本人の許可なく第三 者に知らせることも不正アクセス行為に なる。 違反すると 1 年以下の懲役と 50 万円以下 の罰金が科せられる。
2.校務情報の整理と管 理 6 校務の情報化. この項目のねらい 校務に関する情報の整理の考え方について理 解する。校務に関する情報の管理にかかる留 意点について理解する。
平成 16 年度 第 2 回大垣市情報ボランティア スキルアップ研修会 セキュリティについて 2004 年 5 月 29 日 NPO 法人パソコンまるごとアシスト 河合 修 (情報セキュリティアドミニストレータ)
情報モラルデザイン B 班第 2 回 合法的な盗聴? 吉田. 盗聴?  ひとの通信を許可なく傍受(盗み聞き) する – 電話線に接続して話を盗み聞く – 周波数を合わせて無線を傍受する – インターネット上を流れているパケットを集 めて再生する – 無線 LAN の電波を勝手に受信する  データへの不正アクセス.
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
1 Copyright © Japanese Nursing Association. All Rights Reserved. Copyright 2016, Japanese Nursing Association. 日本看護協会 情報システム部 会員情報課 2016年7月29日 新会員情報管理(ナースシップ)
従業員用端末における 手のひら静脈認証の導入について 2015年 月 日 提 案 資 料 0. 目次 第1章/情報セキュリティに関する課題、システム強化の目的 1-1 現在の認証セキュリティにおける情報漏えいのリスク 1-2 従来型のセキュリティ強化対策が抱える課題 第2章/手のひら静脈認証の導入検討.
当社の 「品質マネジメントシステム」(QMS)の 今後の運用について
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
セキュリティ・アーキテクチャに基づく IT 設計
受動的攻撃について Eiji James Yoshida penetration technique research site
Ibaraki Univ. Dept of Electrical & Electronic Eng.
情報モラル.
PacSec Nov 6, ISMSおよびその重要性 Richard Keirstead CISSP, BS7799 主任監査員
徳島県立総合教育センター 指導主事 大平 和哉 千葉県柏市立土南部小学校 教諭 西田 光昭
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
第5章 情報セキュリティ(後半) [近代科学社刊]
「コンピュータと情報システム」 07章 インターネットとセキュリティ
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
インターネット社会を生きるための 情報倫理
第2章 第1節 情報通信の仕組み 4 暗号技術と情報の保護 5 コンピュータとネットワークの管理
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
先週のおさらい 第11回 インターネットサービス
2009年7月16日 (初版 ) 駒澤大学 経営学部 教授 西村 和夫
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
セキュリティ・チェックリスト解説 【5~10分】
情報ネットワーク論 最終回 動的ルーティング実験デモ ネットワークの構築・管理 遠隔?講義.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ - IT時代の危機管理入門 -
経営情報論B ⑬ 情報技術と社会(第11章).
情報モラル学習(教職員) これだけは知っておいてほしい情報モラル.
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
Ibaraki Univ. Dept of Electrical & Electronic Eng.
情報セキュリティとは? 環境情報学部1年      卯野木邦宏.
1.情報セキュリティ概論 岡本 好未.
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
鳴門教育大学 大学院 総合学習開発講座 准教授 藤村 裕一
情報セキュリティ - IT時代の危機管理入門 -
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
「コンピュータと情報システム」 10章 システムの運用と管理
情報を活かすために 信頼できる情報を 信頼される情報を.
7. セキュリティネットワーク (ファイアウォール)
セキュリティ 05A2013 大川内 斉.
VIRUS.
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
情報通信ネットワークの 仕組み.
改正 個人情報保護法が全面施行 どう対策 すればいいの? 何が変わるの? POINT.1 小規模取扱い事業者への対応 POINT.2
セキュリティ・チェックリスト 【5分】 セキュリティ全般について USBメモリ等でデータを持ち出す際について
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
個人情報の流出の危険性とその対策について
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
社会と情報 情報社会の課題と情報モラル 情報化が社会に及ぼす影響と課題
コミュニケーションと ネットワークを探索する
第一回 情報セキュリティ 05A1027 後藤航太.
IDSとFirewallの連携によるネットワーク構築
筑波大学附属視覚特別支援学校 情報活用 村山 慎二郎
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報社会の安全と情報技術.
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
情報スキル入門 第8週 情報倫理.
中等情報科教育Ⅱ 情報セキュリティの確保.
情報モラル06 情報 セキュリティ.
Presentation transcript:

ネット時代のセキュリティ1(概要) 2SK 情報機器工学

セキュリティを構成する要素 セキュリティを考えるための要素とは・・・ 保護するべきもの 保護するべきものを脅かすもの(脅威) 保護するべきものを脅かすものから守る手段(保護する手段) 脅威 セキュリティ 保護するべきもの

物理的セキュリティと論理的セキュリティ 物理的セキュリティ 論理的セキュリティ データや情報以外の物理的資源に対する、災害や破壊などへの対策。 法制度:情報システム安全対策基準 必要性:自明 論理的セキュリティ 情報やデータへの脅威に対する対策。 法制度:コンピュータ不正アクセス対策基準、コンピュータウイルス対策基準 必要性:1台のコンピュータであればユーザパスワードやバイオメトリクス認証で十分。ネットワークでは・・・。

ネットワークセキュリティの必要性 オープンな通信プロトコル クローズドな通信プロトコルなら? LAN上に流れるデータは、基本的にすべてのノードで取得可能。 インターネット上に流れるデータは、基本的にデータが通過するすべてのルータで取得可能 クローズドな通信プロトコルなら? 個々のシステムで異なるプロトコルを採用するとインターネットなどの大規模ネットワークを構成できない。 通信プロトコルの策定自体が大変。 非公開のプロトコルで通信しても、一度どこかで漏れてしまえば公開プロトコルと同じ。

ネットワークにおける脅威の種類 盗聴・情報漏えい 改ざん・破壊 成りすまし ウイルス 不正アクセス

セキュリティを行うための要素(CIA) 機密性(Confidentiality) 完全性(Integrity) 第三者による盗聴を防ぐ 例えば、企業や組織の機密データや顧客の個人情報が、部外者に見られたり持ち出されないようにすること 完全性(Integrity) 情報の改ざんや、発信者の成りすましを防ぐ 例えば、受信メールの本文や、HDのファイルはオリジナル情報と相違がないようにすること 可用性(Availability) 使いたいときにいつでも使えるようにする 例えば、データが破壊されたり改ざんされると、そのデータは使えなくなる。ウイルスや不正アクセスにより、システムが不正に利用され、コンピュータパワーが消費されたり停止されたりすることを防ぐ

盗聴・情報漏えい × 機密性 C 改ざん・破壊 × 成りすまし × 完全性 I ウイルス × A 可用性 不正アクセス ×

セキュリティに脅威を与える人物 部外者 部内者 クラッカ スパイ テロリスト 犯罪者 従業員 派遣社員 アルバイト  脅威を与える目的や入手した情報の利用法によって分類される 部内者 従業員 派遣社員 アルバイト  正規ユーザであっても,故意または過失により情報の流出,改ざん等の可能性がある

× 脅威が社会に及ぼす影響 セキュリティの脅威 直接的な影響 間接的な影響 ウィルス 不正アクセス 情報漏えい 経済的損失 社会的信用の失墜 ・・・ 経済的損失 社会的信用の失墜 サービス停止 業務停止 ウイルス × オンライン バンキング クレジット カード ××会社 24時間 操業停止 ××社 顧客データ 100万件 流出 ○○社 ずさんな 管理体制 ○○社の ホームページ 不正改ざん

セキュリティマネジメントの必要性 組織として総合的なセキュリティ対策が必要 セキュリティ対策の問題点 技術的な対策を重視 場当たり的対応 外部からの脅威のみを考慮 システム管理部門など,一部の組 織が主導となって対策を行う場合 組織内に統一した基準がないと,問題が 起こったときにその場その場で対応 内部からの脅威を 見逃しがち 組織として総合的なセキュリティ対策が必要

組織内部のセキュリティ脅威 不注意による行為 意図的な行為 メール送信先の間違い パスワードを不用意に他人に教える 内部データをUSBなどに入れて持ち帰る 意図的な行為 顧客情報など社外秘のデータ持ち出し (IPA,デンソーなど) 原因 セキュリティ意識の低さ(パスワードを教える,電源を入れたまま退席) 運用上の規定がない(メールの出し方,ウイルス感染時の対応規定,罰則) マネジメント体制がない(責任の所在が明確でない,見直しがされない)

セキュリティマネジメントの考え方 セキュリティマネジメント 組織内の対策, 行動の規定書 (セキュリティポリシー) 組織の構成員への 教育・啓蒙 運用・監視・見直しを 行う体制

セキュリティポリシーとは 何を守るか どんな脅威から守るか どのように守るか 組織が保有し,脅威から守るべき情報資産の明確化 守るべき情報資産に対する脅威の明確化 どのように守るか 脅威から守るための具体策としての技術的対策,人的対策,管理的対策

セキュリティの技術的な対策 ウイルス 不正アクセス 盗聴 改ざん・成りすまし ウイルス対策ソフト, セキュリティホール対策, ファイアウォール, ウイルス 不正アクセス 盗聴 改ざん・成りすまし ファイアウォール, パスワード管理の強化, セキュリティホール対策 データの暗号化 デジタル署名

セキュリティポリシーの3階層 基本ポリシー (基本方針) 詳細ポリシー (対策基準) 実施手順 (プロシージャ) どういった情報を,どんな脅威から, なぜ保護するかを明確にし,セキュリ ティポリシーの基本方針を示す。 詳細ポリシー (対策基準) 基本ポリシーを守る上で守るべき行為や判断の詳細な基準。対策基準ともよぶ。 実施手順 (プロシージャ) 実際の技術的対策や運用上の規定を 文書化。詳細ポリシーで定められた基準を 守るための具体的方法案など。

リスク分析(何を保護すべきか) 情報資産の調査 重要性の分類 重要情報の詳細調査 リスク分析 保有する情報資産の洗い出し 各情報の価値を評価 組織に影響を与える重要情報を選別 重要情報の詳細調査 情報管理の現状調査 現状の対策調査 リスク分析 損失の大きさと発生頻度による分析 対応方針の決定

リスク分析(損失・頻度) 移転 回避 維持 頻度の低減化 損失の大きさ リスクの発生頻度が大きく, リスクの発生頻度は小さいが, 損失が大きい情報 リスクの発生頻度が大きく, 損失も大きい情報(最重要) 移転 回避 リスク発生頻度 リスク発生頻度が小さく 損失も小さい情報 リスク発生頻度は大きいが 損失は小さい情報 維持 頻度の低減化

セキュリティポリシーの策定 組織体制の確立 対応範囲の決定 ポリシーの策定 管理策の実施 マネジメントのための構築・運用体制の確立 リスク分析結果による適用範囲確定 ポリシーの策定 基本ポリシー策定 実施する対策の確定 管理策の実施 運用手順書や管理帳票の作成 技術対策・管理策の実施

セキュリティのマネジメント 最新の情報により見直し セキュリティポリシーの策定 具体的な運用規定 教育システムの運用・徹底 定期的に診断 組織内の利用者 常識的な行動

組織の一員としてしてはならないこと 組織のデータを持ち出さない メールを私用に使わない 業務に必要でないサイトにはアクセスしない CD,USBなどでデータを持ち出さない 私物のパソコンに入れて持ち出さない メールを私用に使わない メーリングリスト等の登録は慎重に メールの送信先は必ず確認 業務に必要でないサイトにはアクセスしない 不要な掲示板には書き込まない 私用でのアクセスは行わない