岡村耕二 http://okaweb.ec.kyushu-u.ac.jp/lectures/in/ 情報ネットワーク 岡村耕二 http://okaweb.ec.kyushu-u.ac.jp/lectures/in/ 情報ネットワーク
情報セキュリティ 不正アクセス 具体的な被害 コンピュータやインターネットの知識を悪用してアクセスが許可されていないコンピュータに侵入し、データを改ざんしたり、サービスを妨害すること。 具体的な被害 機密情報の漏洩、改ざん システムの破壊 単なる愉快犯 資源の勝手な利用、浪費 情報ネットワーク
不正アクセス被害(届出数) 1997年 2000年 日本は情報セキュリティへの取り組みが欧米よりもかなり遅れている。 アメリカ 4,000件 アメリカ 4,000件 日本 数百件 2000年 アメリカ 20,000件以上 日本 数千件 日本は情報セキュリティへの取り組みが欧米よりもかなり遅れている。 情報ネットワーク
日本のセキュリティ対策の現状 踏み台にされたり、情報が改ざんされたり、機密情報が漏洩しても気がつかない 被害があっても会社の信頼性保持を優先して届出をしない。 欧米では踏み台などをしてしまった場合でも罪になる。 情報ネットワーク
コンピュータやインターネットの知識を悪用する 世の中オープンの時代 仕様を公開して、技術の共有を行う オープンソース 通信プロトコル(手順)も完全にオープン 仕組みは全て公開されている。 あら探しをすれば穴が見つかってしまう。 情報ネットワーク
不正アクセスのおおまかな手順 事前準備 管理者権限奪取 クラッキング 後始末 情報ネットワーク
事前準備 公開、既知情報の利用 NIC の公開データベースから情報を得る。 ポートスキャン 情報ネットワーク
管理者権限奪取 セキュリティホール 簡単なパスワード Web の CGI プログラムの構造的欠陥 情報ネットワーク
クラッキング 管理者権限を手に入れているので事実上なんでも可能 DOS, DDOS 攻撃 SPAM メイル 機密情報の漏洩 システムの破壊 踏み台の設置 DOS, DDOS 攻撃 SPAM メイル 情報ネットワーク
後始末 侵入の記録を消す。 情報ネットワーク
セキュリティ防衛 侵入の機会を断つ 被害を拡大させない 不審な行動への対処 インターネット 組織内ネットワーク サーバ データ ネットワークに侵入させない サーバへ侵入させない 情報ネットワーク
セキュリティ防御 侵入の機会を断つ。 ネットワークに侵入させない。 不審な行動への対処 サーバへ侵入させない。 被害を拡大させない。 インターネット、外部から ネットワークに侵入させない。 組織ネットワークの入り口 不審な行動への対処 組織ネットワーク内 サーバへ侵入させない。 サーバの入り口 被害を拡大させない。 サーバ内 情報ネットワーク
侵入の機会を断つ 物理的な侵入チェック パスワード管理 機密情報管理 暗号化通信 VPN/IP-SEC の利用 情報ネットワーク
ネットワークに侵入させない ファイアウォール リモートアクセス認証 情報ネットワーク
不審な行動への対処 不正アクセス検知 IDS (Intrusion Detection System) ウイルス検知 緩衝地帯 DMZ (Demilitarized Zone) 情報ネットワーク
サーバへ侵入させない ユーザ認証 アクセス制限 未使用ポート閉塞 最新パッチ・最新ソフトへのアップグレード 不要ソフトの停止 情報ネットワーク
被害を拡大させない データの完全性のチェック 不正アクセス検知(IDS) データ暗号化 データバックアップ 情報ネットワーク
さらに…. 攻撃の踏み台を与えない 犯罪を未然に防ぐ アカウント管理の徹底 Freeメールアドレスの配布の禁止 教育 法律による抑制 大学など Freeメールアドレスの配布の禁止 国民性に依存 犯罪を未然に防ぐ 教育 法律による抑制 情報ネットワーク
不正アクセスに関わる法律 刑法の改正 1987年刑法改正 人に対する直接的な犯罪行為だけではなくコンピュータに対する不法行為も処罰の対象に。 公文書・私文書に関する電子データを破壊、偽造したり、偽造した公文書を使用したりする行為 虚偽の情報や不正な指令などにより、コンピュータに本来の目的と異なる動作をさせて、他人の業務を妨害する行為 虚偽の情報や不正な指令をコンピュータに与え、不法に財産を得たり、他人に与えたりする行為 情報ネットワーク
不正アクセス禁止法 不正アクセス行為を犯罪行為として取り締まるために2000年2月に制定された。 他人のIDとパスワードなどを無断で使用する行為 セキュリティホールなどを攻撃してサーバに侵入する行為 ID,パスワードを売るなど、不正アクセスを助長する行為 情報ネットワーク
不正アクセス禁止法による防衛手段 すべてのサイトが適切な防御手段を講じることを努力義務として規定する。 アクセス管理者の設置 パスワードファイルの暗号化など識別符号の適正管理 アクセス制御機能の有効性の検証 ログの有効活用 情報ネットワーク
セキュリティ関連技術 ファイアウォール 公開鍵 情報ネットワーク
ファイアウォール 安全性が保障されていないインターネットと安全に保たなければならない内部ネットワークの境界に配置される。 パケットフィルタリング型 アプリケーションゲートウェイ型 アプリケーション アプリケーション ゲートウェイ トランスポート インターネット パケット フィルタリング 物理・データリンク 情報ネットワーク
パケットフィルタリング IPアドレス、ポート番号の組み合わせでフィルタリングする。 情報ネットワーク
アプリケーションゲートウェイ プロキシー インターネット 端末 端末 プロキシー 端末 端末 端末 端末 端末 情報ネットワーク
公開鍵 暗号化技術 共通鍵暗号方式 公開鍵暗号方式 平文 暗号文 平文 共通鍵 共通鍵 ある人宛の文書、 ある人からの文書 ある人しか読めない、 ある人しか暗号化できない 暗号文 公開鍵 秘密鍵 情報ネットワーク
共通鍵暗号方式 DES (Data Encryption Standard) 送信者、受信者で同じ鍵を用いる 処理は高速 鍵は秘密、ばれてはいけない。 鍵の受け渡しが難しい。 情報ネットワーク
公開鍵暗号方式 RSA (R.Rivest, A.Shamir, L.Adelman) 公開鍵 秘密鍵 任意の人が知ってもよい ある人しか持っていない。 ある人の公開鍵で暗号化したものはある人しか読めない。 ある人が暗号化したものは、ある人の公開鍵でないと読めない。 ある人が作成した文書である保証できる。 情報ネットワーク