情報セキュリティ読本 - IT時代の危機管理入門 - プレゼンテーション資料 (第5章 もっと知りたいセキュリティ技術)
第5章 もっと知りたいセキュリティ技術 アカウント、ID、パスワード ポートと脆弱性 ファイアウォール 暗号とディジタル署名
1. アカウント、ID、パスワード 1) パスワードの重要性 2) パスワードクラッキング 3) パスワードを保護するための対策 第5章 1. アカウント、ID、パスワード 1) パスワードの重要性 2) パスワードクラッキング 3) パスワードを保護するための対策 4) さまざまな認証方式
1) パスワードの重要性 ID: ユーザが誰であるかを識別 パスワード: 本人であることを確認 大原則「パスワードは本人しか知らない」 パスワードが漏えいした瞬間から、システムやネットワークが脅威にさらされる パスワードは、ユーザが思っている以上に重要なもの
2) パスワードクラッキング パスワードクラッキングの種類 本人から入手(ソーシャルエンジニアリング) パスワードを推測 第5章 > 1. アカウント、ID、パスワード 2) パスワードクラッキング パスワードクラッキングの種類 本人から入手(ソーシャルエンジニアリング) パスワードを推測 パスワードファイルを解析する(不正なツールを使用) 辞書攻撃 、ブルートフォース攻撃など ⇔用語集p.125(辞書攻撃)、p.130 (ブルートフォース) 参照 盗聴する
3) パスワードを保護するための対策 強度が高い(推測しにくい)パスワードを使用する 定期的にパスワードを変更する 絶対に人に教えない 第5章 > 1. アカウント、ID、パスワード 3) パスワードを保護するための対策 強度が高い(推測しにくい)パスワードを使用する 長くする、生年月日・電話番号・愛称などは避ける 大文字・小文字・数字・記号を組み合わせる 定期的にパスワードを変更する 初期パスワードをそのまま使わない 絶対に人に教えない 管理者などから問われることはない アカウントの貸し借りはしない 例:パスフレーズによる設計(好きなフレーズをもとに変換) パスフレーズ「JINSEI IROIRO」 パスワード 「J#NS2R&R」 母音を抜き記号や数字を挿入
4) さまざまな認証方式 本人しか知らない情報を入力 本人固有の持ち物を使用 本人の身体的特徴で識別 パスワード 第5章 > 1. アカウント、ID、パスワード 4) さまざまな認証方式 本人しか知らない情報を入力 パスワード 本人固有の持ち物を使用 トークン(ワンタイムパスワード生成装置) スマートカード等 本人の身体的特徴で識別 バイオメトリック認証(指紋など) ⇔用語集p.132(ワンタイムパスワード)、p.126 (スマートカード) p.128(バイオメトリック認証)参照
2. ポートと脆弱性 (1) ポート(80番、25番、110番等) プロトコル(HTTP、SMTP、POP3等) 例: 第5章 2. ポートと脆弱性 (1) ポート(80番、25番、110番等) インターネットで特定のサービスを通信させるための識別番号 プロトコル(HTTP、SMTP、POP3等) サービスを提供するための約束ごと 例: WWWプロトコル(HTTP)→ポート80番 メール送信プロトコル(SMTP)→ポート25番 メール受信プロトコル(POP3)→ポート110番
第5章 2. ポートと脆弱性 (2) ポートとプロトコル
2. ポートと脆弱性 (3) ポートが開いていると・・・ 対策: 使わないポートは閉じる パッチを適用し脆弱性をふさぐ 第5章 2. ポートと脆弱性 (3) ポートが開いていると・・・ 提供しているサービスがわかる 開いているポートを悪用して侵入・攻撃 脆弱性があると、さまざまな被害を受ける(ウイルス感染、操作権限の奪取、DoS攻撃を仕掛けるプログラムの埋め込みなど) 対策: 使わないポートは閉じる パッチを適用し脆弱性をふさぐ
3. ファイアウォール 1) ファイアウォールとは? 2) ファイアウォールの構成 第5章 3. ファイアウォール 1) ファイアウォールとは? 2) ファイアウォールの構成 3) パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス 4) ネットワークアドレス変換技術(NAT) 5) DMZ 6) ファイアウォールの落とし穴 7) パーソナルファイアウォール
1) ファイアウォールとは? インターネットと内部ネットワーク(LAN)の 境界線上で、アクセス制御を行う装置 第5章 > 3. ファイアウォール 1) ファイアウォールとは? インターネットと内部ネットワーク(LAN)の 境界線上で、アクセス制御を行う装置 【ファイアウォールの主な機能】 外部との出入口を絞る 内部ネットワーク(LAN)の構造を外部に見せない 外部からの不正なアクセスを排除 必要なアクセスだけを通過させる
第5章 > 3. ファイアウォール 2) ファイアウォールの構成 基本的なファイアウォールの構成
第5章 > 3. ファイアウォール > 3)パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス 3) パケットフィルタリング パケットの情報に基づいて、通過させるパケットと通過させないパケットを選別。通常は「通過を許可するパケットだけを指定」。
3) アプリケーションゲートウェイ アプリケーションプロトコルに基づいてアクセスを制御する 第5章 > 3. ファイアウォール > 3)パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス 3) アプリケーションゲートウェイ アプリケーションプロトコルに基づいてアクセスを制御する 例: HTTP(Webアクセス)、FTP(ファイル転送)、 POP(メール受信)、SMTP(メール送信)など アプリケーションプロトコルごとに許可/禁止を制御可能
3) プライベートアドレスの割り当て グローバルアドレス プライベートアドレス 第5章 > 3. ファイアウォール > 3) パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス 3) プライベートアドレスの割り当て グローバルアドレス インターネットに接続する各機器に一意に割り当てられたIPアドレス プライベートアドレス 組織や会社内の閉じられた空間で独自に割り当てられたIPアドレス そのままではインターネットにアクセスできない 外部からアクセスされない利点もある
4) ネットワークアドレス変換技術(NAT) (1) 第5章 > 3. ファイアウォール 4) ネットワークアドレス変換技術(NAT) (1) 内部のプライベートアドレスをグローバルアドレスに変換し、インターネットへのアクセスを可能にする技術 利点 限られたグローバルアドレスの有効活用 内部情報を隠す 外部からの不正アクセスを防ぐ
4) ネットワークアドレス変換技術(NAT) (2) 第5章 > 3. ファイアウォール 4) ネットワークアドレス変換技術(NAT) (2) ネットワークアドレス変換(NAT:Network Address Translation)
5) DMZ (DeMilitarized Zone:非武装地帯) 第5章 > 3. ファイアウォール 5) DMZ (DeMilitarized Zone:非武装地帯) 外部のインターネットと内部のLANの間に緩衝地帯を設け、公開サーバを設置
6) ファイアウォールの落とし穴 ファイアウォールも万全ではない 過信せずにあらゆるセキュリティ対策を行うことが肝要 第5章 > 3. ファイアウォール 6) ファイアウォールの落とし穴 ファイアウォールも万全ではない 例: DoS攻撃やウイルスは防げないこともある 過信せずにあらゆるセキュリティ対策を行うことが肝要
7) パーソナルファイアウォール(1) インターネットに常時接続する個人ユーザに効果的 さまざまな製品が発売されている 第5章 > 3. ファイアウォール 7) パーソナルファイアウォール(1) インターネットに常時接続する個人ユーザに効果的 さまざまな製品が発売されている ウイルス対策ソフトウェアと組合せたもの等 Windows XPの簡易ファイアウォール機能
7) パーソナルファイアウォール(2) 第5章 > 3. ファイアウォール 通常利用 利用者 侵入者 インターネット 攻撃や不正な アクセスを制限 通常利用 自分が攻撃して しまう場合 侵入者 インターネット パーソナル ファイアウォール 利用者
第5章 4. 暗号とディジタル署名 1) 暗号技術とは 2) ディジタル署名とは 3) 認証局とは 4) 身近に使われている暗号技術
1) 暗号技術とは 暗号化、復号、鍵 共通鍵暗号方式 公開鍵暗号方式 共通鍵方式と公開鍵方式の組み合わせ (ハイブリッド暗号方式) 第5章 > 4. 暗号とディジタル署名 1) 暗号技術とは 暗号化、復号、鍵 共通鍵暗号方式 公開鍵暗号方式 共通鍵方式と公開鍵方式の組み合わせ (ハイブリッド暗号方式)
暗号化、復号、鍵 (1) 暗号化: 特定の法則に基づいてデータを変換し、第三者に内容を知られないようにすること 第5章 > 4. 暗号とディジタル署名 > 1)暗号技術とは 暗号化、復号、鍵 (1) 暗号化: 特定の法則に基づいてデータを変換し、第三者に内容を知られないようにすること 暗号化、復号、平文、暗号文、アルゴリズム、鍵などの用語を理解したい 共通鍵暗号方式と公開鍵暗号方式の2つが使用されている ⇔用語集p.129(復号)
暗号化、復号、鍵 (2) あした えそて 例 ひらがな(あいうえお・・・)の各文字を3文字後ろにずらす 暗号化 復号 3文字後ろにずらす 第5章 > 4. 暗号とディジタル署名 > 1)暗号技術とは 暗号化、復号、鍵 (2) 例 ひらがな(あいうえお・・・)の各文字を3文字後ろにずらす 暗号化 あした えそて 復号 平文 暗号文 3文字後ろにずらす アルゴリズム 鍵
共通鍵暗号方式 共通鍵暗号方式 暗号化と復号(元の状態に戻すこと)に「同じ鍵」を使用する 同じ鍵=共通鍵 第5章 > 4. 暗号化とディジタル署名 > 1)暗号技術とは 共通鍵暗号方式 共通鍵暗号方式 暗号化と復号(元の状態に戻すこと)に「同じ鍵」を使用する 同じ鍵=共通鍵 例: DES、トリプルDES、AES、MISTY1、Camellia など ⇔用語集p.120(DES)、p.127 (トリプルDES)、p.120(AES) p.121(MISTY1)、p.120 (Camellia)参照
公開鍵暗号方式 (1) 秘密鍵と公開鍵の2本の鍵(ペア)を使用 公開鍵を使用して暗号化し、秘密鍵で復号する 第5章 > 4. 暗号化とディジタル署名> 1)暗号技術とは 公開鍵暗号方式 (1) 秘密鍵と公開鍵の2本の鍵(ペア)を使用 公開鍵を使用して暗号化し、秘密鍵で復号する 「公開鍵と対になっている秘密鍵を使用しないと復号できない」ことがポイント ↓ その秘密鍵を持つ人だけが復号可能
第5章 > 4. 暗号化とディジタル署名> 1)暗号技術とは 公開鍵暗号方式 (2) 秘密鍵と公開鍵
公開鍵暗号方式 (3) 公開鍵暗号方式による通信 例: RSA、Diffe-Hellmanなど(一般的にRSA)が使用される 第5章 > 4. 暗号化とディジタル署名 > 1)暗号技術とは 公開鍵暗号方式 (3) 公開鍵暗号方式による通信 例: RSA、Diffe-Hellmanなど(一般的にRSA)が使用される
共通鍵方式と公開鍵方式の組み合わせ 共通鍵暗号方式 公開鍵暗号方式 2つを組み合わせることで弱点を克服 最初の鍵の受け渡しが弱点 第5章 > 4. 暗号化とディジタル署名 > 1)暗号技術とは 共通鍵方式と公開鍵方式の組み合わせ 共通鍵暗号方式 最初の鍵の受け渡しが弱点 公開鍵暗号方式 暗号化と復号に時間がかかる 2つを組み合わせることで弱点を克服 最初に公開鍵暗号方式で共通鍵を送り、以降は共通鍵で暗号化/復号
2) ディジタル署名 送信者が本人であり、送信内容が改ざんされていないことを証明する仕組み 公開鍵暗号方式に基づいて本人を識別 第5章 > 4. 暗号化とディジタル署名 2) ディジタル署名 送信者が本人であり、送信内容が改ざんされていないことを証明する仕組み 公開鍵暗号方式に基づいて本人を識別 公開鍵で復号できる → 対応する秘密鍵を持つ本人から送られたことが証明される ハッシュ関数によるメッセージダイジェストで改ざんを検証
3) 認証局とは (1) 公開鍵暗号方式は優れた仕組みだが、なりすましを防げない 第三の機関を設け、公開鍵の正当性を証明する=認証局 第5章 > 4. 暗号化とディジタル署名 3) 認証局とは (1) 公開鍵暗号方式は優れた仕組みだが、なりすましを防げない 第三の機関を設け、公開鍵の正当性を証明する=認証局
第5章 > 4. 暗号化とディジタル署名 3) 認証局とは (2) 公開鍵証明書の利用
4) 身近に使われている暗号技術 WWWでの暗号化 暗号化メール 携帯電話やICカードで利用される 暗号技術 PGP S/MIME 第5章 > 4. 暗号とディジタル署名 4) 身近に使われている暗号技術 WWWでの暗号化 暗号化メール PGP S/MIME 携帯電話やICカードで利用される 暗号技術
WWWでの暗号化(SSL) HTTPプロトコルではデータが暗号化されずそのまま流れる データを暗号化して送受信=SSL SSLでの通信は 第5章 > 4. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 WWWでの暗号化(SSL) HTTPプロトコルではデータが暗号化されずそのまま流れる 盗聴などデータ漏えいの危険性 データを暗号化して送受信=SSL SSLでの通信は Webブラウザで 確認できる
暗号化メール 暗号化メールにより、電子メールの安全性が高まる 幅広く使用されている方式 盗聴の防止 改ざんの検証 なりすましの防止 PGP 第5章 > 4. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 暗号化メール 暗号化メールにより、電子メールの安全性が高まる 盗聴の防止 改ざんの検証 なりすましの防止 幅広く使用されている方式 PGP S/MIME
携帯電話やICカードで利用される暗号技術 第5章 > 4. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 携帯電話やICカードで利用される暗号技術 SSL対応のWWWサーバへアクセスできる携帯電話 高度な暗号技術を使用したWWWサーバの認証やディジタル署名の利用が可能 セキュリティ面での信頼性が向上 ICカード 暗号鍵を搭載できるので安全性が高い クレジットカード、住民基本台帳カードなど
本資料の利用条件 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。 なお、参考までに、 isec-info@ipa.go.jp まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 ご質問、ご要望等は、 isec-info@ipa.go.jp までお知らせ下さい。