1.情報セキュリティ概論 岡本 好未.

Slides:



Advertisements
Similar presentations
情報コミュニケーション入門 m 情報の収集と利用 情報倫理・情報セキュリティ. 情報の収集と利用 情報倫理 情報コミュニケーション入門 2016 年度版情報コミュニケーション入門 2.
Advertisements

電子社会設計論 第12回 Electronic social design theory 中 貴俊.
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
駒澤大学 経営学部 情報セキュリティ B 公開鍵暗号による 認証つきの秘匿通信 ―― 鍵に注目して ――
2000年 3月 10日 日本電信電話株式会社 三菱電機株式会社
情報工学科 06A2055 平塚 翔太 Hiratsuka Shota
受動的攻撃について Eiji James Yoshida penetration technique research site
Ibaraki Univ. Dept of Electrical & Electronic Eng.
IaaS 仮想マシン(VM)をネットワーク経由で提供 負荷に応じてVM数や性能を変更できる ハードウェアの導入・管理・維持コストの削減
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
第5章 情報セキュリティ(後半) [近代科学社刊]
「コンピュータと情報システム」 07章 インターネットとセキュリティ
情報セキュリティ読本 - IT時代の危機管理入門 -
「まめだくん Ver.1.0」 特徴と利用方法.
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
インターネット社会を生きるための 情報倫理
第2章 第1節 情報通信の仕組み 4 暗号技術と情報の保護 5 コンピュータとネットワークの管理
情報化が社会に及ぼす影響 情報セキュリティの確保
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
情報セキュリティ読本 - IT時代の危機管理入門 -
映像で知る情報セキュリティ あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
※DES/RSA暗号に関する計算問題(演習・レポート課題)と似た問題は出題しません。
情報セキュリティ - IT時代の危機管理入門 -
第8章 Web技術とセキュリティ   岡本 好未.
Ibaraki Univ. Dept of Electrical & Electronic Eng.
情報セキュリティとは? 環境情報学部1年      卯野木邦宏.
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
情報セキュリティ - IT時代の危機管理入門 -
情報化が社会に及ぼす影響 情報セキュリティの確保
「コンピュータと情報システム」 10章 システムの運用と管理
第10回 情報セキュリティ 伊藤 高廣 計算機リテラシーM 第10回 情報セキュリティ 伊藤 高廣
数学のかたち 暗号を作ろう Masashi Sanae.
共通暗号方式 共通のキーで暗号化/復号化する方法 例) パスワードつきのZIPを送信して、後からパスワードを送る方法 A さん B さん
第二章 インターネットで やり取りする情報を守る
情報セキュリティ  第11回 デジタル署名.
セキュリティ 05A2013 大川内 斉.
Linux リテラシ 2006 第5回 SSH と SCP CIS RAT.
Webセキュリティ 情報工学専攻 1年 赤木里騎 P226~241.
VIRUS.
2章 暗号技術 FM15002 友池 絲子.
クラウドにおけるIntel SGXを用いた VMの安全な監視機構
PKI 情報工学専攻 1年 赤木里騎 P91~102.
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
公開鍵認証方式の実習 MacOS Xの場合.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
暗号技術 ~暗号技術の基本原理~ (1週目) 情報工学科  04A1004 石川 真悟.
クラウドにおけるVMリダイレクト攻撃を防ぐためのリモート管理機構
Q q 情報セキュリティ 第4回:2005年5月12日(金) q q.
Intel SGXを用いた仮想マシンの 安全な監視機構
コミュニケーションと ネットワークを探索する
第一回 情報セキュリティ 05A1027 後藤航太.
Cell/B.E.のSPE Isolationモードを用いた監視システム
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
Q q 情報セキュリティ 第12回:2004年6月25日(金) の補足 q q.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報社会の安全と情報技術.
ネット時代のセキュリティ3(暗号化) 2SK 情報機器工学.
copyright © Shogo Matsumoto
暗号技術・セキュリティ 情報工学科  04A1004 石川 真悟.
※演習や小テスト(DES/RSA暗号に関する計算問題)と似た問題は出題しません。
情報モラル06 情報 セキュリティ.
創造都市研究科 都市情報学 情報基盤研究分野
Presentation transcript:

1.情報セキュリティ概論 岡本 好未

暗号技術、認証技術、アクセス制御技術 など 1.1.1 情報セキュリティの分類 情報セキュリティ 物理セキュリティ 建物や設備などが対象 防災、防犯、電源、データ保全、 通信回線などのITインフラ など 論理セキュリティ 物理セキュリティ以外が対象 システムセキュリティ 暗号技術、認証技術、アクセス制御技術 など 人的セキュリティ セキュリティポリシーの策定・運用 従業員への教育・訓練 など

1.1.2 情報セキュリティが満たすべき3つの性質 完全性 可用性 機密性 暗号化、認証、 アクセス制御など 許可された者のみアクセスできる 棄損・改ざんされていない 正常に利用できる システムの2重化など ハッシュ関数 ディジタル証明 バックアップなど

脅威への具体的なセキュリティ対策 予防 抑止 検知 回復 ・不正アクセスや機器の障害が起こらないように前もって対策すること   ・不正アクセスや機器の障害が起こらないように前もって対策すること 抑止 ・不正行為を未然に思いとどまらせること 検知 ・不正なアクセスや障害が発生した場合、速やかに発見、通知をすること 回復 ・問題発生後、正常な状態に復旧すること

脅威への具体的なセキュリティ対策 低減 保有 回避 移転 ・対策を講じることで、脅威の発生可能性を下げること  ・対策を講じることで、脅威の発生可能性を下げること 保有  ・あえて対策を行わず、リスクを受け入れること。受容とも 回避  ・脅威の発生要因を排除し、リスクを取り除くこと 移転  ・リスクを別の組織などに移すこと リスクの発生可能性 リスクが発生したときの影響の大きさ(影響度)

1.1.3 脅威の範囲とインパクト 個人情報漏洩による影響 JNSA 情報セキュリティインシデントに関する調査報告書(2013, 2016) 2013年 2016年 比較 漏洩人数 925万2305人 1510万6784人 +585万4479人 漏洩件数 1388件 468件 -920件 想定損害賠償総額 1438億7184万円 2994億2782万円 +1555憶5598万円 一件当たりの漏洩人数 7031人 3万4024人 +2万6993人 一件当たり平均想定損害賠償額 1億926万円 6億7439万円 +5憶6513万人 一人当たり平均想定損害賠償額 2万7701円 3万1646円 +3945円 日本ネットワークセキュリティ協会(JNSA) 2013年と比べると、情報漏えいの件数は減っているが、一件あたりの漏えい人数の増加幅が大きいため、漏えい人数や想定損害賠償額などの被害が大きくなっている。 また、2014年は3500万件超の大規模情報漏えいが発生したため、漏えい人数は約5000万人、想定損害賠償総額は約1兆6000億円となっている。(某教育・学習支援会社) JNSA 情報セキュリティインシデントに関する調査報告書(2013, 2016)

1.1.3 脅威の範囲とインパクト Webサービスへの攻撃による影響(詳細:第8章) ・・・ 上位の階層にも PHPプログラム 攻撃が広がっている PHPプログラム PHP実行モジュール Webサーバー OS Webアプリケーションサーバー

1.1.3 脅威の範囲とインパクト PCのワーム感染による影響 ワームに感染することで動作が不安定に →可用性の低下 組織内での感染拡大も

1.1.4 情報セキュリティの変遷 インターネットの登場 コンピュータウイルスの登場 年号 情報セキュリティに関する話題 ITにおけるトレンド 1969 - ARPANETの運用が始まる 1977 RSAが発明される 1979 DESが策定される 1982 世界初のウイルスELK CLONERが登場 1983 MITがRSAの特許を取得 UNIXが普及 1986 IBM PC向けのウイルスBrainが登場 1988 世界初のワームMorrisが登場 PCが普及 1991 Web技術が登場 1995 InternetExplorerや各種ブラウザの登場 Javascriptが登場 1998 米国暗号技術の輸出規制緩和 DESが56時間で解読される SQLインジェクション攻撃が登場 2000 ワーム I Love Youが登場 XSS脆弱性の問題が指摘される 2001 CodeRedの感染が広がる Nimdaの感染が広がる AESが策定される 2003 SQL Slammer、Blasterの感染が広がる Microsoft社のサイトがDdos攻撃を受ける 2004 日本でもフィッシング詐欺が確認される 2005 日本でもSQLインジェクション攻撃が確認される Web2.0の登場 2009 Gumblar型ウイルスが登場 2010 Stuxnetが登場 スマートフォン普及 コンピュータウイルスの登場

1.2 セキュリティを構成する要素 1.2.1 共通鍵暗号方式 暗号化と復号に共通の鍵を使う 暗号化 復号化 送信側 受信側 平文 平文 1.2 セキュリティを構成する要素 1.2.1 共通鍵暗号方式 暗号化と復号に共通の鍵を使う 暗号化 復号化 送信側 受信側 平文 平文 復号文 復号文

1.2 セキュリティを構成する要素 1.2.1 公開鍵暗号方式 公開鍵 秘密鍵 秘密鍵でしか復号できない 公開鍵で暗号化したデータは 1.2 セキュリティを構成する要素 1.2.1 公開鍵暗号方式 公開鍵 秘密鍵 秘密鍵でしか復号できない 公開鍵で暗号化したデータは ペアとなっている 公開鍵ペアを作成 鍵配布 暗号化 復号化 送信側 受信側 平文 平文 復号文 復号文

鍵の配布を安全に行う手立てを別に用意する必要があり 1.2 セキュリティを構成する要素 1.2.1 ハイブリッド暗号化方式 共通鍵暗号方式は、処理速度は高速だが、 鍵の配布を安全に行う手立てを別に用意する必要があり 鍵の管理が大変である。 公開鍵暗号方式は処理に時間がかかるが、 鍵の配布・管理が容易である。 両方式を組み合わせた ハイブリッド暗号化方式

1.2 セキュリティを構成する要素 1.2.1 ハイブリッド暗号化方式 平文 平文 復号文 送信側 受信側 復号文 復号文 1.2 セキュリティを構成する要素 1.2.1 ハイブリッド暗号化方式 平文 平文 復号文 共通鍵を作成し暗号化 共通鍵で復号文を復号 送信側 受信側 復号文 復号文 受信側の公開鍵で暗号化 秘密鍵で共通鍵を復号化 暗号文と暗号化された公開鍵を送信

1.2 セキュリティを構成する要素 1.2.2 ディジタル署名 データ データ データ 送信側 受信側 A6DC8E03F‥‥ 1.2 セキュリティを構成する要素 1.2.2 ディジタル署名 データ データ データ 送信側 ハッシュ関数でデータのハッシュ値を算出 受信側 ハッシュ関数でデータのハッシュ値を算出 A6DC8E03F‥‥ A6DC8E03F‥‥ 一致しているかの確認 A6DC8E03F‥‥ A6DC8E03F‥‥ データと暗号化したハッシュ値を送信 送信者の秘密鍵でハッシュ値を暗号化 送信者の公開鍵で復号 A6DC8E03F‥‥ A6DC8E03F‥‥

1.2 セキュリティを構成する要素 PKI(Public Key Infrastructure) 「公開鍵暗号基盤」 Bさん Aさん Cさん 1.2 セキュリティを構成する要素 PKI(Public Key Infrastructure) 「公開鍵暗号基盤」 Bさん Cさんの公開鍵 Aさんの公開鍵 信頼 信頼 Aさん Cさん 「信頼」の下での公開鍵の利用

1.2 セキュリティを構成する要素 1.2.3 セキュリティプロトコル(詳細:第5章) 制御 認証 防御 1.2 セキュリティを構成する要素 1.2.3 セキュリティプロトコル(詳細:第5章) ・データを第3者に盗まれたり見られたりしないための手順。 ・PKI、認証技術、暗号技術の集大成である。 制御 認証 防御

1.2 セキュリティを構成する要素 1.2.4 認証(詳細:第3章) パスワード認証 バイオメトリクス認証

1.2 セキュリティを構成する要素 1.2.5 バッファオーバーフロー対策(詳細:6.1節) バッファの適切な管理 1.2 セキュリティを構成する要素 1.2.5 バッファオーバーフロー対策(詳細:6.1節) ・CやC++で書かれたプログラムに存在する ・プログラムが処理に利用しているメモリのバッファ(領域)に入りきらない量のデータが渡されること ・予期しない動作が実行される、システムが停止するなど 解決策 バッファの適切な管理

1.2 セキュリティを構成する要素 1.2.6 アクセス制御 UNIXファイルシステムにおいては 以下のような権限を与える オーナー 1.2 セキュリティを構成する要素 1.2.6 アクセス制御 特定された利用者に対し、許可された操作しかできないようにするためのメカニズム。 UNIXファイルシステムにおいては 以下のような権限を与える オーナー 読み取り可 オーナーのみ 読み取りと 書き込みが可能 グループ 書き込み可 その他 実行可

外部ネットワークと内部ネットワークを区別する 1.2 セキュリティを構成する要素 1.2.7 ファイアウォール 外部ネットワークと内部ネットワークを区別する ハードウェアもしくはソフトウェアのこと

1.2 セキュリティを構成する要素 1.2.8 Webにおけるセキュリティ対策 SQLインジェクション

1.2 セキュリティを構成する要素 1.2.8 Webにおけるセキュリティ対策 クロスサイトスクリプティング 1.2 セキュリティを構成する要素 1.2.8 Webにおけるセキュリティ対策 クロスサイトスクリプティング 罠リンクには標的サイトへ送り込むスクリプトが含まれている。スクリプトが実行されてしまうと、「標的サイトの権限で」情報の取得などをされる危険性がある。

1.3 昨今のセキュリティに関する脅威 IPA 情報セキュリティ10大脅威(2012, 2015, 2016) 2011年 2014年 1.3 昨今のセキュリティに関する脅威 2011年 2014年 2015年 1位 標的型攻撃にかかわる脅威 インターネットバンキングやクレジットカード情報の不正利用 2位 災害にかかわる脅威 内部不正による情報漏えい 標的型攻撃による情報流出 3位 共通思想集団にかかわる脅威 標的型攻撃による諜報活動 ランサムウェアを使った詐欺・恐喝 4位 クライアントソフトウェアの脆弱性にかかわる脅威 ウェブサービスへの不正ログイン ウェブサービスからの個人情報の窃取 5位 Webサイトに関する脅威 ウェブサービスからの顧客情報の窃取 6位 スマートフォンにかかわる脅威 ハッカー集団によるサイバーテロ ウェブサイトの改ざん 7位 公開鍵証明書にかかわる脅威 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ 8位 内部からの攻撃・情報漏洩にかかわる脅威 インターネット基盤技術の悪用 内部不正による情報漏えいとそれに伴う業務停止 9位 アカウント情報に関わる脅威 脆弱性公表に伴う攻撃の発生 巧妙・悪質化するワンクリック請求 10位 利用者情報に関わる脅威 悪意のあるスマートフォンアプリ 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加 IPA 情報セキュリティ10大脅威(2012, 2015, 2016)

最近のセキュリティニュース ハリケーンに便乗したスパムキャンペーンに注意 米 ハリケーンに便乗したスパムキャンペーンに注意 米 http://news.mynavi.jp/news/2017/09/13/107/ http://news.mynavi.jp/news/2017/08/29/174/