1.情報セキュリティ概論 岡本 好未
暗号技術、認証技術、アクセス制御技術 など 1.1.1 情報セキュリティの分類 情報セキュリティ 物理セキュリティ 建物や設備などが対象 防災、防犯、電源、データ保全、 通信回線などのITインフラ など 論理セキュリティ 物理セキュリティ以外が対象 システムセキュリティ 暗号技術、認証技術、アクセス制御技術 など 人的セキュリティ セキュリティポリシーの策定・運用 従業員への教育・訓練 など
1.1.2 情報セキュリティが満たすべき3つの性質 完全性 可用性 機密性 暗号化、認証、 アクセス制御など 許可された者のみアクセスできる 棄損・改ざんされていない 正常に利用できる システムの2重化など ハッシュ関数 ディジタル証明 バックアップなど
脅威への具体的なセキュリティ対策 予防 抑止 検知 回復 ・不正アクセスや機器の障害が起こらないように前もって対策すること ・不正アクセスや機器の障害が起こらないように前もって対策すること 抑止 ・不正行為を未然に思いとどまらせること 検知 ・不正なアクセスや障害が発生した場合、速やかに発見、通知をすること 回復 ・問題発生後、正常な状態に復旧すること
脅威への具体的なセキュリティ対策 低減 保有 回避 移転 ・対策を講じることで、脅威の発生可能性を下げること ・対策を講じることで、脅威の発生可能性を下げること 保有 ・あえて対策を行わず、リスクを受け入れること。受容とも 回避 ・脅威の発生要因を排除し、リスクを取り除くこと 移転 ・リスクを別の組織などに移すこと リスクの発生可能性 リスクが発生したときの影響の大きさ(影響度)
1.1.3 脅威の範囲とインパクト 個人情報漏洩による影響 JNSA 情報セキュリティインシデントに関する調査報告書(2013, 2016) 2013年 2016年 比較 漏洩人数 925万2305人 1510万6784人 +585万4479人 漏洩件数 1388件 468件 -920件 想定損害賠償総額 1438億7184万円 2994億2782万円 +1555憶5598万円 一件当たりの漏洩人数 7031人 3万4024人 +2万6993人 一件当たり平均想定損害賠償額 1億926万円 6億7439万円 +5憶6513万人 一人当たり平均想定損害賠償額 2万7701円 3万1646円 +3945円 日本ネットワークセキュリティ協会(JNSA) 2013年と比べると、情報漏えいの件数は減っているが、一件あたりの漏えい人数の増加幅が大きいため、漏えい人数や想定損害賠償額などの被害が大きくなっている。 また、2014年は3500万件超の大規模情報漏えいが発生したため、漏えい人数は約5000万人、想定損害賠償総額は約1兆6000億円となっている。(某教育・学習支援会社) JNSA 情報セキュリティインシデントに関する調査報告書(2013, 2016)
1.1.3 脅威の範囲とインパクト Webサービスへの攻撃による影響(詳細:第8章) ・・・ 上位の階層にも PHPプログラム 攻撃が広がっている PHPプログラム PHP実行モジュール Webサーバー OS Webアプリケーションサーバー
1.1.3 脅威の範囲とインパクト PCのワーム感染による影響 ワームに感染することで動作が不安定に →可用性の低下 組織内での感染拡大も
1.1.4 情報セキュリティの変遷 インターネットの登場 コンピュータウイルスの登場 年号 情報セキュリティに関する話題 ITにおけるトレンド 1969 - ARPANETの運用が始まる 1977 RSAが発明される 1979 DESが策定される 1982 世界初のウイルスELK CLONERが登場 1983 MITがRSAの特許を取得 UNIXが普及 1986 IBM PC向けのウイルスBrainが登場 1988 世界初のワームMorrisが登場 PCが普及 1991 Web技術が登場 1995 InternetExplorerや各種ブラウザの登場 Javascriptが登場 1998 米国暗号技術の輸出規制緩和 DESが56時間で解読される SQLインジェクション攻撃が登場 2000 ワーム I Love Youが登場 XSS脆弱性の問題が指摘される 2001 CodeRedの感染が広がる Nimdaの感染が広がる AESが策定される 2003 SQL Slammer、Blasterの感染が広がる Microsoft社のサイトがDdos攻撃を受ける 2004 日本でもフィッシング詐欺が確認される 2005 日本でもSQLインジェクション攻撃が確認される Web2.0の登場 2009 Gumblar型ウイルスが登場 2010 Stuxnetが登場 スマートフォン普及 コンピュータウイルスの登場
1.2 セキュリティを構成する要素 1.2.1 共通鍵暗号方式 暗号化と復号に共通の鍵を使う 暗号化 復号化 送信側 受信側 平文 平文 1.2 セキュリティを構成する要素 1.2.1 共通鍵暗号方式 暗号化と復号に共通の鍵を使う 暗号化 復号化 送信側 受信側 平文 平文 復号文 復号文
1.2 セキュリティを構成する要素 1.2.1 公開鍵暗号方式 公開鍵 秘密鍵 秘密鍵でしか復号できない 公開鍵で暗号化したデータは 1.2 セキュリティを構成する要素 1.2.1 公開鍵暗号方式 公開鍵 秘密鍵 秘密鍵でしか復号できない 公開鍵で暗号化したデータは ペアとなっている 公開鍵ペアを作成 鍵配布 暗号化 復号化 送信側 受信側 平文 平文 復号文 復号文
鍵の配布を安全に行う手立てを別に用意する必要があり 1.2 セキュリティを構成する要素 1.2.1 ハイブリッド暗号化方式 共通鍵暗号方式は、処理速度は高速だが、 鍵の配布を安全に行う手立てを別に用意する必要があり 鍵の管理が大変である。 公開鍵暗号方式は処理に時間がかかるが、 鍵の配布・管理が容易である。 両方式を組み合わせた ハイブリッド暗号化方式
1.2 セキュリティを構成する要素 1.2.1 ハイブリッド暗号化方式 平文 平文 復号文 送信側 受信側 復号文 復号文 1.2 セキュリティを構成する要素 1.2.1 ハイブリッド暗号化方式 平文 平文 復号文 共通鍵を作成し暗号化 共通鍵で復号文を復号 送信側 受信側 復号文 復号文 受信側の公開鍵で暗号化 秘密鍵で共通鍵を復号化 暗号文と暗号化された公開鍵を送信
1.2 セキュリティを構成する要素 1.2.2 ディジタル署名 データ データ データ 送信側 受信側 A6DC8E03F‥‥ 1.2 セキュリティを構成する要素 1.2.2 ディジタル署名 データ データ データ 送信側 ハッシュ関数でデータのハッシュ値を算出 受信側 ハッシュ関数でデータのハッシュ値を算出 A6DC8E03F‥‥ A6DC8E03F‥‥ 一致しているかの確認 A6DC8E03F‥‥ A6DC8E03F‥‥ データと暗号化したハッシュ値を送信 送信者の秘密鍵でハッシュ値を暗号化 送信者の公開鍵で復号 A6DC8E03F‥‥ A6DC8E03F‥‥
1.2 セキュリティを構成する要素 PKI(Public Key Infrastructure) 「公開鍵暗号基盤」 Bさん Aさん Cさん 1.2 セキュリティを構成する要素 PKI(Public Key Infrastructure) 「公開鍵暗号基盤」 Bさん Cさんの公開鍵 Aさんの公開鍵 信頼 信頼 Aさん Cさん 「信頼」の下での公開鍵の利用
1.2 セキュリティを構成する要素 1.2.3 セキュリティプロトコル(詳細:第5章) 制御 認証 防御 1.2 セキュリティを構成する要素 1.2.3 セキュリティプロトコル(詳細:第5章) ・データを第3者に盗まれたり見られたりしないための手順。 ・PKI、認証技術、暗号技術の集大成である。 制御 認証 防御
1.2 セキュリティを構成する要素 1.2.4 認証(詳細:第3章) パスワード認証 バイオメトリクス認証
1.2 セキュリティを構成する要素 1.2.5 バッファオーバーフロー対策(詳細:6.1節) バッファの適切な管理 1.2 セキュリティを構成する要素 1.2.5 バッファオーバーフロー対策(詳細:6.1節) ・CやC++で書かれたプログラムに存在する ・プログラムが処理に利用しているメモリのバッファ(領域)に入りきらない量のデータが渡されること ・予期しない動作が実行される、システムが停止するなど 解決策 バッファの適切な管理
1.2 セキュリティを構成する要素 1.2.6 アクセス制御 UNIXファイルシステムにおいては 以下のような権限を与える オーナー 1.2 セキュリティを構成する要素 1.2.6 アクセス制御 特定された利用者に対し、許可された操作しかできないようにするためのメカニズム。 UNIXファイルシステムにおいては 以下のような権限を与える オーナー 読み取り可 オーナーのみ 読み取りと 書き込みが可能 グループ 書き込み可 その他 実行可
外部ネットワークと内部ネットワークを区別する 1.2 セキュリティを構成する要素 1.2.7 ファイアウォール 外部ネットワークと内部ネットワークを区別する ハードウェアもしくはソフトウェアのこと
1.2 セキュリティを構成する要素 1.2.8 Webにおけるセキュリティ対策 SQLインジェクション
1.2 セキュリティを構成する要素 1.2.8 Webにおけるセキュリティ対策 クロスサイトスクリプティング 1.2 セキュリティを構成する要素 1.2.8 Webにおけるセキュリティ対策 クロスサイトスクリプティング 罠リンクには標的サイトへ送り込むスクリプトが含まれている。スクリプトが実行されてしまうと、「標的サイトの権限で」情報の取得などをされる危険性がある。
1.3 昨今のセキュリティに関する脅威 IPA 情報セキュリティ10大脅威(2012, 2015, 2016) 2011年 2014年 1.3 昨今のセキュリティに関する脅威 2011年 2014年 2015年 1位 標的型攻撃にかかわる脅威 インターネットバンキングやクレジットカード情報の不正利用 2位 災害にかかわる脅威 内部不正による情報漏えい 標的型攻撃による情報流出 3位 共通思想集団にかかわる脅威 標的型攻撃による諜報活動 ランサムウェアを使った詐欺・恐喝 4位 クライアントソフトウェアの脆弱性にかかわる脅威 ウェブサービスへの不正ログイン ウェブサービスからの個人情報の窃取 5位 Webサイトに関する脅威 ウェブサービスからの顧客情報の窃取 6位 スマートフォンにかかわる脅威 ハッカー集団によるサイバーテロ ウェブサイトの改ざん 7位 公開鍵証明書にかかわる脅威 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ 8位 内部からの攻撃・情報漏洩にかかわる脅威 インターネット基盤技術の悪用 内部不正による情報漏えいとそれに伴う業務停止 9位 アカウント情報に関わる脅威 脆弱性公表に伴う攻撃の発生 巧妙・悪質化するワンクリック請求 10位 利用者情報に関わる脅威 悪意のあるスマートフォンアプリ 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加 IPA 情報セキュリティ10大脅威(2012, 2015, 2016)
最近のセキュリティニュース ハリケーンに便乗したスパムキャンペーンに注意 米 ハリケーンに便乗したスパムキャンペーンに注意 米 http://news.mynavi.jp/news/2017/09/13/107/ http://news.mynavi.jp/news/2017/08/29/174/