サイバーセキュリティ基礎論 ― IT社会を生き抜くために ― 5. 安全な設定(2) サイバーセキュリティ基礎論
安全な設定 個人でできるサイバーセキュリティ対策を 知る 情報機器そのものを守ること サービスに提供した自分の情報などを守る こと ネット上を流れる情報を盗聴されないため にできること サイバーセキュリティ基礎
ネットワークの例 インターネット サーバ ログイン・情報要求 応答 データ センタ 九州大学 自宅など 無線LAN 利用者の情報 ... 大学や自宅などからネットのサービスを利用するばあいは大雑把にこのような感じの構成になっている 大学の中のサービスはインターネットに出て行かないかもしれないが 無線LAN サイバーセキュリティ基礎
攻撃の例 インターネット 偽サイト サーバ ウイルス 情報漏洩 盗聴 乗っ取り 盗難 データ センタ 九州大学 自宅など 無線LAN 利用者の情報 ... サーバ ウイルス 情報漏洩 九州大学 自宅など 盗聴 乗っ取り インターネットには様々な人が接続できるので、中には悪い人もたくさんいる 攻撃できる所はたくさんあり、これは一例 近いところで攻撃されるかもしれないし、遠くのサーバが攻撃対象になるかもしれない この図にはないがインターネット自体も盗聴されている可能性はある 無線LAN 盗難 サイバーセキュリティ基礎
できるところから対策 インターネット 個人でも対策可能な所 サーバ データ センタ 九州大学 自宅など 無線LAN 利用者の情報 ... 自分の手の届かない所については自分では防御しようがないが、できるところは対策したほうがいい 今日はその中で自分の使っている機械、サーバ側にある情報、それから通信経路の3つについて防御のための設定などを紹介する 無線LAN 個人でも対策可能な所 サイバーセキュリティ基礎
何が守れるのか? 情報機器そのもの サービス側にある情報 ネット上で受け渡される情報 自分のパソコン・スマホとその内容 より安全な使い方 「アカウント」の保護 ネット上で受け渡される情報 無線LANの安全性について サーバ・クライアント間の暗号化について サイバーセキュリティ基礎
サーバ上にある情報を守る サイバーセキュリティ基礎
「アカウント」の保護 「アカウント」 アカウント名(ユーザ名・ユーザID)とパス ワードの組での保護が一般的 情報システムを利用する「権利」のこと 利用者の様々な情報が紐づく 個人の識別 個人情報の蓄積 利用履歴 アカウント名(ユーザ名・ユーザID)とパス ワードの組での保護が一般的 そのアカウントの正当な利用者だけが知っているは ずの情報 サイバーセキュリティ基礎
ログイン画面の例(全学基本メールのウェブメール) 「ユーザー名」と「パスワード」が合致していれば正当な本人と判定 サイバーセキュリティ基礎
パスワード 「部屋の鍵」「車の鍵」のようなもの 悪い人は被害者のパスワードを当てたい いろいろな攻撃方法(当て方)がある 内容が漏れるとアカウントを勝手に利用される 現実の部屋や車と違って地球の裏側からでも 悪い人は被害者のパスワードを当てたい いろいろな攻撃方法(当て方)がある 総当り 辞書攻撃 盗聴 サイバーセキュリティ基礎
「良いパスワード」? 悪いパスワード 良いパスワード 短い 数字だけ、英小文字だけなど 辞書に載っている単語や生年月日等を流用 長い 英大小文字、数字、記号を混在 単語や生年月日・名前などを含まない サイバーセキュリティ基礎
パスワードの複雑さ 数字4桁 英数字8文字(大文字小文字を区別) 英数字記号8文字(使える記号によるが一例) 「総当り」攻撃への耐性が違う 104 = 10,000通り 英数字8文字(大文字小文字を区別) 628 = 218,340,105,584,896通り (218兆) 英数字記号8文字(使える記号によるが一例) 968 = 7,213,895,789,838,336通り (7,210兆) 「総当り」攻撃への耐性が違う 使える文字が多く、長いほど強い 盗聴の場合はどんなに複雑でも無駄 ウイルス感染等によりキー入力を盗まれることも サイバーセキュリティ基礎
辞書攻撃 全ての組み合わせを試すのは時間がかかる よく使われるパスワードを集めたリストを使う 世界中で最も使われているパスワード 英単語・氏名 なんらかの理由で漏洩したパスワードリスト 世界中で最も使われているパスワード 「123456」「password」「qwerty」「abc123」 使わないように! サイバーセキュリティ基礎
使い回し問題 複雑なパスワードはたくさん覚えられな い! 同じパスワードを使いまわしたくなる メールアドレスで登録など、IDも使いまわ すケースが多い 結果、1つ漏れたら他のサービスも破られる サイバーセキュリティ基礎
使い回し問題 漏洩 Google Facebook iCloud Dropbox you@example.com password サイバーセキュリティ基礎
使いまわさない工夫 全部を覚えないでいいようにルールを作る しかし全部脳内で済ますのは限界…… 数文字の固定文字列に、サービス名などから連想 される文字列を少し足す、など しかし全部脳内で済ますのは限界…… サイバーセキュリティ基礎
機械に覚えさせる ブラウザの保存機能は使うな、という意見 もある 覚えられずに同じパスワードを使いまわす のとどちらがリスクが高いだろう? そのPCが他人に操作されるとまずい 保存したデータを吸い取るウイルスもある 覚えられずに同じパスワードを使いまわす のとどちらがリスクが高いだろう? 端末をきちんと対策すれば使っていいはず サイバーセキュリティ基礎
パスワード管理ソフト サービス毎のアカウント情報を安全に保持・管 理してくれるソフト・アプリ 複雑なパスワードを自動生成する機能 Lastpass, 1Password, KeePass 等々 複雑なパスワードを自動生成する機能 いちいち覚えなくても強いパスワードで守れる 元データを失うと自分ではパスワードがわからなく なる 管理ソフトが破られると一網打尽になる 端末の保護が重要 サイバーセキュリティ基礎
2要素認証 認証に2つ以上の情報を使用する スマホに・・・ Google, Facebook, Dropboxなどメジャーな サービスが対応 ユーザのみ知っている情報 → パスワード ユーザのみ持っているもの → スマホ スマホに・・・ サーバから1回限りのパスワードをSMSで受信 アプリで1回限りのパスワードを生成 Google, Facebook, Dropboxなどメジャーな サービスが対応 サイバーセキュリティ基礎
Enter the verification code 2要素認証の様子 ID Password yourid ******** 追加の画面 2-step verification Enter the verification code 574834 サイバーセキュリティ基礎
課題 本日の講義を聞いて、新たに自分が気をつけよ うと考えたことがあれば、それを書いてくださ い。 本日の講義であげた事例で、既に自分が実施し ていることがあればそれを示し、それをする事 の利点や難点など気づいたことを書いてくださ い。 逆に、知ってはいたが自分では実践していない ことがあれば、その内容とそれをしない理由を 書いてください。 本講義の感想、要望、質問などあれば、書いて ください。 サイバーセキュリティ基礎