情報セキュリティ 第02回

大久保誠也

静岡県立大学経営情報学部

2/41

はじめに

そもそも、情報って何？

ちょっと昔のこととインターネットの普及

情報化社会で身につけておきたいこと情報セキュリティの目的

種々の脅威

演習

3/41

はじめる前に…… 以下は持っていたり、使ったことはありますか？

ポケベル

黒電話

携帯電話

パソコン通信

インターネット

インターネット通販

暗号

ユビキタス社会 4/41

そもそも、情報って何？

5/41

情報とは？

「情報」とは、何でしょうか？

「情報」として、何を勉強してきた？

6/41

じゃんけん

相手がどのような手を出すか、過去の経験から予想する。

このジャンケンで勝つためには…… この人、

グーしか出さない！？

7/41

情報とは

相手がどのような手を出すか、過去の経験から予想する。

この人、グーしか出さない！？

相手はグーしか出さない

材料 自分はパーを出す

判断

情報とは……判断や決定をするときに材料とするすべてのものごと。

分野によっては、用語の定義は違う場合があります

8/41

日常と情報

日常から、「情報」を分析して「判断」を行っている（はず）

何を買おうか……。どこに行こうか……。

今日はどうしよう。明日は晴れるかな……。

9/41

情報の収集

なんか、量が多いな……

簡単に情報が集まるぞ！

10/41

情報を適切に収集し、分析する力が必要に！

情報と判断

適切に「判断」を行うためには、もととなる「情報」が重要！！。

どうやって情報を集める？

どれが重要な情報なのか？

どのような判断を下す？

どうしたらいいんだ……？

11/41

情報化社会

情報を扱う活動が顕著である社会

情報を収集

取捨選択・情報を解析

最終的な判断

何を集める？

どのように分析する？ どうやって

判断する？ 12/41

情報を扱う技術

情報の分析

判断を迅速に行うための技術

小さくて高速な計算機 等

情報をどのように表現するか

グラフィカルな表示 等

情報の伝達・保存

必要なときに必要な人だけアクセス可能に

安心安全なネットワーク 等

13/41

この授業で行うこと

情報の分析

情報の保存・伝達情報の表現

MS-Word

統計処理

MS-Excel

情報セキュリティ14/41

ちょっと昔のことと、インターネットの普及

15/41

手紙とメール

人力

車

インターネット 16/41

携帯電話

前

今

電話機を捜さないと……

家にいたから、運良く出られたぞ

電話するかな 電話が来た

17/41

通信販売

前

テレビや本で見て、電話で注文

今

ネットで選んでネットで買い物

18/41

調べ物

前

今

ネットで情報収集

テレビや本、新聞で情報収集

19/41

インターネット

情報が、いつでもどこでも早く大量に

20/41

企業や社会

インターネットで繋がり、世界は狭くなった？遠くの情報もすぐに手に入る！ 連絡できる！企業のグローバル化情報の発信が容易に！

21/41

世界が近くなったということは

あなたから世界が近くなった分、世界からあたなへも近くなっている！

あなた自信も情報を発信！

情報社会になって、新しく注意なければならないことも発生

22/41

情報化社会で身につけておきたいこと

23/41

Bobにメールを…… Hello

World

HelloWorld

電子メールは非常に便利

HelloWorld

Bob送信

Alice

HelloWorld

速い。安い。簡単。

情報化社会に欠かせないツールに

Aliceからメールが来た。

24/41

HelloWorld

HelloWorld

今そこにある危険

HelloWorld

Bob送信

Alice

HelloWorld

HelloWorld

Eve

盗聴

A:>

HelloWorld覗き見して

やろう

Aliceからメールが来た。

送信

ネットならではの、新しい犯罪や危険も発生！

情報セキュリティー

25/41

個人情報

ネットで情報公開だ！

自分の個人情報が公開されてる！？

こんな情報公開していいの？

情報倫理

やっていいことといけないこと

26/41

情報倫理や情報セキュリティーについて、

正しい知識が必要

情報倫理と情報セキュリティー

新しいツールであるが故に、新しいマナーや危険も伴っている！

この通信は安全なの？

相手は信用できるの？

こんなことはやっても大丈夫？

どうしたらいいんだ……？

27/41

情報倫理と情報セキュリティー

情報を扱う活動が顕著である社会

情報倫理

情報セキュリティー

何をやって良いの？ルールは？

どうやって管理したらよい？どうやったら安全にすごせる？ 28/41

セキュリティの知識が必要な例1

これは何を言っているのでしょうか？

29/41

セキュリティの知識が必要な例2

何が問題なのでしょうか？ 30/41

セキュリティの知識が必要な例3開発者 利用者

発注受注

開発の知識 利用の知識

こういうのが欲しいんだけど

こんなんでどうでしょう？ これで

大丈夫かな？評価できる知識が必要

31/41

セキュリティの知識が必要な例4

はい。わかりました。

重要書類だから。気をつけて

具体的には、何をどうしろと？

移動保存扱い廃棄

機密書類

32/41

本講義の内容

33/41

取り扱う内容

情報セキュリティとは

現在使われている技術

暗号技術の基礎

生体認証

メールやWebでの

セキュリティ

未来の暗号

情報を扱う上で必要となる情報セキュリティに関する知識を体得すること。

目的

情報倫理

情報セキュリティポリシー

現代社会における脅威

34/41

成績の付け方等

レポート（55%）ならびに期末テスト（45%）による。なお、出席回数が足りない場合は不可とする。

出張の関係で、補講期間中に補講を行います。

35/41

情報セキュリティの目的

36/41

何を思い浮かべますか？

37/41

情報セキュリティとは何か

代表的なのは、以下の事柄を保つことです。

完全性：情報が完全な形で保たれていること

機密性：必要のある人以外に、情報がわたらないこと

可用性：必要なときに、情報が利用出来ること

かなり広い概念です38/41

完全性とは

以下の事柄を保つことです。

完全性：情報が完全な形で保たれていること

あれれ？欲しい情報が変わってしまっているような……

39/41

Webサイトのクラック

「Wordpress 改ざん キャンペーン」で検索

40/41

機密性とは

以下の事柄を保つことです。

秘密性：必要のある人以外に、情報がわたらないこと

あの会社から情報を盗んでやろう……

41/41

例：登録したサイトから漏れる

個人情報を提供した会社や店舗から漏れていく

「住宅金融支援機構 情報流出」

「個人情報漏洩事件」で検索

「個人情報 過去５年」で検索

「米Yahoo 漏洩」で検索

自分の個人情報を誰が持っているのか、事故が起きたとき、自分の個人情報も漏れていないか、確認できるように。

42/41

可用性とは

以下の事柄を保つことです。

可用性：必要なときに、情報が利用出来ること

この肝心なときに情報が利用できない！？

43/41

サイトのダウン

「サーバー ダウン」で検索

44/41

情報セキュリティのまとめ

完全性、機密性、可用性を保つこと。

技術で防ぐことができることと、できないことがある。人的な原因で問題が発生することも多い。

ネットワーク社会になり、問題が発生しやすく。

ウイルスの様に、完全性、機密性、可用性すべてに影響を与えるような原因も！

適切な情報を集めて、対応することが重要。

45/41

種々の脅威とその対策

46/41

脅威とは

情報セキュリティを脅かすものを「脅威」と言います。

この世の中には、多くの「脅威」が存在しています。

「どうやって備えるのか」を決めるには、「何を脅威と認識するか」が重要です。

47/41

ウイルス

コンピュータに被害をもたらす不正なプログラム

ネットワークやUSBメモリ等から進入

データが変わってる？

変な動作をするぞ？

ウイルス対策ソフトのインストールが一般的

ウイルス対策ソフトは、ウイルスの侵入や活動を防いでくれます。

定期的にアップデートすることを忘れずに。

ウイルスは、完全性・機密性・可用性のすべてに影響 48/41

セキュリティホール

セキュリティの穴／不具合

できてはいけないことができてしまう／されてしまう。

データが変わってる？

変な動作をするぞ？

セキュリティホール発見！攻撃だ！

パッチを当てることで、穴を塞ぐことができます。 毎月出るので、アップデートすることを忘れずに。

セキュリティホールも、完全性・機密性・可用性のすべてに影響

セキュリティーパッチを当てましょう

49/41

データが変わってる？

変な動作をするぞ？

セキュリティホール発見！攻撃だ！

クラッキング

不正にシステムに侵入したり、データを改ざんしたりする方法。

セキュリティパッチを当ててないシステムに侵入したりする。

50/41

クラックされた後：改竄

クラッキングされた後に行われる行為。

データを変更される。

Webサーバーをクラッキングされ、データを改ざんされる等。

「HP 改ざん」で検索してみましょう。

51/41

攻撃だ！他にも攻撃だ！

攻撃されてる！苦情だ！

苦情がきた...

クラックされた後：攻撃

クラッキングされた後に行われる行為。

システムに不正侵入され、乗っ取られた後、他の計算機への攻撃に利用される。

52/41

DoS攻撃だ！ 処理が多すぎる重いなぁ

DoSアタック

DoS攻撃（Denial of Service atack）は、攻撃を行うことで、対象となるシステムがサービスを続行することを難しくする攻撃。

代表的なものとして、Webサーバーに大量のリクエストを送る等（F5アタック）。

53/41

メールの盗聴

HelloWorld

HelloWorld

HelloWorld

Bob送信

Alice

HelloWorld

HelloWorld

Eve

盗聴

A:>

HelloWorld覗き見して

やろう

メールは基本的に平文なので、盗聴し放題！

Aliceからメールが来た。

送信

重要な情報はメールしないor 暗号化 54/41

パソコンの故障

データのバックアップや、計算機の冗長化等で被害を防止できます。

故障や災害は、どうしても発生してしまいます

パソコンから異音が！

火山が噴火して、計算機が燃えた！

55/41

パスワードの管理あれ？これは......覚えられない

なぁ......

パスワードは適切に管理する

初期パスワードは必ず変更する。数ヵ月に1回パスワードの変更を行う。

他人に教えたりしない。他人に推測されづらいこと（×誕生日）。短いパスワードはダメ。英数文字と記号を組み合わせる等）。

紙などに記入するなどのメモを作らない 56/41

メールの誤送信

極秘

あれ？これは......

極秘

送信 Bob

Alice あて先はきちんと確認する

あ！送り間違えた！

57/41

パソコンの盗難

あれ？ パソコンがない

しめしめ、上手く盗めたぞ

重要な情報は持ち出さない。持ち出したら目を離さない。

パソコンを外に持ち出て、物理的に盗まれることも例：車上荒らし

パソコンは持ち出し禁止にする会社も。

58/41

トラッキング

ゴミから情報入手！もういらないや

物品を捨てるときは、その中に「重要な情報」が含まれていないかに注意する。

ハードディスク等は、OSの機能で削除していても、データを復元できることも。

ゴミ箱等に廃棄された情報を回収、復元することで情報を得ようとする手法。

情報はきちんと削除する

59/41

進入

建物や施設に物理的に侵入すること。

誰でも侵入できる施設の場合、他の人と一緒に入ってしまう場合、関係者か否かが区別つきづらいとき等。

教職員も、県大の名札を持っていたりする。

60/41

なりすまし

悪意のある人が、他の人になりすまして、不正に情報にアクセスしたり、施設に侵入する方法。

パスワードが漏れたときとかに発生。

Alice

Mallory

自分の名前はAliceだよっと...

あなたはAliceだね

61/41

キーロガー

計算機に悪意のあるプログラムを仕込んでおき、その計算機で入力されたキーを記録しておく手法。

入力されたキーがそのまま記録されるので、パスワード等も漏れる。

62/41

スキミング

「銀行」「スキミング」をキーワードに検索してみましょう。

63/41

フィッシング詐欺：

信頼のある企業になりすまして、パスワード等の重要な情報を盗み取ろうとする詐欺。

スパムメール

無差別に大量に広告メールを出すこと。また、そのメール自体。

Active Mail にはスパムメールを判別する機能が備わっています。

メールボム

メールを大量に送りつけてパンクさせる

その他の脅威(1)

64/41

プログラム作成時に生じてしまうセキュリティホール

バッファオーバーフロー

SQLインジェクション

クロスサイトスクリプティング

ファイル共有ソフトでの機密情報流出

winny による事件が有名

対策：使わない

等々......

その他の脅威(2)

65/41

脅威に備える

66/41

備えるために

技術的な面と人的な面がある。

機械は暗号化等の技術で守ることができる。

最新の技術や動向を知る

一方、人は技術では完全には守れない。

その行動は大丈夫か、常に意識して行動

故障や災害は、何時、どのようにして起きるかわからない。

データのバックアップ、計算機を複数準備する等、事前に備えておく

67/41

不正アクセス禁止法

正式名称[不正アクセス行為の禁止等に関する法律] 2000年に制定。

以下のような行為を取り締まる。

他人のパスワード等で計算機等を利用すること。

計算機のセキュリティホールを利用すること。

他社の不正行為を手助けすること。

管理者はきちんとした計算機管理をすることが求められる。

68/41Alice

Bob

技術で守れるもの守れないもの

盗聴防止改ざん防止

クラック防止

技術で守れる部分

技術範疇外

技術範疇外

技術で通信経路や計算機は守れる。

技術だけでは、人の行動は縛れない。

技術で

ルールやポリシーで

69/41

この講義で扱うこと

情報セキュリティを維持するために...... 技術的な側面

暗号化技術

種々の通信技術 等

人的な側面

情報倫理

情報セキュリティポリシー 等

70/41

演習：情報流出の事例

71/41

セキュリティ的な事故のニュース

Googleで「情報流出 原因」で検索してみよう。

ニュースになる多くの事件は、「人」が「問題になる行動」を起こした結果、生じてしまうことも多い。

72/41

次のことを調べ、レポートにまとめて提出する

「情報流出」「SQLインジェクション」等をキーワードに検索し、どのような事故があったか調べる。

ファイル名は学籍番号の末尾にbをつけたもの。

経情グループウェアから提出する。

課題と課題の提出

73/41

ハッカーとクラッカー

ニュース等だと同じような意味で使用されていますが、本当は違う言葉です。

ハッカー：すごいコンピュータ技術の利用が可能な人。

クラッカー：ネットワークへの侵入や改ざん等の悪意を持った行為（クラッキング）を行う人。