情報セキュリティ基盤論 佐藤周行(情報基盤センター/ 基盤情報学専攻) 日本ベリサイン・コンサルティング部 開講に当たって この講義は、以下の目的で開講するものです。 昨今、インターネットを舞台としたセキュリティ侵害に 関する事件、事故が多発している。それらに対応す るために暗号化、PKIを含むさまざまな技術と制度 が提案され、実際に効果を上げている。ここでは、 セキュリティに関係する技術とそれを実際に配備す る制度の両方について講義を行い、学会と社会の 具体的な要求に応えることを目標とする。 今日の予定 まぁ、1時間くらいかな この授業を取るべきかどうかの決定をするた めの情報を与えるのが目的です 進行予定 セキュリティについてのバックグラウンド 授業の進行予定(プラン) 各項目についての基礎的な説明 おまけ セキュリティについてのバックグラウンド 具体的にはどういう授業か セキュリティの授業です。 セキュリティは、技術的な要素と、社会的な要 素を持っています。 「社会的な要素」には、(できるだけ)技術の 裏づけがなければなりません。 「技術的な要素」 「技術的な要素」には、以下が含まれます アクセス制御技術 認証技術 Authentication/Authorization for an ID 暗号技術 秘匿性 完全性 否認防止性 「社会的な要素」とは 社会的な要素には、以下が含まれます ポリシーの構築 組織の構築 運用の統制 対外的な信用 コンプライアンス ブランド http://pub.ucsf.edu/newsservices/releases/ 200704041の内容 ブランド UCSFやられた。 半年前にはUCLAがやられている ブランドに対する被害は甚大 経営層は事件がおきるまで何もしないのが普 通 事件がおきてから厳しくできるかどうかは、統 制力の問題 情報セキュリティの目的 このようにして何を守るのか? 情報を 権限を有しない人からのアクセス(読み(窃盗を 含む)書き(改竄を含む))や暴露から 守る 情報のもつ価値とは? 朝日新聞2007年4月11日 個人情報漏洩に関する記事 情報のもつ価値 安全保障 スパイ映画でおなじみ 財産 財産、経済活動に関する情報 情報自体のもつ財産的な価値 自己決定権 プライバシー- Digital WorldにおけるID 「認証」 =インターネットの世界で、プロセス の持ち主をどのように識別するか In computer security, authentication is the process of attempting to verify the digital identity of the sender of a communication such as a request to log in. Digital Identity 認証のためにはDigital Identityの管理が本 質的 認証技術とは、認証を確実に行うためのIDの 付与の仕方、認証に当たってのチャレンジの 方法と、それが破綻する理論的な確率の研 究を含む Digital Identity Digital Identityの管理は、自然におおがかり なものになります - 組織の中でのID管理 体系 公開鍵基盤(PKI)がこの管理で非常に有望 だと思われ続けています パスワード認証で十分では? 共通鍵を使った認証で十分では? 授業のプラン 1.授業導入 2.セキュリティ・コンプライアンンス 3.情報セキュリティと統制 4.認証技術と暗号 5.ハッキング防御技術とネット診断 6.東京大学の現状と将来 セキュリティコンプライアンス 実社会に多くの例 情報セキュリティのための組織論 リスク分析 コンプライアンスの必要性 情報セキュリティの経済的価値 法の強制(SOX, J-SOXなど) コンプライアンスのための組織 情報セキュリティと統制 アクセス制御とその技術 Digital Identity 認証 認可・権限 認証技術と暗号 暗号技術 共通鍵暗号 公開鍵暗号 ハッシュ関数 SSL PKI 電子証明書の発行と運用 サーバ証明書 ハッキング防御技術とネット診断 さまざまなアタック 対処方法 PKI すでにある応用 サーバ証明書とSSL 住民基本台帳システム では、PKIを支える技術とは? 技術的な要素 組織的、社会的な要素 セキュリティサービス セキュリティ技術は、もはや社会基盤を構成 する要素になっている。 セキュリティに関連するサービスを提供するこ とには、 技術を提供する(製品の提供) 「社会的要素」を提供する(運用代行、コンサル ティング) が含まれます サービス提供の現状 ネットワークセキュリティサービス PKIサービス セキュリティサービス提供がビジネスとして成 立している セキュリティ基盤の現状 セキュリティ基盤とは何か? 具体的にサーバ証明書が機能するためには 何が必要か? あの警告にはどんな意味があるのか? 警告を無視してよい場合があるか? セキュリティ基盤の現状 組織内でのセキュリティ基盤の確立の必要性 学生証を信用してもらうための何か 組織を超えた基盤の必要性 電子入札のための、電子証明書 - 特定認証 業務の認定 Webサーバの証明書の確かさを保証するWTCA 東大での現状と近未来 学生証はスマートカード化 強い認証基盤構築の可能性 全学的なセキュリティ基盤はまだ 世間的(パブリック)な信用を得るための努力 技術開発(インソース・アウトソース) 授業のプラン 1.授業導入 2.セキュリティ・コンプライアンンス 3.情報セキュリティと統制 4.認証技術と暗号 5.ハッキング防御技術とネット診断 6.東京大学の現状と将来 講師 佐藤周行(情報基盤セ ンター・PKIプロジェク ト) 日本ベリサイン Communications Mail Web Page Password認証 http://www-sato.cc.u-tokyo.ac.jp/PKIproject/SecurityInfrastructure/
© Copyright 2024 ExpyDoc
