PPT版

平成16年度
第2回大垣市情報ボランティア
スキルアップ研修会
セキュリティについて
2004年 5月29日
NPO法人パソコンまるごとアシスト 河合 修
(情報セキュリティアドミニストレータ)
アジェンダ
•
•
•
•
情報セキュリティの現状と課題
身近な情報セキュリティ問題
情報セキュリティを支える技術
情報セキュリティ文化を育てるために
情報セキュリティの現状
• 経済産業省『情報セキュリティ総合戦略』
(2003年10月)
http://www.meti.go.jp/policy/netsecurity/strategy.htm
• ウイルス、不正アクセス、人為的ミス
– 国・自治体:サイバーテロ
– 重要インフラ:通信、電力、水道、金融、運輸
– 企業・個人:個人情報流出
情報セキュリティとは
• 守るべき対象(資産)とリスク
– 資産の重要度に応じたリスク対策(コスト)
• リスクの種別
– 物理的:自然災害、施設への不正侵入
– 技術的:不正プログラム、不正アクセス
– 人的(社会的):操作ミス、パスワード聞き出し
起こり得る危険性
•
•
•
•
•
•
マシン動作の不安定化
ネットワークの輻輳(ふくそう)
サービス停止
データの破壊
データの流出
アタックのための踏み台
身近な情報セキュリティ問題
• 不正プログラムによる被害
–
–
–
–
ウイルス
ワーム
トロイの木馬
スパイウェア、アドウェア
• 無線通信の盗聴(ウォー・ドライビング)
• 個人情報の流出、漏えい
不正プログラム
• ウイルス
– ファイルに不正なコードを書き加える(寄生)
• ワーム
– ネットワークを介して感染を広げ増殖する
• トロイの木馬
– ユーザが実行すると初めて動作する
• スパイウェア、アドウェア
– ローカルの情報を外部へ送信する
セキュリティホール
• バッファ・オーバーフロー
– しくみ
• セキュリティ・パッチの適用が必須
不正プログラムへの対策
•
•
•
•
•
Windows Update (自動更新を推奨)
ウイルス対策ソフトの導入
パターンファイルの更新
ISPによるウイルス対策サービスの利用
不要なサービスの停止
ウイルス感染時の応急処置
• ただちにネットワークから切り離す
– それ以上被害を広げない
• ウイルス対策サイトにて調べる
– 症状からウイルスの種類を特定する
– 駆除ツールをダウンロードし、実行する
手動で止める方法(上級者向け)
• 不正プログラムを特定し、停止させる
– タスクマネージャ(taskmgr)
• 自動的に起動しないようにする
– レジストリエディタ(regedit)
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
– システム構成ユーティリティ(msconfig)
• [スタートアップ]タグ
ファイアウォール(FW)
• 動作の原理、しくみ
–
–
–
–
–
TCP/IP、パケット
IPアドレス
ポート番号
通信方向(外部→内部、内部→外部)
ステートフル・インスペクション
FWの導入方法
• ブロードバンドルータのFW機能
• パーソナル・ファイアウォール
• Internet Connection Firewall (ICF)
無線LANのセキュリティ
• 暗号化
– WEP
– WPA
• アクセス制限
– SSIDの設定
– any 接続を不可に
– MACアドレスによるアクセス制限
暗号を用いる目的
• 盗聴(秘密が漏れる)・・・機密性
• 改ざん(情報が書き換えられる)・・・正真性
• なりすまし(正しい送信者のふりをす
る)・・・認証
• 否認(後から私じゃないと言う)・・・否認不
可能性
暗号に用いられる道具
• 共通鍵暗号(対称暗号、慣用暗号、秘密鍵
暗号、共有鍵暗号)
• 公開鍵暗号(非対称暗号)
• 一方向ハッシュ関数
• メッセージ認証コード
• デジタル署名
• 擬似乱数生成器
認証基盤(PKI)
• 認証サービス
– 公的個人認証
– 商業登記に基づく認証
– 組織認証
• 電子証明書
• 認証局
SSL は安全か?
• 目的・用途
– オンラインで安心して手続きができる
• しくみ
– ハイブリッド暗号システム
• 安全性
Cookie は安全か?
• 目的・用途
– オンラインでセッション情報を保持する
• しくみ
• 安全性
暮らしにおける新たな局面
• オンラインサービス
• ICカード
– クレジットカード、住民基本台帳カード
•
•
•
•
電子タグ(RFID)
P2P、グリッド・コンピューティング
バイオメトリクス認証(指紋、虹彩、顔)
情報漏えい事案
セキュリティの禁じ手、べからず
1.
2.
3.
4.
5.
6.
7.
自動アップデートを過信するな
まっさらなPCをネットに直結するな
私物の機器を無断で持ち込むな
無料ソフトを安易に使うな
テスト用アカウントを残すな
簡単にバレるパスワードを使うな
専用機器のソフト更新を忘れるな
安全なパスワードとは
•
•
•
•
自分だけが知り得る情報を使うこと
複数のパスワードを使い分けること
メモを有効に使うこと
パスワードの限界を知ること
情報ボランティアとしてできること
• ユーザの啓発
– ネット社会の参加者としてのリスクと責任
• リテラシー教育の支援
– 普及啓発活動:児童、中高校生、主婦、高齢
者
– 義務教育段階から、安全教育の一部として
– 地域社会と連携する形で人材を確保