平成16年度 第2回大垣市情報ボランティア スキルアップ研修会 セキュリティについて 2004年 5月29日 NPO法人パソコンまるごとアシスト 河合 修 (情報セキュリティアドミニストレータ) アジェンダ • • • • 情報セキュリティの現状と課題 身近な情報セキュリティ問題 情報セキュリティを支える技術 情報セキュリティ文化を育てるために 情報セキュリティの現状 • 経済産業省『情報セキュリティ総合戦略』 (2003年10月) http://www.meti.go.jp/policy/netsecurity/strategy.htm • ウイルス、不正アクセス、人為的ミス – 国・自治体:サイバーテロ – 重要インフラ:通信、電力、水道、金融、運輸 – 企業・個人:個人情報流出 情報セキュリティとは • 守るべき対象(資産)とリスク – 資産の重要度に応じたリスク対策(コスト) • リスクの種別 – 物理的:自然災害、施設への不正侵入 – 技術的:不正プログラム、不正アクセス – 人的(社会的):操作ミス、パスワード聞き出し 起こり得る危険性 • • • • • • マシン動作の不安定化 ネットワークの輻輳(ふくそう) サービス停止 データの破壊 データの流出 アタックのための踏み台 身近な情報セキュリティ問題 • 不正プログラムによる被害 – – – – ウイルス ワーム トロイの木馬 スパイウェア、アドウェア • 無線通信の盗聴(ウォー・ドライビング) • 個人情報の流出、漏えい 不正プログラム • ウイルス – ファイルに不正なコードを書き加える(寄生) • ワーム – ネットワークを介して感染を広げ増殖する • トロイの木馬 – ユーザが実行すると初めて動作する • スパイウェア、アドウェア – ローカルの情報を外部へ送信する セキュリティホール • バッファ・オーバーフロー – しくみ • セキュリティ・パッチの適用が必須 不正プログラムへの対策 • • • • • Windows Update (自動更新を推奨) ウイルス対策ソフトの導入 パターンファイルの更新 ISPによるウイルス対策サービスの利用 不要なサービスの停止 ウイルス感染時の応急処置 • ただちにネットワークから切り離す – それ以上被害を広げない • ウイルス対策サイトにて調べる – 症状からウイルスの種類を特定する – 駆除ツールをダウンロードし、実行する 手動で止める方法(上級者向け) • 不正プログラムを特定し、停止させる – タスクマネージャ(taskmgr) • 自動的に起動しないようにする – レジストリエディタ(regedit) • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – システム構成ユーティリティ(msconfig) • [スタートアップ]タグ ファイアウォール(FW) • 動作の原理、しくみ – – – – – TCP/IP、パケット IPアドレス ポート番号 通信方向(外部→内部、内部→外部) ステートフル・インスペクション FWの導入方法 • ブロードバンドルータのFW機能 • パーソナル・ファイアウォール • Internet Connection Firewall (ICF) 無線LANのセキュリティ • 暗号化 – WEP – WPA • アクセス制限 – SSIDの設定 – any 接続を不可に – MACアドレスによるアクセス制限 暗号を用いる目的 • 盗聴(秘密が漏れる)・・・機密性 • 改ざん(情報が書き換えられる)・・・正真性 • なりすまし(正しい送信者のふりをす る)・・・認証 • 否認(後から私じゃないと言う)・・・否認不 可能性 暗号に用いられる道具 • 共通鍵暗号(対称暗号、慣用暗号、秘密鍵 暗号、共有鍵暗号) • 公開鍵暗号(非対称暗号) • 一方向ハッシュ関数 • メッセージ認証コード • デジタル署名 • 擬似乱数生成器 認証基盤(PKI) • 認証サービス – 公的個人認証 – 商業登記に基づく認証 – 組織認証 • 電子証明書 • 認証局 SSL は安全か? • 目的・用途 – オンラインで安心して手続きができる • しくみ – ハイブリッド暗号システム • 安全性 Cookie は安全か? • 目的・用途 – オンラインでセッション情報を保持する • しくみ • 安全性 暮らしにおける新たな局面 • オンラインサービス • ICカード – クレジットカード、住民基本台帳カード • • • • 電子タグ(RFID) P2P、グリッド・コンピューティング バイオメトリクス認証(指紋、虹彩、顔) 情報漏えい事案 セキュリティの禁じ手、べからず 1. 2. 3. 4. 5. 6. 7. 自動アップデートを過信するな まっさらなPCをネットに直結するな 私物の機器を無断で持ち込むな 無料ソフトを安易に使うな テスト用アカウントを残すな 簡単にバレるパスワードを使うな 専用機器のソフト更新を忘れるな 安全なパスワードとは • • • • 自分だけが知り得る情報を使うこと 複数のパスワードを使い分けること メモを有効に使うこと パスワードの限界を知ること 情報ボランティアとしてできること • ユーザの啓発 – ネット社会の参加者としてのリスクと責任 • リテラシー教育の支援 – 普及啓発活動:児童、中高校生、主婦、高齢 者 – 義務教育段階から、安全教育の一部として – 地域社会と連携する形で人材を確保
© Copyright 2024 ExpyDoc
