授業日程 (予定) インターネット時代のセキュリティ管理 Security Management in the Internet Era 第01回 (09/24) 授業概要 第01回 (10/01) 授業概要 <奈良> <SFC> 第02回 (10/15) 情報セキュリティ:新しいリスク(1) 第03回 (10/22) 情報セキュリティ:新しいリスク(2) 第04回 (10/29) 情報セキュリティ:新しいリスク(3) 第09回 個人と社会のセキュリティ(2) 2009年12月10日 第05回 (11/05) 攻撃の多様化とその対策(1) 第06回 (11/12) 攻撃の多様化とその対策(2) 第07回 (11/26) 攻撃の多様化とその対策(3) 慶應義塾大学 奈良先端科学技術大学院大学 前々回の分 第08回 (12/03) 個人と社会のセキュリティ(1) 第09回 (12/10) 個人と社会のセキュリティ(2) 第10回 (12/17) 中間発表 村井 純 山口 英 第11回 (01/07) 個人と社会のセキュリティ(3) 第12回 (01/14) 最終発表 第13回 (01/20) インターネットの未来像:セキュリティアーキテクチャ 2 1 第2セットの概要 Overview リスクマネジメント Risk Management 攻撃の多様化 国家,企業,個人を対象としたサイバー攻撃 • 攻撃方法は日々変化・進化し多様化 第2セットの構成 サイバー攻撃の現状 技術面,法律面からのセキュリティ対策 リスクマネジメント←今日はココ! Current situation of the cyber attack Security Measures from technology and compliance side Risk Management ←Today’s Topic! 3 4 具体的な「マネジメント」の有り様 Tangible “Management” マネジメント:合理的な判断 Management: Rational Decision ミッション コミットメント Mission Commitment 現状認識 Current Situations 達成目標 Goal 脅威や不安を正しく捉え判断する考え方 資源+状況 Resource & Situations 適切な行動の選択 Taking appropriate actions 脅威や不安 対する考 方を習得する為 、既存 リ 脅威や不安に対する考え方を習得する為に、既存のリス クマネジメントについて講義する ジ 講義す Policy for determining and recognizing threats and fears (経営者) (Business Managers) 5 脅威や不安をリスクとして算定する リスクへの対策を決定する リスク対策を遂行する Calculating threats and fears as risks Formulating actions against risks Implementing action plans We will lecture on existing risk management for studying way to think about threats and fears 6 1 Various risks 様々なリスクと対策 《Service Unavailable》 何者かにより サービス不能 攻撃 《Falsify information》 重要インフラ図面等 がネットに流出 事務室から ノートパソコン 紛失 対策 《Information leakage》 対策 対策 対策 ・・の脅威 Tampering of a web page due to a security hall 対策 《サービス利用不能》 何者かにより サービス不能 攻撃 ・・の脅威 対策 対策 コンピュータ機器障害で 重要サービス停止 Information leak at outsourcing Stopping an important service due to a system trouble Fill a security hall Authenticate Backup Trojan ・・の脅威 対策 ・・の脅威 遠隔地にデータバックアップ Not enough for apologizing The impact on activity 高度な利用者認証 暗号化 対策 ・・の脅威 ・・の脅威 証跡管理 対策 対策 決まった対策方法は無く、各リスクに応じた対策が必要 7 8 リスクの顕在化は、大きなインパクトを経営に 与える Leakage of personal information The formation of trust • For stable and sustainable organizations, a stable system operation is needed • To ensure business continuity, Information System is important •Is not allowed to a organization, which doesn’t work? (especially government) 不正アクセスによる 重要情報の改ざん (個人情報等) ・・の脅威 対策 • Leakage risk of personal information is expanding year by year. • Once occur the outflow, directly damage the business. Management risk 対策 出張に持参した ノートパソコンの紛失 による重要情報の漏洩 アクセス制御 ・・の脅威 対策 The apparent risk of a significant impact on management Leakage of confidential information ウィルス ワーム 対策 脅威 The single ultimate countermeasure does not exist. Each countermeasure according to a risk is necessary. • Confidential information is managed on information system. • Business know-how in the private sector, variety of sensitive information in government. 外部委託先の情報管理強化 トロイの木馬 対策 対策 Trail management 対策 入退室管理 災害等で マシン室が崩壊し、 重要データが消失 Encryption Access control ・・の脅威 セキュリティホール対策 ハッカー侵入 Authenticate 脅威 対策 外部委託先で 管理不十分による 重要情報の漏洩 対策 Information leak due to loss of a laptop Falsification of critical information from unauthorized access. (e.g., Personal data) ・・の脅威 対策 利用者認証 対策 対策 対策 ウェブサーバ セキュリティホールを衝いた HP改ざん ・・の脅威 ウィルス ワーム 対策 対策 《情報漏洩》 重要インフラ図面等 がネットに流出 復旧対応手順整備 Entry control ・・の脅威 Lost of important data due to a disaster 《情報改ざん》 Strengthening the information management Recovery Plan Cracker 事務室から ノートパソコン 紛失 • Experiment, knowledge, or knowhow are stored in Information system •The environment in which effective cooperation between Information system and business is performed is needed. • Business depends on Information system 機密情報の流出 個人情報漏洩 • 組織活動の根幹に関わる情 • 情報システムが取り扱う個人 報は、情報システムで管理さ れ活用される • 民間ではビジネスノウハウ、 行政においては各種機微な情 報が存在 • 信頼の形成 情報の流出リスクは年々拡大 されている • 一旦流出が起きれば、組織 運営に直接的なダメージ • 最近は「謝って済む話」では ない 運用リスク 活動能力への影響 • 安定かつ継続的な組織活動 には、安定したシステム運用 が求められる • 事業継続性の確保に情報シ ステムが大きく関与 • 機能しない組織であることが 許されるのか(特に行政) • 組織としての経験、知見、ノ ウハウは情報システムに蓄積 され活用される • 情報システムと業務の有機 的かつ効果的な連携が行わ れる環境が必須 • 仕事は情報システムに左右 される 9 リスク対策 Risk countermeasures リスクとは マネジメントの役割 どのようなリスク因子があるのか? そのリスク因子の発生頻度はどれぐらいか? そのリスク因子による被害はどれぐらいか? 様々なセキュリティ対策から適切な対策を選択 トレードオフの中で落としどころを決定 Role of management Make M k a selection l ti among various i security it countermeasures t Decides one point of compromise among tradeoffs What do we call risk? 損失や被害、その他望ましくない出来事の起こる可能性のこと 脅威の発生頻度や被害などを明らかにしたもの まず、リスク分析 マネジメントとの関係 Relationship with Management ? Potential of occurrence of a loss, damage, or any other negative things Clearing frequency of a risk and damage due to a risk ? Risk analysis is the first step B 10 What kind of risk factor does exist? How often does the risk factor occur? How large is the expected damage provoked by the risk factor? 11 A 12 2 人的・経済的コスト(導入・運用) Human and Economic Costs 導入コスト ユーザの利便性が低下するセキュリティ対策は多い 飛行機搭乗時のセキュリティチェック フィルタリングによるサイト単位の制限 情報漏洩防止のためにUSBメモリの利用禁止 → チェックが厳しいほど長蛇の列になる 機材・システムのメンテナンス・更新 機材 システムの ンテナンス 更新 対策を実施するユーザの負担 → Wikipediaへのアクセスが全面的に禁止されると不便 → データのやりとりが面倒に Initial costs 機材の購入・設置 / システムの変更・改善 対策を実施するユーザの教育 運用コスト 利便性の低下 Reduction usability To buy and install products Update and fix systems Education of operators Many security countermeasures reduce usability Operational costs Maintenance and upgrade systems Operators’ strains Security check at boarding gates: making a long line Filtering by the web sites: inconvenience to everyone when accessing Wikipedia Ban on using USB memory to prevent information leaking: difficult to exchange data 13 新しいリスクの発生 Occurrence another risk セキュリティ対策の選択 Selection of Security Countermeasures 対策を実施することで全く新しいリスクが生まれる可能性がある セキュリティ対策の高コストと利便性の低下などを許容できるか? セキュリティ対策の効果は十分か? To what extent can we allow our security countermeasure to be costly and to reduce usability? セキュリティ対策を利用した攻撃 • 所持そのものが違法な(麻薬,銃器類など)を送りつける or 押しつける セキュリティ対策を破るためのリスク • 銀行などで生体認証システムを採用すると職員自身に危険が及ぶ可能性が高くな る 14 セキュリティ対策がうまく機能しない場合のリスク • Blogのトラックバックスパムによって有害サイト認定され,フィルタリングされてしまう Unexpected risks may be occurred by security countermeasures Risks to break security countermeasure Attacks using security countermeasure Risks if security countermeasure faultily works 危機の発生率を十分に下げているか? 危機発生時の被害を食い止められるか? Can each stake holder accept it? Are cost and usability levels reasonable regarding risk? Is security countermeasure effectiveness sufficient? • Increase staff’s risks of falling among, if biometrics are employed at banks and so on 各登場人物が許容できるか? リスクに対して不当にコスト・利便性の低下が大きすぎないか? Do we reduce sufficiently the risk occurrence rate? Do we suppress damage when the risk occurs? トレードオフのバランスを考えてセキュリ ティ対策を選ぶ select security countermeasure by considering the trade-off balance • Sending something illegal (drugs, guns) • Filtering my blog site by trackback/comment 15 16 第3セットの概要 Overview of 3rd set 個人と社会のセキュリティ(2) The Security of Individuals and Society 個人と社会のセキュリティ 第3セットの構成 17 セキュリティを考える上でのステークホルダ(利害関係 者)について学ぶ ステークホルダ間の関係は? どのように ンセンサス(合意)を形成するか? どのようにコンセンサス(合意)を形成するか? デジタル通信時代の情報規制 デジタルコンテンツ管理 ←今日はココ! データプライバシ Information Control Digital Contents Management ←Today’s Topic! Data Privacy 18 3 デジタルコンテンツの市場規模 Market Size of a Digital Content デジタルコンテンツ管理 背景 インターネット上でのコンテンツ流通が一般的に コンテンツ複製コストの低下 • デジタルデータの複製 デジタルコンテンツ 音楽、画像、映像、文章... • 年々、市場規模は拡大 Background Digital content distribution become popular on the internet. The cost of content copy is decreased. • digital content copy Digital Content Music, Image, Movie, Text • The market is growing more every year. 19 デジタルコンテンツの市場規模 参照:財団法人日本デジタルコンテンツ協会 デジタルコンテンツの市場規模とコンテンツ産業の構造変化に関する調査研究報告書 知的財産権 Intellectual Property Right 実用新案権(実用新案法) 意匠権(意匠法) • 小説、論文、楽曲,絵画,映画,コンピュータプログラム等 Copyright (Copyright Act) Industrial property right Neighboring right Moral right of author Property right • • Right to make the work public Right to maintain integrity The author shall have the exclusive right to an authorization to exploit The author shall have the exclusive right to effect a public transmission of his work (including, in the case of automatic public transmission, making his work transmittable) 21 22 改正の要点 Points of the Revision 現状に即した法律へ Jun 12, 2009. published (effective date Jan 1, 2010.) Background Information and communication technology development ダウンロード違法化(第30条1項3号) 私的使用のための複製から下記が除外 違反者への罰則は規定されていない • “著作権を侵害する自動公衆送信を受信して行うデジタル方式の録音又は録画を、そ の事実を知りながら行う場合” 情報通信技術の発展 • 違法なデジタルコンテンツの流通 例) ファイル共有ソフト、動画共有サービス… イ 共有 ト 動画共有サ ビ • 従来の法律では対応できない "work" means a production in which thoughts or sentiments are expressed in a creative way and which falls within the literary, scientific, artistic or musical domain e.g. Novel, Research Paper, Music, Picture, Movie, Computer Program… • • 2009年6月12日 成立(2010年1月1日 施行) 改正の背景 ¾ 著作物の利用許諾、禁止に関する権利 著作物のインターネット上での配布は、公衆送信権に含まれる Authors rights Patent right (Patent Act) Utility model right (Utility Model Act) Design right (Design Act) Trademark right (Trademark Act) Holder of a breeder's right, Portrait rights 公開の有無の決定 著作物の内容等を改変されない権利 Work definition 育成者権、肖像権 著作権法の改正 Revised : Copyright Act 著作権(財産権) • • Another rights • • トレードマークを保護 その他の権利 著作者人格権 工業デザインの保護 “思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するものをいう。” 具体例 物品の形状に関わる考案を保護 著作者の権利 商標権(商標法) • 発明に対する権利/保護 • 著作物の定義(著作権法 第2条1項) 特許権(特許法) • 著作物の権利 著作隣接権 産業財産権 著作権とは What is a Copyright? 著作権(著作権法) 20 • 動画サイト等閲覧時のキャッシュは対象外 Download become Illegal (Article 30 ) In this revised, following case is excepted from reproduction for private use But, this article doesn’t have a penalty provision ①著作権侵害のアップロード 改正前:違法 改正後:違法 illegal site ②違法と知りながらダウンロード 改正前:ー 改正後:違法 • Illegal information distribution about a digital content on the internet. e.g. File sharing software, Video hosting service 文化庁HPより抜粋 http://www.bunka.go.jp/chosakuken/21_houkaisei.html 23 24 4 改正の要点 Points of the Revision 条約による保護 Protected by The Agreement 検索キャッシュ合法化(第47条の6関係) 検索事業者が日本国内にキャッシュサーバを置いても適法に • これまでは国外のサーバにWebのキャッシュ情報を保存 Search engine cache was legalized (Article 47) 文学的及び美術的著作物の保護に関するベルヌ条約(通称:ベ ルヌ条約) Search engine providers can set a cache server in Japan • Previously, search engine cache was saved a server that is located in foreign country • 同盟国が外国人の著作物を保護する場合に、自国民に与えている保護と 同等かそれ以上の保護を与えなければならない Web crawling The Berne Convention for the Protection of Literary and Artistic Works cache Server 1986年に作成 加盟国 164ヵ国(2009年現在) 内国民待遇 published on 1986 Total number of Contracting Parties : 164 (2009) Principle of national treatment • “Authors shall enjoy, in respect of works for which they are protected under this Convention, in countries of the Union other than the country of origin, the rights which their respective laws do now or may hereafter grant to their nationals, as well as the rights specially granted by this Convention.” cache Server 25 P2Pにおける著作権問題 Copyright Problems on a P2P P2Pファイル共有ソフト上での著作権の保持された音楽、映画、 ソフトウェアが共有 2004年5月9日 一審 審 京都地方裁判所 二審 大阪高等裁判所 music, movie and software that have a copyright are shared by a P2P file sharing 27 判決:有罪 著作権法違反の幇助により罰金150万円の有罪判決を言い渡した 判決:無罪 悪用される可能性を認識しているだけではほう助罪には足りず、専 ら著作権侵害に使わせるよう提供したとは認められない 現在 2009年10月21日 大阪高等検察庁は判決を不服として最高裁に上告 28 デジタル放送におけるコンテンツ保護 Content Protection on the Terrestrial Digital Broadcasting コンテンツ管理 従来:コピーワンス 現在:ダビング10、コピーワンス、録画不可、録画可能の 4方式で放送 放送 ステークホルダ Content Management 2003年11月27日 Sender Receiver Author of work 地上デジタル放送 Terrestrial Digital Broadcasting • 著作権侵害行為を幇助の疑いでWinny開発者の金子勇氏が逮捕 Problem 経緯 • 公衆送信権(著作権法)の侵害容疑で2名が逮捕 Stakeholder 配信者 受信者 著作権所有者 問題 事例 : Winny Case Study : Winny ステークホルダ 26 original 放送社、視聴者、受信機メーカ Past : Copy One Generation (COG) Current : Dubbing 10, COG, unrecordable, recordable データ再生の認証(B-CAS) Stakeholder データの複製 デジタル放送 Broadcast, Audience, Receiver Maker 29 30 5 アナログ放送とデジタル放送 Analog and Terrestrial Digital Broadcasting COG (Copy One Generation) アナログ放送の場合 日本独自のルール コンテンツのコピーを一回のみ許可 Move(コンテンツ移動)失敗の問題 Analog Broadcasting Internet デジタル放送の場合(COG)) デジタル放送の場合( アナログ放送(Analog) 品質が劣化しないデジタル録画も可能 コピー制限はなし 複製の品質,利便性が悪い no limitation for a copy quality and usability is not good デジタル放送 (Digital) local rule permit one time copy There is a problem of a copy failure 31 諸外国の状況 Situation in US 9回の複製 1回の移動 9 copies 米国: 有料放送メディアが発達している • 日本では無料放送メディアが主流 DMCA:デジタルミレニアム著作権法 米国のEPNを採用するのが本当に正しいのか? • 公共放送・無料放送にコピー制御をしてはいけない 1世帯の平均視聴者数 : 3人 一人の機器数上限 : 3台 audience : 3/home viewer/player equipments : 3/audiene デジタル放送 US : Wired broadcast media is under development DMCA : Digital Millennium Copyright Act ・・・ Now under consideration Family 1 move No copy control in the terrestrial digital broadcasting 一部,米国では検討されている • 32 COGからダビング10へ COG to Dubbing 10 地上放送にコピー制御はかけられていない Move Terrestrial Digital Broadcasting 9回のコピー • In Japan, free broadcasting is main stream • enforces copy control for public and free broadcasting. 1回のムーブ 33 クリエイティブコモンズ Creative Commons Google Book Search 全世界の本をデジタル化し自由に閲覧できるようにする試み ステークホルダ Google Book Searchにより得られた利益をどう分配するか? 最新の和解案 著作権者や出版社 : 63% Google : 37% This project try to liberalize the browsing of the whole world’s digitalized books. 完全な著作権保持と完全な著作権放棄の間を定義 CC define intermediate rights between “all rights reserved” and “no rights reserved” 種類 (Kind) 参加団体 Microsoft, Yahoo!, Amazon… 著作権者への対価 • • Very large digital library 表示(CC BY) 表示 改変禁止(CC BY 表示-改変禁止(CC BY-ND) ND) 表示-継承(CC BY-SA) 表示-非営利(CC BY-NC) 表示-非営利-改変禁止(CC BY-NC-ND) 表示-非営利-継承(CC BY-NC-SA) Stakeholder 著作権所有者との合意が問題に 他団体からの抗議 Open Book Alliance • Google, 出版社、著作権者、利用者 問題 大規模なデジタルライブラリ Google, Publisher, Author, User Problems agreement with authors Protest action Open Book Alliance compensation for author • • member : Microsoft, Yahoo!, Amazon… In current compromise settlement Author and Publisher : 63% Google : 37% 35 クリエイティブ・コモンズ 36 6 クリエイティブコモンズ Creative Commons RDF構文に基づいたメタデータの付与 構文 基 た タデ タの付与 • • インターネット上で、教材情報を公開するプロジェクト 参加校:大阪大学,京都大学,慶應義塾大学など License structure How do you think digital content rights should be? RDF structure This project makes learning materials available on the internet. Member:Osaka Univ.,Kyoto Univ.,Keio Univ. … JOCW : http://www.jocw.jp/ 37 最終課題(出題中) Final Project Dubbing10 Google Book Search Creative Commons 38 補足事項 Notes on the final project 情報セキュリティに対する2009年最大の脅 威を1つ挙げ,その脅威に関連するステーク ホルダを列挙した上で,対策を提案しなさい. Pick up one of the greatest threat of information security in 2009, enumerate stakeholders related to the threat and propose a solution. 対策はテクノロジと規則や規制などのルールを制定することの両側面か ら考えること 対策を実施するステークホルダは民間に限る acceleration of content digitalization users should respect the rights of a content. the creator of a content should define an appropriate compensation price. also, usability should be guaranteed. Is current approach correct? How should it be? JOCW (Japan Open Course Ware) • • copy and distribution cost is low online browsing is convenient for users • license article for a low Metadata • Examples Content management is becoming a problem on the internet display the right License • ダビング10 Google Book Creative Commons Commons certificate • コンテンツの権利を尊重 クリエーターが適切な対価を得られる環境 利用者の利便性を確保 現状 取り組 は 現状の取り組みは正しいか?どうあるべきか? か どうあるべきか JOCW (Japan Open Course Ware) コンテンツのデジタル化、配信を加速 コンテンツの権利はどうあるべきか? 実用例 デジタルコンテンツは、複写、配信にかかるコストが低い ネット上での閲覧・視聴が便利 • 法的に担保するライセンス条項 メタデータ • 著作権表示 ライセンス • インターネットの普及と共にコンテンツの管理が問題に コモンズ証 • ライセンスの構造 論点 Discussion Point Propose a solution in both of technology aspect & establishing rules Select stakeholder in private-sector business 公的機関が定める規則による対策として法律を制定したり,政府・省庁など による対策を提案する事はできない 提案した対策について,リスク・コスト・トレ 提案した対策について リスク・コスト・トレードオフの観点から合理性を ドオフの観点から合理性を 説明すること 対策を実施する事によるステークホルダ間の利害関係を説明すること You cannot propose a solution like establishment of laws or countermeasures of public-sector Explain rationality in perspective of risk, cost and tradeoff Explain stakes between each stakeholders caused by proposed countermeasure 39 40 今後の予定 次回中間発表について 12/3 課題の発表 2週間(12/10は通常授業) 12/17 中間発表 (来週!) 約1ヶ月(1/7は通常授業) 1/14 最終発表 発表概要 発表資料を12月15日 23:59までに提出 グループ分けされていない方は TA ([email protected]) まで 発表時間:5分 質疑応答:10分 資料提出の際に発表者を明記してください! [email protected] まで 件名:グループ<1-5> 中間発表資料 Microsoft PowerPoint形式(.ppt, pptx)で • 別形式の場合は早めにTAまで連絡を 41 42 7
© Copyright 2024 ExpyDoc
