ネットワーク社会における セキュリティの重要性 大阪市立大学 創造都市研究科 都市情報学 情報基盤研究分野 学術情報総合センター 中野秀男 [email protected] http://www.media.osaka-cu.ac.jp/~nakano/ October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 全体の構成 インターネット/インターネット技術 情報ネットワーク セキュリティとは セキュリティの層 個別(アプリケーション)のセキュリティ セキュリティ管理 情報通信倫理 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 インターネット概論 インターネットの歴史 1970(ARPANET)-1983(TCP/IP,The Internet)1990,1993(商用利用可)-現在:あって当たり前 インターネット技術の変移:技術→利用→文化 1.電子メール、ファイル転送、電子ニュース 2.WWW system(ホームページ) Web-based system 3.インターネット放送, インターネット会議 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 インターネットの現状 キャリアとコンテンツの住分け 通信媒体と中身 キャリアとしてのインターネット 情報発信・共有・交換としてのインタ-ネット 新しい問題点を解決しながら前進 通信料金 セキュリティ・プライバシ・倫理 ビジネスモデル October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 情報システム 目的に合わせたコンピュータとソフトウェア いろいろな組み合わせ 大型汎用計算機と業務端末 UNIX系サーバとPC端末 WindowsNTサーバとWindows95,98,2K端末 集中、分散、アウトソーシング CPU,ファイル,I/O オープン系、クローズ系、官と民 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 セキュリティ セキュリティは計れる オープンシステムの脆弱性 ハッカーではなくクラッカー:レベル1,2,3 増え続けるアタック SPAM、SPAMの踏み台攻撃 ホームページの書き換え コンピュータ・ウィルス 簡単になる攻撃、難しくなる防御 Tiger Team(外部監査チーム) IDS(侵入検知システム) October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 インターネットのセキュリティ 攻められながら改善されている セキュリティ x 利便性 = 技術力 x 運用力 守るツールと破るツールは表裏一体 アクセスコントロールと個人識別 CERT advisory ファイアウォール(防火壁) SOHO時代のセキュリティ技術 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 セキュリティ対策は 1.技術 2.規則、法律 3.モラル、倫理、教育 保険もあります October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 暗号について 目的: データの秘匿化と認証 専門家: 研究と実践 種類: 慣用暗号と公開鍵暗号 暗号の強さ: 解読に要するリソース量 理論から実践へ 慣用暗号と公開鍵暗号 慣用暗号: 鍵をすべて秘密にする 公開鍵暗号: 片方の鍵を公開 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 サーバ・クライアント クライアント(マシン、ユーザ)を信用するか 知識だけがあるユーザが増えた サーバ・マシンを信用するか CRACK版のコマンド 3tierモデル Netscape - WWW server – Database 最近はP2Pモデル:Peer to Peer October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 対象と守るべきもの 対象 ネットワーク管理者 ユーザ 守るべきもの セキュリティ プライバシー 大事な情報通信倫理 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 認証 カテゴリー ユーザ~ホスト間 ホスト~ホスト間 ユーザ~ユーザ間 要素 身体情報(Something You Are) 知っている事(Something You Know) 持っているもの(Something You Have) October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 パスワード(1) Bad Password 辞書に載っている単語は使わない CRACK攻撃 Good Password 文章の単語の頭文字に数字記号を挿入 8文字のパスワードの弱さ そろそろPass-phrase October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 パスワード(2) 自分のファイルが破壊されるだけでない 利用される踏み台攻撃 組織内では適正な指導を パスワードのない人は使用禁止 パスワードの見えるtelnet これからはパスワードとICカードか? 増える One time password October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 セキュリティ・ホール セキュリティ的な対策がされていない穴 CERTから報告されている Computer Emergency Response Team 良く使われているものほどアタックされる 報告された穴は塞ぐ 表裏一体のセキュリティ監視ソフト CRACK,ISS,SATAN October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 セキュリティの層(ネットワーク) 1層:物理的なセキュリティ 2層:1つのネットワークでのセキュリティ 3層:コンピュータ間のセキュリティ 4層:プログラム間で共通なセキュリティ 5層:セッション毎のセキュリティ 6層:文字列、画像等のセキュリティ 7層:特定のプログラム間のセキュリティ October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 物理的なセキュリティ(環境) 火災・煙・ほこり(ファン) 地震(阪神淡路大震災) 爆発(阪大爆発事件) 温度の上昇と下降 虫(小さな虫) 電気ノイズ(電源ON/OFF) 雷(廊下にイーサ) 湿気・水(コーヒー)・飲食物(煎餅等) October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 物理的なセキュリティ(破壊欲) ネットワーク・ケーブル ネットワーク・コネクタ 部屋の無断侵入 機器の持ち出し October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 物理的なセキュリティ(盗聴) ワイヤによる盗聴(passive,active) イーサネットでの盗聴 対策:Secure IP(暗号化) 無線による盗聴 端末の補助ポート 電磁波漏れ ディスプレー、プリンタケーブル October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 IP/TCP層におけるセキュリティ Ping of Death(大きなPINGパケット) ネットワーク・スヌーピング(覗き見) メッセージ応答を記録して後から不正使用 メッセージ変更 メッセージ遅延と拒否 アドレス・マスカレーディング ルーティング攻撃 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 アプリケーションのセキュリティ SMTP(電子メール):成りすまし POP(電子メールの受信) NNTP(電子ニュース):INN攻撃 WWWシステム(サーバとブラウザ) telnet(遠隔端末):パスワードが見える SSL Telnet や ssh(secure shell) TCP Wrapper October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 暗号化電子メール 本文の秘匿化 本文の認証(書き換え防止) 発信者の認証(なりすまし防止) 代表的な暗号化電子メール PEM(Privacy Enhanced Mail) PGP(Pretty Good Privacy) でも最後は人と人の信頼関係 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 WWWのセキュリティ セキュアソケット層(SSL) セキュアHTTP(S-HTTP) WWWブラウザのセキュリティ 保護なしフォームの提出の問題 java等のセキュリティホール ホームページの書き換え バッファーオーバーフロー攻撃 これからは商取引に October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 大阪市立大学の場合(1) 全学のファイアウォールはPacket Filtering 各部局はそれに準じるかきつく OCUNET運用の指針に明記 教員や研究目的は基本的にフリー 情報処理教育システムは学内のみ到達 WWWはProxy Serverでカバー October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 大阪市立大学の場合(2) 学術情報総合センター内は機能毎にフィ ルター 一部の業務は物理的に別のネット パスワードのないアカウントは認めない ネットワーク上での問題は トラフィックの運用上の問題以外は 当該の部局や委員会で対応 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 セキュリティ管理 組織内の規則とガイドライン 階層的セキュリティ管理 外からのアタックと、内からの情報漏れ 外からのアタックと、内の犯罪者 ログと情報収集(security hole) SOHO環境でのセキュリティ管理 公開の場でのセキュリティ管理 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 トータルなセキュリティ セキュリティ x 利便性 = 1 セキュリティ x 利便性 = 技術力 セキュリティ x 利便性 = 技術力 x 運用力 セキュリティ x 利便性 = 技術力 x 気力 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性 情報倫理 倫理基準は時代とともに変わる ホームページの著作権 カード時代におけるセキュリティと倫理 不幸のメール: chain mail 匿名通信 プライバシーの保護 October/22/2003 ネットワーク社会におけるセキュリ ティの重要性
© Copyright 2024 ExpyDoc
