q q 情報セキュリティ第１回：２００５年４月８日（金） q q この科目について  ５セメスタ（３年次前期）の専門選択科目 q q  担当者は村川猛彦（むらかわたけひこ） q  新課程科目で旧課程科目との対応がつけられていないもの… 旧課程学生がこれを単位取得すれば，専門選択科目として認定する．（履修手引p.39）情報通信システム学科以外の受講も歓迎質問・相談は [email protected] へ授業情報はWebで q http://www.wakayama-u.ac.jp/~takehiko/secu2005/ 2 この科目で何を学ぶか  情報資産の守り方  キーワード q q q q q 暗号系：古典暗号（単一換字暗号），秘密鍵暗号（DES，AES），公開鍵暗号（RSA）認証：ディジタル署名，一方向ハッシュ関数，PKI 個人・組織のセキュリティ：パスワード，セキュリティポリシー， MSIS システムセキュリティ：ファイアウォール，安全なアプリケーション開発基礎：計算理論，暗号プロトコル 3 情報セキュリティは，なぜ学ぶことが多いのか？  システムの安全性は，その中の最も弱い箇所によって決まるから．  弱い箇所（the weakest link）の例 q q q q q q 今となっては安全でない手法を使用パスワードや鍵の杜撰な管理身内に甘い運用社内のセキュリティポリシーを一人で策定内外をつなぐリンクが複数電話一本即応答 4 情報セキュリティは何「ではない」か  ハッカーの養成ではない q  暗号理論ではない q  専門家だけのものではなく，パスワードなど，誰もが注意しないといけない問題もある．「理論」と「実装」と「運用」の一つでも不十分なシステムは，正しく機能しない．「破られたらおしまい」という考え方ではない q 破られるのにどれだけのコストを必要とするかが安全性の尺度となる．つまり，情報セキュリティは対象を定量的に取り扱える． 5 情報セキュリティを学ぶのに必要なもの  広く深い知識 q q  思いやりの心 q q  情報セキュリティは人の問題「誰がいて，それぞれ何ができて何をしたいか」の分析が必須ある種の数学 q  常にメンテナンス知識を得るための知識も離散数学，アルゴリズム理論，計算理論プログラミングやインターネットの基礎知識 q 現在では必須 6 授業の進め方  教科書 q q  教科書にない話にも触れる q q  結城浩, 『暗号技術入門―秘密の国のアリス』, ソフトバンクパブリッシング, ISBN4797322977 第３回より使用．４月までに軽く読み通してほしい可能な限りスライドを作って公開するインターネット上の文書，ソフトウェアも活用する予習・復習 q q 予習は，教科書を読み通す以外，不要復習は，しっかりやってほしい 7 成績評価の方法  レポート２０点＋期末試験８０点＝１００点 q q q q  昨年度実施した授業・試験の例 q  レポートは１０点×２回期末試験は，自筆ノートのみ持込可（教科書も不可）の予定出席点なしサイエンスコース／エンジニアリングコースの区別なし http://www.wakayama-u.ac.jp/~takehiko/secu2004/ 個別の点数照会には応じない 8 本日学ぶこと   「情報セキュリティ」とはユーザサイドのセキュリティ 9 情報セキュリティの三大要素  機密性（Confidentiality）…漏れない q  完全性（Integrity）…書き換えられない q   情報が整合性が取れて保存されている状態可用性（Availability）…立入禁止にならない q  許可されている人だけが情報にアクセスできる状態必要な時に情報にアクセス出来る状態定性的には，この３つをすべて満たすものが「安全（セキュア， Secure）」定量的に表現することもある q q 資産価値＝機密性＋完全性資産価値＝機密性 × 完全性 10 機密性・完全性・可用性  透明の封筒に入った情報 q  ホワイトボードにあれこれ書き込む q  完全性を満たすが，機密性は満たさない可用性を満たすが，完全性は満たさないどこかの本に秘密のメモを挟み，忘れてしまう q 機密性を満たすが，可用性は満たさない 11 ユーザサイドのセキュリティ    パスワード管理計算機管理ソーシャルエンジニアリング 12 パスワード管理  パスワードが知られると… q  他人が自分の名前（ＩＤ）で入って悪さし放題では，どうすればいいか？ q q q 良いパスワードを利用する  「wakayama」や「20050408」は良いパスワード？？ときどき変更するパスワード情報の管理方法を知っておく  暗号化されているか？  だれもがアクセスできる状態になっていないか？ 13 計算機管理  計算機管理を怠ると… q q  ウイルスが蔓延するで加害者踏み台攻撃の被害者になるでは，どうすればいいか？ q q q 踏み台攻撃のイメージウイルス対策ソフト（Anti-virus software）を入れる Windows Updateなどによる更新をまめに実施し，安全な（バージョンの）ソフトウェアを使う異変に気づけば，まずネットワークの遮断  ＬＡＮケーブルを引っこ抜け！ 14 ソーシャルエンジニアリング  ソーシャルエンジニアリングを知らないと… q  ソーシャルエンジニアリングの例 q  機密情報やアクセス権限が奪われる「ご利用のオンラインバンクですが，手違いでパスワードを消失してしまいました．誠に申し訳ございませんが，http://～～/ にて，再登録をお願いします．」というメールでは，どうすればいいか？ q q q 善意を装った情報収集，情報操作には応じない保護すべき計算機や情報を把握しておく日々ニュースを見聞きする 15 まとめ   情報セキュリティの三大要素は，機密性・完全性・可用性情報セキュリティは専門家だけのものではなく，ユーザサイドでもより安全にすることが可能 16