情報セキュリティ: 2005年4月8日

q
q
情報セキュリティ
第1回:2005年4月8日(金)
q
q
この科目について

5セメスタ(3年次前期)の専門選択科目
q
q

担当者は村川猛彦(むらかわ たけひこ)
q

新課程科目で旧課程科目との対応がつけられていないもの…
旧課程学生がこれを単位取得すれば,専門選択科目として認
定する.(履修手引p.39)
情報通信システム学科以外の受講も歓迎
質問・相談は [email protected] へ
授業情報はWebで
q
http://www.wakayama-u.ac.jp/~takehiko/secu2005/
2
この科目で何を学ぶか

情報資産の守り方

キーワード
q
q
q
q
q
暗号系:古典暗号(単一換字暗号),秘密鍵暗号(DES,AES),
公開鍵暗号(RSA)
認証:ディジタル署名,一方向ハッシュ関数,PKI
個人・組織のセキュリティ:パスワード,セキュリティポリシー,
MSIS
システムセキュリティ:ファイアウォール,安全なアプリケーショ
ン開発
基礎:計算理論,暗号プロトコル
3
情報セキュリティは,なぜ学ぶことが多いのか?

システムの安全性は,その中の最も弱い箇所によって決ま
るから.

弱い箇所(the weakest link)の例
q
q
q
q
q
q
今となっては安全でない手法を使用
パスワードや鍵の杜撰な管理
身内に甘い運用
社内のセキュリティポリシーを一人で策定
内外をつなぐリンクが複数
電話一本即応答
4
情報セキュリティは何「ではない」か

ハッカーの養成ではない
q

暗号理論ではない
q

専門家だけのものではなく,パスワードなど,誰もが注意しない
といけない問題もある.
「理論」と「実装」と「運用」の一つでも不十分なシステムは,正し
く機能しない.
「破られたらおしまい」という考え方ではない
q
破られるのにどれだけのコストを必要とするかが安全性の尺度
となる.つまり,情報セキュリティは対象を定量的に取り扱える.
5
情報セキュリティを学ぶのに必要なもの

広く深い知識
q
q

思いやりの心
q
q

情報セキュリティは人の問題
「誰がいて,それぞれ何ができて何をしたいか」の分析が必須
ある種の数学
q

常にメンテナンス
知識を得るための知識も
離散数学,アルゴリズム理論,計算理論
プログラミングやインターネットの基礎知識
q
現在では必須
6
授業の進め方

教科書
q
q

教科書にない話にも触れる
q
q

結城浩, 『暗号技術入門―秘密の国のアリス』, ソフトバンクパ
ブリッシング, ISBN4797322977
第3回より使用.4月までに軽く読み通してほしい
可能な限りスライドを作って公開する
インターネット上の文書,ソフトウェアも活用する
予習・復習
q
q
予習は,教科書を読み通す以外,不要
復習は,しっかりやってほしい
7
成績評価の方法

レポート20点+期末試験80点=100点
q
q
q
q

昨年度実施した授業・試験の例
q

レポートは10点×2回
期末試験は,自筆ノートのみ持込可(教科書も不可)の予定
出席点なし
サイエンスコース/エンジニアリングコースの区別なし
http://www.wakayama-u.ac.jp/~takehiko/secu2004/
個別の点数照会には応じない
8
本日学ぶこと


「情報セキュリティ」とは
ユーザサイドのセキュリティ
9
情報セキュリティの三大要素

機密性(Confidentiality)…漏れない
q

完全性(Integrity)…書き換えられない
q


情報が整合性が取れて保存されている状態
可用性(Availability)…立入禁止にならない
q

許可されている人だけが情報にアクセスできる状態
必要な時に情報にアクセス出来る状態
定性的には,この3つをすべて満たすものが「安全(セキュア,
Secure)」
定量的に表現することもある
q
q
資産価値 = 機密性 + 完全性
資産価値 = 機密性 × 完全性
10
機密性・完全性・可用性

透明の封筒に入った情報
q

ホワイトボードにあれこれ書き込む
q

完全性を満たすが,機密性は満たさない
可用性を満たすが,完全性は満たさない
どこかの本に秘密のメモを挟み,忘れてしまう
q
機密性を満たすが,可用性は満たさない
11
ユーザサイドのセキュリティ



パスワード管理
計算機管理
ソーシャルエンジニアリング
12
パスワード管理

パスワードが知られると…
q

他人が自分の名前(ID)で入って悪さし放題
では,どうすればいいか?
q
q
q
良いパスワードを利用する
 「wakayama」や「20050408」は良いパスワード??
ときどき変更する
パスワード情報の管理方法を知っておく
 暗号化されているか?
 だれもがアクセスできる状態になっていないか?
13
計算機管理

計算機管理を怠ると…
q
q

ウイルスが蔓延する
で加害者
踏み台攻撃の被害者になる
では,どうすればいいか?
q
q
q
踏み台攻撃のイメージ
ウイルス対策ソフト(Anti-virus software)を入れる
Windows Updateなどによる更新をまめに実施し,
安全な(バージョンの)ソフトウェアを使う
異変に気づけば,まずネットワークの遮断
 LANケーブルを引っこ抜け!
14
ソーシャルエンジニアリング

ソーシャルエンジニアリングを知らないと…
q

ソーシャルエンジニアリングの例
q

機密情報やアクセス権限が奪われる
「ご利用のオンラインバンクですが,手違いでパスワードを消失
してしまいました.誠に申し訳ございませんが,http://~~/ にて,
再登録をお願いします.」というメール
では,どうすればいいか?
q
q
q
善意を装った情報収集,情報操作には応じない
保護すべき計算機や情報を把握しておく
日々ニュースを見聞きする
15
まとめ


情報セキュリティの三大要素は,機密性・完全性・可用性
情報セキュリティは専門家だけのものではなく,
ユーザサイドでもより安全にすることが可能
16