情報セキュリティ読本 情報セキュリティ読本 - IT時代の危機管理入門 - プレゼンテーション資料 (第5章 もっと知りたいセキュリティ技術) 情報セキュリティ読本 – プレゼンテーション資料 - 1 第5章 もっと知りたいセキュリティ技術 1. アカウント、ID、パスワード 2. ポートと脆弱性 3. ファイアウォール 4. 暗号とディジタル署名 情報セキュリティ読本 – プレゼンテーション資料 - 2 第5章 1. アカウント、ID、パスワード 1) パスワードの重要性 2) パスワードクラッキング 3) パスワードを保護するための対策 4) さまざまな認証方式 情報セキュリティ読本 – プレゼンテーション資料 - 3 第5章 > 1. アカウント、ID、パスワード 1) パスワードの重要性 • • • • • ID: ユーザが誰であるかを識別 パスワード: 本人であることを確認 大原則「パスワードは本人しか知らない」 パスワードが漏えいした瞬間から、システ ムやネットワークが脅威にさらされる パスワードは、ユーザが思っている以上 に重要なもの 情報セキュリティ読本 – プレゼンテーション資料 - 4 第5章 > 1. アカウント、ID、パスワード 2) パスワードクラッキング • パスワードクラッキングの種類 – 本人から入手(ソーシャルエンジニアリング) – パスワードを推測 – パスワードファイルを解析する(不正なツール を使用) • 辞書攻撃 、ブルートフォース攻撃など ⇔用語集p.125(辞書攻撃)、p.130 (ブルートフォース) 参照 – 盗聴する 情報セキュリティ読本 – プレゼンテーション資料 - 5 第5章 > 1. アカウント、ID、パスワード 3) パスワードを保護するための対策 • 強度が高い(推測しにくい)パスワードを使用する – – • 定期的にパスワードを変更する – • 長くする、生年月日・電話番号・愛称などは避ける 大文字・小文字・数字・記号を組み合わせる 初期パスワードをそのまま使わない 絶対に人に教えない – – 管理者などから問われることはない アカウントの貸し借りはしない 例:パスフレーズによる設計(好きなフレーズをもとに変換) パスフレーズ「JINSEI IROIRO」 パスワード 「J#NS2R&R」 母音を抜き記号や数字を挿入 情報セキュリティ読本 – プレゼンテーション資料 - 6 第5章 > 1. アカウント、ID、パスワード 4) さまざまな認証方式 • 本人しか知らない情報を入力 – パスワード • 本人固有の持ち物を使用 – トークン(ワンタイムパスワード生成装置) – スマートカード等 • 本人の身体的特徴で識別 – バイオメトリック認証(指紋など) ⇔用語集p.132(ワンタイムパスワード)、p.126 (スマートカード) p.128(バイオメトリック認証)参照 情報セキュリティ読本 – プレゼンテーション資料 - 7 第5章 2. ポートと脆弱性 (1) • ポート(80番、25番、110番等) – インターネットで特定のサービスを通信させる ための識別番号 • プロトコル(HTTP、SMTP、POP3等) – サービスを提供するための約束ごと • 例: – WWWプロトコル(HTTP)→ポート80番 – メール送信プロトコル(SMTP)→ポート25番 – メール受信プロトコル(POP3)→ポート110番 情報セキュリティ読本 – プレゼンテーション資料 - 8 第5章 2. ポートと脆弱性 (2) ポートとプロトコル 情報セキュリティ読本 – プレゼンテーション資料 - 9 第5章 2. ポートと脆弱性 (3) • ポートが開いていると・・・ – 提供しているサービスがわかる – 開いているポートを悪用して侵入・攻撃 – 脆弱性があると、さまざまな被害を受ける(ウ イルス感染、操作権限の奪取、DoS攻撃を仕 掛けるプログラムの埋め込みなど) 対策: • 使わないポートは閉じる • パッチを適用し脆弱性をふさぐ 情報セキュリティ読本 – プレゼンテーション資料 - 10 第5章 3. ファイアウォール 1) ファイアウォールとは? 2) ファイアウォールの構成 3) パケットフィルタリング、アプリケーション ゲートウェイ、プライベートアドレス 4) ネットワークアドレス変換技術(NAT) 5) DMZ 6) ファイアウォールの落とし穴 7) パーソナルファイアウォール 情報セキュリティ読本 – プレゼンテーション資料 - 11 第5章 > 3. ファイアウォール 1) ファイアウォールとは? • インターネットと内部ネットワーク(LAN)の 境界線上で、アクセス制御を行う装置 【ファイアウォールの主な機能】 – – – – 外部との出入口を絞る 内部ネットワーク(LAN)の構造を外部に見せない 外部からの不正なアクセスを排除 必要なアクセスだけを通過させる 情報セキュリティ読本 – プレゼンテーション資料 - 12 第5章 > 3. ファイアウォール 2) ファイアウォールの構成 基本的なファイアウォールの構成 情報セキュリティ読本 – プレゼンテーション資料 - 13 第5章 > 3. ファイアウォール > 3)パケットフィルタリング、アプリケーションゲートウェイ、 プライベートアドレス 3) パケットフィルタリング パケットの情報に基づいて、通過させるパケットと通過させない パケットを選別。通常は「通過を許可するパケットだけを指定」。 情報セキュリティ読本 – プレゼンテーション資料 - 14 第5章 > 3. ファイアウォール > 3)パケットフィルタリング、アプリケーションゲートウェイ、 プライベートアドレス 3) アプリケーションゲートウェイ • アプリケーションプロトコルに基づいてアクセ スを制御する – 例: HTTP(Webアクセス)、FTP(ファイル転送)、 POP(メール受信)、SMTP(メール送信)など • アプリケーションプロトコルごとに許可/禁止を 制御可能 情報セキュリティ読本 – プレゼンテーション資料 - 15 第5章 > 3. ファイアウォール > 3) パケットフィルタリング、アプリケーションゲートウェイ、 プライベートアドレス 3) プライベートアドレスの割り当て • グローバルアドレス – インターネットに接続する各機器に一意に割り当 てられたIPアドレス • プライベートアドレス – 組織や会社内の閉じられた空間で独自に割り当 てられたIPアドレス – そのままではインターネットにアクセスできない – 外部からアクセスされない利点もある 情報セキュリティ読本 – プレゼンテーション資料 - 16 第5章 > 3. ファイアウォール 4) ネットワークアドレス変換技術(NAT) (1) • • 内部のプライベートアドレスをグローバル アドレスに変換し、インターネットへのアク セスを可能にする技術 利点 – 限られたグローバルアドレスの有効活用 – 内部情報を隠す – 外部からの不正アクセスを防ぐ 情報セキュリティ読本 – プレゼンテーション資料 - 17 第5章 > 3. ファイアウォール 4) ネットワークアドレス変換技術(NAT) (2) ネットワークアドレス変換(NAT:Network Address Translation) 情報セキュリティ読本 – プレゼンテーション資料 - 18 第5章 > 3. ファイアウォール 5) DMZ (DeMilitarized Zone:非武装地帯) 外部のインターネットと内部のLANの間に緩衝地帯を設け、 公開サーバを設置 情報セキュリティ読本 – プレゼンテーション資料 - 19 第5章 > 3. ファイアウォール 6) ファイアウォールの落とし穴 • ファイアウォールも万全ではない – 例: DoS攻撃やウイルスは防げないこともある • 過信せずにあらゆるセキュリティ対策を行う ことが肝要 情報セキュリティ読本 – プレゼンテーション資料 - 20 第5章 > 3. ファイアウォール 7) パーソナルファイアウォール(1) • インターネットに常時接続する個人ユーザ に効果的 • さまざまな製品が発売されている – ウイルス対策ソフトウェアと組合せたもの等 • Windows XPの簡易ファイアウォール機能 情報セキュリティ読本 – プレゼンテーション資料 - 21 第5章 > 3. ファイアウォール 7) パーソナルファイアウォール(2) 自分が攻撃して しまう場合 通常利用 インターネット 利用者 侵入者 攻撃や不正な アクセスを制限 パーソナル ファイアウォール 情報セキュリティ読本 – プレゼンテーション資料 - 22 第5章 4. 暗号とディジタル署名 1) 暗号技術とは 2) ディジタル署名とは 3) 認証局とは 4) 身近に使われている暗号技術 情報セキュリティ読本 – プレゼンテーション資料 - 23 第5章 > 4. 暗号とディジタル署名 1) 暗号技術とは • • • • 暗号化、復号、鍵 共通鍵暗号方式 公開鍵暗号方式 共通鍵方式と公開鍵方式の組み合わせ (ハイブリッド暗号方式) 情報セキュリティ読本 – プレゼンテーション資料 - 24 第5章 > 4. 暗号とディジタル署名 > 1)暗号技術とは 暗号化、復号、鍵 (1) • • • 暗号化: 特定の法則に基づいてデータを 変換し、第三者に内容を知られないように すること 暗号化、復号、平文、暗号文、アルゴリズ ム、鍵などの用語を理解したい ⇔用語集p.129(復号) 共通鍵暗号方式と公開鍵暗号方式の2つ が使用されている 情報セキュリティ読本 – プレゼンテーション資料 - 25 第5章 > 4. 暗号とディジタル署名 > 1)暗号技術とは 暗号化、復号、鍵 (2) 例 ひらがな(あいうえお・・・)の各文字を3文字後ろにずらす 暗号化 あした 平文 えそて 復号 暗号文 3文字後ろにずらす アルゴリズム 鍵 情報セキュリティ読本 – プレゼンテーション資料 - 26 第5章 > 4. 暗号化とディジタル署名 > 1)暗号技術とは 共通鍵暗号方式 • 共通鍵暗号方式 – – 暗号化と復号(元の状態に戻すこと)に「同じ鍵」を 使用する 暗号化 同じ鍵=共通鍵 Password is AAA Y/K0pQ n]*+1?.. A さん 同じ鍵を使用=共通鍵 B さん Password is AAA Y/K0pQ n]*+1?.. 復号 例: DES、トリプルDES、AES、MISTY1、Camellia など ⇔用語集p.120(DES)、p.127 (トリプルDES)、p.120(AES) p.121(MISTY1)、p.120 (Camellia)参照 情報セキュリティ読本 – プレゼンテーション資料 - 27 第5章 > 4. 暗号化とディジタル署名> 1)暗号技術とは 公開鍵暗号方式 (1) • • • 秘密鍵と公開鍵の2本の鍵(ペア)を使用 公開鍵を使用して暗号化し、秘密鍵で復 号する 「公開鍵と対になっている秘密鍵を使用し ないと復号できない」ことがポイント ↓ その秘密鍵を持つ人だけが復号可能 情報セキュリティ読本 – プレゼンテーション資料 - 28 第5章 > 4. 暗号化とディジタル署名> 1)暗号技術とは 公開鍵暗号方式 (2) 秘密鍵と公開鍵 公開鍵で 暗号化 Password is BBB12345 秘密鍵で 暗号化 iID?Y2cO4/ VD2=Yx4o.. 秘密鍵だけで 復号可能 Password is BBB12345 D1pr5/GG?t YjTb$a4Kv.. 公開鍵だけで 復号可能 秘密鍵と公開鍵のペア (他のどの鍵ともマッチ ングしない一意のペア) 秘密鍵 公開鍵 情報セキュリティ読本 – プレゼンテーション資料 - 29 第5章 > 4. 暗号化とディジタル署名 > 1)暗号技術とは 公開鍵暗号方式 (3) 公開鍵暗号方式による通信 B さん B さん 復号 Password is AAA 秘密鍵と公開鍵を作成し、 公開鍵を送信 A さん 秘密鍵を使用して復号する A さん Password is AAA 公開鍵を受け取る Y/K0pQ n]*+1?.. 暗号化 Y/K0pQ n]*+1?.. 公開鍵を使用して暗号化し、送信 例: RSA、Diffe-Hellmanなど(一般的にRSA)が使用される 情報セキュリティ読本 – プレゼンテーション資料 - 30 第5章 > 4. 暗号化とディジタル署名 > 1)暗号技術とは 共通鍵方式と公開鍵方式の組み合わせ • 共通鍵暗号方式 – 最初の鍵の受け渡しが弱点 • 公開鍵暗号方式 – 暗号化と復号に時間がかかる • 2つを組み合わせることで弱点を克服 – 最初に公開鍵暗号方式で共通鍵を送り、以 降は共通鍵で暗号化/復号 情報セキュリティ読本 – プレゼンテーション資料 - 31 第5章 > 4. 暗号化とディジタル署名 2) ディジタル署名 • • 送信者が本人であり、送信内容が改ざん されていないことを証明する仕組み 公開鍵暗号方式に基づいて本人を識別 – 公開鍵で復号できる → 対応する秘密鍵を 持つ本人から送られたことが証明される • ハッシュ関数によるメッセージダイジェスト で改ざんを検証 情報セキュリティ読本 – プレゼンテーション資料 - 32 第5章 > 4. 暗号化とディジタル署名 3) 認証局とは (1) • • 公開鍵暗号方式は優れた仕組みだが、なりす ましを防げない 第三の機関を設け、公開鍵の正当性を証明す る=認証局 認証機関 公開鍵、その他の情報 ユーザ 公開鍵証明書 公開鍵、その他 の情報 公開鍵証明書 ユーザ 情報セキュリティ読本 – プレゼンテーション資料 - 33 第5章 > 4. 暗号化とディジタル署名 3) 認証局とは (2) 公開鍵証明書の利用 B さん A さん 公開鍵証明書を取得し、送信 認証機関の公開鍵を使用して確認 の上、公開鍵を取り出す B さん Password is AAA A さん 復号 Y/K0pQ n]*+1?.. 秘密鍵を使用して復号する 暗号化 Y/K0pQ n]*+1?.. Password is AAA 公開鍵を使用して暗号化し、送信 情報セキュリティ読本 – プレゼンテーション資料 - 34 第5章 > 4. 暗号とディジタル署名 4) 身近に使われている暗号技術 • • WWWでの暗号化 暗号化メール – PGP – S/MIME • 携帯電話やICカードで利用される 暗号技術 情報セキュリティ読本 – プレゼンテーション資料 - 35 第5章 > 4. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 WWWでの暗号化(SSL) • HTTPプロトコルではデータが暗号化されず そのまま流れる – 盗聴などデータ漏えいの危険性 • • データを暗号化して送受信=SSL SSLでの通信は Webブラウザで 確認できる 情報セキュリティ読本 – プレゼンテーション資料 - 36 第5章 > 4. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 暗号化メール • 暗号化メールにより、電子メールの安全 性が高まる – 盗聴の防止 – 改ざんの検証 – なりすましの防止 • 幅広く使用されている方式 – PGP – S/MIME 情報セキュリティ読本 – プレゼンテーション資料 - 37 第5章 > 4. 暗号化とディジタル署名 > 4)身近に使われている暗号技術 携帯電話やICカードで利用される暗号技術 • SSL対応のWWWサーバへアクセスでき る携帯電話 – 高度な暗号技術を使用したWWWサーバの 認証やディジタル署名の利用が可能 – セキュリティ面での信頼性が向上 • ICカード – 暗号鍵を搭載できるので安全性が高い – クレジットカード、住民基本台帳カードなど 情報セキュリティ読本 – プレゼンテーション資料 - 38 本資料の利用条件 1. 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい ただいても結構です。 3. 営利目的の使用はご遠慮下さい。 4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは 行っていただいて結構です。 5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は ありません。 なお、参考までに、 [email protected] まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。 情報セキュリティ読本 – プレゼンテーション資料 - 39
© Copyright 2024 ExpyDoc
