サイバーセキュリティ 基礎論 1 ― IT社会を生き抜くために ― 7.設定 サイバーセキュリティ基礎 2 設定 個人でできるサイバーセキュリティ対策を知る 情報機器そのものを守ること サービスに提供した自分の情報などを守ること ネット上を流れる情報を盗聴されないためにで きること 無線LANの概略 暗号化通信の概略 サイバーセキュリティ基礎 3 ネットワークの例 データ センタ サーバ インターネット 九州大学 自宅など 無線LAN サイバーセキュリティ基礎 利用者 の情報 ... ... 4 攻撃の例 偽サイト データ センタ サーバ インターネット 九州大学 自宅など 無線LAN 盗難 サイバーセキュリティ基礎 乗っ取り 利用者 の情報 ... ... 5 できるところから対策 データ センタ サーバ インターネット 九州大学 自宅など 無線LAN 個人でも対策可能な所 サイバーセキュリティ基礎 利用者 の情報 ... ... 6 何が守れるのか? 情報機器そのもの 自分のパソコン・スマホとその内容 より安全な使い方 サービス側にある情報 「アカウント」の保護 ネット上で受け渡される情報 無線LANの安全性について サーバ・クライアント間の暗号化について サイバーセキュリティ基礎 7 手元の端末を守る サイバーセキュリティ基礎 8 情報機器を守る 盗難・紛失対策 他人に操作されないようにする パスコード・パスワードでのロック 内部データの暗号化 「iPhoneを探す」などのサービス 乗っ取られると悪用される危険はある 「悪意のあるソフトウェア(マルウェ ア)」対策 malware = malicious software サイバーセキュリティ基礎 9 パスワードロック Windows・Mac等のパソコンの場合 自分のユーザにパスワードを設定 スクリーンセーバや画面を閉じた時にロックされる ように設定 一定時間触らないとロックがかかるように設定 起動時の自動ログインはしない めんどくさい!と思うかもしれないが、それが 普通になるように習慣づけるべき ロックしないのは自分の自転車に鍵をかけずに道端 に放置するようなもの サイバーセキュリティ基礎 10 Windows 7 の例 サイバーセキュリティ基礎 11 パスコード・パスワードロック スマートフォンはパスコード等を設定する 4桁の数字でもいいがパスワード文字列の方がよ り強固 面倒だが設定していないと盗難・紛失時に厄介 ロックを外されると「なりすまし」で被害が拡大 指紋認証機能などがあれば活用する パターンロックは画面に残る指の跡からバレるお それがあるので注意する サイバーセキュリティ基礎 12 iPhone 5s の例 サイバーセキュリティ基礎 13 「マルウェア」 コンピュータウイルスなど、悪意のある活 動をするソフトウェアの総称 利用者をだましたり、気づかないうちにパソコン 等に入り込んで実行 情報を盗む クレジットカード・オンラインバンキング ソフトウェアのライセンスキー いろいろなサービスのログイン情報 外部に迷惑メールを送信する 他のパソコン等にさらに侵入を広げる サイバーセキュリティ基礎 14 マルウェア対策(1) ウイルス対策ソフト 基本的には「既知」のウイルスしか検知しない 新種の出現が早くなり有効性は低下 対策ソフトの更新が追いつかない 半分くらいしかひっかからないという報告もあり しかし何もしないよりはいい ただし過信してはいけない 「検知されなかったから開いていい」わけではない そもそも危ないファイルを扱わないような心がけ 全学ソフトウェアを利用 http://soft.iii.kyushu-u.ac.jp/a-virus/ サイバーセキュリティ基礎 15 サンドイッチテスト このサンドイッチ、食べても大丈夫? 自分で作ったサンドイッチ コンビニで買ったサンドイッチ 友達からもらったサンドイッチ 知らない人からもらったサンドイッチ 公園で拾ったサンドイッチ いろいろな状況を想像してみる サンドイッチを、アプリやソフトウェア、メールの添付ファイ ルなどに置き換えて考える サイバーセキュリティ基礎 16 携帯・スマホ・タブレットは? iOS(iPhone・iPad・iPod touch) 仕組み的に対策ソフト自体がほとんど無い App Storeは事前審査が厳しい(と思われている) マルウェアが存在しないわけではない App Store以外からは通常アプリは導入できない Android ウイルス対策ソフトはあるが、実効性は疑問 Google Play Storeの事前審査は甘い 設定によりGoogle Play Store以外からもアプリが導入可 能 自己責任 サイバーセキュリティ基礎 17 マルウェア対策(2) ソフトウェアには「バグ」(プログラムの 誤り)がつきもの 人間が作るものだから 多くのマルウェアは「バグ」を利用して攻 撃・侵入する 特に攻撃に利用可能な「バグ」を「脆弱性」 通常、脆弱性は見つかると修正される 修正版に更新することで攻撃されにくくなる サイバーセキュリティ基礎 18 ソフトウェア更新 Window、Mac OS などの基本ソフトウェア (OS = Operating System)は常に最新版に Windows Updateなどのソフトウェア更新機能 特に攻撃に利用されやすいソフトウェアに注意 Oracle Java Adobe Acrobat Reader Adobe Flash Player Microsoft Office サイバーセキュリティ基礎 19 携帯・スマホ・タブレットは? iOS(iPhone・iPad・iPod touch) Appleが不定期に更新 旧世代の端末も数年間は対応 Android 大元の開発はGoogleだが機種毎に改造 携帯キャリアやメーカーがアップデートを提供し てくれることを祈る あまり長期間は期待できない… ガラケーはそもそも攻撃対象になりにくい サイバーセキュリティ基礎 20 サーバ上にある情報を守る サイバーセキュリティ基礎 21 「アカウント」の保護 「アカウント」 情報システムを利用する「権利」のこと 利用者の様々な情報が紐づく 個人の識別 個人情報の蓄積 利用履歴 アカウント名(ユーザ名・ユーザID)とパス ワードの組での保護が一般的 そのアカウントの正当な利用者だけが知っているは ずの情報 サイバーセキュリティ基礎 22 パスワード 「部屋の鍵」「車の鍵」のようなもの 内容が漏れるとアカウントを勝手に利用される 現実の部屋や車と違って地球の裏側からでも いろいろな攻撃方法がある 総当り 辞書攻撃 盗聴 サイバーセキュリティ基礎 23 パスワードの複雑さ 数字4桁 104 = 10,000通り 英数字8文字(大文字小文字を区別) 628 = 218,340,105,584,896通り (218兆) 英数字記号8文字(使える記号によるが一例) 968 = 7,213,895,789,838,336通り (7,210兆) 「総当り」攻撃への耐性が違う 使える文字が多く、長いほど強い 盗聴の場合はどんなに複雑でも無駄 ウイルス感染等によりキー入力を盗まれることも サイバーセキュリティ基礎 24 辞書攻撃 全ての組み合わせを試すのは時間がかかる よく使われるパスワードを集めたリストを使う 英単語・氏名 なんらかの理由で漏洩したパスワードリスト 世界中で最も使われているパスワード 「123456」「password」「qwerty」「abc123」 使わないように! サイバーセキュリティ基礎 25 使い回し問題 複雑なパスワードはたくさん覚えられない 同じパスワードを使いまわしたくなる メールアドレスで登録など、IDも使いまわ すケースが多い 結果、1つ漏れたら他のサービスも破られる サイバーセキュリティ基礎 26 使い回し問題 [email protected] password 漏洩 Google [email protected] password Facebook [email protected] password iCloud [email protected] password サイバーセキュリティ基礎 Dropbox 27 使いまわさない工夫 全部を覚えないでいいようにルールを作る 数文字の固定文字列に、サービス名などから連想 される文字列を少し足す、など しかし全部脳内で済ますのは限界…… サイバーセキュリティ基礎 28 機械に覚えさせる ブラウザの保存機能は使うな、という意見もある そのPCが他人に操作されるとまずい 保存したデータを吸い取るウイルスもある 覚えられずに同じパスワードを使いまわすのとどち らがリスクが高いだろう? パスワード管理ソフトを使う手もある Lastpass, 1Password, KeePass 等々 ランダムパスワード自動生成と併用すると強い 元データを失うと自分ではパスワードがわからなくなる サイバーセキュリティ基礎 29 2要素認証 認証に2つ以上の情報を使用する ユーザのみ知っている情報 → パスワード ユーザのみ持っているもの → スマホ スマホに・・・ サーバから1回限りのパスワードをSMSで受信 アプリで1回限りのパスワードを生成 Google, Facebook, Dropboxなどメジャーな サービスが対応 サイバーセキュリティ基礎 30 2要素認証の様子 ID yourid Password ******** 追加の画面 2-step verification Enter the verification code 574834 サイバーセキュリティ基礎 31 通信経路を守る サイバーセキュリティ基礎 32 無線LAN(Wi-Fi)について 皆さんが使っているパソコンをネットワー クに接続している仕組み スマートフォンや携帯の「3G」とか「4G」 とか「LTE」とか「Xi」とかとは別の仕組み ほとんどのスマートフォンは両方使える 「ガラケー」では使えないことが多い 扇型のマークで表現されることが多い サイバーセキュリティ基礎 33 無線LANと暗号化 携帯電話網は盗聴の心配はまずない 無線LANは条件によって簡単に盗聴可能 インターネットもあまり信頼できないが パスワードも何もなしでつながる無線LAN は基本的に盗聴し放題 kitenetやedunetは安全な方式を使っている サイバーセキュリティ基礎 34 無線LANの安全性 強い WPA2 WPA(Wi-Fi Protected Access) 保護なしも同然 WEP(Wired Equivalent Privacy) 保護なし 弱い サイバーセキュリティ基礎 35 Androidでの確認例 設定は無線LANの提供者側で決まり、利用者は選択でき ない(弱い無線LANには接続しない、しかない) サイバーセキュリティ基礎 36 保護のない・弱い無線LANの 危険性 誰でも通信内容を傍受できる 別途暗号化通信を使わなければ筒抜け 利用しないで済むなら使わない カフェや公共施設などにある無料の無線 LANにも多い Fukuoka City Wi-Fi なども… 使うなら覚悟の上で サイバーセキュリティ基礎 37 「野良無線LAN」の危険性 鍵のかかっていない、公衆向けでない無線LAN を見つけることがある 鍵がかかっていないので、接続すると使えそうに思 える 誰が設置したかわからない、悪意があるかも? 盗聴・偽サイトに誘導等の危険性 素性の分からない無線LANは利用しない サイバーセキュリティ基礎 38 公共の共用端末 インターネットカフェ・ホテルのロビーなど 無料や、時間あたりいくらで使える物 どう管理されているかまったくわからない ウイルス等に感染してキー入力や画面を盗聴されて いる可能性がある パスワードやクレジットカード番号などを絶対 入力しない そういう入力が必要なサイトを利用しない 観光情報を調べるくらいにしておく サイバーセキュリティ基礎 39 暗号化通信の概略 インターネットは盗聴されている可能性が ある 無線LANも盗聴されているかもしれない 多くのサービスで暗号化通信が利用可能 盗聴されても内容がわからないようにする仕組み サイバーセキュリティ基礎 40 SSL・TLS インターネット上で通信を暗号化して安全 にする仕組み(プロトコル) SSL: Secure Socket Layer TLS: Transport Layer Security SSLとTLSはほぼ同じものを指すと思って良い サーバとクライアントの両方が対応してい ないと使えない サーバが本物かどうかの確認の仕組みも サイバーセキュリティ基礎 41 メール送受信の暗号化 (Outlook 2013) 詳しくは http://www.m.kyushu-u.ac.jp/s/4-PC.html サイバーセキュリティ基礎 42 ウェブの暗号化(https) (Internet Explorer) サイバーセキュリティ基礎 43 ウェブの暗号化 (Google Chrome) サイバーセキュリティ基礎 44 SSL・TLSなら暗号化されていな い無線LANでも大丈夫? 偽サーバに誘導する仕組みがあるかも 通信を暗号化していても通信している相手 自体が偽物であれば意味はない 知らずにパスワードなどを送信してしまうかも? 暗号化通信では守れないので野良無線LAN はやはり使うべきでない サーバ証明書の警告が出たら接続しない サイバーセキュリティ基礎 45 警告画面 (Internet Explorer) サイバーセキュリティ基礎 46 まとめ 個人でもできる、具体的な対策方法 所有しているパソコン・スマホなどの保護 盗難・紛失対策 マルウェア対策 利用しているサービスの保護 パスワードの取り扱い 通信経路の保護 無線LANの安全性について 共用端末の使い方 暗号化通信について サイバーセキュリティ基礎 47 サイバーセキュリティ基本法 (2014年11月6日成立) サイバー攻撃対策に関する国の責務などを定めた法律 (教育研究機関の責務)第八条 大学その他の教育研究機関は、 基本理念にのっとり、自主的かつ積極的にサイバーセキュリ ティの確保、サイバーセキュリティに係る人材の育成並びにサ イバーセキュリティに関する研究及びその成果の普及に努める とともに、国又は地方公共団体が実施するサイバーセキュリ ティに関する施策に協力するよう努めるものとする。 (国民の努力)第九条 国民は、基本理念にのっとり、サイ バーセキュリティの重要性に関する関心と理解を深め、サイ バーセキュリティの確保に必要な注意を払うよう努めるものと する。 法案全文 http://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/honbu n/houan/g18601035.htm サイバーセキュリティ基礎 48 課題 本日の講義を聞いて、新たに自分が気をつけよ うと考えたことがあれば、それを書いてくださ い。 本日の講義であげた事例で、既に自分が実施し ていることがあればそれを示し、それをする事 の利点や難点など気づいたことを書いてくださ い。 逆に、知ってはいたが自分では実践していない ことがあれば、その内容とそれをしない理由を 書いてください。 本講義の感想、要望、質問などあれば、書いて ください。 サイバーセキュリティ基礎
© Copyright 2025 ExpyDoc
