情報検索概説II(99秋) 第5回 1999/10/28 セキュリティについて 注目されるセキュリティ 情報の重要性 インターネットの発達 犯罪や社会問題としてクローズアップ セキュリティとは 機密性(他者に見られない) 一貫性(修正されない) 可用性(使用可能) 脅威とは 盗聴 改竄(かいざん) 破壊も含める なりすまし 脅威を防ぐ方法 盗聴→暗号化 改竄→電子署名 なりすまし→パスワード 破壊については難しい 2重化 バックアップ 通信データなどでは復活も可能 ハッカー、クラッカー ハッカーは本来「技術力のあるプログラマ」 の意味 メディアが「犯罪者」というイメージを作り上 げた クラッカーは破壊者 ならば、安全とは? セキュリティを確保する? 実社会がどれほど安全か ネットワークが安全でないのはなぜか 脅威が顕在化しにくい 見えないところで何かが起こっている スケールが膨大かも 電子データは1ファイルでも大量かも 消すのも簡単、コピーも簡単 パスワードとは 特定の人にしか分からないキーワード 数字や単語など 「なりすまし」「盗聴」を防ぐ 限られた人しか利用できない 「改竄」に対するセキュリティは必ずしも確 保されない 誤ってファイルを壊すとか パスワードの落とし穴 忘れる。勘違いする メモをしたのを「盗聴」される 覚えやすいパスワードにしてしまう 全部同じ 自分の名前、誕生日、恋人名 ちょっとした工夫で破られない 複数の単語 数字と英単語 大文字小文字を変に組み合わせる クレジットカードのセキュリティ カード自体は唯一のもの カード発行時にセキュリティ 本人確認 カードを簡易書留で送る 利用時のセキュリティ 所持していることがまず基本 サイン、カード裏とチェック しかし落とし穴もいっぱい 通信販売、いいかげんな運用 保証がなされている面では安心 通常の郵便のセキュリティ 特定個人が出し、あて先のポストに入れら れる 経路的にはやや不安か? 封書は開かれない限り見られない 盗聴、改竄からは高いセキュリティ? はがきは見られる なりすましに効果はあるか? 銀行のキャッシュカードのセキュ リティ カードを持っていること自体にセキュリティ 暗証番号により、盗難時の不正使用から 保護 数字4桁はばれやすい(誕生日) カードに暗証番号のメモをはさむのはもっ てのほか アカウントとパスワード アカウントは公開名 システムが利用者を識別する システム利用者が別の利用者を識別する パスワードは本人を特定するためのもの キャッシュカード(口座番号)と暗証番号の ようなもの 単にアクセス制限するだけなら、パスワー ドだけでいいけども・・・ セキュリティホール セキュリティの抜け穴 セキュリティをかいくぐって、盗聴、改竄、な りすましを可能にする ソフトウエアで話題に 暗号化 内容を分からなくする(数学的手法) 鍵が必要 秘密鍵を送受信者で共有 鍵がばれるとすべておしまい 公開鍵方式 暗号化の鍵と復号化の鍵がそれぞれある 暗号化の鍵を公開にする 電話番号のように公開する 暗号化の鍵で、復号はできない 復号化の鍵は類推できない 復号化の鍵は非公開にする 暗号化通信 SSL(Secure Socket Layer) Webでよく見られる TCP/IP通信を暗号化する 暗号化と認証 電子署名 情報そのものではなく、署名に対するもの 秘密鍵で署名をつける 公開鍵で署名を確認する 途中で改竄されると、それがわかる PGP 電子メールで使われている コンピュータのセキュリティ アカウントとパスワードを発行する アカウントごとに利用制約をかける 所有者権限 書き込み権限 読み込み権限 権限なし グループによってまとめて権限を与える コンピュータのセキュリティ(2) 盗聴は? 他者に権限のないファイルやフォルダなら防ぐことが 可能 改竄は? 他者に権限のないファイルやフォルダなら防ぐことが 可能 なりすまし されれば終わり システム的にはきわめて難しい(はず) 電子メールでのセキュリティ 盗聴に耐えうる? 通常はメッセージがネットワークにそのまま流れる ネットワークをウォッチしていれば参照可能 ただし、 かなり難しい サーバーに蓄積される。ならば、サーバーで参照され る可能性は0ではない ただし、かなり難しい 暗号化メールもある メールソフトのプラグイン S/MIME方式などがある 電子メールのセキュリティ(2) 改竄は? サーバーに蓄積されたものを改竄してしまう? ただ し、かなり難しい なりすましは? インターネットメールの大問題。簡単になりすませる 現在は、「信用」しかない 解決策はPGPなどの電子署名、だが普及していない それ以前のセキュリティ メールソフトに蓄積される。パソコンを離れた隙に・・・ Webでのセキュリティ 不特定多数に見せるもののため、本来は セキュリティ外 特定者だけに見せることも可能 Basic認証が代表的 JavaScriptによる方法も 改竄 コンピュータのセキュリティに依存 新手の改竄:検索エンジンのmetaタグ セキュリティの問題点 セキュリティの脅威が刑罰の対象になり、 実際に捕まらないと実行力はない 倫理面だけでは縛りとならない 不正アクセスの取り締まり 刑法にあることはある 不正アクセス対策法 プライバシー侵害 日本の通信傍受法 参考 http://www.sisnet.or.jp/sis/dokuhon/ ネットワークセキュリティ読本 http://www.npa.go.jp/seiankis2/ 情報セキュリティビジョン策定委員会報告書
© Copyright 2024 ExpyDoc
