スライド タイトルなし

NEXT熊本セミナー
“ネットワーク時代のセキュリティを考える”
「インターネット時代の個人情報保護と
セキュリティ技術」
RSAセキュリティ株式会社
代表取締役社長 山野 修
インターネット時代の個人情報保護と
セキュリティ技術
•
情報セキュリティ対策の動向と現状
•
E-セキュリティ技術
•
セキュリティ対策事例
→ E-セキュリティは、E-ビジネスを実現させるための
Enabling Technologyである
2
RSA Security 会社紹介
• 世界が認める暗号技術とインターネット技術
– 10億コピーものRSA BSAFE® 暗号技術が
世界中で使用されている
• ユーザー認証技術のリーディング・カンパニー
– 1000万個以上の RSA SecurID® 二要素ユーザー認証が
利用されている
• セキュリティや電子認証の標準化や普及に寄与
– SSL、S/MIME、IPSec、PKCS、PKIX等の標準を提案
– 1995年、VeriSign Inc.を分社化
• The Most Trusted Name in e-Security
3
情報セキュリティ対策の世界での動向
• 情報システムの重要性が高まるにつれ、運用に伴う
リスク管理とセキュリティ対策が必要とされてきた
• 金融業務に関連する情報セキュリティ対策の指針
– BS7799、ISO17799
• 欧州の金融機関で利用されている情報セキュリティ
対策の指針
– ISO/TR 13569
• ISO/TC68が策定した情報セキュリティ対策の指針
– ISO/IEC 15408
• 情報セキュリティ製品・システムの評価基準
4
情報セキュリティ対策の日本での動向
• 情報セキュリティ対策を促進するため、各方面で
法制化、規定化されてきた
– 旧郵政省「個人情報保護に関するガイドライン」
–
–
–
–
「不正アクセス防止法」
「電子署名及び認証業務に関わる法律」
金融庁「金融検査マニュアル」
日本銀行 「平成12、13年度の考査の実施方針」
– 「IT基本法」、「電子政府実現一括法」
– 経済産業省 「ISMS適合性評価制度」
– 「個人情報保護基本法」
5
日本銀行 「平成12年度 考査の実施方針」
• 平成12年4月発表、「金融機関における情報セキュ
リティの重要性と対応策」
– インターネットを利用した金融サービスを中心に
• 情報セキュリティポリシーの策定
• 情報セキュリティ対策の確立
• 情報セキュリティ対策の適切な運用
出典:「金融機関における情報セキュリティの重要性と対応策」日本銀行、2000年4月18日
6
経済産業省 「ISMS適合性評価制度」
• 平成13年4月からBS7799、ISO17799をベースに、
ISMS(インフォメーション・セキュリティ管理システム)として施行
• 従来の「情報処理サービス業システム安全対策実施
事業所認定制度」(安対制度)は平成13年3月で終了
• コンピュータ・センターやシステム・プロバイダーの
セキュリティ・ポリシーとセキュリティ対策の運用状況を
監査
7
「個人情報保護基本法」
• 平成13年3月、政府、個人情報保護法を国会へ提出
• OECD(経済協力開発機構)をベースにした原則
• 官民が共通して守るべき基本原則を規定
• 民間事業者に対しては、
–
–
–
–
–
利用目的の通知
必要な範囲での収集を規制する利用目的による制限
情報の主体者への同意を原則にした第三者への提供
本人からの個人情報の開示・訂正請求を原則として従う
「事業者が遵守すべき事項」として定めた
8
情報セキュリティ対策の現状
• 情報セキュリティポリシーの策定は進行中
• 不正侵入やウイルス攻撃に対する、ファイアウォー
ルとウイルス対策ソフトウェアの導入は完了
• オープンシステムでの盗聴(盗取)、データ改竄、
成りすまし対策に対しては、万全か?
対策は万全か?
9
情報セキュリティ対策の確立
• セキュリティは、ファイヤーウォールやウイルス対策
だけではない
• 強力な盗聴・改竄・成りすまし防止が必要
• 個人が所有する個人情報へのプライバシー保護
• すべての要素のセキュリティが高いこと(セキュリティ・
チェーン)
• サーバーやサイトが完全に安全であることへの信頼感
• ユーザや情報システムにとって管理が簡便であること
E-ビジネスにはE-セキュリティが必要
10
ブロードバンドやWirelssの現状
• ADSL、ケーブル・インターネット、FTTHが急成長
– 2001年度末までに350万世帯
– 2002年度末までに630万世帯 (野村総研調査 2001/11)
• Wireless LANを用いたホットスポット・サービスの普及
• VPNを用いたIP-VPNやExtranetが本格化
• 情報セキュリティ対策が社内システムだけでなく、ブロ
ードバンドやWirelessまでも対象となる
• 情報セキュリティ対象の拡大とダウンサイジング
11
情報セキュリティとブロードバンドの関係
今後の情報セキュリティの対象
拡張インターネット
(Extended Internet)
従来の情報セキュリティの対象
ブロードバンド
VPN
インターネット
インターネット
(Internet)
(Internet)
VPN
Wireless
社外システム 社内システム
(Intranet)
(Extranet)
リモート
アクセス
12
E-ビジネスのためのE-セキュリティ
• Intrusion detection
(侵入検知)
• Authentication (認証)
• Authorization (アクセス
管理)
• Privacy (秘匿性)
• Transaction
integrity
(処理の完全性)
• Vulnerability Assessment
(弱点への攻撃)
Enable
(安全な取引の実現)
Detect
(不正侵入や攻撃の検出)
Defend
(侵入やウィルスに対する防衛)
• Firewall (ファイヤウォール)
• Antivirus (ウィルス対策)
13
代表的なE-セキュリティ技術
• 強力なユーザ認証
→ 二要素認証技術
• 強力な通信と情報保護 → 暗号・認証技術
• 安全なWebアクセス
→ SSL技術
• トランザクションの認証 → 電子認証技術
14
ユーザ認証での固定パスワードの危険性
• 通常の固定パスワードは、ハッカーにかかれば
約95%の確率で破られる。
– パスワード・クラッキングツール
– ネットワーク・スニッフィング
– パスワードの推測
• パスワードは簡単に漏れてしまう。
– 社員、契約社員、関連業者間での伝達、HPへの掲載
– 詐欺行為(ソーシャル・エンジニアリング)
• ユーザ・サポートの約20~40%はパスワード関連作業
→ 通常の固定パスワードでは十分ではない
15
強力なユーザ認証
二要素認証技術
パスワード?
① パスワード(PIN)
② ワンタイムパスワード、またはICカード
1234
+
234836
パスワード とワンタイムパスワードを入力
時間同期方式による強力なユーザ認証
16
ユーザ認証のセキュリティ強度
厳格なユーザー
認証による
最高の安全性
情
報
の
価
値
二要素認証
生体測定
(指紋、虹彩、顔等)
情報の価値と
コストとの比較
ハードウェア ワンタイムパスワード
トークン ICカード
強い識別と強力な認証
(限定多数へは有効)
電子証明書
強い識別と弱い認証
(特定多数へは有効)
パスワード
(95%の確率で推測可能)
(不特定多数へは有効)
弱い識別と弱い認証
17
二要素認証技術の応用例
• リモート・アクセスでの利用
– インターネット、 無線、VPNを通じて社内システムへ
ログインする際のユーザ認証
• Webアプリケーションでの利用
– Webへのアクセスを確実にユーザ認証を行い、さらに
ポータルに経由での情報提供
• 応用範囲
– 企業
– B2B
– B2C
→ ネットワーク・アクセス、モバイル・アクセス、SFA
→ マーケット・プレース、SCM
→ ホーム・バンキング、インターネット・トレード
18
暗号・認証 技術
• 共通鍵暗号方式と公開鍵暗号方式
• 暗号アルゴリズム
• デジタル封筒、署名、認証
19
共通鍵暗号方式
• 従来からの共通鍵(対称鍵)による暗号方式
平文
本日は、多数ご
出席いただきま
してありがとうご
ざいます。
..........
..........
..........
..........
暗号文
暗号化
S;*dsfeclycm)7f
XF[@drdadf*(
‘$%&^\^Ffeas
%)fwetsdwffd
..........
..........
..........
..........
共通鍵
平文
復号化
本日は、多数ご
出席いただきま
してありがとうご
ざいます。
..........
..........
..........
..........
共通鍵
同じ鍵
20