情報ネットワーク 岡村耕二 http://okaweb.ec.kyushu-u.ac.jp/lectures/in/ 情報セキュリティ • 不正アクセス – コンピュータやインターネットの知識を悪用してア クセスが許可されていないコンピュータに侵入し、 データを改ざんしたり、サービスを妨害すること。 • 具体的な被害 – 機密情報の漏洩、改ざん – システムの破壊 – 単なる愉快犯 – 資源の勝手な利用、浪費 情報ネットワーク 2 不正アクセス被害(届出数) • 1997年 – アメリカ 4,000件 – 日本 数百件 • 2000年 – アメリカ 20,000件以上 – 日本 数千件 • 日本は情報セキュリティへの取り組みが欧米 よりもかなり遅れている。 情報ネットワーク 3 日本のセキュリティ対策の現状 • 踏み台にされたり、情報が改ざんされたり、 機密情報が漏洩しても気がつかない • 被害があっても会社の信頼性保持を優先し て届出をしない。 • 欧米では踏み台などをしてしまった場合でも 罪になる。 情報ネットワーク 4 コンピュータやインターネットの知識を悪用する • 世の中オープンの時代 – 仕様を公開して、技術の共有を行う • オープンソース – 通信プロトコル(手順)も完全にオープン • 仕組みは全て公開されている。 – あら探しをすれば穴が見つかってしまう。 情報ネットワーク 5 不正アクセスのおおまかな手順 1. 2. 3. 4. 事前準備 管理者権限奪取 クラッキング 後始末 情報ネットワーク 6 事前準備 • 公開、既知情報の利用 – NIC の公開データベースから情報を得る。 – ポートスキャン 情報ネットワーク 7 管理者権限奪取 • セキュリティホール – 簡単なパスワード – Web の CGI – プログラムの構造的欠陥 情報ネットワーク 8 クラッキング • 管理者権限を手に入れているので事実上な んでも可能 – 機密情報の漏洩 – システムの破壊 – 踏み台の設置 • DOS, DDOS 攻撃 • SPAM メイル 情報ネットワーク 9 後始末 • 侵入の記録を消す。 情報ネットワーク 10 セキュリティ防衛 侵入の機 会を断つ 不審な行動 への対処 インターネット ネットワー クに侵入さ せない 被害を拡大 させない サーバ データ 組織内ネットワーク サーバへ侵 入させない 情報ネットワーク 11 セキュリティ防御 • 侵入の機会を断つ。 – インターネット、外部から • ネットワークに侵入させない。 – 組織ネットワークの入り口 • 不審な行動への対処 – 組織ネットワーク内 • サーバへ侵入させない。 – サーバの入り口 • 被害を拡大させない。 – サーバ内 情報ネットワーク 12 侵入の機会を断つ • • • • • 物理的な侵入チェック パスワード管理 機密情報管理 暗号化通信 VPN/IP-SEC の利用 情報ネットワーク 13 ネットワークに侵入させない • ファイアウォール • リモートアクセス認証 情報ネットワーク 14 不審な行動への対処 • 不正アクセス検知 IDS (Intrusion Detection System) • ウイルス検知 • 緩衝地帯 DMZ (Demilitarized Zone) 情報ネットワーク 15 サーバへ侵入させない • • • • • ユーザ認証 アクセス制限 未使用ポート閉塞 最新パッチ・最新ソフトへのアップグレード 不要ソフトの停止 情報ネットワーク 16 被害を拡大させない • • • • データの完全性のチェック 不正アクセス検知(IDS) データ暗号化 データバックアップ 情報ネットワーク 17 さらに…. • 攻撃の踏み台を与えない – アカウント管理の徹底 • 大学など – Freeメールアドレスの配布の禁止 • 国民性に依存 • 犯罪を未然に防ぐ – 教育 – 法律による抑制 情報ネットワーク 18 不正アクセスに関わる法律 • 刑法の改正 – 1987年刑法改正 • 人に対する直接的な犯罪行為だけではなくコンピュータに対する 不法行為も処罰の対象に。 – 公文書・私文書に関する電子データを破壊、偽造したり、 偽造した公文書を使用したりする行為 – 虚偽の情報や不正な指令などにより、コンピュータに本来 の目的と異なる動作をさせて、他人の業務を妨害する行 為 – 虚偽の情報や不正な指令をコンピュータに与え、不法に 財産を得たり、他人に与えたりする行為 情報ネットワーク 19 不正アクセス禁止法 • 不正アクセス行為を犯罪行為として取り締ま るために2000年2月に制定された。 – 他人のIDとパスワードなどを無断で使用する行 為 – セキュリティホールなどを攻撃してサーバに侵入 する行為 – ID,パスワードを売るなど、不正アクセスを助長す る行為 情報ネットワーク 20 不正アクセス禁止法による防衛手段 • すべてのサイトが適切な防御手段を講じるこ とを努力義務として規定する。 – アクセス管理者の設置 – パスワードファイルの暗号化など識別符号の適 正管理 – アクセス制御機能の有効性の検証 – ログの有効活用 情報ネットワーク 21 セキュリティ関連技術 • ファイアウォール • 公開鍵 情報ネットワーク 22 ファイアウォール • 安全性が保障されていな いインターネットと安全に 保たなければならない内 部ネットワークの境界に 配置される。 • パケットフィルタリング型 • アプリケーションゲート ウェイ型 情報ネットワーク アプリケーション アプリケーション ゲートウェイ トランスポート インターネット パケット フィルタリング 物理・データリンク 23 パケットフィルタリング • IPアドレス、ポート番号の組み合わせでフィル タリングする。 情報ネットワーク 24 アプリケーションゲートウェイ • プロキシー インターネット 端末 端末 端末 端末 プロキシー 端末 端末 端末 情報ネットワーク 25 公開鍵 • 暗号化技術 – 共通鍵暗号方式 – 公開鍵暗号方式 平文 暗号文 共通鍵 ある人宛の文書、 ある人からの文書 平文 共通鍵 暗号文 公開鍵 秘密鍵 情報ネットワーク ある人しか読めない、 ある人しか暗号化できない 26 共通鍵暗号方式 • DES (Data Encryption Standard) – 送信者、受信者で同じ鍵を用いる • 処理は高速 • 鍵は秘密、ばれてはいけない。 • 鍵の受け渡しが難しい。 情報ネットワーク 27 公開鍵暗号方式 • RSA (R.Rivest, A.Shamir, L.Adelman) • 公開鍵 – 任意の人が知ってもよい • 秘密鍵 – ある人しか持っていない。 • ある人の公開鍵で暗号化したものはある人しか読め ない。 • ある人が暗号化したものは、ある人の公開鍵でないと 読めない。 – ある人が作成した文書である保証できる。 情報ネットワーク 28
© Copyright 2024 ExpyDoc
