0
2013年5月29日「ネットとセキュリティ」2013/5/29 高度情報化と社会生活 1第8回
高度情報化と社会生活 教養科目 水曜日 第3限目 講師 藤野幸嗣 yuki@fujino.com 講義資料のウェブのアドレスhttp://www.fujino.com 講義連絡用ツイッターアカウント@fujinocom 講義用のハッシ...
今週の課題 締切は6月5日の講義開始時間までセキュリティについて普段から気をつけていることを具体的な項目で。Ex. データのバックアップウィルス対策ソフトの導入システムのアップデートなど。特に気にしていなければ、その理由を。2013/5/29...
今週のネットトピック イモトのWi-Fiがクラックされた。「エクスコムグローバル」 10万人以上のクレジットカード情報が盗まれ、一部で不正利用された。 発覚から発表まで一ヶ月以上。 暗号化なし、業者は保管出来ないはずのセキュリティコード...
クレジットカードの盗用 ネット通販ではクレジットカードは必須 保険が効くので常に利用状況をネットで確認をしておくこと。 身に覚えの無い利用があったらすぐに連絡すること。 利用確認ができないカードは持たない。 使い捨てクレジットやデビッ...
スマホからページにシェア 以前は出来なかったのですが、スマホ経由で個人アカウントのニュースフィードから記事などを簡単に管理しているページへ記事がシェアできるようになりました。詳しくは資料のブログへ。受講生のページのリストを購読、そのフィードか...
セキュリティの基本スマホ時代にデータを安全に保つために2013/5/29 高度情報化と社会生活 7
ネット危機対策の諸手法 不正アクセス→パスワードの管理→ファイアーウォールによる対策 情報の漏洩→認証、暗号化による対策 意図しない情報の漏洩クラッキングやウィルスによる漏洩→ネットの利用に関する知識を持とう2013/5/29 高度情報化...
ネットを介在した情報2013/5/29 高度情報化と社会生活 9大事な情報ケータイスマホパソコン大事な情報インターネット
様々なトラブル要因が2013/5/29 高度情報化と社会生活 10大事な情報ケータイスマホパソコン大事な情報インターネット盗聴・改ざん紛失・盗難・破壊ウィルス・操作ミス不正アクセスハッキング
トラブルが発生する場所 端末パソコン、スマホ、ケータイ トラブルの原因盗難、紛失、ハッキング、ウィルス、操作ミス、不正侵入など 対処物理的な鍵、ウィルス対策ソフト、転落防止、人の訓練、ファイアーウォール2013/5/29 高度情報化と社会...
インターネット・セキュリティ脅 威 対抗策 セキュリティサービス不正侵入 ファイアーウォールアクセス・コントロールやVPN不正アクセス パスワード管理 ワンタイムパスワードなど盗聴・偽造・なりすまし暗号化・電子署名 認証局情報漏洩 ウィルス対策...
ネット特有の問題 ネットの問題は、基本的にシステムやアプリのアップデートに任せる。 トラブルの多くはハード起因と人間、ネットに起因するもので、利用者が対処できるものは実はあまり多くない。 利用者側はハードの対処と誤操作や「ソーシャルハッキ...
ハード的セキュリティ対策 一番の問題「何をしたらよいのかわからない。」→パソコンだと、システムやソフトのアップデート。セキュリティ対策ソフトの導入とアップデートに定期スキャン。やたらにクリックしない、危ないところに行かない。スマートフォンでも...
パソコンの安全対策 データのバックアップ (毎週?)→できれば外付けのハードディスクに。 システムのアップデート セキュリティ対策ソフトのアップデート 毎日の基本スキャン 週一回の全スキャン 様々なソフトのアップデート 危険な行為...
危険な行為とは Facebookにログインしたまま、他のの危ないサイトを見に行く。 ネットで怪しいサイトに行ってやたらにクリックする。 素性のわからないソフトやファイルをダウンロードする。 不審なメールの添付ファイルを開く。2013/5...
スマートフォンの対策 パソコンと同様にウィルスや不正データの対策に加えて、ケータイと同様に紛失や盗難、破壊の際の対策も必要。 最近はスマートフォンをターゲットにした「ワンクリック詐欺」なども出てきている。→慣れない利用者が沢山いるので餌食に...
0.ハードトラブルと紛失2013/5/29 高度情報化と社会生活 18
携帯機器の紛失や盗難 保険で対処できるか? リモートロックができるか?→できなければ、パスワードロックをかけているか? データはパソコンやクラウドにバックアップをしているか? 漏れては困る情報は暗号化して保持しているか?2013/5/2...
クラウドにバックアップ1.自分専用のパソコンがある。(複数台ならもっと便利)2.ネットに常につながっている。2013/5/29 高度情報化と社会生活 202ギガまで無料。版管理ができる、便利。スマートフォンユーザーにも必需品。
安全の基礎、パソコンは清潔に! パソコンは、こんなものに弱い。→雷 (不安定な電源も)→水 (湿気)→ホコリ (ハウスダスト)→タバコの煙→燻蒸 (バルサン)パソコンのまわりは清潔に! 煙は禁物2013/5/29 高度情報化と社会生活 21
仕事ならPCは2台いる? パソコンはすごく故障しやすい。 万一、故障したときは仕事がすべて止まってしまう。 仕事を止めたくなければ、バックアップ用のパソコンは必須かも。 トラブルは一番起こって欲しくないときに起こる。→レポートの締切前に...
ノートパソコンの運搬 パソコンは振動にとても弱い! とくにハードディスクは壊れやすい。 車のシートに乗せて運ぶ→論外 車で運ぶなら、膝の上におきましょう。 リュックなど背負いが効果的、ショルダーやトートバッグでは置くときに注意しましょ...
ケータイやスマホは紛失に注意 モバイルする機器は「紛失」や「盗難」に注意しましょう。 うっかり落として壊してしまうことも。 ハードは保険で担保できるかも。 データはバックアップをしておく。 パソコンやクラウドにつないで保管しておくこと...
インターネットは危険か?2013/5/29 高度情報化と社会生活 25
ここでいう「セキュリティ」は 「ネットワークセキュリティ」情報の漏洩や不正侵入など 「情報(コンテンツ)セキュリティ」内容の改ざんや不正なコピー、個人情報(プライバシー)→でも大切なのは「広義のセキュリティ」=安全な生活をおくるための知識2...
今そこにある危機 安全でないから防御をするための各種のセキュリティが必要になる。 セキュリティとは「ツール」ではない。 気をつけるという姿勢の問題なので心構えが必要。 安心・安全な場所ならセキュリティは不要だが、ネットにつながっていると...
ネットは危険なのか? 現実世界と同じ程度に安全、同じ程度に危険ともいえる。 現実世界でも家の中、大学の中、往来で危険レベルは異なる。→では、車道を歩くのは安全なのか?→田舎の道ではほぼ安全だろう。→10号線を歩く→自殺行為となる。 同様に...
インターネットは危なくない 命をとられるわけではない、 身体がおびやかされるわけではない、 スキャンダルに巻き込まれるわけでもない。現実世界をエクステンドする便利な道具として使うのが妥当。→パソコンの不安定さの方がよほど危ないしかし、イン...
インターネットの危うさ1 もともとインターネットは学術研究が素地にあって、自由で規制のない空間というイメージがある。同時に保証もない、いわば自己責任の原理が優先する世界。 インシデント(トラブル事例)の影響がただちに、しかも広範囲に及ぶ。→...
インターネットワーム ネットや媒体を媒介して害を及ぼすプログラム→ウィルス(病原体) ネット越しに急速に広まるモノをとくにインターネットワーム(単にワームとも)2009年1月近年最悪のワームConficker(別名Downadup)発生US...
インターネットの危うさ 2 匿名でやりとりができる。(あくまで見かけ上)相手の正体が確認できないので、思わぬトラブルとなる。→実際の犯罪行為の場合には、相手の特定は可能なケースが多い。通信記録、IPアドレスの確認。 匿名の利用を許している一...
インターネットの危うさ 3 仮想空間をイメージした利用が多い。アバターやハンドルネーム、名無しさん、匿名掲示板など。→理解ができないわけではないが、現実逃避的なことはよそでやって欲しい。あくまで「現実空間の便利な拡張機能」という利用が主だとこ...
インターネットの危うさ 4 利用者が増大するにつれて「愉快犯」や「情報テロリスト」の登場 本人に利益があるわけではなく、たんに困らせてやろう、皆が騒ぐのが楽しいなど。世間を混乱させてやろうという攪乱目的。 かってウィルスやワームもこうした...
インターネットの危うさ 5 「インターネット依存症」の出現ネットがないと不安になる、つながっていないと落ち着かないなど。 サービスの継続への不安とくに無料サービスは何時終了しても文句がいえない。プロバイダも今の料金でサービスが維持できるか?...
インターネットの危うさ 6→最近は実際の犯罪行為が増えている。 フィッシングサイトなど狙い撃ちでだまされる。→手口は巧妙、実害も。ソーシャル・ハッキング クレジットカードの不正利用 情報の流出 コンピュータの乗っ取り2013/5/29 ...
インターネットはオープンだ 誰でもどんな信号でも投げることができる。→これが大原則 でも、利用する権利のないサービスに勝手にログインすると法律違反になります。「不正アクセス行為の禁止等に関する法律」よそのコンピュータの入り口まできてノックす...
危機対策の諸手法 不正アクセス→パスワードの管理→ファイアーウォールによる対策 情報の漏洩→認証、暗号化による対策 意図しない情報の漏洩ファイル交換とウィルスによる漏洩→ネットの利用に関する知識を持とう2013/5/29 高度情報化と社会...
ネットはじつは危険では無い 本当に危ないのは「ハードの脆弱性」→パソコンやスマホは壊れる! もう一つ危ないのは「友達」個人情報が漏洩する原因の多くは不用意な友達! メールアドレスや個人情報が漏れる原因の多くは友達の誤送信や勝手な登録。→来...
安全なインターネット利用 システムアップデートはいまや必須。 ウィルス対策ソフトも必要。 家庭でもルータは必須といってよい。→ファイアーウォールを設定する。 個人情報をむやみに書き込まない。 業務で使う際にはどの程度の情報を出すか、ル...
企業の情報漏洩の原因 会社のWebサイトから情報が漏洩 メールの誤送信 P2Pで情報漏洩 ウィルスで情報漏洩 ブログやSNSに会社の情報を記入→人為的な原因の場合は技術では対処が難しい。→来週詳しく。2013/5/29 高度情報化と社...
情報を盗まれないために 認証と暗号の知識が必要な時代に突入している。 「認証」利用権のある人を確認する技術 「暗号」情報が途中で盗まれたり改竄されたりしないための技術2013/5/29 高度情報化と社会生活 42
ネットのセキュリティ対策1.ウィルス対策2.パスワード管理3.ファイアーウォール4.暗号化5.ソーシャル・リテラシー2013/5/29 高度情報化と社会生活 43
1.ウィルスから身を守ろう知識防衛して安全にネットを使おう2013/5/29 高度情報化と社会生活 44
一昨年の受講生のセキュリティ ウィルス対策ソフトを入れている。74% ウィルス対策ソフトのアップデートをしている。52% システムアップデートをしている。40%半分以上は問題有り、はっきり言って「ひどい」2013/5/29 高度情報化と社...
ウィルスとは「コンピュータ・ウィルス」コンピュータに悪さをするプログラムのこと。Webやメール、USB、デジカメなどから感染する。「接触感染」なので、病原体のウィルスと似た振る舞いをする。ネットを介して爆発的に広まるものをとくに「ワーム」と呼ん...
ウィルスは誰がつくる? 大半は愉快犯 人が困るところを楽しむ。 最近は、こうした愉快犯から特定組織をターゲットにした金銭目的の犯罪も増えている。 仕事のパソコンにはくれぐれも注意をする。 私用のパソコンでも注意は必要。2013/5/2...
ウィルスの年間発見数 ある情報によるとウィルスの種類は20秒にひとつずつ増えているとのこと。 年間にすると160万種類。 様々なバリュエーションを加えながら、一定の集団がせっせと新種のウィルスをインターネットにばらまいています。 なかに...
マルウェアにも注意 PCに潜んで、広告表示をしたりする。 ウィルス対策ソフトにかかりにくい。 ネットからのウィルスの大半は「利用者が自分でダウンロード」してしまう。 やたらとクリックしない。 システムのアップデートを怠らない。 ウィ...
ウィルスへの対処 ネットの利用にはウィルスチェックが必須な時代。 また、ネットを利用するための最低限のパソコンに関する知識は必要です。 自分のパソコンの状況を確認する。→ウィルス対策ソフトの有無、そして、システムアップデートの有無。201...
しかし、実際は・・・ ウィルスによる被害よりも、 ウィルス対策ソフトの不具合や設定ミスによるトラブルの方が遙かに多い。→ウィルス対策ソフトは理解できる人に設定をしてもらう方がよいです。→わけもわからずに対策ソフトだけをいれておくことには意味...
ネットを利用するための前提 パソコンのシステムアップデートは必須。→MicrosoftUpdateの実行(月例・臨時) ウィルス対策ソフトも必要。→これもアップデートしないと意味がない。 FlashやReaderなどAdobe関係も必ずア...
なぜアップデートを急ぐか? システムの不備(セキュリティホール)は毎日のように発見されている。 対策のためのアップデートが配布できるようになるまで、不備の詳細は伏せられている。 アップデートの公開と同時に「セキュリティホール」の存在が全世...
セキュリティソフトを入れる 無料のウィルス対策ソフトのお薦め→Microsoft Security Essentials注意、インストールする前に他のウィルス対策ソフトをまず削除すること。(壊れますよ)インストールしたら最初にまず更新をする。...
パソコンにウィルス 実際はほとんどの場合なにも起こらない。 一定のタイミングでより悪質な振る舞いをするソフトを外部から呼び込んでくる。 データを破壊するものよりも、盗み出すものの方が多い。 ウィルスを他のパソコンにもまき散らしてしまう。...
スマートフォンのウィルス対策 入れておくか、難しいところ。 スマートフォンのウィルス感染は少ない。 使い方のわからないものを入れない方がよいかも。 動作が遅くなるなど不具合が出る場合もある。 新しく高性能なスマホでキャリアが無償で配布...
スマホアプリに注意 ウィルスやマルウェアなど個人情報盗み取るアプリが出回っている。 Androidでは公式のGooglePlayでも沢山見つかっています。 慣れないうちは定評あるアプリに限定をする。 公式ストア以外からアプリを入れない。...
2.パスワードによる対策2013/5/29 58高度情報化と社会生活
インターネットの認証 認証方法1.アカウント=パスワード方式2.物理認証方式MACアドレスなどで確認する。暗号化されたICカードなどワンタイムパスワード3.生体認証方式2013/5/29 高度情報化と社会生活 59
アカウント=パスワード方式 最も普及している。 パスワードが漏れたらアウト。 パスワードが多くなってくると管理がとても大変である。→パスワード地獄 パスワードの再発行が手間メールアドレスや確認フレーズなどで再発行をしているケースも多い。...
サイバー社会はパスワード社会 自分のパスワードの管理はきちんとやろう。 紙に書く、パソコンに覚えさせる。 パスワードの再発行方法も確認しておく。→大半は登録メール宛のパスワードの再発行だ、メールアドレスの変更には細心の注意を払おう。アドレ...
パスワードの管理 ともかくキーボードに慣れること登録間違、入力間違は極めて多い日本語入力をしたまま、CapsLockをかけたままパスワードを登録してしまう。 侵入されやすいパスワード並数字、名前と同じ、アドレスと同じ文字数が少ない2013/...
パスワードの問題 安易なパスワードにしている。1234 password とか数字のみ、単語、名前、簡単なキー入力→大文字、数字、記号を組み合わせる。 パスワードをずっと変更しない。→定期的に変える。→難しい。 パスワードの使い回し。他の...
パスワードの初歩的な管理1.頭で覚える。2.指で覚える。 →多くなると無理。3.紙に書いておく。→紛失、盗難。4.パソコンに書いておく。→人に見られるおそれ。→そもそも、パスワードは暗号化して保存をしておくべきもので、平文で保管するなどもっての...
Windowsのオートコンプリート Windowsにアカウントやパスワードを記憶させる機能。 便利だが、そのパソコンを使う他の人にもパスワードがわかってしまう。 パソコンを変えたら使えない。 管理が難しい。→共有パソコンでは要注意201...
ブラウザCookieの機能 サーバーが利用者を認証するためのデータを利用者のパソコンに送信して保持させる機能。 サイトを再訪問したときに、利用者を認証する機能。 偽造が簡単、セキュリティもないので、再訪問の確認程度に使われている。 共有...
パスワードをパソコンで管理1.ブラウザに覚えてもらう。→マスターパスワードを忘れると悲惨。→パソコンが壊れたらアウト。2.パスワード管理ソフトを使う。無料でよいものがあまりないけど。OSやブラウザで対応していないものがある。Roboform 1...
ChromeならLastPass クラウド上にパスワードを保存するサービス。 ブラウザにいれれば、どこでも使える。 Chromeの機能拡張からインストール メールアドレスとマスターパスワードを登録する。 あとはログインをするたびに自動...
他にも1Passwordなど スマホやタブレットでも使える。 WindowsやMacなど複数のOSで使える。 メモも暗号化して保管できる。 ただし有料→数千円かかります。2013/5/29 高度情報化と社会生活 69
その他の認証システム パスワードシステム→ワンタイム・パスワードなどの新手法 バイオテック認証指紋認証サイバーサイン網膜認証→基本的には「なりすまし」への対策2013/5/29 高度情報化と社会生活 70
ワンタイム・パスワード2013/5/29 高度情報化と社会生活 71
二段階認証の導入 FacebookやGoogleはケータイのSMSを使った二段階認証が使えます。 Twitterは国内は未対応です。 ログインをしようとすると登録したケータイにSMSで使い捨てのパスワードが送られてきて、それを入れて初めて...
勝手に入ってはいけない ネットを経由してパスワードを盗んで不正にコンピュータに侵入するのは犯罪です。→不正アクセス禁止法違反昔は、入るだけで破壊行為をしなければ、よかったが、今は他人のパスワードを勝手に使ってログインをすると犯罪になります。2...
3.ファイアーウォールによる対策2013/5/29 74高度情報化と社会生活
不正な侵入への対策 自分のパソコンに他人が勝手にデータを送り込める状態→不正侵入データの改竄や消失など深刻な影響をもたらす。データはとられなくても他の攻撃への「踏台」にされることもある。基本的には防火壁(ファイアーウォール)が有効である。20...
ネットワークポリシー どんな信号でも通過してよい。→オープンネットとしてのインターネットの基本 逆に組織のネットワークはどのような考え方で運営されてもよいが、入口で出入りのチェックを行うのが通例。その際のルールの基本的な考え方が「ポリシー」...
インターネットは公道2013/5/29 高度情報化と社会生活 77インターネットLANLAN
セキュリティポリシー 出入口でのチェックを行う。2013/5/29 高度情報化と社会生活 78LAN通過するルールを設定インターネット
パソコンのファイアーウォール WindowsXPsp2以降では標準装備 それ以外では共有するソフトは気をつける。 市販のファイアーウォールソフトもあるが、かえって共有できない場合やインターネットに接続できなくなるケースもある。設定は慎重に...
ファイアーウォールの構成2013/5/29 高度情報化と社会生活 80ファイアーウォールセキュアでないインターネット非武装ゾーンファイアーウォールLAN
個人でもガードは必要 大切なデータがないので、ガードはしない。ウィルス対策もしない。 パソコンが悪者に乗っ取られて踏み台にされる。 SPAMメールの大半が「ボット」化した個人のパソコンから送られている。 ボット(=悪者に操られたロボット...
自宅のネットは誰が守るか? 会社ではネットワーク管理者がポリシーを設定してガードを固めている。 家庭や管理者のいない小規模オフィスは誰が守るのか? 通信事業者か? たとえポリシーを設定しても不注意な利用者がウィルスやトロイのプログラムを...
4.暗号化による対策2013/5/29 83高度情報化と社会生活
暗号の話 インターネットで他人に信号が漏れないようにするにはデータを暗号化してやりとりをする。 暗号技術はこの20年で急速に発達した技術である。 「インターネット」と「公開暗号鍵」の技術が文字通り「革命」をもたらした。2013/5/29 ...
参考図書 「暗号化~プライバシーを救った叛乱者たち」 スティーブン・レビー 著 紀伊國屋書店 定価 2500円+税 2002年2月※参考図書は必読ではない、あくまで理解を深めるための参考資料として示す。2013/5/29 高度情報化と...
情報を漏れないように届ける 第3者に情報が漏れないように届けるには?1.直接あって自分で渡す。2.信頼できる人に託す。3.信頼できる技術に託す。改竄や情報漏洩に対抗するために、「暗号技術」が研究されてきた。2013/5/29 高度情報化と社会...
暗号の原理2013/5/29 高度情報化と社会生活 87平文それは危険だ暗号文;%$’$%&’%&(&%’&%アルゴリズム暗号鍵暗号化復号化
秘密鍵による暗号化通信2013/5/29 高度情報化と社会生活 88セキュアでないインターネット平文受信者平文暗号文送信者どうやって鍵を送るのか?
インターネットのセキュリティ 公開鍵方式による暗号化通信 認証局(キーエスクロー~鍵預かり)による利用者の登録この発想により電子商取引(インターネット取引)が実現した。本格的な電子商取引や電子政府の技術基盤を準備する最終段階に達している。→...
公開鍵による暗号化通信2013/5/29 高度情報化と社会生活 90セキュアでないインターネット平文受信者平文暗号文送信者認証局受信者の公開鍵受信者の秘密鍵暗号文
公開鍵と秘密鍵 公開鍵(暗号鍵)から秘密鍵(複合鍵)を解くには膨大な時間がかかる。 高等数学の「一方向関数」の応用 1978年MITのリベスト(Rivest)シャミア(Shamir)とエーデルマン(Adleman)らは、公開鍵暗号方式を発...
公開鍵による電子署名2013/5/29 高度情報化と社会生活 92セキュアでないインターネット受信者送信者認証局送信者の秘密鍵送信者の公開鍵署名文送信者の秘密鍵署名文送信者の秘密鍵チェックして正しければ送信者の署名
二つある暗号化の利用法 経路を暗号化する方法(盗聴防止)→SSL→おもにWebで使う(あまり意識する必要は無い) データを暗号化する方法(誤送信防止)暗号化メール(今はあまり使われていないが今後必要になる可能性はある)2013/5/29 高...
SSLによる暗号化通信 公開暗号鍵を使って信号を暗号化する。 最初にWWWサーバーの認証を行う。 次に信号を確立したところでその場限りの暗号化鍵をクライアントに送信してクライアント-サーバー間の信号を確保する。 ホームページ間を暗号化し...
WWWのセキュリティ SSL(Secure Socket Layer) 機能はふたつ●認証局がWWWサーバーが真正のものであることを証明する。●WWWサーバーとクライアントの間の信号を暗号化する。2013/5/29 高度情報化と社会生活 95
どうやって認証をするか? 認証局がないと公開鍵システム(Public Key Infrastructure)は機能しない。 認証局(CA:Certification Authority)は誰が認めるのか? 商用認証会社(日本ベリサイン社な...
ベリサイン社による認証 世界初の商用認証システム サーバー認証には法人の登記簿謄本 毎年の更新による洗替方式によるチェック 個人のクライアント認証も行っている、しかしクレジットカードによるチェックのみである。 年額3000円弱で誰でも認...
電子証明はまだ発展途上 運用によってはクレジット決済など使えるものもあるが、現状はよく確認を行う必要がある。 なんといっても使いにくい、初心者が安心してクレジットカード番号をいれられるかがポイント。この問題は再度、電子商取引と電子政府で考察...
金融機関ではSSLが必須 アドレスを確認すること→フィッシング防止 ただし、当てにならないアドレスもある。→大分銀行に行ったはずなのにアドレスはNTTDATAと表示される! 最低限SSLの確認をする。 金融機関の多くはより信頼性の高いE...
アドレスの信頼性1.URLに会社名が入っている。→アドレスの管理組織にお金を払っている会社である。2.SSLモードになる。→ベリサイン社などサーバー認証会社にお金を払っている会社である。3.EV-SSLが表示される。→会社の登記簿や電話での確認...
FacebookもSSL対応へ 現状はSSL対応しているが、外部アプリは接続可能。 昨年から外部アプリもSSL接続を義務づけられるように変更になった。2013/5/29 高度情報化と社会生活 101
2013/5/29 高度情報化と社会生活 102次回の講義予定6月5日ソーシャルリスク
Upcoming SlideShare
Loading in...5
×

2013 5-29security

3,820

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
3,820
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "2013 5-29security"

  1. 1. 2013年5月29日「ネットとセキュリティ」2013/5/29 高度情報化と社会生活 1第8回
  2. 2. 高度情報化と社会生活 教養科目 水曜日 第3限目 講師 藤野幸嗣 yuki@fujino.com 講義資料のウェブのアドレスhttp://www.fujino.com 講義連絡用ツイッターアカウント@fujinocom 講義用のハッシュタグ#kjoho2013/5/29 高度情報化と社会生活 2
  3. 3. 今週の課題 締切は6月5日の講義開始時間までセキュリティについて普段から気をつけていることを具体的な項目で。Ex. データのバックアップウィルス対策ソフトの導入システムのアップデートなど。特に気にしていなければ、その理由を。2013/5/29 高度情報化と社会生活 3
  4. 4. 今週のネットトピック イモトのWi-Fiがクラックされた。「エクスコムグローバル」 10万人以上のクレジットカード情報が盗まれ、一部で不正利用された。 発覚から発表まで一ヶ月以上。 暗号化なし、業者は保管出来ないはずのセキュリティコードまで漏れている。→これは酷い、サイテー、最悪。2013/5/29 高度情報化と社会生活 4
  5. 5. クレジットカードの盗用 ネット通販ではクレジットカードは必須 保険が効くので常に利用状況をネットで確認をしておくこと。 身に覚えの無い利用があったらすぐに連絡すること。 利用確認ができないカードは持たない。 使い捨てクレジットやデビットカードなど身元保証の無いクレジットもあります。2013/5/29 高度情報化と社会生活 5
  6. 6. スマホからページにシェア 以前は出来なかったのですが、スマホ経由で個人アカウントのニュースフィードから記事などを簡単に管理しているページへ記事がシェアできるようになりました。詳しくは資料のブログへ。受講生のページのリストを購読、そのフィードから自分のページへシェアとか。2013/5/29 高度情報化と社会生活 6
  7. 7. セキュリティの基本スマホ時代にデータを安全に保つために2013/5/29 高度情報化と社会生活 7
  8. 8. ネット危機対策の諸手法 不正アクセス→パスワードの管理→ファイアーウォールによる対策 情報の漏洩→認証、暗号化による対策 意図しない情報の漏洩クラッキングやウィルスによる漏洩→ネットの利用に関する知識を持とう2013/5/29 高度情報化と社会生活 8
  9. 9. ネットを介在した情報2013/5/29 高度情報化と社会生活 9大事な情報ケータイスマホパソコン大事な情報インターネット
  10. 10. 様々なトラブル要因が2013/5/29 高度情報化と社会生活 10大事な情報ケータイスマホパソコン大事な情報インターネット盗聴・改ざん紛失・盗難・破壊ウィルス・操作ミス不正アクセスハッキング
  11. 11. トラブルが発生する場所 端末パソコン、スマホ、ケータイ トラブルの原因盗難、紛失、ハッキング、ウィルス、操作ミス、不正侵入など 対処物理的な鍵、ウィルス対策ソフト、転落防止、人の訓練、ファイアーウォール2013/5/29 高度情報化と社会生活 11
  12. 12. インターネット・セキュリティ脅 威 対抗策 セキュリティサービス不正侵入 ファイアーウォールアクセス・コントロールやVPN不正アクセス パスワード管理 ワンタイムパスワードなど盗聴・偽造・なりすまし暗号化・電子署名 認証局情報漏洩 ウィルス対策社員教育対策ソフトリテラシー教育2013/5/29 高度情報化と社会生活 12
  13. 13. ネット特有の問題 ネットの問題は、基本的にシステムやアプリのアップデートに任せる。 トラブルの多くはハード起因と人間、ネットに起因するもので、利用者が対処できるものは実はあまり多くない。 利用者側はハードの対処と誤操作や「ソーシャルハッキング」の方に気をつけておくべき。→これは来週の話。2013/5/29 高度情報化と社会生活 13
  14. 14. ハード的セキュリティ対策 一番の問題「何をしたらよいのかわからない。」→パソコンだと、システムやソフトのアップデート。セキュリティ対策ソフトの導入とアップデートに定期スキャン。やたらにクリックしない、危ないところに行かない。スマートフォンでも、これはほぼ同じ。2013/5/29 高度情報化と社会生活 14
  15. 15. パソコンの安全対策 データのバックアップ (毎週?)→できれば外付けのハードディスクに。 システムのアップデート セキュリティ対策ソフトのアップデート 毎日の基本スキャン 週一回の全スキャン 様々なソフトのアップデート 危険な行為をしない。2013/5/29 高度情報化と社会生活 15
  16. 16. 危険な行為とは Facebookにログインしたまま、他のの危ないサイトを見に行く。 ネットで怪しいサイトに行ってやたらにクリックする。 素性のわからないソフトやファイルをダウンロードする。 不審なメールの添付ファイルを開く。2013/5/29 高度情報化と社会生活 16
  17. 17. スマートフォンの対策 パソコンと同様にウィルスや不正データの対策に加えて、ケータイと同様に紛失や盗難、破壊の際の対策も必要。 最近はスマートフォンをターゲットにした「ワンクリック詐欺」なども出てきている。→慣れない利用者が沢山いるので餌食になりやすい。2013/5/29 高度情報化と社会生活 17
  18. 18. 0.ハードトラブルと紛失2013/5/29 高度情報化と社会生活 18
  19. 19. 携帯機器の紛失や盗難 保険で対処できるか? リモートロックができるか?→できなければ、パスワードロックをかけているか? データはパソコンやクラウドにバックアップをしているか? 漏れては困る情報は暗号化して保持しているか?2013/5/29 高度情報化と社会生活 19
  20. 20. クラウドにバックアップ1.自分専用のパソコンがある。(複数台ならもっと便利)2.ネットに常につながっている。2013/5/29 高度情報化と社会生活 202ギガまで無料。版管理ができる、便利。スマートフォンユーザーにも必需品。
  21. 21. 安全の基礎、パソコンは清潔に! パソコンは、こんなものに弱い。→雷 (不安定な電源も)→水 (湿気)→ホコリ (ハウスダスト)→タバコの煙→燻蒸 (バルサン)パソコンのまわりは清潔に! 煙は禁物2013/5/29 高度情報化と社会生活 21
  22. 22. 仕事ならPCは2台いる? パソコンはすごく故障しやすい。 万一、故障したときは仕事がすべて止まってしまう。 仕事を止めたくなければ、バックアップ用のパソコンは必須かも。 トラブルは一番起こって欲しくないときに起こる。→レポートの締切前にパソコンが壊れる。2013/5/29 高度情報化と社会生活 22
  23. 23. ノートパソコンの運搬 パソコンは振動にとても弱い! とくにハードディスクは壊れやすい。 車のシートに乗せて運ぶ→論外 車で運ぶなら、膝の上におきましょう。 リュックなど背負いが効果的、ショルダーやトートバッグでは置くときに注意しましょう。 ハードディスクは消耗品、ノートで2,3年ディスクトップでも5年は持ちません。2013/5/29 高度情報化と社会生活 23
  24. 24. ケータイやスマホは紛失に注意 モバイルする機器は「紛失」や「盗難」に注意しましょう。 うっかり落として壊してしまうことも。 ハードは保険で担保できるかも。 データはバックアップをしておく。 パソコンやクラウドにつないで保管しておくこと。 無くしたり、壊れたらどうなるか、想像して準備をしておく。2013/5/29 高度情報化と社会生活 24
  25. 25. インターネットは危険か?2013/5/29 高度情報化と社会生活 25
  26. 26. ここでいう「セキュリティ」は 「ネットワークセキュリティ」情報の漏洩や不正侵入など 「情報(コンテンツ)セキュリティ」内容の改ざんや不正なコピー、個人情報(プライバシー)→でも大切なのは「広義のセキュリティ」=安全な生活をおくるための知識2013/5/29 高度情報化と社会生活 26
  27. 27. 今そこにある危機 安全でないから防御をするための各種のセキュリティが必要になる。 セキュリティとは「ツール」ではない。 気をつけるという姿勢の問題なので心構えが必要。 安心・安全な場所ならセキュリティは不要だが、ネットにつながっていると、常に危険なデータが入ってくる可能性がある。2013/5/29 高度情報化と社会生活 27
  28. 28. ネットは危険なのか? 現実世界と同じ程度に安全、同じ程度に危険ともいえる。 現実世界でも家の中、大学の中、往来で危険レベルは異なる。→では、車道を歩くのは安全なのか?→田舎の道ではほぼ安全だろう。→10号線を歩く→自殺行為となる。 同様にネットでもシチュエーションで異なる。2013/5/29 高度情報化と社会生活 28
  29. 29. インターネットは危なくない 命をとられるわけではない、 身体がおびやかされるわけではない、 スキャンダルに巻き込まれるわけでもない。現実世界をエクステンドする便利な道具として使うのが妥当。→パソコンの不安定さの方がよほど危ないしかし、インターネットはなぜ「危ない」といわれるのか?2013/5/29 高度情報化と社会生活 29
  30. 30. インターネットの危うさ1 もともとインターネットは学術研究が素地にあって、自由で規制のない空間というイメージがある。同時に保証もない、いわば自己責任の原理が優先する世界。 インシデント(トラブル事例)の影響がただちに、しかも広範囲に及ぶ。→いまや世界中が高速なネットでつながっている時代。2013/5/29 高度情報化と社会生活 30
  31. 31. インターネットワーム ネットや媒体を媒介して害を及ぼすプログラム→ウィルス(病原体) ネット越しに急速に広まるモノをとくにインターネットワーム(単にワームとも)2009年1月近年最悪のワームConficker(別名Downadup)発生USB媒介型 世界で1000万台感染。2013/5/29 高度情報化と社会生活 31
  32. 32. インターネットの危うさ 2 匿名でやりとりができる。(あくまで見かけ上)相手の正体が確認できないので、思わぬトラブルとなる。→実際の犯罪行為の場合には、相手の特定は可能なケースが多い。通信記録、IPアドレスの確認。 匿名の利用を許している一部のサービスが問題。無料メール、無料Web、無料ブログサービス管理の甘いネットカフェや公共端末、無線LANなどの存在。 国内、海外の匿名支援サービスも問題。 toreサーバーとか2013/5/29 高度情報化と社会生活 32
  33. 33. インターネットの危うさ 3 仮想空間をイメージした利用が多い。アバターやハンドルネーム、名無しさん、匿名掲示板など。→理解ができないわけではないが、現実逃避的なことはよそでやって欲しい。あくまで「現実空間の便利な拡張機能」という利用が主だとこの講義では考えます。そもそも仮想空間と現実空間のコミュニケーションは成り立ちません。2013/5/29 高度情報化と社会生活 33
  34. 34. インターネットの危うさ 4 利用者が増大するにつれて「愉快犯」や「情報テロリスト」の登場 本人に利益があるわけではなく、たんに困らせてやろう、皆が騒ぐのが楽しいなど。世間を混乱させてやろうという攪乱目的。 かってウィルスやワームもこうした愉快犯が原因だった。→最近は「標的型攻撃」に移行。 特定の会社や個人を狙い撃ちにする。2013/5/29 高度情報化と社会生活 34
  35. 35. インターネットの危うさ 5 「インターネット依存症」の出現ネットがないと不安になる、つながっていないと落ち着かないなど。 サービスの継続への不安とくに無料サービスは何時終了しても文句がいえない。プロバイダも今の料金でサービスが維持できるか?そもそも今の通信基盤の維持が将来にわたって可能なのか、ということもよく検討してみよう。→セキュリティの最大の課題。2013/5/29 高度情報化と社会生活 35
  36. 36. インターネットの危うさ 6→最近は実際の犯罪行為が増えている。 フィッシングサイトなど狙い撃ちでだまされる。→手口は巧妙、実害も。ソーシャル・ハッキング クレジットカードの不正利用 情報の流出 コンピュータの乗っ取り2013/5/29 高度情報化と社会生活 36
  37. 37. インターネットはオープンだ 誰でもどんな信号でも投げることができる。→これが大原則 でも、利用する権利のないサービスに勝手にログインすると法律違反になります。「不正アクセス行為の禁止等に関する法律」よそのコンピュータの入り口まできてノックするのは合法?→犯罪の予備行為だが・・・罰則はない。2013/5/29 高度情報化と社会生活 37
  38. 38. 危機対策の諸手法 不正アクセス→パスワードの管理→ファイアーウォールによる対策 情報の漏洩→認証、暗号化による対策 意図しない情報の漏洩ファイル交換とウィルスによる漏洩→ネットの利用に関する知識を持とう2013/5/29 高度情報化と社会生活 38
  39. 39. ネットはじつは危険では無い 本当に危ないのは「ハードの脆弱性」→パソコンやスマホは壊れる! もう一つ危ないのは「友達」個人情報が漏洩する原因の多くは不用意な友達! メールアドレスや個人情報が漏れる原因の多くは友達の誤送信や勝手な登録。→来週ちょっとだけ。2013/5/29 高度情報化と社会生活 39
  40. 40. 安全なインターネット利用 システムアップデートはいまや必須。 ウィルス対策ソフトも必要。 家庭でもルータは必須といってよい。→ファイアーウォールを設定する。 個人情報をむやみに書き込まない。 業務で使う際にはどの程度の情報を出すか、ルールを決めて管理を行う。2013/5/29 高度情報化と社会生活 40
  41. 41. 企業の情報漏洩の原因 会社のWebサイトから情報が漏洩 メールの誤送信 P2Pで情報漏洩 ウィルスで情報漏洩 ブログやSNSに会社の情報を記入→人為的な原因の場合は技術では対処が難しい。→来週詳しく。2013/5/29 高度情報化と社会生活 41
  42. 42. 情報を盗まれないために 認証と暗号の知識が必要な時代に突入している。 「認証」利用権のある人を確認する技術 「暗号」情報が途中で盗まれたり改竄されたりしないための技術2013/5/29 高度情報化と社会生活 42
  43. 43. ネットのセキュリティ対策1.ウィルス対策2.パスワード管理3.ファイアーウォール4.暗号化5.ソーシャル・リテラシー2013/5/29 高度情報化と社会生活 43
  44. 44. 1.ウィルスから身を守ろう知識防衛して安全にネットを使おう2013/5/29 高度情報化と社会生活 44
  45. 45. 一昨年の受講生のセキュリティ ウィルス対策ソフトを入れている。74% ウィルス対策ソフトのアップデートをしている。52% システムアップデートをしている。40%半分以上は問題有り、はっきり言って「ひどい」2013/5/29 高度情報化と社会生活 45
  46. 46. ウィルスとは「コンピュータ・ウィルス」コンピュータに悪さをするプログラムのこと。Webやメール、USB、デジカメなどから感染する。「接触感染」なので、病原体のウィルスと似た振る舞いをする。ネットを介して爆発的に広まるものをとくに「ワーム」と呼んだりする。2013/5/29 高度情報化と社会生活 46
  47. 47. ウィルスは誰がつくる? 大半は愉快犯 人が困るところを楽しむ。 最近は、こうした愉快犯から特定組織をターゲットにした金銭目的の犯罪も増えている。 仕事のパソコンにはくれぐれも注意をする。 私用のパソコンでも注意は必要。2013/5/29 高度情報化と社会生活 47
  48. 48. ウィルスの年間発見数 ある情報によるとウィルスの種類は20秒にひとつずつ増えているとのこと。 年間にすると160万種類。 様々なバリュエーションを加えながら、一定の集団がせっせと新種のウィルスをインターネットにばらまいています。 なかには意図しないウィルスもある。 真面目なソフトや広告目的で開発した。2013/5/29 高度情報化と社会生活 48
  49. 49. マルウェアにも注意 PCに潜んで、広告表示をしたりする。 ウィルス対策ソフトにかかりにくい。 ネットからのウィルスの大半は「利用者が自分でダウンロード」してしまう。 やたらとクリックしない。 システムのアップデートを怠らない。 ウィルス対策ソフトをいれて、最新のものにアップデートをしておくしかない。2013/5/29 高度情報化と社会生活 49
  50. 50. ウィルスへの対処 ネットの利用にはウィルスチェックが必須な時代。 また、ネットを利用するための最低限のパソコンに関する知識は必要です。 自分のパソコンの状況を確認する。→ウィルス対策ソフトの有無、そして、システムアップデートの有無。2013/5/29 高度情報化と社会生活 50
  51. 51. しかし、実際は・・・ ウィルスによる被害よりも、 ウィルス対策ソフトの不具合や設定ミスによるトラブルの方が遙かに多い。→ウィルス対策ソフトは理解できる人に設定をしてもらう方がよいです。→わけもわからずに対策ソフトだけをいれておくことには意味がありません。2013/5/29 高度情報化と社会生活 51
  52. 52. ネットを利用するための前提 パソコンのシステムアップデートは必須。→MicrosoftUpdateの実行(月例・臨時) ウィルス対策ソフトも必要。→これもアップデートしないと意味がない。 FlashやReaderなどAdobe関係も必ずアップデートをする。 Javaのアップデートも必要→その他のアプリもアップデートする。2013/5/29 高度情報化と社会生活 52
  53. 53. なぜアップデートを急ぐか? システムの不備(セキュリティホール)は毎日のように発見されている。 対策のためのアップデートが配布できるようになるまで、不備の詳細は伏せられている。 アップデートの公開と同時に「セキュリティホール」の存在が全世界に明らかになる。 つまりアタックのターゲットの多くは「アップデートを怠っている間抜け達」ということ。「ゼロディ・アタック」が常套手段になった。2013/5/29 高度情報化と社会生活 53
  54. 54. セキュリティソフトを入れる 無料のウィルス対策ソフトのお薦め→Microsoft Security Essentials注意、インストールする前に他のウィルス対策ソフトをまず削除すること。(壊れますよ)インストールしたら最初にまず更新をする。次にフルスキャンをしてみる。→ウィルスが見つかったら詳しい人に。毎日アップデートとクイックスキャン。週に一度はフルスキャンをしましょう。Windows8ならDefenderをオンにする。2013/5/29 高度情報化と社会生活 54
  55. 55. パソコンにウィルス 実際はほとんどの場合なにも起こらない。 一定のタイミングでより悪質な振る舞いをするソフトを外部から呼び込んでくる。 データを破壊するものよりも、盗み出すものの方が多い。 ウィルスを他のパソコンにもまき散らしてしまう。2013/5/29 高度情報化と社会生活 55
  56. 56. スマートフォンのウィルス対策 入れておくか、難しいところ。 スマートフォンのウィルス感染は少ない。 使い方のわからないものを入れない方がよいかも。 動作が遅くなるなど不具合が出る場合もある。 新しく高性能なスマホでキャリアが無償で配布しているなら、いれてもよいのでは? 少し前のスマホでわざわざ購入してまで対策ソフトを入れるかは、要検討。2013/5/29 高度情報化と社会生活 56
  57. 57. スマホアプリに注意 ウィルスやマルウェアなど個人情報盗み取るアプリが出回っている。 Androidでは公式のGooglePlayでも沢山見つかっています。 慣れないうちは定評あるアプリに限定をする。 公式ストア以外からアプリを入れない。 アプリの振る舞いにも注意する。2013/5/29 高度情報化と社会生活 57
  58. 58. 2.パスワードによる対策2013/5/29 58高度情報化と社会生活
  59. 59. インターネットの認証 認証方法1.アカウント=パスワード方式2.物理認証方式MACアドレスなどで確認する。暗号化されたICカードなどワンタイムパスワード3.生体認証方式2013/5/29 高度情報化と社会生活 59
  60. 60. アカウント=パスワード方式 最も普及している。 パスワードが漏れたらアウト。 パスワードが多くなってくると管理がとても大変である。→パスワード地獄 パスワードの再発行が手間メールアドレスや確認フレーズなどで再発行をしているケースも多い。※登録メールアドレスや再発行手順の確認をしておきましょう。2013/5/29 高度情報化と社会生活 60
  61. 61. サイバー社会はパスワード社会 自分のパスワードの管理はきちんとやろう。 紙に書く、パソコンに覚えさせる。 パスワードの再発行方法も確認しておく。→大半は登録メール宛のパスワードの再発行だ、メールアドレスの変更には細心の注意を払おう。アドレスを変更しないメールをひとつ準備しておこう。(アンカーメール)2013/5/29 高度情報化と社会生活 61
  62. 62. パスワードの管理 ともかくキーボードに慣れること登録間違、入力間違は極めて多い日本語入力をしたまま、CapsLockをかけたままパスワードを登録してしまう。 侵入されやすいパスワード並数字、名前と同じ、アドレスと同じ文字数が少ない2013/5/29 高度情報化と社会生活 62
  63. 63. パスワードの問題 安易なパスワードにしている。1234 password とか数字のみ、単語、名前、簡単なキー入力→大文字、数字、記号を組み合わせる。 パスワードをずっと変更しない。→定期的に変える。→難しい。 パスワードの使い回し。他のサービスと共有。→これは危ない!2013/5/29 高度情報化と社会生活 63
  64. 64. パスワードの初歩的な管理1.頭で覚える。2.指で覚える。 →多くなると無理。3.紙に書いておく。→紛失、盗難。4.パソコンに書いておく。→人に見られるおそれ。→そもそも、パスワードは暗号化して保存をしておくべきもので、平文で保管するなどもっての外2013/5/29 高度情報化と社会生活 64
  65. 65. Windowsのオートコンプリート Windowsにアカウントやパスワードを記憶させる機能。 便利だが、そのパソコンを使う他の人にもパスワードがわかってしまう。 パソコンを変えたら使えない。 管理が難しい。→共有パソコンでは要注意2013/5/29 高度情報化と社会生活 65
  66. 66. ブラウザCookieの機能 サーバーが利用者を認証するためのデータを利用者のパソコンに送信して保持させる機能。 サイトを再訪問したときに、利用者を認証する機能。 偽造が簡単、セキュリティもないので、再訪問の確認程度に使われている。 共有端末ではCookieの機能を切っておく。2013/5/29 高度情報化と社会生活 66
  67. 67. パスワードをパソコンで管理1.ブラウザに覚えてもらう。→マスターパスワードを忘れると悲惨。→パソコンが壊れたらアウト。2.パスワード管理ソフトを使う。無料でよいものがあまりないけど。OSやブラウザで対応していないものがある。Roboform 1PasswordPro LastPassなど。2013/5/29 高度情報化と社会生活 67
  68. 68. ChromeならLastPass クラウド上にパスワードを保存するサービス。 ブラウザにいれれば、どこでも使える。 Chromeの機能拡張からインストール メールアドレスとマスターパスワードを登録する。 あとはログインをするたびに自動保存をしてくれる。 破られにくいパスワードの発行機能もある。2013/5/29 高度情報化と社会生活 68
  69. 69. 他にも1Passwordなど スマホやタブレットでも使える。 WindowsやMacなど複数のOSで使える。 メモも暗号化して保管できる。 ただし有料→数千円かかります。2013/5/29 高度情報化と社会生活 69
  70. 70. その他の認証システム パスワードシステム→ワンタイム・パスワードなどの新手法 バイオテック認証指紋認証サイバーサイン網膜認証→基本的には「なりすまし」への対策2013/5/29 高度情報化と社会生活 70
  71. 71. ワンタイム・パスワード2013/5/29 高度情報化と社会生活 71
  72. 72. 二段階認証の導入 FacebookやGoogleはケータイのSMSを使った二段階認証が使えます。 Twitterは国内は未対応です。 ログインをしようとすると登録したケータイにSMSで使い捨てのパスワードが送られてきて、それを入れて初めてログイン出来る仕組み。 ネットバンキングでも使われている。 問題はケータイを忘れたらログイン不能2013/5/29 高度情報化と社会生活 72
  73. 73. 勝手に入ってはいけない ネットを経由してパスワードを盗んで不正にコンピュータに侵入するのは犯罪です。→不正アクセス禁止法違反昔は、入るだけで破壊行為をしなければ、よかったが、今は他人のパスワードを勝手に使ってログインをすると犯罪になります。2013/5/29 高度情報化と社会生活 73
  74. 74. 3.ファイアーウォールによる対策2013/5/29 74高度情報化と社会生活
  75. 75. 不正な侵入への対策 自分のパソコンに他人が勝手にデータを送り込める状態→不正侵入データの改竄や消失など深刻な影響をもたらす。データはとられなくても他の攻撃への「踏台」にされることもある。基本的には防火壁(ファイアーウォール)が有効である。2013/5/29 高度情報化と社会生活 75
  76. 76. ネットワークポリシー どんな信号でも通過してよい。→オープンネットとしてのインターネットの基本 逆に組織のネットワークはどのような考え方で運営されてもよいが、入口で出入りのチェックを行うのが通例。その際のルールの基本的な考え方が「ポリシー」→透過可能な信号と不能な信号の振り分け2013/5/29 高度情報化と社会生活 76
  77. 77. インターネットは公道2013/5/29 高度情報化と社会生活 77インターネットLANLAN
  78. 78. セキュリティポリシー 出入口でのチェックを行う。2013/5/29 高度情報化と社会生活 78LAN通過するルールを設定インターネット
  79. 79. パソコンのファイアーウォール WindowsXPsp2以降では標準装備 それ以外では共有するソフトは気をつける。 市販のファイアーウォールソフトもあるが、かえって共有できない場合やインターネットに接続できなくなるケースもある。設定は慎重に、かつ知識が必要。 基本的にソフト・ファイアーウォールよりもハードウェアの「ルータ」の方をお薦めします。2013/5/29 高度情報化と社会生活 79
  80. 80. ファイアーウォールの構成2013/5/29 高度情報化と社会生活 80ファイアーウォールセキュアでないインターネット非武装ゾーンファイアーウォールLAN
  81. 81. 個人でもガードは必要 大切なデータがないので、ガードはしない。ウィルス対策もしない。 パソコンが悪者に乗っ取られて踏み台にされる。 SPAMメールの大半が「ボット」化した個人のパソコンから送られている。 ボット(=悪者に操られたロボットなパソコン)→インターネットの迷惑2013/5/29 高度情報化と社会生活 81
  82. 82. 自宅のネットは誰が守るか? 会社ではネットワーク管理者がポリシーを設定してガードを固めている。 家庭や管理者のいない小規模オフィスは誰が守るのか? 通信事業者か? たとえポリシーを設定しても不注意な利用者がウィルスやトロイのプログラムを不用意にダウンしたらセキュリティの意味は無い。2013/5/29 高度情報化と社会生活 82
  83. 83. 4.暗号化による対策2013/5/29 83高度情報化と社会生活
  84. 84. 暗号の話 インターネットで他人に信号が漏れないようにするにはデータを暗号化してやりとりをする。 暗号技術はこの20年で急速に発達した技術である。 「インターネット」と「公開暗号鍵」の技術が文字通り「革命」をもたらした。2013/5/29 高度情報化と社会生活 84
  85. 85. 参考図書 「暗号化~プライバシーを救った叛乱者たち」 スティーブン・レビー 著 紀伊國屋書店 定価 2500円+税 2002年2月※参考図書は必読ではない、あくまで理解を深めるための参考資料として示す。2013/5/29 高度情報化と社会生活 85
  86. 86. 情報を漏れないように届ける 第3者に情報が漏れないように届けるには?1.直接あって自分で渡す。2.信頼できる人に託す。3.信頼できる技術に託す。改竄や情報漏洩に対抗するために、「暗号技術」が研究されてきた。2013/5/29 高度情報化と社会生活 86
  87. 87. 暗号の原理2013/5/29 高度情報化と社会生活 87平文それは危険だ暗号文;%$’$%&’%&(&%’&%アルゴリズム暗号鍵暗号化復号化
  88. 88. 秘密鍵による暗号化通信2013/5/29 高度情報化と社会生活 88セキュアでないインターネット平文受信者平文暗号文送信者どうやって鍵を送るのか?
  89. 89. インターネットのセキュリティ 公開鍵方式による暗号化通信 認証局(キーエスクロー~鍵預かり)による利用者の登録この発想により電子商取引(インターネット取引)が実現した。本格的な電子商取引や電子政府の技術基盤を準備する最終段階に達している。→でも、まだ設定や啓蒙に問題がある。2013/5/29 高度情報化と社会生活 89
  90. 90. 公開鍵による暗号化通信2013/5/29 高度情報化と社会生活 90セキュアでないインターネット平文受信者平文暗号文送信者認証局受信者の公開鍵受信者の秘密鍵暗号文
  91. 91. 公開鍵と秘密鍵 公開鍵(暗号鍵)から秘密鍵(複合鍵)を解くには膨大な時間がかかる。 高等数学の「一方向関数」の応用 1978年MITのリベスト(Rivest)シャミア(Shamir)とエーデルマン(Adleman)らは、公開鍵暗号方式を発表した。発見者の名前にちなんでRSA暗号方式(略称RSA)と呼ばれている。2013/5/29 高度情報化と社会生活 91
  92. 92. 公開鍵による電子署名2013/5/29 高度情報化と社会生活 92セキュアでないインターネット受信者送信者認証局送信者の秘密鍵送信者の公開鍵署名文送信者の秘密鍵署名文送信者の秘密鍵チェックして正しければ送信者の署名
  93. 93. 二つある暗号化の利用法 経路を暗号化する方法(盗聴防止)→SSL→おもにWebで使う(あまり意識する必要は無い) データを暗号化する方法(誤送信防止)暗号化メール(今はあまり使われていないが今後必要になる可能性はある)2013/5/29 高度情報化と社会生活 93
  94. 94. SSLによる暗号化通信 公開暗号鍵を使って信号を暗号化する。 最初にWWWサーバーの認証を行う。 次に信号を確立したところでその場限りの暗号化鍵をクライアントに送信してクライアント-サーバー間の信号を確保する。 ホームページ間を暗号化したやりとりがセッションが切れるまで行われる。2013/5/29 高度情報化と社会生活 94
  95. 95. WWWのセキュリティ SSL(Secure Socket Layer) 機能はふたつ●認証局がWWWサーバーが真正のものであることを証明する。●WWWサーバーとクライアントの間の信号を暗号化する。2013/5/29 高度情報化と社会生活 95
  96. 96. どうやって認証をするか? 認証局がないと公開鍵システム(Public Key Infrastructure)は機能しない。 認証局(CA:Certification Authority)は誰が認めるのか? 商用認証会社(日本ベリサイン社など) 政府の認証システム(GPKI)→法務局なども認証局を開始。2013/5/29 高度情報化と社会生活 96
  97. 97. ベリサイン社による認証 世界初の商用認証システム サーバー認証には法人の登記簿謄本 毎年の更新による洗替方式によるチェック 個人のクライアント認証も行っている、しかしクレジットカードによるチェックのみである。 年額3000円弱で誰でも認証してくれる。 じつは個人の認証システムといっても信2013/5/29 高度情報化と社会生活 97
  98. 98. 電子証明はまだ発展途上 運用によってはクレジット決済など使えるものもあるが、現状はよく確認を行う必要がある。 なんといっても使いにくい、初心者が安心してクレジットカード番号をいれられるかがポイント。この問題は再度、電子商取引と電子政府で考察しますが、ネットの証明は課題が多い。2013/5/29 高度情報化と社会生活 98
  99. 99. 金融機関ではSSLが必須 アドレスを確認すること→フィッシング防止 ただし、当てにならないアドレスもある。→大分銀行に行ったはずなのにアドレスはNTTDATAと表示される! 最低限SSLの確認をする。 金融機関の多くはより信頼性の高いEV-SSLを取得している。URLが緑になる。2013/5/29 高度情報化と社会生活 99
  100. 100. アドレスの信頼性1.URLに会社名が入っている。→アドレスの管理組織にお金を払っている会社である。2.SSLモードになる。→ベリサイン社などサーバー認証会社にお金を払っている会社である。3.EV-SSLが表示される。→会社の登記簿や電話での確認をしている。2013/5/29 高度情報化と社会生活 100
  101. 101. FacebookもSSL対応へ 現状はSSL対応しているが、外部アプリは接続可能。 昨年から外部アプリもSSL接続を義務づけられるように変更になった。2013/5/29 高度情報化と社会生活 101
  102. 102. 2013/5/29 高度情報化と社会生活 102次回の講義予定6月5日ソーシャルリスク
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×