Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

情報セキュリティと標準化I 第5回-公開用

446 views

Published on

  • Be the first to comment

  • Be the first to like this

情報セキュリティと標準化I 第5回-公開用

  1. 1. 情報セキュリティと標準化I第5回WEB公開版のため内容は大幅に抜粋・省略しています。
  2. 2. 前期:第15回1 情報セキュリティの概要:基本概念、実装技術と対策方法2 情報セキュリティの概要:脅威リスクの分類と評価、その対策方法3 技術的セキュリティの技術と実装4 人的・物理的セキュリティと技術的セキュリティの関係5 対称暗号技術:秘密鍵技術と実装(セキュアプログラミング)6 非対称暗号技術:公開鍵技術と実装(セキュアプログラミング)7 セキュリティ監査と管理:セキュリティ技術評価 評価方法、保証レベル8 セキュリティ監査と標準化:セキュリティ評価基準と標準化9 リスクの分析評価と管理対策:情報資産とリスクの概要,リスク分析評価10 情報セキュリティのマネジメントとセキュリティポリシー:IMIS、関連法規11 デジタル認証技術と標準化: デジタル署名、メッセージ認証、認証基盤12 物理的認証技術と標準化:利用者確認、生態認証、関連標準化動向13 観測・基盤実装技術:セキュアOS,セキュアプログラミング14 観測・応用実装技術:アプリケーションセキュリティ15 情報セキュリティ技術、分析評価方法、管理対策、標準化動向まとめ
  3. 3. 第5回• 対称暗号技術:秘密鍵技術と実装(セキュアプログラミング)• 情報セキュリティを支える基幹技術に、対称暗号技術がある。第5回では代表的な対称暗号技術であるDES, AESを中心に、CBC、CFB、OFB、CTRモードの構造と実装方法を解説する。また、現在汎用に使われているハッシュ関数と、乱数の実装について学ぶ。• またC言語やJAVAなどの実装例について紹介する。
  4. 4. 基本情報処理技術者試験:情報セキュリティ対策①物理セキュリティ対策:物理的な脅威から情報資産を保護する。耐震設備、電源設備、入退室管理(IDカード)②技術的セキュリティ管理:技術的な脅威から情報資産をまもる。コンピュータウィルス対策、WEB認証、アクセス制御など③人的セキュリティ対策:人的な脅威から情報資産を保護する。従業員、組織の人員の管理、セキュリティポリシーを守らせる(周知させる)。
  5. 5. 情報セキュリティへの脅威の分類①データセキュリティ大事なデータ(個人情報など)が守られること。②システムセキュリティ個人のコンピュータやデバイスが守られること。③ネットワークセキュリティ複数の人が使うネットワークやサービスが安全に利用できること。④人的セキュリティ悪意のある人が大事な情報やシステムにアクセスできないようにすること。
  6. 6. 情報セキュリティの3条件CIA(秘匿性・完全性・可用性)• 秘匿性 Confidentiality許可されたものが情報にアクセスできる。• 完全性 Integrity情報が正確であり、改ざんされないこと。• 可用性 Availability許可されたユーザが情報にアクセスし利用できる。
  7. 7. 情報セキュリティのCIAconfidentialityIntegrity availability機密性情報が組織や個人によって定められたルール通りに保護できること。可用性システムを必要に応じて利用・制御ができること。完全性情報が破壊、改ざん又は消去されていない状態を確保すること暗号・認証アクセス制御・認証暗号・アクセス制御
  8. 8. 情報セキュリティのCIACI Aアクセス制御、パスワード認証、暗号化、入退室管理暗号化、デジタル署名、ハッシュによる改ざん防止情報漏洩WEBクラッキングパスワードが盗まれるアクセス制御、冗長構成、認証不正アクセスWEBが改竄されるサイバー攻撃WEB封鎖アクセスできなくなる
  9. 9. セキュリティ対策の実行上の基本原則プリベント(回避)プロテクト(防御・防止)レスポンド(対応)リカバリー(復旧)
  10. 10. 認証:完全性(I)を守る送信相手認証通信相手が本人かどうかメッセージ認証通信の途中でメッセージが改ざんされていないかデジタル署名送信する文書が正当化かどうか
  11. 11. 脆弱性管理:(A)を守るリスク脆弱性脅威発生する前の想定脆弱性:リスクを発生させる原因のこと。プログラムを間違って書くと発生する。発生した後の事象
  12. 12. 暗号化:C(秘匿性)を守る平文 暗号文 平文暗号鍵 復号鍵共通鍵暗号方式: 暗号鍵と復号鍵に同じ鍵を用いる公開鍵暗号方式: 暗号鍵と復号鍵が違う暗号鍵は公開する(多)。秘密鍵で復号する(一)。
  13. 13. 共通鍵は鍵の管理が大変ABCDE共通鍵で通信する場合鍵の数はn×(n-1)÷2B,C,D,Eの4人と通信する場合、Aは4つの鍵を管理する必要がある。送信側、受信側とも鍵を第3者に教えてはいけない。
  14. 14. 公開鍵は鍵の数が少なくて済む。ABCDE悪意公開鍵で通信する場合鍵の数は2nで済む。悪意のある送信者に鍵が渡っても問題ない。
  15. 15. 公開鍵暗号と素因数分解P*Q=Mを使って秘密鍵Dを作成P*Q=Mを使って公開鍵Eを作成公開鍵EとMを送信者に送る。公開鍵EとMが悪意のある者に渡るMをP*Qに分解することはほぼ不可能なので秘密鍵を作成(再現)できない。安全性:MをP*Qに分解することが非常に難しい。
  16. 16. Electronic codebook (ECB)平文[1]暗号文[1]暗号モジュール鍵平文[2]暗号文[2]暗号モジュール鍵
  17. 17. The cipher feedback (CFB) mode初期化ベクトル暗号文暗号モジュール鍵平文[1]暗号モジュール暗号文[2]平文[2]暗号文[1]
  18. 18. The output feedback (OFB) mode初期化ベクトル暗号文暗号モジュール鍵平文[1]暗号モジュール暗号文[2]平文[2]暗号文[1]
  19. 19. The counter (CTR) mode乱数[1]暗号文[1]暗号モジュール鍵平文[1]暗号モジュール暗号文[2]平文[2]乱数[2]鍵
  20. 20. WEBアプリケーション• バッファオーバーフロー(Buffer Over Flow)• クロスサイトスクリプティング(Cross SiteScripting)• SQLインジェクション(SQL Injection)• クロスサイトリクエストフォージェリ(CrossSite Request Forgery)• フィッシング (phishing)
  21. 21. WEBアプリケーションのセキュリティWEBサーバDBサーバ攻撃者1フィッシング盗聴攻撃者2クロスサイト攻撃攻撃3SQLインジェクション
  22. 22. WEB通信の暗号化:鍵をさらに暗号化するクライアントはWEBサーバに入力した内容を見られたくない 攻撃者盗聴サーバ秘密鍵が盗まれている可能性がある。①ファイル(データ)をクライアントが生成した共通鍵で暗号化して送信②暗号に使った共通鍵を公開鍵でさらに暗号化して送信③サーバは暗号化された鍵を秘密鍵で元の鍵に戻し、送られてきたデータを復号
  23. 23. 基本情報処理試験フィッシング• 実在する金融機関や買い物サイトなどの正規のメールやWEBをサイトを装い、ユーザをそこに誘導させ、ユーザIDやパスワード、暗証番号などを入手する手法• 偽の電子メールを発信して、ユーザを誘導し、実在する会社を装ったWEBサイトにアクセスさせ、ユーザに個人情報を入力させる。
  24. 24. WEBアプリケーション:フィッシング正規WEB1234.com攻撃者はユーザが入力するIDとパスワードが知りたい。悪意WEB1243.com正規WEBとよく似たサイトにユーザを誘導し、パスワード等を入力させる。協力
  25. 25. WEBアプリケーション:クロスサイトスクリプティング正規WEB1234.com攻撃者1フィッシング盗聴リンクが貼ってある1234.com+悪意のあるコード悪意のあるWEBサーバ①ユーザが悪意のWEBサーバ上のリンクをクリックする②悪意のあるコード付きでアクセスしてしまう。③正規WEBで悪意のあるスクリプトが生成され、ユーザへ送信され実行されてしまう。
  26. 26. 基本情報処理試験(H21秋)クロスサイトスクリプティング• WEBサーバへのユーザへの内容のチェックがされていない場合、悪意をもったスクリプトを埋め込まれてしまい、偽のページの表示や攻撃スクリプトがユーザのブラウザで実行されてしまうこと。• WEBサイトへの入力データを検査し、HTMLタグ、JavaScript、SQL文などを変換し、入力を無害化することをサニタイジング(無害化)という。• 動的にJavaScriptなどのWebページを生成するアプリケーションの脆弱性を利用し、正規サイトと悪意のあるWEBサイトの横断して(クロスサイト)、悪意のあるスクリプトを生成し、ユーザのクッキー(IDやパスワードが入っていることがある)を漏洩させるなどの攻撃を行う行為。
  27. 27. 資料
  28. 28. 基本情報処理技術者試験:認証• 相手認証:通信相手が正しいか、本人かどうか確認する技術– コールバック、共通鍵、公開鍵暗号方式が使われる。• メッセージ認証:通信文やファイルに改ざん(悪意のある変更)が加えられたかを検出する技術。• デジタル署名:文書の正当性を保証する技術
  29. 29. 基本情報処理技術者試験:機密保護①暗号化:一定の規則でデータを変換して第三者にわからなくする。共通鍵暗号方式公開鍵暗号方式②認証:アクセスしている人や通信先が本人であること、正当な利用者であることを確認すること。③アクセス管理:コンピュータシステムの資源に対する不正なアクセスを防ぐこと。
  30. 30. 脅威の種類• 破壊:データやコンピュータを壊す• 漏洩:組織の機密情報や個人情報を外部に漏らす• 改ざん:ホームページなどが改ざんする• 盗聴:メールなどが盗み見される• 盗難:コンピュータやUSBメモリなどが盗まれる• サービス停止:組織が提供しているサービスが落とされる• 不正利用:組織のネットワークやシステムが別の目的で不正に利用される。• 踏み台:他の組織の情報システムを攻撃する手段に利用される。• ウィルス感染:ウィルス感染により組織の大事なデータが破壊される。• なりすまし:パスワードを盗まれ、本人のアカウントが情報を盗まれたり、買い物をされる。• 否認:文書がメールで送信した内容を、否定される。
  31. 31. 参考(参照)文献【1】図解入門 よくわかる最新情報セキュリティの基本と仕組み - 基礎から学ぶセキュリティリテラシー相戸 浩志 秀和システム【2】基本情報処理技術者試験情報処理教科書 基本情報技術者 2013年版日高 哲郎 (翔泳社)情報処理教科書 応用情報技術者 2013年版日高 哲郎 (翔泳社)【3】ポケットスタディ 情報セキュリティスペシャリスト村山 直紀 秀和システム
  32. 32. 基本情報処理技術者試験セキュリティポリシー情報セキュリティ基本方針情報セキュリティ対策基準情報セキュリティ対策手続き規定類情報セキュリティポリシは、経営層の同意に基づき、組織の保有する情報資産(ハードウェア、ソフトウェア、ネットワーク、データ、設備など)を脅威から守るために、組織の情報システムの機密性、完全性、可用性を確保するために規定するきまりのこと。
  33. 33. 基本情報処理技術者試験情報セキュリティ基本方針と対策基準• 情報セキュリティ基本方針:組織のリスクマネジメントの一貫として、情報セキュリティの方針を、組織に属する人に伝達することを目的に作成される。• 情報セキュリティ対策基準:情報セキュリティ基本方針に基づいて、組織に属する人に具体的な基準を示して、実際の義務と責任を割り当てるために作成される。
  34. 34. 基本情報処理技術者試験情報セキュリティ管理と対策• 情報セキュリティポリシーとISMSIMIS (information securitymanagement system)• リスク管理純粋リスクと投機的リスク• 情報セキュリティ対策物理的対策、技術的対策、人的対策
  35. 35. サイバースペースCyberspace = cybernetics + spaceの造語。①オンラインによるコミュニケーションが行われるコンピュータネットワークの電子媒体のこと②相互接続された情報技術によって表現され、さまざまな通信機能や制御機能を持つ製品やサービスで構成されたもの③コンピュータやネットワークの中に広がるデータ領域を、多数の利用者が自由に情報を流し、情報を得たりすることができる仮想的な空間のこと。④物理的に存在する形があるものではなく、インターネットに接続される機器やネットワークの技術的手段によって、インターネット上において、人、ソフトウェア、サービスの関わり合いからもたらされる複合環境
  36. 36. 第6回• 非対称暗号技術:公開鍵技術と(セキュアプログラミング)• インターネットの利用には非対称暗号技術(公開鍵技術)が不可欠である。第6回では、RSAを中心に、鍵管理、ネットワーク上の鍵• 交換、メッセージ認証などについて解説する。また実際に利用されているOpenSSH, OpenSSLなどの実装について解説する。また、• 今後の標準化予定技術の動向などを学ぶ。

×