2015 6 3security

2015年6月3日
「ネットとセキュリティ」
2015/6/3 高度情報化と社会生活 1
第7回

高度情報化と社会生活
 教養科目水曜日第３限目
 講師藤野幸嗣 yuki@fujino.com
 講義資料のウェブのアドレス
http://www.fujino.com
 講義連絡用ツイッターアカウント
@fujinocom
 講義用のハッシュタグ
#kjoho

今週の課題
 締切は６月10日の講義開始時間まで
「セキュリティについて普段から気をつけてい
ることを具体的に項目で。」
Ex. データのバックアップ
ウィルス対策ソフトの導入
システムのアップデートなど。
特にセキュリティを気にしていなければ、その
理由を。

Facebookページのトラブル
 一部のページが勝手に「非公開」になって
いるようです。
 受講生のうち30ページぐらい。
 リストはグループにあげています。

設定→公開範囲の確認
チェックがないか？

スマホの場合は
 ページマネージャのアプリから。

公開にチェックがあるか？

先週の補足～
Gmailの使い方の基本

受信トレイとアーカイブ
 読んだ、あるいは処理をしたメールはアー
カイブに移す。
 Gmailの受信トレイは常に空にしておくのが
コツ。
→GTD(仕事を成し遂げる技術）の手法。
 過去に受信したメールはGoogleのクラウド
に保管されています、「すべてのメール」で
いつでも確認ができます。

Gmailのコツ
 Gmailでは基本的にメールは削除しません。
 読んだらアーカイブに移動させます。
 パソコンでまとめてやると処理しやすいです。
 スマホでは受信フォルダだけを見ていれば
よいようになります。
→必要なメールは検索できます。

迷惑メールとゴミ箱
 Gmailには強力な迷惑メール判定機能がある。
 しかし迷惑メールは誤判定をすることがあるので、定期
的に「迷惑メール」フォルダを確認する。
 メールアドレスを「連絡先」に登録をすると「迷惑メー
ル」だと判定しなくなります。
※メールを送信すると「連絡先」に登録します。
 迷惑メールとゴミ箱は30日後に自動的に削除されます。

今週のネットトピック
→まとめサイトの情報より

標的型攻撃とは？
 ターゲティング・アタック
→スパムのようにむやみにメールを送信する
のではなく、特定の組織や部署、個人を狙
いすまして、知り合いや関係者、関連団体
を装ってウィルス付きのメールを送る攻撃。
※今回は「厚生労働省」を騙ったらしい。

ウィルス対策は？
 ウィルス対策ソフトは完璧では無い。
 常に新種が出現している。
 標的型攻撃では対策ソフトに引っかからな
いようなファイルが使われる。
 「トロイの木馬」型ウィルス。
ウィルスそのものはたいした悪さができない
が、外から本当に悪い動作をするソフトが
送り込まれてきます。

日本年金機構の問題
１．ガードが甘い
→添付ファイルを安易に開く。
→対策も無い。
2．ファイル管理、データ管理が杜撰
３．大事なデータが入っているパソコンをネッ
トにつなげている。
→組織的に問題がある。
→管理の問題以前にいろいろありそう。

個人情報による本人確認の課題
 日本年金機構の問題
「氏名、生年月日、年金番号」で「住所の変
更」が可能になっている。
→システムとして欠陥があります。
 生命保険会社やクレジット会社に電話で問
い合わせすると、生年月日の確認で本人だ
と確認されることがあります。
→これもシステムとして不備があります。

個人情報の漏洩について
 個人情報（氏名、住所、生年月日、年金番
号）
→もともと相手に伝えないと意味がない情報
が「個人情報」
 個人情報は相手に渡すので当然漏れます。
 個人情報は漏らさないことよりも漏れたとき
の対処の方に注意を払うべき。
→オレオレ詐欺の被害に遭いやすくなる。

本人確認の基盤がない
 日本では本人であることを確認するための
社会基盤がありません。
→免許証や健康保険証、会社の身分証など
で代替しています。
→来年から始まるマイナンバーカードがどの
ような使われ方をするか注目。
→ネットでは設定した「パスワード」しか頼れ
るものがありません。

これからのネット社会
 個人情報を自らコントロールして適切に情
報を出していくテクニックが必要。
 自分の情報を隠していては、役に立つ情報
は集まってきません。
 むしろ積極的にプロフィールを書いて、自分
のポジション、ブランディングをアピールす
るようにした方がよさそう。
 でもパスワード管理には注意が必要。

セキュリティの基本
スマホ時代に
データを安全に保つために

セキュリティのポイント
常に行うこと。
 バックアップ（データもハードも）
 アップデート（しないと危険）
 スキャン（変なものが入ってないか）
気をつけること
 紛失、転落、盗難、ウィルス、詐欺、
 そして「友達」←ネットで最も危険。

ネット危機対策の諸手法
 不正アクセス
→パスワードの管理
→ファイアーウォールによる対策
 誤操作や盗聴による情報の漏洩
→認証や暗号化による対策
 意図しない情報の漏洩
クラッキングやウィルスによる漏洩
→ネットの利用に関する知識を持とう

ネットを介在した情報
大
事
な
情
報
ケータイ
スマホ
パソコン
大
事
な
情
報
インターネット

様々なトラブル要因が
大
事
な
情
報
ケータイ
スマホ
パソコン
大
事
な
情
報
盗聴・改ざん
紛失・盗難・破壊
ウィルス・
操作ミス
不正アクセス
ハッキング

トラブルが発生する場所
 端末
パソコン、スマホ、ケータイ
 トラブルの原因
盗難、紛失、ハッキング、ウィルス、操作ミス、
盗聴、不正侵入など
 対処
物理的な鍵、ウィルス対策ソフト、転落防止、
人の訓練、ファイアーウォール

インターネット・セキュリティ
脅威対抗策セキュリティサー
ビス
不正侵入ファイアーウォールアクセス・コントロー
ルやVPN
不正アクセスパスワード管理二段階認証など
盗聴・偽造・なりす
まし
暗号化・電子署名認証局
情報漏洩マルウェア対策
社員教育
対策ソフト
リテラシー教育

セキュリティ対策の基本
 一番の問題
「何をしたらよいのかわからない。」
→パソコンだと、システムやソフトのアップ
デート。セキュリティ対策ソフトの導入とアップ
デート、定期スキャン。
やたらにクリックしない、危ないところに行か
ない。
スマートフォンでも、これはほぼ同じ。

パソコンの安全対策
 データのバックアップ（毎週？）
→できれば外付けのハードディスクに。
 システムのアップデート
 セキュリティ対策ソフトのアップデート
 毎日の基本スキャン
 週一回の全スキャン
 様々なソフトのアップデート
 危険な行為をしない。

ネットで危険な行為とは
 Facebookにログインをしたまま、他の「危な
いサイト」を見に行く。
 ネットで怪しいサイトに行ってむやみやたら
にクリックする。
 素性のわからないソフトやファイルをダウン
ロードする。
 メールの添付ファイルを開く。

スマートフォンの対策
 毎日バックアップ→パソコンかクラウド
 パソコンと同様にウィルスや不正データの
対策に加えて、ケータイと同様に紛失や盗
難、破壊の際の対策も必要。
 最近はスマートフォンをターゲットにした「ワ
ンクリック詐欺」なども出てきている。
→慣れていない利用者が沢山いるので餌食
になりやすい。

セキュリティトラブル
0.ハードトラブルと紛失

安全の基礎、パソコンは清潔に！
 パソコンは、こんなものに弱い。
→雷（不安定な電源も）
→水（湿気）
→ホコリ（ハウスダスト）
→タバコの煙
→燻蒸（バルサン）
パソコンのまわりは清潔に! 煙は禁物

ノートパソコンの運搬
 パソコンは振動にとても弱い!
 とくにハードディスクは壊れやすい。
 車のシートに乗せて運ぶ→論外
 車で運ぶなら、膝の上におきましょう。
 リュックなど背負いが効果的、ショルダーやトート
バッグでは置くときに注意しましょう。
 ハードディスクは消耗品、ノートで２，３年
ディスクトップでも５年は持ちません。

仕事ならPCは２台いる？
 パソコンはすごく故障しやすい。
 万一、故障したときは仕事がすべて止まっ
てしまう。
 仕事を止めたくなければ、バックアップ用の
パソコンが必須なのかも。
 トラブルは一番起こって欲しくないときに起
こります。
→レポートの締切前にパソコンが壊れる。

ケータイやスマホは紛失に注意
 モバイルする機器は「紛失」や「盗難」に注
意しましょう。
 うっかり落として壊してしまうことも。
 ハードは保険で担保できるかも。
 データはバックアップをしておく。
 パソコンやクラウドにつないで保管しておくこと。
 無くしたり、壊れたらどうなるか、想像して準備を
しておく。

携帯機器の紛失や盗難
 保険で対処できるか？
 紛失の際にリモートロックができるか？
→できなければ、端末にパスワードロックを
かけているか？
 データはパソコンやクラウドにバックアップ
をしているか？
 漏れたらかなり困る情報は暗号化して保持
しているか？パスワードのメモなど。

クラウドにバックアップ
１．自分専用のパソコンがある。
（複数台ならもっと便利）
２．ネットに常につながっている。
２ギガまで無料。データの版管理ができる、速
度も速く、かなり便利。
スマートフォン・ユーザーにも必需品。

ログインプロテクト
 パソコンはユーザー毎にパスワードを
→勝手に人のパソコンを触られないように。と
くにノートパソコンは注意。
 スマホやタブレットもパスコードロックをかけ
よう。
 人にスマホを触らせないように。
→勝手にアプリを仕込まれる。

スマホのパスコードロック
 パスコードロックをかける癖をつけよう。
→社会人なら必須。
 4桁の暗証番号では弱い。
 指紋がついて数字やサインがばれる。
4つの数字の組み合わせは24通りしかない！
→なるべく英数字を組み合わせましょう。

探す機能やリモートロック
 「iPhoneを探す」
 「リモートロック」
→紛失時に有効です。
→データのパソコンやクラウドへのバックアッ
プもやっておきましょう。
スマホに紛失や水没はつきものです。

１．マルウェアから身を守ろう
知識防衛して安全にネットを使おう

マルウェアとは？
 パソコンやスマホに利用者にとって悪いこと
をするソフトウェアの総称。
mal～悪いと言う意味の接頭辞。
感染性のあるものがウィルス。
マルウェア＝ウィルス＋スパイウェア＋不正
アプリなどの総称。
ウィルス対策ソフト＝対策をしているのは狭
義のウィルスだけではありません。

一昨年の受講生のセキュリティ
 ウィルス対策ソフトを入れている。
７４％
 ウィルス対策ソフトのアップデートをしてい
る。
５２％
 システムアップデートをしている。
４０％
半分以上問題有り、はっきり「ひどい」

１．電子メールに添付
２．リンク先からダウンロード
最近はSNS経由が増えています。
３．USB経由
メモリーだけで無くカメラや音楽プレイヤーから
も。
４．社内LANで感染（ワーム）
マルウェアの侵入経路

マルウェアは誰がつくる？
 愉快犯から金銭目的の犯罪者へ移行
 愉快犯は人が困るところを楽しむ。
 最近は金銭目的の犯罪が増えている。
 ネットバンキング利用へのアタック。
 特定のターゲットを絞ったものも。
→標的型攻撃。特定の会社や組織を狙って
仕込まれたアタック。

マルウェアの年間発見数
 ある情報によるとマルウェアの種類は２０秒
にひとつずつ増えているとのこと。
 年間にすると１６０万種類。
 様々なバリュエーションを加えながら、一定
の集団がせっせと新種のウィルスをイン
ターネットにばらまいています。
 なかには意図しないものもある。
 真面目なソフトや広告目的で開発したもの
が結果的にウィルスになったりする。

マルウェアへの対処
 ネットの利用にはアップデートとウィルス
チェックが必須な時代。
 また、ネットを利用するための最低限のパ
ソコンやスマホに関する知識は必要です。
 自分のパソコンの状況を確認する。
→ウィルス対策ソフトの有無、
そして、システムアップデートの有無。

しかし、実際は・・・
 ウィルスによる被害よりも、
 ウィルス対策ソフトの不具合や設定ミスに
よるトラブルの方が遙かに多い。
→ウィルス対策ソフトは理解できる人に設定
をしてもらう方がよいです。
→わけもわからずに対策ソフトだけをいれて
おくことには意味がありません。

ウィルス対策ソフトの問題
 検知率はそれほど高くない。
→ある調査だと半分以下。
 新しいマルウェアは対策できない。
 対策ソフトをいれていても、更新されていな
かったり、適切に設定をされずにかえってト
ラブルの元になることが多い。
→複数の対策ソフトをいれると、お互いをウィ
ルスとみなしてしまうとか。

ネットを利用するための前提
 パソコンのシステムアップデートは必須。
→MicrosoftUpdateの実行（月例・臨時）
 ウィルス対策ソフトも必要。
→これもアップデートしないと意味がない。
 FlashやReaderなどAdobe関係も必ずアップ
デートをする。
 Javaのアップデートも必要
→その他のアプリもアップデートする。

なぜアップデートを急ぐか？
 システムの不備（セキュリティホール）は毎日のよ
うに発見されている。
 対策のためのアップデートが配布できるようにな
るまで、不備の詳細は伏せられている。
 アップデートの公開と同時に「セキュリティホール」
の存在が全世界に明らかになる。
 つまりアタックのターゲットの多くは「アップデート
を怠っている間抜け達」ということ。
「ゼロディ・アタック」が常套手段になった。

偽アップデートにも注意
 偽のアップデート画面

本物のアップデート画面
チェックをはずす！

セキュリティソフトを入れる
 Windows７までの無料のウィルス対策ソフトのお
薦め
→Microsoft Security Essentials
注意、インストールする前に他のウィルス対策ソフトをまず削
除すること。（壊れますよ）
インストールしたら最初にまず更新をする。
次にフルスキャンをしてみる。
→ウィルスが見つかったら詳しい人に。
毎日アップデートとクイックスキャン。週に一度はフルスキャ
ンをしましょう。
Windows８なら「Defender」をオンにする。

パソコンにマルウェアが
 実際はほとんどの場合なにも起こらない。
 一定のタイミングでより悪質な振る舞いをす
るソフトを外部から呼び込んでくる。
 データを破壊するものよりも、盗み出すもの
の方が多い。
 ウィルスの場合には他のパソコンにもまき
散らしてしまう。

スマートフォンのウィルス対策
 入れておくか、難しいところ。
 スマートフォンのウィルス感染は少ない。
 むしろアプリのわからないものを入れない方がよ
いかも。
 動作が遅くなるなど不具合が出る場合もある。
 新しく高性能なスマホでキャリアが無償で配布し
ているなら、いれてもよいかも？
 少し前のスマホでわざわざ購入してまで対策ソフ
トを入れるかは、要検討。

スマホ悪徳アプリに注意
 ウィルスやマルウェアなど個人情報を盗み
取るアプリが出回っている。
 Androidでは公式のGooglePlayでも沢山見
つかっています。
 慣れないうちは定評あるアプリに限定をす
る。
 公式ストア以外からアプリを入れない。
 アプリの振る舞いにも注意する。

友達からのアプリの薦め
 友達からリンクが送られてくる。
（実はウィルスに感染されてそのアプリが勝
手に友達に送っている）
 公式アプリストアそっくりの画面に誘導され
る。
 アプリをダウンロードしてインストールする
自分のスマホもウィルスに感染してしまう。

ネットは落し穴がいっぱい
 場数を踏んで経験値をあげる以外に良い
対策はありません。
 怖がってアップデートをしない
 ネットにつながない
→対策としては最悪。
まず使うこと、徹底的に使いまくるのがネッ
トを安全に使うためのコツ。
→バックアップとリカバリーを日常的に

2．パスワードによる対策
2015/6/3 60高度情報化と社会生活

インターネットの認証
 認証方法
１．アカウント＝パスワード方式
２．物理認証方式
MACアドレスなどで確認する。
暗号化されたICカードなど
ワンタイムパスワード
３．生体認証方式

アカウント＝パスワード方式
 最も普及している。
 パスワードが漏れたらアウト。
 パスワードが多くなってくると管理がとても
大変である。→パスワード地獄
 パスワードの再発行が手間
メールアドレスや確認フレーズなどで再発
行をしているケースも多い。
※登録メールアドレスや再発行手順の確認
をしておきましょう。

スマホを契約すると
 Docomoとスマホの契約すると12個もの
様々なパスワードが設定されていて、あき
れたことがあります。
 面倒なのでつい同じものにしてしまう人が
多いのですが、極めて危険です。
 パスワードを全て変えてしっかり紙で残して
おくことをお薦めします。

漏れたら凄くまずい
 Googleアカウントのパスワード
 AppleIDのパスワード
→スマホが乗っ取られてしまうリスクがありま
す。厳重に管理をいたしましょう。
人にも教えないように。
自分でも絶対に忘れないように、メモを残して、
シリアル番号などと一緒に大切にしまっておく
こと。

ネット社会はパスワード社会
 自分のパスワードの管理はきちんとやりま
しょう。
 紙に書く、パソコンに覚えさせる。
 パスワードの再発行方法も確認しておく。
→大半は登録メール宛のパスワードの再発
行です、メールアドレスの変更には細心の
注意を払いましょう。
アドレスを変更しないメールをひとつ準備し
ておこう。（アンカーメール）

パスワードの管理
 ともかくキーボードに慣れること
登録間違い、入力間違いは極めて多い
日本語入力をしたまま、CapsLockをかけた
ままパスワードを登録してしまう。
 侵入されやすいパスワード
並び数字、名前と同じ、アドレスと同じ、文
字数が少ないパスワードは×

パスワードの問題
 安易なパスワードにしている。
１２３４ password とか
数字のみ、単語、名前、簡単なキー入力
→大文字、数字、記号を組み合わせる。
 パスワードをずっと変更しない。
→定期的に変える。→難しい。
 パスワードの使い回し。
他のサービスと共有。→これは危ない！

パスワードの初歩的な管理
１．頭で覚える。
２．指で覚える。 →多くなると無理。
３．紙に書いておく。→紛失、盗難。
４．パソコンに書いておく。→人に見られるお
それ。
→そもそも、パスワードは暗号化して保存を
しておくべきもので、平文で保管するなど
もっての外です。

Windowsのオートコンプリート
 Windowsにはアカウントやパスワードを記憶
させる機能があります。
 便利ですが、そのパソコンを使う他の人に
もパスワードがわかってしまう。
 パソコンを変えたら使えません。
 管理が難しい。
→共有パソコンでは要注意

ブラウザCookieの機能
 サーバーが利用者を認証するためのデー
タを利用者のパソコンに送信して保持させ
る機能。
 サイトを再訪問したときに、利用者を認証す
る機能。
 偽造が簡単、セキュリティもないので、再訪
問の確認程度に使われている。
 共有端末ではCookieの機能を切っておくな
どの対処が必要。

パスワードをパソコンで管理
１．ブラウザに覚えてもらう。
→マスターパスワードを忘れると悲惨。
→パソコンが壊れたらアウト。
２．パスワード管理ソフトを使う。
無料でよいものがあまりない。
OSやブラウザによって対応していないもの
があります。

ChromeならLastPass
 クラウド上にパスワードを保存するサービス。
 ブラウザにいれれば、どこでも使える。
 Chromeの機能拡張からインストール
 メールアドレスとマスターパスワードを登録する。
 あとはログインをするたびに自動保存をしてくれる。
 破られにくいパスワードの発行機能もある。
 スマホは有料（月額1$)

他にもPasswordBox
 スマホやタブレットでも使える。
 WindowsやMacなど複数のOSで使える。
 メモも暗号化して保管できる。
 ただし25アカウント以上の登録は有料
（月額１＄）
スマホではこちらの方が便利かも。

私は１Passwordを
 スマホは無料だけど、パソコンで設定が必要で、
パソコン用はかなり高いです。5000円くらい。
 ただしiPhone、Android、Mac、Windowsなど共通で
パスワード管理が出来ます。
 全てのバージョンをそろえると1万円近くかかりま
すけれど、機能は豊富で安心です。
 仕事で使うならこのくらいの機能は必要。

その他の認証システム
 パスワードシステム
→ワンタイム・パスワードなどの新手法
 バイオテック認証
指紋認証
サイバーサイン
網膜認証
→基本的には「なりすまし」への対策

ワンタイム・パスワード

二段階認証の導入
 FacebookやGoogleはスマホのSMSを使っ
た二段階認証が使えます。
 ログインをしようとすると登録したケータイ
にSMSで使い捨てのパスワードが送られて
きて、それを入れて初めてログイン出来る
仕組み。
 ネットバンキングでも使われている。
 問題はケータイを忘れたらログイン不能

二段階認証の仕組み
ログイン
ID
パスワード
Google
Facebook
など
コード送信
123456
認証コード
コード
通常のログイン（ID、パスワードの入力）
コードは20秒間のみ有効
順次再発行されます。

二段階認証用のアプリ
 Google Authenticator
→一台しか登録できません。
→端末の紛失や交換の際にかなり面倒。
 Authy
→複数の端末やパソコンのChromeにも対応しています。
→セキュリティ的には少し弱くなりますが、便利です。

３．ファイアーウォールによる
対策

勝手に入ってはいけない
 ネットを経由してパスワードを盗んで不正に
コンピュータに侵入するのは犯罪です。
→不正アクセス禁止法違反
昔は、入るだけで破壊行為をしなければ、
よかったが、今は他人のパスワードを勝手
に使ってログインをすると犯罪になります。

不正な侵入への対策
 自分のパソコンに他人が勝手にデータを
送り込める状態→不正侵入
データの改竄や消失など深刻な影響をもた
らす。
データはとられなくても他の攻撃への「踏
台」にされることもある。
基本的には防火壁（ファイアーウォール）が
有効である。

ネットワークポリシー
 どんな信号でも通過してよい。
→オープンネットとしてのインターネットの基
本
 逆に組織のネットワークはどのような考え方で
運営されてもよいが、入口で出入りのチェック
を行うのが通例。
その際のルールの基本的な考え方が「ポリ
シー」
→透過可能な信号と不能な信号の振り分け

インターネットは公道
LANLAN

セキュリティポリシー
 出入口でのチェックを
行う。
ＬＡＮ
通
過
す
る
ル
ー
ル
を
設
定
イ
ン
タ
ー
ネ
ッ
ト

パソコンのファイアーウォール
 Windowsでは標準装備
 それ以外では共有するソフトは気をつける。
 市販のファイアーウォールソフトもあるが、
かえって共有できない場合やインターネットに
接続できなくなるケースもある。設定は慎重に、
かつ知識が必要。
 基本的にソフト・ファイアーウォールよりもハー
ドウェアの「ルータ」の方をお薦めします。

ファイアーウォールの構成
フ
ァ
イ
ア
ー
ウ
ォ
ー
ル
セキュアで
ないイン
ターネット
非武装ゾーン
ファイアーウォール
ＬＡＮ

個人でもガードは必要
 大切なデータがないので、ガードはしない。
→×
ウィルス対策もしない。→×
 パソコンが悪者に乗っ取られて踏み台にさ
れる。
 SPAMメールの大半が「ボット」化した個人
のパソコンから送られている。
 ボット（＝悪者に操られたロボットなパソコ
ン）→インターネットの迷惑

自宅のネットは誰が守るか？
 会社ではネットワーク管理者がポリシーを
設定してガードを固めている。
 家庭や管理者のいない小規模オフィスは誰
が守るのか？
 通信事業者か？
 たとえポリシーを設定しても不注意な利用
者がウィルスやトロイのプログラムを不用
意にダウンしたらセキュリティの意味は無い。

４．暗号化による対策

暗号の話
 インターネットで他人に信号が漏れないよう
にするにはデータを暗号化してやりとりをす
る。
 暗号技術はこの２０年で急速に発達した技
術である。
 「インターネット」と「公開暗号鍵」の技術が
文字通り「革命」をもたらした。

参考図書
 「暗号化～プライバシーを
救った叛乱者たち」
 スティーブン・レビー著
 紀伊國屋書店
 定価２５００円＋税
 ２００２年２月
※参考図書は必読ではない、あく
まで理解を深めるための参考
資料として示す。

情報を漏れないように届ける
 第３者に情報が漏れないように届けるに
は？
１．直接あって自分で渡す。
２．信頼できる人に託す。
３．信頼できる技術に託す。
改竄や情報漏洩に対抗するために、
「暗号技術」が研究されてきた。

暗号の原理
平
文
そ
れ
は
危
険
だ
暗
号
文
;%$’$%&’%&(&
%’&%
アルゴリズム
暗号鍵
暗号化
復号化

秘密鍵による暗号化通信
セキュアで
ないイン
ターネット
平文
受信者
平文
暗号文
送信者
どうやって鍵を
送るのか？

インターネットのセキュリティ
 公開鍵方式による暗号化通信
 認証局（キーエスクロー～鍵預かり）による
利用者の登録
この発想により電子商取引（インターネット
取引）が実現した。
本格的な電子商取引や電子政府の技術基
盤を準備する最終段階に達している。
→でも、まだ設定や啓蒙に問題がある。

公開鍵による暗号化通信
セキュアでな
いインター
ネット
平文
受信者
平文
暗号文
送信者
認証局
受信者の公開鍵
受信者の秘密鍵
暗号文

公開鍵と秘密鍵
 公開鍵（暗号鍵）から秘密鍵（複合鍵）を解
くには膨大な時間がかかる。
 高等数学の「一方向関数」の応用
 1978年ＭＩＴのリベスト（Rivest）シャミア
（Shamir）とエーデルマン（Adleman)らは、公
開鍵暗号方式を発表した。発見者の名前
にちなんでＲＳＡ暗号方式（略称ＲＳＡ）と呼
ばれている。

公開鍵による電子署名
セキュアでな
いインター
ネット
受信者送信者
認証局送信者の秘密鍵送信者の公開鍵
署
名
文
送信者の秘密鍵
署
名
文
送信者の秘密鍵
チェックして正しければ
送信者の署名

二つある暗号化の利用法
 経路を暗号化する方法（盗聴防止）
→ＳＳＬ
→おもにＷｅｂで使う（あまり意識する必要
は無い）
 データを暗号化する方法（誤送信防止）
暗号化メール（今はあまり使われていない
が今後必要になる可能性はある）

SSLによる暗号化通信
 公開暗号鍵を使って信号を暗号化する。
 最初にＷＷＷサーバーの認証を行う。
 次に信号を確立したところでその場限りの暗号化
鍵をクライアントに送信して
クライアント-サーバー間の信号を確保する。
 ホームページ間を暗号化したやりとりが
セッションが切れるまで行われる。
 クレジット会社への確認

WWWのセキュリティ
 SSL（Secure Socket Layer)
 機能はふたつ
◆認証局がWWWサーバーが真正のものであ
ることを証明する。
◆WWWサーバーとクライアントの間の信号を
暗号化する。

どうやって認証をするか？
 認証局がないと公開鍵システム
(Public Key Infrastructure)は機能しない。
 認証局（CA：Certification Authority）は誰
が認めるのか？
 商用認証会社(日本ベリサイン社など)
 政府の認証システム(GPKI)
→法務局なども認証局を開始。

ベリサイン社による認証
 世界初の商用認証システム
 サーバー認証には法人の登記簿謄本
 毎年の更新による洗替方式によるチェック
 個人のクライアント認証も行っている、しか
しクレジットカードによるチェックのみである。
年額３０００円弱で誰でも認証してくれる。
 じつは個人の認証システムといっても信販
システムが背後に動いている。

金融機関ではSSLが必須
 アドレスを確認すること→フィッシング防止
 ただし、当てにならないアドレスもある。
→大分銀行に行ったはずなのにアドレスは
NTTDATAと表示される!
 最低限SSLの確認をする。
 金融機関の多くはより信頼性の高い
EV-SSLを取得している。
URLが緑になる。

アドレスの信頼性
１．URLに会社名が入っている。
→アドレスの管理組織にお金を払っている会
社である。
２．SSLモードになる。
→ベリサイン社などサーバー認証会社にお
金を払っている会社である。
３．EV-SSLが表示される。
→会社の登記簿や電話での確認をしている。

クレジットカードの盗用
 ネット通販ではクレジットカードは必須
 保険が効くので常に利用状況をネットで確
認をしておくこと。
 身に覚えの無い利用があったらすぐに連絡
すること。
 利用確認ができないカードは持たない。
 使い捨てクレジットやデビットカードなど身
元保証の無いクレジットもあります。

ネットで加害者になる危険

次回の講義予定
6月10日
ソーシャルリスク

2015 6 3security

More Related Content

What's hot

Similar to 2015 6 3security

More from Yuki Fujino

2015 6 3security