情報セキュリティと標準化I 第1回-公開用
•
1 like•917 views
情報セキュリティの概要:基本概念、実装技術と対策方法 第1回では情報セキュリティの概要を解説するとともに、この講義のキーワードである暗号化技術、認証技術利用者確認、生体認証技術,公開鍵基盤,政府認証基盤、人的セキュリティ対策,技術的セキュリティ対策(クラッキング対策,ウイルス対策ほか),物理的セキュリティ対策等について解説する。 Youtube https://www.youtube.com/watch?v=ZDTl1CHbkB8
Recommended
More Related Content
What's hot
Viewers also liked
Viewers also liked (20)
Similar to 情報セキュリティと標準化I 第1回-公開用
Similar to 情報セキュリティと標準化I 第1回-公開用 (20)
More from Ruo Ando
More from Ruo Ando (20)
情報セキュリティと標準化I 第1回-公開用
- 1. 情報セキュリティと標準化I 第1回 WEB公開版のため 内容は大幅に抜粋・省略しています。
- 2. 前期:第15回 1 情報セキュリティの概要:基本概念、実装技術と対策方法 2 情報セキュリティの概要:脅威リスクの分類と評価、その対策方法 3 技術的セキュリティの技術と実装 4 人的・物理的セキュリティと技術的セキュリティの関係 5 対称暗号技術:秘密鍵技術と実装(セキュアプログラミング) 6 非対称暗号技術:公開鍵技術と実装(セキュアプログラミング) 7 セキュリティ監査と管理:セキュリティ技術評価 評価方法、保証レベル 8 セキュリティ監査と標準化:セキュリティ評価基準と標準化 9 リスクの分析評価と管理対策:情報資産とリスクの概要, リスク分析評価 10 情報セキュリティのマネジメントとセキュリティポリシー: IMIS、関連法規 11 デジタル認証技術と標準化: デジタル署名、メッセージ認証、認証基盤 12 物理的認証技術と標準化:利用者確認、生態認証、関連標準化動向 13 観測・基盤実装技術:セキュアOS,セキュアプログラミング 14 観測・応用実装技術:アプリケーションセキュリティ 15 情報セキュリティ技術、分析評価方法、管理対策、標準化動向まとめ
- 5. 情報セキュリティとは? • コンピュータシステムやネットワークシステム の安全性を保つこと。 • データの安全性を保つこと。大事な情報が守 られること。 • システムの安全性を確保すること。第3者に 制御や操作を乗っ取られないこと。
- 6. ハッカーとクラッカー 諸刃の剣 • ハッカー:技術レベルが高く、良心のある人 • クラッカー:技術レベルは高いが、悪意のある 人 • 諸刃の剣:使い方で毒にも薬にもなる技術
- 7. 情報セキュリティの3条件 CIA(秘匿性・完全性・可用性) • 秘匿性 Confidentiality 許可されたものが情報にアクセスできる。 • 完全性 Integrity 情報が正確であり、改ざんされないこと。 • 可用性 Availability 許可されたユーザが情報にアクセスし利用できる。
- 8. 情報セキュリティ関連の 社会問題
- 9. 社会問題①情報漏洩 C:秘匿性 • 許可されたものが情報にアクセスできる。第3 者は情報にアクセスできない。 アクセス制御、パスワード認証、 暗号化、入退室管理
- 10. 社会問題②不正アクセス I:完全性 • 情報が正確であり、改ざん(所有者の許可無 く変更される)されないこと。 デジタル署名、 メッセージダイジェストによる改ざん防止
- 11. 社会問題③サイバー攻撃 A:可用性 • 許可されたユーザが必要なときに情報や サービスにアクセスし、利用できること。 ネットワークやシステムの冗長化、UPS 負荷分散、クラスタリング構成
- 12. 情報セキュリティの脅威の分類
- 14. 脅威:データセキュリティ • 悪意のあるアクセスによる、大事なデータ(パ スワード等)が奪われたり、変更されたりする こと。 • 情報漏洩 • WEBページ改ざん
- 15. 脅威:システムセキュリティ • コンピュータウィルスやクラッカーにより、シス テムの制御が奪われること。 • コンピュータウィルス • パスワードクラッキング
- 16. 脅威:ネットワークセキュリティ • 1台以上のコンピュータによって、ネットワーク を使ったサービスが使えなくなること。 • DoS攻撃 • コンピュータウィルス
- 17. 脅威:人的セキュリティ • 悪意のある人やスパイによって大事な情報が 奪われること。 • ソーシャルエンジニアリング • 情報漏えい
- 18. 情報セキュリティ対策の分類
- 19. 情報セキュリティ対策の分類 • 暗号・認証 データを数字として処理する。 • アクセス制御・クラッキング対策 システムへアクセスする人などを制御する。 • 観測・フィルタリング システムへのアクセスを観測し、振り分ける。 • 運用・記録 システムの安全に運用し、利用を記録する。
- 20. 情報セキュリティ技術 暗号技術 認証技術 観測・フィルタリング アクセス制御 技術 クラッキング対策 フォレンジクス 運用・記録技術 監査
- 21. 暗号化 • 共通鍵暗号 プライベートな情報をやり取りする場合に 用いる(1対1の場合が多い)。 • 公開鍵暗号 不特定多数との通信に用いる(1対多の場合が多い)。 通信相手の正当性を確かめる。 • ハッシュ関数 やり取りする情報が正しいか確認する。
- 22. 認証 • 相手認証 通信相手が本人なのか確かめる パスワード、ID、暗号 • メッセージ認証 通信文やファイルが変更されてないか 確かめる。 • デジタル署名 文書の正当性を保証する。公開鍵暗号
- 23. 観測・フィルタリング • コンピュータの観測 コンピュータの内部でどのようなイベントが起きたか観測する。 • ネットワークの観測 外部からどのような人が来たか観測する。 • フィルタリングその1:ホワイトリスト 許可して良い場合を記録しておく。 • フィルタリングその2:ブラックリスト 許可してはいけない場合を記録しておく。
- 24. アクセス制御・クラッキング対策 • ICカード • 生体認証 • ウィルスソフト • セキュアOS
- 25. 情報セキュリティポリシー 情報セキュリティポリシーの種類 ①情報セキュリティ基本方針 ②情報セキュリティ対策基準 ③情報セキュリティ対策実施手続き、規定類 下へ行くほど細かくなる。 IMIS (information security management system) Plan: IMISの確立 Do: IMISの導入・運用 Check: IMISの監視・見直し Act: IMISの維持・改善
- 26. 情報セキュリティ標準化 • ISO:国際標準化機構 • IEC:国際電気標準機構 ワーキンググループ1:セキュリティ要求・サービス ワーキンググループ2:セキュリティ技術とサービス ワーキンググループ3:セキュリティの評価 ワーキンググループ4:セキュリティコントロールとサービス ワーキンググループ5:アイデンティティ管理 • IETF:Internet Engineering Task Force RFC2504:ユーザセキュリティのハンドブック RFC2196:サイトセキュリティのハンドブック RFC3365:プロトコルのセキュリティ
- 28. 情報セキュリティの実際の事例
- 29. サイバー戦争 • 通常の空間(陸、海、空)にサイバー空間を加 えた戦争 • 情報インフラを攻撃する。
- 30. 企業テロ • 特定の企業を標的とした攻撃 • 企業の秘密情報を漏洩したり、インターネット 上で提供しているサービスを停止させたりす る。
- 31. 基本情報処理技術者試験 情報セキュリティ • 機密保護 秘密にする、隠す • コンピュータウィルス フィルタリングする、無効にする • コンピュータ犯罪 改ざん、破壊、なりすまし
- 32. 基本情報処理技術者試験 情報セキュリティ管理と対策 • 情報セキュリティポリシーとISMS IMIS (information security management system) • リスク管理 純粋リスクと投機的リスク • 情報セキュリティ対策 物理的対策、技術的対策、人的対策
- 33. 情報セキュリティスペシャリスト試験 • 情報セキュリティ管理 • 情報セキュリティ対策 • セキュリティ実装技術 • ネットワーク • データベース • 開発技術 • サービスマネージメント
- 34. 情報セキュリティスペシャリスト試験 • 暗号化技術 • 認証技術 • 情報セキュリティ管理 • 情報セキュリティ対策 • 関連法規・ガイドライン • 標準化関連
- 35. 参考(参照)文献 【1】図解入門 よくわかる最新情報セキュリティの基本と仕組み - 基礎から学ぶセキュリティリテラシー 相戸 浩志 秀和システム 【2】基本情報処理技術者試験、応用情報処理技術者試験のテ キストや過去問題集の情報セキュリティの関連箇所等を参照す る。テキストとしては例えば下記がある。 情報処理教科書 基本情報技術者 2013年版 日高 哲郎 (翔泳社) 情報処理教科書 応用情報技術者 2013年版 日高 哲郎 (翔泳社)