SlideShare a Scribd company logo

Kobe sec#11 summary

•
•
Yukio NAGAO
Yukio NAGAO
1 of 18
Download to read offline
第 11 回 神戞情報セキュリテゖ勉匷䌚 (セキュメロ) たずめ 2010幎02月27日
スケゞュヌル 1. カヌネギヌメロン倧孊日本校プレれンツ 「暗号にた぀わる颚評」申教授 「セキュリテゖプロフェッショナルの思考ずキャリゕ」歊田教授 2. デゖスカッションに向けおの導入 クラりドセキュリテゖの1ゕプロヌチ 3. デゖスカッション 「クラりドサヌビスっお、䜿えたすか」
申先生 講挔にあたっお  いろんな意味でメゞャヌになっおるけど、「颚評被害」ず 思えるこずもある。ので、このぞんは誀解を解きたい  暗号の仕組み  平文 -> 秘密  鍵 -> 秘密 (暗号化方匏の仕組みを決めるもの)  暗号文  砎れない暗号は存圚する  完党秘匿暗号。䜿い捚おの乱数衚が必芁になる (シャノンの定理) 。  乱数衚を利甚した堎合、暗号文そのものは秘密を芋぀けるヒントに ならない
申先生 颚評それぞれ #1  「完党秘匿暗号でなければ、必ず砎るこずができる」  =>「神」なら。  そのココロは、鍵の党探玢。  平文ず暗号文のペゕをヒントに、鍵を探玢できるこず。  結局、実甚的じゃない。  鍵の安党性は、いたちごっこ  だけど、圧倒的に防埡偎に分が良い。  Copacobana は平均 6.4 日で DES を解読。鍵のビット長が増加 するず、探玢時間も増加。  鍵をちょっず長くしただけで、指数関数的に解析に芁する時間 (手 間) が増える。  暗号解析の研究者は、指数関数曲線の床合い (カヌブ) を䜎める (緩める) 手立おを探す
申先生 颚評それぞれ #2  2006/7 MISTY に関する発衚 (䞖界初)  これが倉な颚評を広めた  「差分攻撃、線圢攻撃に関しお安党であるこずが蚌明された」だけ なのに、過倧に評䟡された報道で、「嘘っぱち」呌ばわりされる䜙 地ができおしたう。  RSA は AES より安党  玠因数分解問題は、未だ効果的なゕルゎリズムが発芋されおいない。 ので有効。  でも、鍵の探玢だけが唯䞀の攻撃ではなく、䟋えば SSL サヌバの 反応 (SSL ハンドシェ゗ク : 鍵の利甚可吊チェック) を利甚しお、 暗号文ず平文のペゕを䜿っお、総圓り的な攻撃を掛けるこずができ る  この理論が発衚されおから、SSL の仕組みが倉曎された。
申先生 たずめ、QA  暗号はコゕ技術、か぀数孊的な技術の詳现が理解しづらい ので、颚評が倚い。でも、技術の詳现がわからなくおも、 把握できる  QA  Q1:「2010 幎問題 (8bit 暗号が犁止される)」ずは  A1:初期に導入された「80bit 暗号」が犁止される。  SHA-1 などハッシュ関数の寿呜が短いこずを芋越し、仕組みを倉える より前に、たずは短い鍵長の芏制から察策するこずが目的  Q2:䞀般ナヌザからしお、「SSL 通信」でのやり取りは「砎られお いる」のか  A2:最新ブラりザを䜿いやり取りしおる堎合は、通信路䞊でたず砎 られない。  ただし、SSL サヌバが信頌に足るかどうかは、話が別。実害あり。
歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#1  いたさらながらの自己玹介。  いろいろやっおきたした。  「いろはかるた買っおください」  倧きなトピックでは  2000 幎 Web ペヌゞ改ざん事件  2001 幎の倧量攻撃 などなど
歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#2  ばかげた報道ず、たっずうな分析  ゚ストニゕの事䟋  botnet 攻撃に関する誀った分析  政府や通信䌁業が関わるこずはない  せいぜい個人の遊びの延長が犯眪(に近い事象)になったに過ぎない。  実際には、孊生が逮捕されるだけで終わったようだ。  グルゞゕの事䟋  (Machbot controller)  ロシゕのマフゖゕ関䞎
歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#3  情報セキュリテゖずは  CIA (秘匿、完党、可甚) が数孊物理の「公匏」ず考えられる  䟿利なシステムほど危険が高い  情報リスク = 資産 * 脅嚁 * 脆匱性  組織の目的ず目暙、セキュリテゖの目的ず目暙は、盞反しおる  目暙達成の芁件は「しなくおはならない」で、セキュリテゖ芁件は 「あっおはならない」であり、セキュリテゖは道具にしか過ぎない。  費甚察効果の考え方は、「(事故発生確立 * 損倱) - コスト」か  正確には「(期埅損倱額の倉化 - 察策コスト) / 察策コスト」  「セキュリテゖ察策はしないほうが良い」が結論  䞀番良いのは「䜕も察策せず」「䜕も起こらない」
歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#4  セキュリテゖプロフェッショナルの思考  顧客がセキュリテゖプロフェッショナルに求めるものは、「安党」 のみ、セキュリテゖプロフェッショナルが出しおくるものは「恐 怖」で、ミスマッチ。  医者にたずえるず分かりやすい。  䞀぀の䟋ずしお、「察策なんお、ここたでで良いですよ」だず安心 される  リスク察策より、リスクをなくす (無効化する) での回避  Secure by Design の䟋:  Web ゕプリでの䞍芁な SQL サヌバの排陀 (䟋えば、フゔ゗ルベヌス でやり取り)  暩限の分離、䞍芁な個人情報の排陀 (必芁以倖の情報は入力させない)、 内郚凊理での内郚コヌドの䜿甚 (倖郚 I/F から分離させる)
歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#5  必芁なコト  ダブリなくモレなく  (MECE : Mutually Exclusive and Collectively Exhaustive)  党おの脅嚁に察しお、察策を挏れなく考える。  フゔクトベヌスで考える。思い蟌み (憶枬) でなく、仮説 ず怜蚌で。  これからの情報セキュリテゖは  「安く」「なにもしなくお」「安党」な゜リュヌション  セキュリテゖスペシャリストはゞェネラリスト  特定技術特化型の人もいるけど、たいおいゞェネラリスト芁玠あり  でも、「瀟長じゃないずわからん」な領域に突入するかも。
歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#6  QA  Q: セキュリテゖに携わるひずの倫理芳の教育は  A: (ある皮危険な) 胜力を発揮できる堎を蚭けるこずで、有意矩な 方向に持っおいけるのでは日本ではリテラシが比范的高い危険 (生掻が砎壊される) を冒すリスクが高い。  事前ゕンケヌトでの Question  Q1:「ガンブラヌ」によるサ゗ト改ざんが話題だが、クラッカヌに 狙われる䌁業に぀いお、狙われやすい䜕か共通点はあるか  A1 :察策の匱いずころ。耇数サ゗トが被害に遭ったのは、コンテン ツ事業者が耇数 Web サ゗トのゕップデヌトをしおいたから。  Q2:闇の「クラッキング情報提䟛やルヌトキット販売」をしおるサ ゗トが摘発されたずいうニュヌスを聞かないのは䜕故か  A2:単玔な「販売」「情報提䟛」だけでは摘発できない。ただし、 ISPなどで締め出すこずなどはやっおいる。
゗ンタヌミッション 「クラりドセキュリテゖに関する 1぀のゕプロヌチ」  ずある実蚌実隓  「パ゜コンの䞭に保存したのに、デヌタセンタヌずパ゜コンで分散 保管される」  フゔ゗ルを構成する党おの「割笊」が揃わないず、機密性を保ちやす い。「重芁な情報」を「重芁じゃない情報」に分割する  情報の拡散ず乳化。工孊的凊理なので「暗号」ではない。  秘密分散された 1 片の「デヌタ」の扱いに぀いお、「個人 情報ではない」「説明責任なし」「民事蚎蚟は回避でき る」ずいうコメント (公匏芋解ではない) は、省庁、関係 匁護士から埗られおいる。  倖郚ストレヌゞの䜿甚リスク、コストが「クラりド」に よっお回避できる
デゖスカッション 「クラりドサヌビスっお、䜿えたすか」  議論のポ゗ント  「Gmail」などクラりドサヌビスを利甚しおたすか䜿甚する、し おいない理由。  (瀟内)システムをクラりド化できたすか  重芁デヌタをクラりドサヌビスぞ委ねるこずに抵抗ありたすか その理由は  (瀟内などで)既にクラりドを導入しおいる堎合、どんな䜿い方を しおいたすか  クラりドの普及においお、解決すべき課題は  流行るず思いたすか廃れるず思いたすか  バズワヌドずしおは、流行っおいたすよね。  それずも、もう普及しおいる  「基盀」「運甚」「ナヌザ」それぞれの芖点で議論
デゖスカッション 「クラりドサヌビスっお、䜿えたすか」#運甚偎  キヌワヌドを列挙する圢で。  マ゗ンドマップに沿う圢で説明されおいたす。  「クラりド」は期埅の的である。  「クラりド」に限らず、「サヌビス」や「デヌタ」「サヌバ」を倖 郚に委ねるこずそのものに抵抗がある。  「サヌビス」の倖郚委蚗にあたっお、自瀟固有の「サヌビス」機胜 を「暙準化」させるこずができるか、たたそのコストに぀いおも未 知数である。  「危機管理」の芳点からするず、「耐震」などの基準を満たした組 織にサヌバを蚭眮するこずはリスク䜎枛ずなりうるし、運甚コスト が䞋がる可胜性がある。  サヌビス提䟛を行う組織でのスケヌルメリットによるコストダりン、 機噚などのリプレヌス費甚䜎枛も無芖できない。  ただし、ただクラりドサヌビスを芋極める情報が足らなさ過ぎる。
デゖスカッション 「クラりドサヌビスっお、䜿えたすか」#ナヌザその  そもそも、「目に芋えないもの(デヌタ)」をどこか(わから ないずころ)に保存する、ずいうリスク。  でも「クラりド」を、もう既に気づかずに䜿っおたせん  芏暡 (ゕメリカでの掚進) による倖圧  NW 接続なしでは、「anytime ahywhere」は無理  オフラ゗ンは地域栌差は  デヌタの保存箇所は  ロヌカル゗ンタヌネット (バックゕップメリット)  クラりドは安党自分のノヌト PC ず比べお安党では  「クラりド」を売りにしおいる間は安心できない。  銀行、振蟌み、ATM を匕き合いに考えるず、なにも「クラり ド」っおだけでためらう理由はないのじゃない  「デヌタを DC に保存」が「クラりド」利甚ぞの第䞀歩  「クラりド事業者」は「銀行に比肩する存圚」になるべき
デゖスカッション 「クラりドサヌビスっお、䜿えたすか」#ナヌザその2  「Gmail を䜿っおいたすか」  => 皋床の差はあれ、みんな䜿っおいる。  䜿甚したくない理由 : 物理的にどこにあるか分からない。䜕される か、どう䜿われるかわからない。  システムをクラりド化できたすか => なんずも。  NW ゗ンフラが重芁ですね。  個人情報保護法的にはどうなの  倖囜が絡むず、法的にはどうなの
デゖスカッション 「クラりドサヌビスっお、䜿えたすか」#基盀構築  䜿っおる => 7名䞭 3名 (Gmail くらいなら)  お客様に迫られおいる売り出す偎になるかも。  信甚したすか  信甚しおる、ただしメヌル送受信に限る。  信甚できるよう契玄したしょう。  信甚しおいない、信甚以前の問題 (ずさんな運甚を目の圓たりに)。  SLA は重芁で、ナヌザも責任分界点を把握すべき。  提䟛者を信甚できるか。  「クラりド」より、提䟛機胜ず芁求がたずたらないず話にならない。

Recommended

LET OPEN SOURCE HELP CREATE RICH INSTRUCTIONAL CONTENT ON A SHOESTRING
LET OPEN SOURCE HELP CREATE RICH INSTRUCTIONAL CONTENT ON A SHOESTRINGLET OPEN SOURCE HELP CREATE RICH INSTRUCTIONAL CONTENT ON A SHOESTRING
LET OPEN SOURCE HELP CREATE RICH INSTRUCTIONAL CONTENT ON A SHOESTRINGJesus Diaz
 
Web 2.0 not just for web geeks
Web 2.0 not just for web geeksWeb 2.0 not just for web geeks
Web 2.0 not just for web geeksJesus Diaz
 
Te Duaaaaaa
Te DuaaaaaaTe Duaaaaaa
Te Duaaaaaaguestabe2c1
 
Freelancers hackathon prospectus
Freelancers hackathon prospectusFreelancers hackathon prospectus
Freelancers hackathon prospectusThe Keng Group, LLC
 
Halloween Pics
Halloween PicsHalloween Pics
Halloween Picsguest842e67
 
Kobe sec#12 summary
Kobe sec#12 summaryKobe sec#12 summary
Kobe sec#12 summaryYukio NAGAO
 
Digital Learning Commons
Digital Learning Commons Digital Learning Commons
Digital Learning Commons Jesus Diaz
 
te iubesc viata mea
te iubesc viata meate iubesc viata mea
te iubesc viata meaguestabe2c1
 

Recommended

LET OPEN SOURCE HELP CREATE RICH INSTRUCTIONAL CONTENT ON A SHOESTRING
LET OPEN SOURCE HELP CREATE RICH INSTRUCTIONAL CONTENT ON A SHOESTRINGLET OPEN SOURCE HELP CREATE RICH INSTRUCTIONAL CONTENT ON A SHOESTRING
LET OPEN SOURCE HELP CREATE RICH INSTRUCTIONAL CONTENT ON A SHOESTRINGJesus Diaz
 
Web 2.0 not just for web geeks
Web 2.0 not just for web geeksWeb 2.0 not just for web geeks
Web 2.0 not just for web geeksJesus Diaz
 
Te Duaaaaaa
Te DuaaaaaaTe Duaaaaaa
Te Duaaaaaaguestabe2c1
 
Freelancers hackathon prospectus
Freelancers hackathon prospectusFreelancers hackathon prospectus
Freelancers hackathon prospectusThe Keng Group, LLC
 
Halloween Pics
Halloween PicsHalloween Pics
Halloween Picsguest842e67
 
Kobe sec#12 summary
Kobe sec#12 summaryKobe sec#12 summary
Kobe sec#12 summaryYukio NAGAO
 
Digital Learning Commons
Digital Learning Commons Digital Learning Commons
Digital Learning Commons Jesus Diaz
 
te iubesc viata mea
te iubesc viata meate iubesc viata mea
te iubesc viata meaguestabe2c1
 
ChatGPTの驚くぞ゙き察話胜力 20230414APR.pdf
ChatGPTの驚くぞ゙き察話胜力 20230414APR.pdfChatGPTの驚くぞ゙き察話胜力 20230414APR.pdf
ChatGPTの驚くぞ゙き察話胜力 20230414APR.pdfYamashitaKatsushi
 
chatGPTの驚くぞ゙き察話胜力.pdf
chatGPTの驚くぞ゙き察話胜力.pdfchatGPTの驚くぞ゙き察話胜力.pdf
chatGPTの驚くぞ゙き察話胜力.pdfYamashitaKatsushi
 
第32回Websig䌚議「クラりドは○○を共有するサヌビス」
第32回Websig䌚議「クラりドは○○を共有するサヌビス」第32回Websig䌚議「クラりドは○○を共有するサヌビス」
第32回Websig䌚議「クラりドは○○を共有するサヌビス」Sen Ueno
 
クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...
クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...
クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...WebSig24/7
 
第32回WebSig䌚議オヌプニングセッション
第32回WebSig䌚議オヌプニングセッション第32回WebSig䌚議オヌプニングセッション
第32回WebSig䌚議オヌプニングセッションWebSig24/7
 
たなばナむト1206配垃
たなばナむト1206配垃たなばナむト1206配垃
たなばナむト1206配垃manabanight
 
東北倧孊AIE - 機械孊習入門線
東北倧孊AIE - 機械孊習入門線東北倧孊AIE - 機械孊習入門線
東北倧孊AIE - 機械孊習入門線Daiyu Hatakeyama
 
Financial Planner の為のITの掻甚
Financial Planner の為のITの掻甚Financial Planner の為のITの掻甚
Financial Planner の為のITの掻甚Kenichi Takeuchi
 
日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌ
日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌ日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌ
日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌHiroshi Senga
 
デヌタアカデミヌ・゚ッセンス東京
デヌタアカデミヌ・゚ッセンス東京デヌタアカデミヌ・゚ッセンス東京
デヌタアカデミヌ・゚ッセンス東京Hiroyuki Ichikawa
 
うそのアゞャむル、たこずのアゞャむル 公開甚
うそのアゞャむル、たこずのアゞャむル 公開甚うそのアゞャむル、たこずのアゞャむル 公開甚
うそのアゞャむル、たこずのアゞャむル 公開甚ESM SEC
 
SIGMOD 2019 参加報告
SIGMOD 2019 参加報告SIGMOD 2019 参加報告
SIGMOD 2019 参加報告Masafumi Oyamada
 
高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)
高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)
高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)Tsukasa Makino
 
Data scientist casual talk in 癜金台
Data scientist casual talk in 癜金台Data scientist casual talk in 癜金台
Data scientist casual talk in 癜金台Hiroko Onari
 
クラりド事業者に求めるビゞネス芁件
クラりド事業者に求めるビゞネス芁件クラりド事業者に求めるビゞネス芁件
クラりド事業者に求めるビゞネス芁件雄哉 吉田
 
革呜からコミュニティ、コミュニケヌション革呜に
革呜からコミュニティ、コミュニケヌション革呜に革呜からコミュニティ、コミュニケヌション革呜に
革呜からコミュニティ、コミュニケヌション革呜にYuichi Morito
 
先行事䟋から孊ぶ IoT / ビッグデヌタの始め方
先行事䟋から孊ぶ IoT / ビッグデヌタの始め方先行事䟋から孊ぶ IoT / ビッグデヌタの始め方
先行事䟋から孊ぶ IoT / ビッグデヌタの始め方Cloudera Japan
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれおいるのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれおいるのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれおいるのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれおいるのだろうか?グロヌバルセキュリティ゚キスパヌト株匏䌚瀟GSX
 
Windows女子郚 IT Girl's Talk〜Xmas Special
Windows女子郚 IT Girl's Talk〜Xmas SpecialWindows女子郚 IT Girl's Talk〜Xmas Special
Windows女子郚 IT Girl's Talk〜Xmas SpecialMami Shiino
 
ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発
ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発
ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発慎䞀 叀賀
 
Neta 20161119-after
Neta 20161119-afterNeta 20161119-after
Neta 20161119-afterYukio NAGAO
 
Kobe sec#14 study
Kobe sec#14 studyKobe sec#14 study
Kobe sec#14 studyYukio NAGAO
 

More Related Content

Similar to Kobe sec#11 summary

ChatGPTの驚くぞ゙き察話胜力 20230414APR.pdf
ChatGPTの驚くぞ゙き察話胜力 20230414APR.pdfChatGPTの驚くぞ゙き察話胜力 20230414APR.pdf
ChatGPTの驚くぞ゙き察話胜力 20230414APR.pdfYamashitaKatsushi
 
chatGPTの驚くぞ゙き察話胜力.pdf
chatGPTの驚くぞ゙き察話胜力.pdfchatGPTの驚くぞ゙き察話胜力.pdf
chatGPTの驚くぞ゙き察話胜力.pdfYamashitaKatsushi
 
第32回Websig䌚議「クラりドは○○を共有するサヌビス」
第32回Websig䌚議「クラりドは○○を共有するサヌビス」第32回Websig䌚議「クラりドは○○を共有するサヌビス」
第32回Websig䌚議「クラりドは○○を共有するサヌビス」Sen Ueno
 
クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...
クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...
クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...WebSig24/7
 
第32回WebSig䌚議オヌプニングセッション
第32回WebSig䌚議オヌプニングセッション第32回WebSig䌚議オヌプニングセッション
第32回WebSig䌚議オヌプニングセッションWebSig24/7
 
たなばナむト1206配垃
たなばナむト1206配垃たなばナむト1206配垃
たなばナむト1206配垃manabanight
 
東北倧孊AIE - 機械孊習入門線
東北倧孊AIE - 機械孊習入門線東北倧孊AIE - 機械孊習入門線
東北倧孊AIE - 機械孊習入門線Daiyu Hatakeyama
 
Financial Planner の為のITの掻甚
Financial Planner の為のITの掻甚Financial Planner の為のITの掻甚
Financial Planner の為のITの掻甚Kenichi Takeuchi
 
日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌ
日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌ日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌ
日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌHiroshi Senga
 
デヌタアカデミヌ・゚ッセンス東京
デヌタアカデミヌ・゚ッセンス東京デヌタアカデミヌ・゚ッセンス東京
デヌタアカデミヌ・゚ッセンス東京Hiroyuki Ichikawa
 
うそのアゞャむル、たこずのアゞャむル 公開甚
うそのアゞャむル、たこずのアゞャむル 公開甚うそのアゞャむル、たこずのアゞャむル 公開甚
うそのアゞャむル、たこずのアゞャむル 公開甚ESM SEC
 
SIGMOD 2019 参加報告
SIGMOD 2019 参加報告SIGMOD 2019 参加報告
SIGMOD 2019 参加報告Masafumi Oyamada
 
高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)
高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)
高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)Tsukasa Makino
 
Data scientist casual talk in 癜金台
Data scientist casual talk in 癜金台Data scientist casual talk in 癜金台
Data scientist casual talk in 癜金台Hiroko Onari
 
クラりド事業者に求めるビゞネス芁件
クラりド事業者に求めるビゞネス芁件クラりド事業者に求めるビゞネス芁件
クラりド事業者に求めるビゞネス芁件雄哉 吉田
 
革呜からコミュニティ、コミュニケヌション革呜に
革呜からコミュニティ、コミュニケヌション革呜に革呜からコミュニティ、コミュニケヌション革呜に
革呜からコミュニティ、コミュニケヌション革呜にYuichi Morito
 
先行事䟋から孊ぶ IoT / ビッグデヌタの始め方
先行事䟋から孊ぶ IoT / ビッグデヌタの始め方先行事䟋から孊ぶ IoT / ビッグデヌタの始め方
先行事䟋から孊ぶ IoT / ビッグデヌタの始め方Cloudera Japan
 
Windows女子郚 IT Girl's Talk〜Xmas Special
Windows女子郚 IT Girl's Talk〜Xmas SpecialWindows女子郚 IT Girl's Talk〜Xmas Special
Windows女子郚 IT Girl's Talk〜Xmas SpecialMami Shiino
 
ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発
ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発
ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発慎䞀 叀賀
 

Similar to Kobe sec#11 summary (20)

ChatGPTの驚くぞ゙き察話胜力 20230414APR.pdf
ChatGPTの驚くぞ゙き察話胜力 20230414APR.pdfChatGPTの驚くぞ゙き察話胜力 20230414APR.pdf
ChatGPTの驚くぞ゙き察話胜力 20230414APR.pdf
 
chatGPTの驚くぞ゙き察話胜力.pdf
chatGPTの驚くぞ゙き察話胜力.pdfchatGPTの驚くぞ゙き察話胜力.pdf
chatGPTの驚くぞ゙き察話胜力.pdf
 
第32回Websig䌚議「クラりドは○○を共有するサヌビス」
第32回Websig䌚議「クラりドは○○を共有するサヌビス」第32回Websig䌚議「クラりドは○○を共有するサヌビス」
第32回Websig䌚議「クラりドは○○を共有するサヌビス」
 
クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...
クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...
クラりドは○○を共有するサヌビス 第32回WebSig䌚議「䟿利さず、怖さず、心匷さず〜戊う䌚瀟のための瀟内セキュリティ 2013幎のスタンダヌドずは...
 
第32回WebSig䌚議オヌプニングセッション
第32回WebSig䌚議オヌプニングセッション第32回WebSig䌚議オヌプニングセッション
第32回WebSig䌚議オヌプニングセッション
 
たなばナむト1206配垃
たなばナむト1206配垃たなばナむト1206配垃
たなばナむト1206配垃
 
東北倧孊AIE - 機械孊習入門線
東北倧孊AIE - 機械孊習入門線東北倧孊AIE - 機械孊習入門線
東北倧孊AIE - 機械孊習入門線
 
Financial Planner の為のITの掻甚
Financial Planner の為のITの掻甚Financial Planner の為のITの掻甚
Financial Planner の為のITの掻甚
 
日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌ
日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌ日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌ
日経コンピュヌタ䞻催さわっおわかる機械孊習 Azure Machine Learning 実践セミナヌ
 
デヌタアカデミヌ・゚ッセンス東京
デヌタアカデミヌ・゚ッセンス東京デヌタアカデミヌ・゚ッセンス東京
デヌタアカデミヌ・゚ッセンス東京
 
うそのアゞャむル、たこずのアゞャむル 公開甚
うそのアゞャむル、たこずのアゞャむル 公開甚うそのアゞャむル、たこずのアゞャむル 公開甚
うそのアゞャむル、たこずのアゞャむル 公開甚
 
SIGMOD 2019 参加報告
SIGMOD 2019 参加報告SIGMOD 2019 参加報告
SIGMOD 2019 参加報告
 
高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)
高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)
高床Ict利掻甚人材育成掚進䌚議プレれン1124) final(改)
 
Data scientist casual talk in 癜金台
Data scientist casual talk in 癜金台Data scientist casual talk in 癜金台
Data scientist casual talk in 癜金台
 
クラりド事業者に求めるビゞネス芁件
クラりド事業者に求めるビゞネス芁件クラりド事業者に求めるビゞネス芁件
クラりド事業者に求めるビゞネス芁件
 
革呜からコミュニティ、コミュニケヌション革呜に
革呜からコミュニティ、コミュニケヌション革呜に革呜からコミュニティ、コミュニケヌション革呜に
革呜からコミュニティ、コミュニケヌション革呜に
 
先行事䟋から孊ぶ IoT / ビッグデヌタの始め方
先行事䟋から孊ぶ IoT / ビッグデヌタの始め方先行事䟋から孊ぶ IoT / ビッグデヌタの始め方
先行事䟋から孊ぶ IoT / ビッグデヌタの始め方
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれおいるのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれおいるのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれおいるのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれおいるのだろうか?
 
Windows女子郚 IT Girl's Talk〜Xmas Special
Windows女子郚 IT Girl's Talk〜Xmas SpecialWindows女子郚 IT Girl's Talk〜Xmas Special
Windows女子郚 IT Girl's Talk〜Xmas Special
 
ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発
ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発
ちゃんずした C# プログラムを曞けるようになる実践的な方法 Visual Studio を䜿った 高品質・䜎コスト・保守性の高い開発
 

More from Yukio NAGAO

Neta 20161119-after
Neta 20161119-afterNeta 20161119-after
Neta 20161119-afterYukio NAGAO
 
Kobe sec#14 study
Kobe sec#14 studyKobe sec#14 study
Kobe sec#14 studyYukio NAGAO
 
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13Yukio NAGAO
 
Atrandom.20101030
Atrandom.20101030Atrandom.20101030
Atrandom.20101030Yukio NAGAO
 
Matcha445.20101023
Matcha445.20101023Matcha445.20101023
Matcha445.20101023Yukio NAGAO
 
Kobe sec#7 summary
Kobe sec#7 summaryKobe sec#7 summary
Kobe sec#7 summaryYukio NAGAO
 
Kobe sec#8 summary
Kobe sec#8 summaryKobe sec#8 summary
Kobe sec#8 summaryYukio NAGAO
 

More from Yukio NAGAO (7)

Neta 20161119-after
Neta 20161119-afterNeta 20161119-after
Neta 20161119-after
 
Kobe sec#14 study
Kobe sec#14 studyKobe sec#14 study
Kobe sec#14 study
 
THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13THK_ITS #5 2010.11.13
THK_ITS #5 2010.11.13
 
Atrandom.20101030
Atrandom.20101030Atrandom.20101030
Atrandom.20101030
 
Matcha445.20101023
Matcha445.20101023Matcha445.20101023
Matcha445.20101023
 
Kobe sec#7 summary
Kobe sec#7 summaryKobe sec#7 summary
Kobe sec#7 summary
 
Kobe sec#8 summary
Kobe sec#8 summaryKobe sec#8 summary
Kobe sec#8 summary
 

Kobe sec#11 summary

  • 1. 第 11 回 神戞情報セキュリテゖ勉匷䌚 (セキュメロ) たずめ 2010幎02月27日
  • 2. スケゞュヌル 1. カヌネギヌメロン倧孊日本校プレれンツ 「暗号にた぀わる颚評」申教授 「セキュリテゖプロフェッショナルの思考ずキャリゕ」歊田教授 2. デゖスカッションに向けおの導入 クラりドセキュリテゖの1ゕプロヌチ 3. デゖスカッション 「クラりドサヌビスっお、䜿えたすか」
  • 3. 申先生 講挔にあたっお  いろんな意味でメゞャヌになっおるけど、「颚評被害」ず 思えるこずもある。ので、このぞんは誀解を解きたい  暗号の仕組み  平文 -> 秘密  鍵 -> 秘密 (暗号化方匏の仕組みを決めるもの)  暗号文  砎れない暗号は存圚する  完党秘匿暗号。䜿い捚おの乱数衚が必芁になる (シャノンの定理) 。  乱数衚を利甚した堎合、暗号文そのものは秘密を芋぀けるヒントに ならない
  • 4. 申先生 颚評それぞれ #1  「完党秘匿暗号でなければ、必ず砎るこずができる」  =>「神」なら。  そのココロは、鍵の党探玢。  平文ず暗号文のペゕをヒントに、鍵を探玢できるこず。  結局、実甚的じゃない。  鍵の安党性は、いたちごっこ  だけど、圧倒的に防埡偎に分が良い。  Copacobana は平均 6.4 日で DES を解読。鍵のビット長が増加 するず、探玢時間も増加。  鍵をちょっず長くしただけで、指数関数的に解析に芁する時間 (手 間) が増える。  暗号解析の研究者は、指数関数曲線の床合い (カヌブ) を䜎める (緩める) 手立おを探す
  • 5. 申先生 颚評それぞれ #2  2006/7 MISTY に関する発衚 (䞖界初)  これが倉な颚評を広めた  「差分攻撃、線圢攻撃に関しお安党であるこずが蚌明された」だけ なのに、過倧に評䟡された報道で、「嘘っぱち」呌ばわりされる䜙 地ができおしたう。  RSA は AES より安党  玠因数分解問題は、未だ効果的なゕルゎリズムが発芋されおいない。 ので有効。  でも、鍵の探玢だけが唯䞀の攻撃ではなく、䟋えば SSL サヌバの 反応 (SSL ハンドシェ゗ク : 鍵の利甚可吊チェック) を利甚しお、 暗号文ず平文のペゕを䜿っお、総圓り的な攻撃を掛けるこずができ る  この理論が発衚されおから、SSL の仕組みが倉曎された。
  • 6. 申先生 たずめ、QA  暗号はコゕ技術、か぀数孊的な技術の詳现が理解しづらい ので、颚評が倚い。でも、技術の詳现がわからなくおも、 把握できる  QA  Q1:「2010 幎問題 (8bit 暗号が犁止される)」ずは  A1:初期に導入された「80bit 暗号」が犁止される。  SHA-1 などハッシュ関数の寿呜が短いこずを芋越し、仕組みを倉える より前に、たずは短い鍵長の芏制から察策するこずが目的  Q2:䞀般ナヌザからしお、「SSL 通信」でのやり取りは「砎られお いる」のか  A2:最新ブラりザを䜿いやり取りしおる堎合は、通信路䞊でたず砎 られない。  ただし、SSL サヌバが信頌に足るかどうかは、話が別。実害あり。
  • 7. 歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#1  いたさらながらの自己玹介。  いろいろやっおきたした。  「いろはかるた買っおください」  倧きなトピックでは  2000 幎 Web ペヌゞ改ざん事件  2001 幎の倧量攻撃 などなど
  • 8. 歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#2  ばかげた報道ず、たっずうな分析  ゚ストニゕの事䟋  botnet 攻撃に関する誀った分析  政府や通信䌁業が関わるこずはない  せいぜい個人の遊びの延長が犯眪(に近い事象)になったに過ぎない。  実際には、孊生が逮捕されるだけで終わったようだ。  グルゞゕの事䟋  (Machbot controller)  ロシゕのマフゖゕ関䞎
  • 9. 歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#3  情報セキュリテゖずは  CIA (秘匿、完党、可甚) が数孊物理の「公匏」ず考えられる  䟿利なシステムほど危険が高い  情報リスク = 資産 * 脅嚁 * 脆匱性  組織の目的ず目暙、セキュリテゖの目的ず目暙は、盞反しおる  目暙達成の芁件は「しなくおはならない」で、セキュリテゖ芁件は 「あっおはならない」であり、セキュリテゖは道具にしか過ぎない。  費甚察効果の考え方は、「(事故発生確立 * 損倱) - コスト」か  正確には「(期埅損倱額の倉化 - 察策コスト) / 察策コスト」  「セキュリテゖ察策はしないほうが良い」が結論  䞀番良いのは「䜕も察策せず」「䜕も起こらない」
  • 10. 歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#4  セキュリテゖプロフェッショナルの思考  顧客がセキュリテゖプロフェッショナルに求めるものは、「安党」 のみ、セキュリテゖプロフェッショナルが出しおくるものは「恐 怖」で、ミスマッチ。  医者にたずえるず分かりやすい。  䞀぀の䟋ずしお、「察策なんお、ここたでで良いですよ」だず安心 される  リスク察策より、リスクをなくす (無効化する) での回避  Secure by Design の䟋:  Web ゕプリでの䞍芁な SQL サヌバの排陀 (䟋えば、フゔ゗ルベヌス でやり取り)  暩限の分離、䞍芁な個人情報の排陀 (必芁以倖の情報は入力させない)、 内郚凊理での内郚コヌドの䜿甚 (倖郚 I/F から分離させる)
  • 11. 歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#5  必芁なコト  ダブリなくモレなく  (MECE : Mutually Exclusive and Collectively Exhaustive)  党おの脅嚁に察しお、察策を挏れなく考える。  フゔクトベヌスで考える。思い蟌み (憶枬) でなく、仮説 ず怜蚌で。  これからの情報セキュリテゖは  「安く」「なにもしなくお」「安党」な゜リュヌション  セキュリテゖスペシャリストはゞェネラリスト  特定技術特化型の人もいるけど、たいおいゞェネラリスト芁玠あり  でも、「瀟長じゃないずわからん」な領域に突入するかも。
  • 12. 歊田先生 「セキュリテゖプロフェッショナルの思考ずキャリゕ」#6  QA  Q: セキュリテゖに携わるひずの倫理芳の教育は  A: (ある皮危険な) 胜力を発揮できる堎を蚭けるこずで、有意矩な 方向に持っおいけるのでは日本ではリテラシが比范的高い危険 (生掻が砎壊される) を冒すリスクが高い。  事前ゕンケヌトでの Question  Q1:「ガンブラヌ」によるサ゗ト改ざんが話題だが、クラッカヌに 狙われる䌁業に぀いお、狙われやすい䜕か共通点はあるか  A1 :察策の匱いずころ。耇数サ゗トが被害に遭ったのは、コンテン ツ事業者が耇数 Web サ゗トのゕップデヌトをしおいたから。  Q2:闇の「クラッキング情報提䟛やルヌトキット販売」をしおるサ ゗トが摘発されたずいうニュヌスを聞かないのは䜕故か  A2:単玔な「販売」「情報提䟛」だけでは摘発できない。ただし、 ISPなどで締め出すこずなどはやっおいる。
  • 13. ゗ンタヌミッション 「クラりドセキュリテゖに関する 1぀のゕプロヌチ」  ずある実蚌実隓  「パ゜コンの䞭に保存したのに、デヌタセンタヌずパ゜コンで分散 保管される」  フゔ゗ルを構成する党おの「割笊」が揃わないず、機密性を保ちやす い。「重芁な情報」を「重芁じゃない情報」に分割する  情報の拡散ず乳化。工孊的凊理なので「暗号」ではない。  秘密分散された 1 片の「デヌタ」の扱いに぀いお、「個人 情報ではない」「説明責任なし」「民事蚎蚟は回避でき る」ずいうコメント (公匏芋解ではない) は、省庁、関係 匁護士から埗られおいる。  倖郚ストレヌゞの䜿甚リスク、コストが「クラりド」に よっお回避できる
  • 14. デゖスカッション 「クラりドサヌビスっお、䜿えたすか」  議論のポ゗ント  「Gmail」などクラりドサヌビスを利甚しおたすか䜿甚する、し おいない理由。  (瀟内)システムをクラりド化できたすか  重芁デヌタをクラりドサヌビスぞ委ねるこずに抵抗ありたすか その理由は  (瀟内などで)既にクラりドを導入しおいる堎合、どんな䜿い方を しおいたすか  クラりドの普及においお、解決すべき課題は  流行るず思いたすか廃れるず思いたすか  バズワヌドずしおは、流行っおいたすよね。  それずも、もう普及しおいる  「基盀」「運甚」「ナヌザ」それぞれの芖点で議論
  • 15. デゖスカッション 「クラりドサヌビスっお、䜿えたすか」#運甚偎  キヌワヌドを列挙する圢で。  マ゗ンドマップに沿う圢で説明されおいたす。  「クラりド」は期埅の的である。  「クラりド」に限らず、「サヌビス」や「デヌタ」「サヌバ」を倖 郚に委ねるこずそのものに抵抗がある。  「サヌビス」の倖郚委蚗にあたっお、自瀟固有の「サヌビス」機胜 を「暙準化」させるこずができるか、たたそのコストに぀いおも未 知数である。  「危機管理」の芳点からするず、「耐震」などの基準を満たした組 織にサヌバを蚭眮するこずはリスク䜎枛ずなりうるし、運甚コスト が䞋がる可胜性がある。  サヌビス提䟛を行う組織でのスケヌルメリットによるコストダりン、 機噚などのリプレヌス費甚䜎枛も無芖できない。  ただし、ただクラりドサヌビスを芋極める情報が足らなさ過ぎる。
  • 16. デゖスカッション 「クラりドサヌビスっお、䜿えたすか」#ナヌザその  そもそも、「目に芋えないもの(デヌタ)」をどこか(わから ないずころ)に保存する、ずいうリスク。  でも「クラりド」を、もう既に気づかずに䜿っおたせん  芏暡 (ゕメリカでの掚進) による倖圧  NW 接続なしでは、「anytime ahywhere」は無理  オフラ゗ンは地域栌差は  デヌタの保存箇所は  ロヌカル゗ンタヌネット (バックゕップメリット)  クラりドは安党自分のノヌト PC ず比べお安党では  「クラりド」を売りにしおいる間は安心できない。  銀行、振蟌み、ATM を匕き合いに考えるず、なにも「クラり ド」っおだけでためらう理由はないのじゃない  「デヌタを DC に保存」が「クラりド」利甚ぞの第䞀歩  「クラりド事業者」は「銀行に比肩する存圚」になるべき
  • 17. デゖスカッション 「クラりドサヌビスっお、䜿えたすか」#ナヌザその2  「Gmail を䜿っおいたすか」  => 皋床の差はあれ、みんな䜿っおいる。  䜿甚したくない理由 : 物理的にどこにあるか分からない。䜕される か、どう䜿われるかわからない。  システムをクラりド化できたすか => なんずも。  NW ゗ンフラが重芁ですね。  個人情報保護法的にはどうなの  倖囜が絡むず、法的にはどうなの
  • 18. デゖスカッション 「クラりドサヌビスっお、䜿えたすか」#基盀構築  䜿っおる => 7名䞭 3名 (Gmail くらいなら)  お客様に迫られおいる売り出す偎になるかも。  信甚したすか  信甚しおる、ただしメヌル送受信に限る。  信甚できるよう契玄したしょう。  信甚しおいない、信甚以前の問題 (ずさんな運甚を目の圓たりに)。  SLA は重芁で、ナヌザも責任分界点を把握すべき。  提䟛者を信甚できるか。  「クラりド」より、提䟛機胜ず芁求がたずたらないず話にならない。