View
5
Download
0
Category
Preview:
Citation preview
情報システム論�
第 11 週�セキュリティ対策�根來�均�
セキュリティ対策の必要性�
! データの改ざん、消失�– ホームページの改ざん�– パソコン内のデータ消失�
! データの漏洩�– (銀行口座からの)不正引き下ろし、第3者によるネット売
買�– 内部機密書類の漏洩�
! 被害者から加害者へ�– メイルによるウイルスのまき散らし�– (特定)サイトへの攻撃�
HOW!?�
認証通過、特定ポートへのアタック�
Eメイル受信、ソフトのインストール、 (ウェブアクセスによる)ダウンロード�
侵入�
感染�
盗聴�
ネット経由 だけではない!�
迷惑メールと個人情報の漏洩の例�
脅威のデータ収集ソフト�
Access log�
侵入を防ぐ�
! ユーザ認証�– 識別: ユーザID、ユーザ名�– 認証: パスワード、�
• 身体的特徴: 指紋、声紋、虹彩�• IC カード等による認証�
– [利用権限のことを「アカウント (account)」という]�! パスワード (password) について�– 辞書等のある単語は使わず、数字、記号も混ぜる�– 適切な長さを持つ�– 定期的に変更する�
ログイン (login) (ログオン, MS社)�
盗聴�
暗号化�
! 「平文 (clear text)」によるユーザID、パスワードの送信�– 途中ネットワークで盗聴されれば意味なし�
! 「暗号文 (cryptogram/ciphertext)」にして送信�
平文 (hirabun)
暗号文 (#S%@D8)
暗号化�
復号/解読(不正)�
暗号化技術�
! 暗号化�– (古来)文字の転置、変換�– (計算機)ビット単位での転置など�
! 暗号化アルゴリズム�
鍵� (非公開)�
平文� 暗号文�
ある規則に従って変換 (暗号化アルゴリズム)�
公開鍵暗号方式�
! 暗号化時の鍵(公開)と復号化時の鍵(非公開)で対となる「異なる」鍵を用いる�– 復号時の鍵を持っている者しか、復号できない�
! 不特定多数に鍵を公開出来るが、暗号化・複合化に時間がかかる�
! 例�– RSA 暗号:巨大な整数の素因数分解の困難さを利用 – 楕円曲線暗号 (ECC):楕円曲線と呼ばれる数式によって
定義される特殊な加算法�– ElGamal暗号: ECC に乱数を用いたもの
秘密鍵暗号方式�
! 対称/共有/共通 鍵暗号方式とも呼ばれる�! 暗号化時の鍵と復号化時で「同じ」鍵を用いる�! 事前に相手に鍵を配布する必要があるが、暗号化・
復号化は高速�! 例�– DES 暗号:平文を 64 bit ずつのブロックに分割し、転置
と換字の組み合わせ処理を 16 回行う�– 他にも、Triple DES, IDEA, FEAL, RC5�
暗号化による安全な接続の例�! リモートログイン�
– telnet [23] → slogin (ssh [22], Secure SHell) [ ] は使用される port 番号�
! メール�– PGP (Pretty Good Privacy) による本文の暗号化�– ssh によるサーバーアクセスへの暗号化�
• pop3 [110] → pop3s [995]�• imap [143] → imaps [993]�
! ウェブアクセス�– SSL (Secure Socket Layer) による暗号化(公開・秘密鍵方式の両方を利
用)�• http [80] → https [443]�
– デジタル署名�! VPN (Virtual Private Network) による全ての通信を暗号化�
– IP パケットを丸ごと暗号化し、2つの LAN を結ぶ�
デジタル署名と SSL�クライアント�
サーバー�SSL による接続要求 https://...
サーバーの公開鍵証明書(公開鍵) ���+ CA のデジタル署名 (秘密鍵で暗号化)
認証局 CA (Certificate Authority) �
CA からの公開鍵で復号 �
サーバーが本物で、証明書に改ざんがないか確認 (cf. フィッシング/なりすまし詐欺 対策)�
(信頼できる 第3機関)�
共通鍵を作るための乱数を生成し、 サーバーの公開鍵で暗号化し送信�
サーバーの秘密鍵で 復号し、共通鍵を生成�
共通鍵を生成�
共通鍵で暗号化通信�
不正アクセス�
! 侵入�– パスワードクラック�– バッファオーバーフロー (buffer overflow)�
! ポートスキャン (port scan)�– 空いているポートを(虱潰しに)探す�– (不正侵入等の入り口探し)�
! DoS (Denial of Service), DDoS (Distributed DoS)攻撃�– (不正、同時多発アクセスにより)サーバーのサービスを停止させ
る。�! スパムメールの中継サーバ�
– スパムメール(迷惑メール)の発信元にされてしまう。�! 踏み台�
不正アクセス対策�
! ファイヤーウォール (firewall) の設置�– ポートの制限�(不要なポートは閉じる)�– IP アドレスの制限�– 時間の制限(不使用時はネットワークから離す)�– ユーザによる制限�– ログによる監視�
LAN
DMZ (De Military Zone) 非武装地帯�
サーバー�
firewall WAN
(Wide Area Network)
ウイルス対策�
! セキュリティーホール/脆弱(ぜいじゃく)性のあるソフトのアップデート、不使用�
! ウイルス対策ソフトの導入�! 怪しいソフト等はインストールしない�
セキュリティ情報�http://www.ipa.go.jp/security/
まとめ�
認証通過、特定ポートへのアタック�
Eメイル受信、ソフトのインストール、 (ウェブアクセスによる)ダウンロード�
侵入�
感染�
盗聴�
ネット経由 だけではない!�
Firewall
vaccine software-
update
encryption
Recommended