情報セキュリティと標準化I 第４回-公開用

情報セキュリティと標準化I 第4回

WEB公開版のため

内容は大幅に抜粋・省略しています。

前期：第１５回

1 情報セキュリティの概要：基本概念、実装技術と対策方法2 情報セキュリティの概要：脅威リスクの分類と評価、その対策方法3 技術的セキュリティの技術と実装4 人的・物理的セキュリティと技術的セキュリティの関係5 対称暗号技術：秘密鍵技術と実装（セキュアプログラミング）6 非対称暗号技術：公開鍵技術と実装（セキュアプログラミング）7 セキュリティ監査と管理:セキュリティ技術評価

評価方法、保証レベル

8 セキュリティ監査と標準化:セキュリティ評価基準と標準化9 リスクの分析評価と管理対策：情報資産とリスクの概要，リスク分析評価

10 情報セキュリティのマネジメントとセキュリティポリシー: IMIS、関連法規

11 デジタル認証技術と標準化: デジタル署名、メッセージ認証、認証基盤12 物理的認証技術と標準化:利用者確認、生態認証、関連標準化動向13 観測・基盤実装技術:セキュアOS，セキュアプログラミング14 観測・応用実装技術:アプリケーションセキュリティ15 情報セキュリティ技術、分析評価方法、管理対策、標準化動向まとめ

第４回

人的・物理的セキュリティと技術的セキュリティの関係

情報セキュリティ対策は技術・物理的・人的組織的と３

種類に分類される。第４回では人的セキュリティ対策，

技術的セキュリティ対策（クラッキング対策，ウイルス

対策ほか），物理的セキュリティ対策などについて解

説する。また、人的物理的セキュリティと技術的セキュ

リティの関係として、システム管理と監査の観点から解

説を行う。

基本情報処理技術者試験：

情報セキュリティ対策①物理セキュリティ対策：物理的な脅威から情報資産

を保護する。耐震設備、電源設備、入退室管理（IDカード）

②技術的セキュリティ管理：技術的な脅威から情報資 産をまもる。

コンピュータウィルス対策、WEB認証、アクセス制 御など

③人的セキュリティ対策：人的な脅威から情報資産を 保護する。

従業員、組織の人員の管理、セキュリティポリシー を守らせる（周知させる）。

情報セキュリティへの脅威の分類

①データセキュリティ大事なデータ（個人情報など）が守られること。

②システムセキュリティ個人のコンピュータやデバイスが守られること。

③ネットワークセキュリティ複数の人が使うネットワークやサービスが安全に利用できること。

④人的セキュリティ悪意のある人が大事な情報やシステムにアクセスできないようにすること。

情報セキュリティの３条件 CIA（秘匿性・完全性・可用性）

• 秘匿性 Confidentiality許可されたものが情報にアクセスできる。

• 完全性 Integrity情報が正確であり、改ざんされないこと。

• 可用性 Availability許可されたユーザが情報にアクセスし利用できる。

情報セキュリティのCIA

confidentiality

Integrity availability

機密性情報が組織や個人に

よって定められたルール

通りに保護できること。

可用性システムを必要に

応じて利用・制御ができ

ること。

完全性情報が破壊、改ざん又

は消去されていない状

態を確保すること

暗号・認証

アクセス制御・認証

暗号・アクセス制御

情報セキュリティのCIA

C

I A

アクセス制御、パスワード認

証、暗号化、入退室管理

暗号化、デジタル署名、ハッシュによる改ざん防止

情報漏洩WEBクラッキング

パスワードが盗まれる

アクセス制御、冗長構成、認証

不正アクセスWEBが改竄される

サイバー攻撃WEB封鎖

アクセスできなくなる

情報セキュリティのCIAと脅威

C

IA

ソーシャルエンジニアリング

盗難

漏洩盗聴

ウィルス感染

踏み台

不正アクセスなりすまし

サービス停止

３種類の情報セキュリティ

物理

技術人的

耐震設備

防火設備

電源設備

回線設備

入隊室管理

認証

アクセス制御暗号

リスク分析

セキュリティポリシー

３種類の情報セキュリティ

物理

技術人的

耐震設備

防火設備

電源設備

回線設備

入隊室管理

認証

アクセス制御暗号

リスク分析

セキュリティポリシー

セキュリティ対策の実行上の

基本原則プリベント（回避）

プロテクト（防御・防止）

レスポンド（対応）

リカバリー（復旧）

暗号化：C（秘匿性）を守る

平文 暗号文 平文

暗号鍵 復号鍵

共通鍵暗号方式：

暗号鍵と復号鍵に同じ鍵を用いる

公開鍵暗号方式：

暗号鍵と復号鍵が違う

暗号鍵は公開する（多）。秘密鍵で復号する（一）。

共通鍵は鍵の管理が大変

A

B

C

D

E

共通鍵で通信する場合鍵の数はn×（n－1）÷2

B,C,D,Eの４人と通信する場合、Aは４つの鍵を管理する必要がある。

送信側、受信側とも鍵を第３者に教えてはいけない。

公開鍵は鍵の数が少なくて済む。

A

B

C

D

E

悪意

公開鍵で通信する場合鍵の数は2nで済む。

悪意のある送信者に

鍵が渡っても問題ない。

公開鍵暗号と素因数分解

P*Q=Mを使って秘密鍵Dを作成

P*Q=Mを使って公開鍵Eを作成

公開鍵EとMを

送信者に送る。

公開鍵EとMが

悪意のある者に渡る

MをP*Qに分解することは

ほぼ不可能なので秘密鍵

を作成（再現）できない。

安全性：MをP*Qに

分解することが非常に難しい。

認証：完全性（I）を守る

送信

相手認証通信相手が本人かどうか

メッセージ認証通信の途中で

メッセージが改ざんされ

ていないか

デジタル署名送信する文書が正当化かどうか

基本情報処理試験

フィッシング

• 実在する金融機関や買い物サイトなどの正 規のメールやWEBをサイトを装い、ユーザを

そこに誘導させ、ユーザIDやパスワード、暗 証番号などを入手する手法

• 偽の電子メールを発信して、ユーザを誘導し、 実在する会社を装ったWEBサイトにアクセス

させ、ユーザに個人情報を入力させる。

脆弱性管理：（A)を守る

リスク

脆弱性

脅威

発生する前の想定

脆弱性：リスクを発生

させる原因のこと。

プログラムを間違って

書くと発生する。

発生した後の事象

セキュリティポリシーと監査

専門家と素人

攻撃者

外部IT専門職

セキュリティ技術者

IT専門職IT担当者

一般ユーザ（素人）

とシステム

脅威・リスク分析対策を立てる

セキュリティポリシー（マニュアル）の実施 情報資産

セキュリティ監査攻撃可能点がないか調べる

基本情報処理技術者試験

セキュリティ監査• 情報セキュリティの確保のため、技術面、運用面双

方にわたる情報セキュリティ対策の実効性を第三者 により評価する監査（情報セキュリティ監査）のこと。

• IMIS（情報セキュリティマネジメントシステム）の PDCAサイクルのうち、C（check：検査）の部分を担

当する。

• P（Plan）

計画

リスク分析、ポリシ策定

• D(Do) 実施

実際にシステムを運用してみる。

• C(Check) 検査

運用してみて問題がないか検査

• Act (Act) 改善

問題点を改善する

基本情報処理技術者試験

セキュリティ監査①予備調査：監査対象の現状把握のため、レビューや

チェックリストを持ちいて調査する。

②本調査：予備調査の結果を踏まえて、監査目的に 即した証拠の入手と評価を行う。

③評価・結論：システム監査担当者報告を、監査部門 全体で検討する

④フォローアップ：監査結果から、監査対象部門がど のように業務プロセスを改善していくかモニタし、必 要とあらばフォローアップする。

資料

参考（参照）文献

【１】図解入門

よくわかる最新情報セキュリティの基本と仕組み

- 基礎から学ぶセキュリティリテラシー

相戸 浩志

秀和システム

【２】基本情報処理技術者試験情報処理教科書 基本情報技術者 2013年版日高 哲郎

（翔泳社）

情報処理教科書 応用情報技術者 2013年版日高 哲郎

（翔泳社）

【３】ポケットスタディ

情報セキュリティスペシャリスト村山 直紀

秀和システム

基本情報処理技術者試験：認証

• 相手認証：通信相手が正しいか、本人かどうか確認 する技術

– コールバック、共通鍵、公開鍵暗号方式が使われる。

• メッセージ認証：通信文やファイルに改ざん（悪意の ある変更）が加えられたかを検出する技術。

• デジタル署名：文書の正当性を保証する技術

基本情報処理技術者試験：機密保護

①暗号化：一定の規則でデータを変換して第三 者にわからなくする。

共通鍵暗号方式

公開鍵暗号方式

②認証：アクセスしている人や通信先が本人で あること、正当な利用者であることを確認する こと。

③アクセス管理：コンピュータシステムの資源に 対する不正なアクセスを防ぐこと。

脅威の種類

• 破壊：データやコンピュータを壊す• 漏洩：組織の機密情報や個人情報を外部に漏らす• 改ざん：ホームページなどが改ざんする• 盗聴：メールなどが盗み見される• 盗難：コンピュータやUSBメモリなどが盗まれる

• サービス停止：組織が提供しているサービスが落とされる• 不正利用：組織のネットワークやシステムが別の目的で不正に

利用される。• 踏み台：他の組織の情報システムを攻撃する手段に利用される。• ウィルス感染：ウィルス感染により組織の大事なデータが破壊さ

れる。• なりすまし：パスワードを盗まれ、本人のアカウントが情報を盗ま

れたり、買い物をされる。• 否認：文書がメールで送信した内容を、否定される。

基本情報処理技術者試験 セキュリティポリシー

情報セキュリティ基本方針

情報セキュリティ対策基準

情報セキュリティ対策手続き規定類

情報セキュリティポリシは、経営層の同意に基づき、組織の保 有する情報資産（ハードウェア、ソフトウェア、ネットワーク、デー

タ、設備など）を脅威から守るために、組織の情報システムの機 密性、完全性、可用性を確保するために規定するきまりのこと。

基本情報処理技術者試験

情報セキュリティ基本方針と対策基準

• 情報セキュリティ基本方針：組織のリスクマネ ジメントの一貫として、情報セキュリティの方

針を、組織に属する人に伝達することを目的 に作成される。

• 情報セキュリティ対策基準：情報セキュリティ 基本方針に基づいて、組織に属する人に具

体的な基準を示して、実際の義務と責任を割 り当てるために作成される。

基本情報処理技術者試験

情報セキュリティ管理と対策

• 情報セキュリティポリシーとISMSIMIS (information security

management system)• リスク管理

純粋リスクと投機的リスク

• 情報セキュリティ対策

物理的対策、技術的対策、人的対策

サイバースペース

Cyberspace = cybernetics + spaceの造語。

①オンラインによるコミュニケーションが行われるコンピュータ ネットワークの電子媒体のこと

②相互接続された情報技術によって表現され、さまざまな通信 機能や制御機能を持つ製品やサービスで構成されたもの

③コンピュータやネットワークの中に広がるデータ領域を、多数 の利用者が自由に情報を流し、情報を得たりすることができ る仮想的な空間のこと。

④物理的に存在する形があるものではなく、インターネットに接 続される機器やネットワークの技術的手段によって、インター ネット上において、人、ソフトウェア、サービスの関わり合い

からもたらされる複合環境

第５回

• 対称暗号技術：秘密鍵技術と実装（セキュアプログ ラミング）

• 情報セキュリティを支える基幹技術に、対称暗号技 術がある。第５回では代表的な対称暗号技術である DES, AESを中心に、CBC、CFB、OFB、CTRモー

ドの構造と実装方法を解説する。また、現在汎用に 使われているハッシュ関数と、乱数の実装について 学ぶ。

• またC言語やJAVAなどの実装例について紹介する。