Upload
ruo-ando
View
206
Download
0
Embed Size (px)
Citation preview
情報セキュリティと標準化I 第1回
WEB公開版のため
内容は大幅に抜粋・省略しています。
前期:第15回
1 情報セキュリティの概要:基本概念、実装技術と対策方法2 情報セキュリティの概要:脅威リスクの分類と評価、その対策方法3 技術的セキュリティの技術と実装4 人的・物理的セキュリティと技術的セキュリティの関係5 対称暗号技術:秘密鍵技術と実装(セキュアプログラミング)6 非対称暗号技術:公開鍵技術と実装(セキュアプログラミング)7 セキュリティ監査と管理:セキュリティ技術評価
評価方法、保証レベル
8 セキュリティ監査と標準化:セキュリティ評価基準と標準化9 リスクの分析評価と管理対策:情報資産とリスクの概要,リスク分析評価
10 情報セキュリティのマネジメントとセキュリティポリシー: IMIS、関連法規
11 デジタル認証技術と標準化: デジタル署名、メッセージ認証、認証基盤12 物理的認証技術と標準化:利用者確認、生態認証、関連標準化動向13 観測・基盤実装技術:セキュアOS,セキュアプログラミング14 観測・応用実装技術:アプリケーションセキュリティ15 情報セキュリティ技術、分析評価方法、管理対策、標準化動向まとめ
第1回
情報セキュリティの概要:基本概念、実装技術と対策
方法
第1回では情報セキュリティの概要を解説するとともに、
この講義のキーワードである暗号化技術、認証技術
利用者確認、生体認証技術,公開鍵基盤,政府認証
基盤、人的セキュリティ対策,技術的セキュリティ対策
(クラッキング対策,ウイルス対策ほか),物理的セ
キュリティ対策等について解説する。
情報セキュリティの 基本概念
情報セキュリティとは?
• コンピュータシステムやネットワークシステム の安全性を保つこと。
• データの安全性を保つこと。大事な情報が守 られること。
• システムの安全性を確保すること。第3者に 制御や操作を乗っ取られないこと。
ハッカーとクラッカー
諸刃の剣
• ハッカー:技術レベルが高く、良心のある人
• クラッカー:技術レベルは高いが、悪意のある 人
• 諸刃の剣:使い方で毒にも薬にもなる技術
情報セキュリティの3条件 CIA(秘匿性・完全性・可用性)
• 秘匿性 Confidentiality許可されたものが情報にアクセスできる。
• 完全性 Integrity情報が正確であり、改ざんされないこと。
• 可用性 Availability許可されたユーザが情報にアクセスし利用できる。
情報セキュリティ関連の 社会問題
社会問題①情報漏洩 C:秘匿性
• 許可されたものが情報にアクセスできる。第3 者は情報にアクセスできない。
アクセス制御、パスワード認証、暗号化、入退室管理
社会問題②不正アクセス I:完全性
• 情報が正確であり、改ざん(所有者の許可無 く変更される)されないこと。
デジタル署名、メッセージダイジェストによる改ざん防止
社会問題③サイバー攻撃 A:可用性
• 許可されたユーザが必要なときに情報や サービスにアクセスし、利用できること。
ネットワークやシステムの冗長化、UPS負荷分散、クラスタリング構成
情報セキュリティの脅威の分類
情報セキュリティへの脅威の分類
①データセキュリティ大事なデータ(個人情報など)が守られること。
②システムセキュリティ個人のコンピュータやデバイスが守られること。
③ネットワークセキュリティ複数の人が使うネットワークやサービスが安全に利用できること。
④人的セキュリティ悪意のある人が大事な情報やシステムにアクセスできないようにすること。
脅威:データセキュリティ
• 悪意のあるアクセスによる、大事なデータ(パ スワード等)が奪われたり、変更されたりする こと。
• 情報漏洩
• WEBページ改ざん
脅威:システムセキュリティ
• コンピュータウィルスやクラッカーにより、シス テムの制御が奪われること。
• コンピュータウィルス
• パスワードクラッキング
脅威:ネットワークセキュリティ
• 1台以上のコンピュータによって、ネットワーク を使ったサービスが使えなくなること。
• DoS攻撃
• コンピュータウィルス
脅威:人的セキュリティ
• 悪意のある人やスパイによって大事な情報が 奪われること。
• ソーシャルエンジニアリング
• 情報漏えい
情報セキュリティ対策の分類
情報セキュリティ対策の分類
• 暗号・認証
データを数字として処理する。
• アクセス制御・クラッキング対策
システムへアクセスする人などを制御する。
• 観測・フィルタリング
システムへのアクセスを観測し、振り分ける。
• 運用・記録
システムの安全に運用し、利用を記録する。
情報セキュリティ技術
認証技術暗号技術
アクセス制御クラッキング対策
観測・フィルタリング技術
運用・記録技術フォレンジクス
監査
暗号化
• 共通鍵暗号プライベートな情報をやり取りする場合に用いる(1対1の場合が多い)。
• 公開鍵暗号不特定多数との通信に用いる(1対多の場合が多い)。通信相手の正当性を確かめる。
• ハッシュ関数やり取りする情報が正しいか確認する。
認証
• 相手認証
通信相手が本人なのか確かめる
パスワード、ID、暗号
• メッセージ認証
通信文やファイルが変更されてないか
確かめる。
• デジタル署名
文書の正当性を保証する。公開鍵暗号
観測・フィルタリング
• コンピュータの観測
コンピュータの内部でどのようなイベントが起きたか観測する。
• ネットワークの観測
外部からどのような人が来たか観測する。
• フィルタリングその1:ホワイトリスト
許可して良い場合を記録しておく。
• フィルタリングその2:ブラックリスト
許可してはいけない場合を記録しておく。
アクセス制御・クラッキング対策
• ICカード
• 生体認証
• ウィルスソフト
• セキュアOS
情報セキュリティポリシー
情報セキュリティポリシーの種類
①情報セキュリティ基本方針
②情報セキュリティ対策基準
③情報セキュリティ対策実施手続き、規定類
下へ行くほど細かくなる。
IMIS (information security management system)Plan: IMISの確立
Do:
IMISの導入・運用
Check:
IMISの監視・見直し
Act:
IMISの維持・改善
情報セキュリティ標準化
• ISO:国際標準化機構
• IEC:国際電気標準機構
ワーキンググループ1:セキュリティ要求・サービス
ワーキンググループ2:セキュリティ技術とサービス
ワーキンググループ3:セキュリティの評価
ワーキンググループ4:セキュリティコントロールとサービス
ワーキンググループ5:アイデンティティ管理
• IETF:Internet Engineering Task ForceRFC2504:ユーザセキュリティのハンドブック
RFC2196:サイトセキュリティのハンドブック
RFC3365:プロトコルのセキュリティ
事後対策
• データ解析
システムのアクセスや利用記録から
不正アクセスしたものを特定する。
• フォレンジクス
犯罪や法的紛争が生じたときに、ハードディス
ク上のデータやメールなどを収集し、分析する。
情報セキュリティの実際の事例
サイバー戦争
• 通常の空間(陸、海、空)にサイバー空間を加 えた戦争
• 情報インフラを攻撃する。
企業テロ
• 特定の企業を標的とした攻撃
• 企業の秘密情報を漏洩したり、インターネット 上で提供しているサービスを停止させたりす
る。
基本情報処理技術者試験
情報セキュリティ
• 機密保護
秘密にする、隠す
• コンピュータウィルス
フィルタリングする、無効にする
• コンピュータ犯罪
改ざん、破壊、なりすまし
基本情報処理技術者試験
情報セキュリティ管理と対策
• 情報セキュリティポリシーとISMSIMIS (information security
management system)• リスク管理
純粋リスクと投機的リスク
• 情報セキュリティ対策
物理的対策、技術的対策、人的対策
情報セキュリティスペシャリスト試験
• 情報セキュリティ管理
• 情報セキュリティ対策
• セキュリティ実装技術
• ネットワーク
• データベース
• 開発技術
• サービスマネージメント
情報セキュリティスペシャリスト試験
• 暗号化技術
• 認証技術
• 情報セキュリティ管理
• 情報セキュリティ対策
• 関連法規・ガイドライン
• 標準化関連
参考(参照)文献
【1】図解入門
よくわかる最新情報セキュリティの基本と仕組み- 基礎から学ぶセキュリティリテラシー相戸 浩志
秀和システム
【2】基本情報処理技術者試験、応用情報処理技術者試験のテキストや過去問題集の情報セキュリティの関連箇所等を参照する。テキストとしては例えば下記がある。
情報処理教科書 基本情報技術者 2013年版日高 哲郎
(翔泳社)
情報処理教科書 応用情報技術者 2013年版日高 哲郎
(翔泳社)
第2回
情報セキュリティの概要:脅威リスクの分類と
評価、その対策方法
情報セキュリティが取り組む課題に、リスクの分析評価と低減
による脅威の抑止がある。関連する情報資産とリスクの概要,
リスクの種類,リスク分析と評価,リスク対策,情報セキュリティ
ポリシ,ISMS,企業活動のセキュリティ規程の作成評価方法,
保証レベル,ISO/IEC 15408等について解説する。