ユビキタス(ubiquitous) インターネット活用の動向 -...
TRANSCRIPT
1
平成23年前期
情報セキュリティ特論
ユビキタスネットワーク社会における
セキュリティ技術
松藤 信哉山口大学大学院理工学研究科情報・デザイン工学系学域
[email protected]://web.cc.yamaguchi-u.ac.jp/~s-matsu/secu_2011/
ユビキタス(ubiquitous)ネットワーク社会
ホームネットワーク
ITS(高度道路交通システム)
無線LAN
GPS
移動体通信
電力線伝送測距、測位
衛星
レーダ
ソナー
LAN
インターネット
ユビキタスコンピューティング
ユーザ要求仕様・いつでも ・どこでも ・だれでも情報を利用できる。
技術仕様・ブロードバンド・モバイル ・常時接続・バリアフリーインターフェース・IPv4(IPアドレス数約43億個)から
IPv6(約43億の4乗個)への移行
LAN
コンピュータネットワーク
LAN
LAN
LAN
ルータ
LAN
インターネット
Ethernet: CSMA/CD (Carrier Sense Multiple Access/Collision Detaction)方式
TCP/IP(Transmission Control Protocol/Internet Protocol) IPv4(32ビット)からIPv6(128ビット)へ
インターネット活用の動向
カバレッジ
サービスの創造
付加価値
経営戦略への活用
業務効率向上
情報交換
一般・公共企業間企業内個人(研究者)
情報発信メール、ニュース
エクストラネット
イントラネット
インターネット
情報共有グループウエア
企業間取引、広域制御
電子政府、電子せり・入札、遠隔医療、電子投票、消費者取引、公共・新社会基盤
ソーシャルネット
進化する携帯電話
・テレビ、ラジオ(放送受信機能)・音楽再生・ゲーム機能・写真撮影・動画撮影・データ通信・インターネット・メール・赤外線通信、ICカード機能
テレビや新聞などのマスメディアに匹敵する影響力をもつ。
モバイルビジネス・モバイルコンテンツ:コンテンツを利用者に有料で配信・モバイルコマース:商品を販売・モバイル広告:サイトに広告スペースを提供・モバイルソリューション:他企業が必要とするシステムを
作り提供
2
ネットワーク社会の発展と問題点
・情報システムへの影響・業務への影響・国民生活への影響 など
機密性(Confidentiality)情報を不適切な人には絶対に見せないようにすること。
完全性(Integrity)情報が常に完全な状態で保たれ、不正によって破壊、改ざんされたりしないこと。
可用性(Availability)ファイルやネットワーク上で保存されている情報や情報システムをいつでも利用できること。
情報セキュリティの確保
脅威の表現
外部
内部
偶発的 意図的
外部のミスによる攻撃
・天災:環境変化・故障:ハードウエア故障、ソフトウエア障害、回線故障・作為の無い者を利用した2次 的な攻撃技術的対策やマネジメントの強化が必要
悪意をもった攻撃・不正アクセス、狙われた攻撃、改ざん、パスワード漏洩・取引内容の事後否認・利益目的と愉快犯的:模倣犯の存在より増強対策技術を常に最新に保つ。
誤操作や環境変化・持ち込みPC ウイルス問題・PCの紛失 ・情報漏洩・PC設定ミス 不用意な操作
セキュリティマネジメント強化より未然に防げる。
内部犯行による脅威・情報の持ち出し(販売目的)・誹謗中傷
教育、技術的な対応策が必要(手口が巧妙)
意図(作為)的な脅威
取引相手
第三者(クラッカー:Cracker)(ハッカー:Hackerとは現在言わない)
電子商取引
ネットワーク
インターネットはオープンなネットワーク⇒
情報(データ)は第三者に盗み見られる可能性が高い。
侵入(不正アクセス)
重要データ不正ユーザ不正ユーザ
主な侵入手段・パスワードを不正入手(なりすまし)。 辞書ツール、盗み見・サーバーに存在するセキュリティホールの悪用対策・ファイウォールの構築 ・侵入監視ツールの導入・サーバーのセキュリティホールを塞ぐ・サーバーに保存しているデータを暗号化(効果的)
・機密情報、顧客情報などの重要データの漏洩・Web ページが改ざん
不正侵入の方法
1.他人へのなりすまし・パスワードを何らかの方法で入手例:システム管理者などの権威あるものになりすます・パスワードを類推し、合致するまで繰り返す例:誕生日、電話番号、車の番号
2.セキュリティホール(不正アクセスの配慮を欠いたプログラム)を利用 例:sendmail: 古いバージョンは管理者権限で離れた所からプログラムを立ち上げられるようになっており、パスワードファイルなどを電子メールで送信可能
3.外部からの攻撃 正当な利用者を使えなくするDOS(Denial of Service):大量のデータを同時に攻撃対象とするサーバに送る。送り先が分からない方法がある。
不正アクセスに対する処理
・サーバプログラムをセキュリティ対策済みのものにバージョンアップする。・サーバにある利用しないプログラムを停止させておく。・ファイアウォールの設置により、サーバへアクセス可能な送信元コンピュータやプロトコルを制限する。・セキュリティ監視により不正なアクセスの兆候をつかみ、予防したり、だれが攻撃者かを特定する。・暗号化によりデータを保護する。ファイル暗号:ファイル内のデータを暗号化する。通信路暗号:ネットワーク内の情報を守るため、
通信路データを暗号化して送信
3
盗聴
・クレジットカード番号・電子メール など情報を不正に得る行為
不正ユーザ
利用者
インターネット
盗聴
スニファ: ネットワーク上を流れるデータを捕らえて内容を解読対策:暗号化、入退室管理電波傍受: 無線LANの通信内容を傍受対策:暗号化、ANY接続の禁止
キーボード:タイプしたログを記録してID、パスワードを取得対策:公共のコンピュータのロギングの禁止
重要な情報の取り扱い禁止
なりすまし
第三者が当事者になりすまして不正な行為を行うことなりすましの手段・正規ユーザの認証情報(パスワードなど)を盗聴し、認証情報を利用する 「リプレイ攻撃」 。⇒不正にシステムにアクセスされる。・電子メールにおいて、差出人の名前を詐称する。詐欺の被害にあう。
対策・強固な認証方法の導入・電子メールに署名(デジタル署名)を付加すること
不正ユーザA男
インターネット
B子さんからね。
改ざんと否認
品物を発注した際に、その発注情報が改ざんされて相手に届く対策 電子データにデジタル署名を施す
不正ユーザ
発注者
改ざん
受注者
発注者 受注者(1)発注
(2)請求(3)否認
改ざん等の脅威を理由に当事者が過去の自分の行動を否定対策 認証とデジタル署名によって否認できない環境を作る。
ぺリメータセキュリティ
企業内LAN 企業内LAN
イントラネット
IPv4インターネット
ファイアーウォーによるセキュリティ保障
イントラネットプライベートアドレスへの変換
ユビキタスコンピューティングセキュリティ
IPv6インターネット
ホームLAN
エンドツーエンドセキュリティ
境界領域での技術からクライアントで対応する技術へ移行
情報資産 補償、社会的信用
物理的資産 コンピュータ、通信機器、施設・設備・盗難、破壊などの対策・性能劣化に伴う適切なメンテナンス情報・データ ファイル、データベース、文書・盗難、改ざんなどの対策・正当性、確かさの保障ソフトウエア アプリケーション、OS、開発ツール・不正使用に対する対策
4
その他の情報資産
製品・サービス・セキュリティ攻撃に対する十分な強度企業イメージ 評判、信頼度・セキュリティに対する認識・攻撃への対処人員 社員、顧客・情報資産の正しい利用・活用企業イメージに影響
セキュリティリスク
リスク=資産価値×脅威×脆弱
被害額の想定(インシデント被害額)=逸失利益(不法行為がなければ得られたはずの利益)+復旧に要するコスト(ハードウエア、ソフトウエア、工数)+営業継続費用+喪失情報資産+機会損失+補償、補填、損害賠償など+人件費×業務の実行効率の低下+業務外の潜在化被害(ブランド価格の低下など)
日本ネットワークセキュリティ協会JNSA
情報セキュリティ技術の基本
技術的分類
・セキュリティ基盤技術
・セキュリティ応用技術
・応用システム
・コンプライアンス
組織的・人的な取り組み
セキュリティ技術
情報セキュリティ基盤技術
・暗号化技術公開鍵暗号、共通鍵暗号、認証・暗号プロトコル(暗号化技術の応用)改ざん防止技術、電子投票、匿名入札システム・ハードウエア実装技術利用者は直接扱うことがないのが一般的有料デジタル衛星放送など・モバイルセキュリティ携帯電話、Bluetooth、無線LAN など
情報セキュリティ応用技術
・バイオメトリクス技術指紋などの生体情報を用いた認証技術・著作権保護音楽、画像における電子透かし・ICカードセキュリティ
ICカード、ICタグ・コンピュータウイルス問題点と対策・ファイアーフォール・VPN技術不正アクセス、通信傍受などへの対策
応用システムとコンプライアンス
応用システム・公共システム事例
ETC(自動料金収受システム)・電子政府事例
PKI(公開鍵社会基盤)コンプライアンス(法令順守)・セキュリティ構築評価、運用評価・法体系不正アクセス禁止法、電子署名法、個人情報保護法