q
q
情報セキュリティ
第1回:2007年4月13日(金)
q
q
この科目について

5セメスタ(3年次前期)の専門選択科目
q

担当者は村川猛彦(むらかわ たけひこ)
q

情報通信システム学科以外の受講も歓迎
質問・相談は [email protected] へ
授業情報はWebで
q
http://www.wakayama-u.ac.jp/~takehiko/secu2007/
2
この科目で何を学ぶか

情報資産の守り方

キーワード
q
q
q
q
q
q
暗号系:古典暗号(単一換字暗号),秘密鍵暗号(DES,AES),
公開鍵暗号(RSA)
認証:ディジタル署名,一方向ハッシュ関数,PKI
セキュリティソフトウェア:SSH,SSL
個人・組織のセキュリティ:パスワード,セキュリティポリシー,個
人情報保護法
システムセキュリティ:ファイアウォール,安全なアプリケーショ
ン開発
基礎:計算理論,暗号プロトコル
3
情報セキュリティは,なぜ学ぶことが多いのか?

システムの安全性は,その中の最も弱い箇所によって決ま
るから.

弱い箇所(the weakest link)の例
q
q
q
q
q
q
今となっては安全でない手法を使用
パスワードや鍵の杜撰な管理
身内に甘い運用
社内のセキュリティポリシーを一人で策定
内外をつなぐリンクが複数
電話一本即応答
4
情報セキュリティは何「ではない」か

ハッカーの養成ではない
q

暗号理論ではない
q

専門家だけのものではなく,パスワードなど,誰もが注意しない
といけない問題もある.
「理論」と「実装」と「運用」の一つでも不十分なシステムは,正し
く機能しない.
「破られたらおしまい」という考え方ではない
q
破られるのにどれだけのコストを必要とするかが安全性の尺度
となる.つまり,情報セキュリティは対象を定量的に取り扱える.
5
情報セキュリティを学ぶのに必要なもの

広く深い知識
q
q

思いやりの心
q
q

情報セキュリティは人の問題
「誰がいて,それぞれ何ができて何をしたいか」の分析が必須
ある種の数学
q

常にメンテナンス
知識を得るための知識も
離散数学,アルゴリズム理論,計算理論
プログラミングやインターネットの基礎知識
q
現在では必須
6
授業の進め方

参考書
q
q

スライドを中心に進める
q
q

結城浩, 『暗号技術入門―秘密の国のアリス』, ソフトバンクパ
ブリッシング, ISBN4797322977
授業の前半および第1回レポート(暗号解読)の参考になる.
Webで授業日に公開
インターネット上の文書,ソフトウェアも活用する
予習・復習
q
q
予習は不要
復習は,しっかりやってほしい
7
成績評価の方法

レポート20点+期末試験80点=100点
q
q
q
q


レポートは10点×2回
期末試験は,自筆ノートのみ持込可(書籍不可)の予定
出席点なし
サイエンスコース/エンジニアリングコースの区別なし
昨年度の授業・試験も参考に
個別の点数照会には応じない
8
本日学ぶこと



「情報セキュリティ」とは
ユーザサイドのセキュリティ
安全性を確立するには
9
情報セキュリティの三大要素

機密性(Confidentiality)…漏れない
q

完全性(Integrity)…書き換えられない
q


情報が整合性が取れて保存されている状態
可用性(Availability)…立入禁止にならない
q

許可されている人だけが情報にアクセスできる状態
必要な時に情報にアクセス出来る状態
定性的には,この3つをすべて満たすものが「安全(セキュア,
Secure)」
定量的に表現することもある
q
q
資産価値 = 機密性 + 完全性
コスト < 資産価値×攻撃成功確率
(ならば対策をとる)
10
機密性・完全性・可用性

透明の封筒に入った情報
q

ホワイトボードにあれこれ書き込む
q

完全性を満たすが,機密性は満たさない
可用性を満たすが,完全性は満たさない
どこかの本に秘密のメモを挟み,忘れてしまう
q
機密性を満たすが,可用性は満たさない
11
ユーザサイドのセキュリティ



パスワード管理
計算機管理
ソーシャルエンジニアリング
12
パスワード管理

パスワードが知られると…
q

他人が自分の名前(ID)で入って悪さし放題
では,どうすればいいか?
q
q
q
良いパスワードを利用する
 「wakayama」や「20070413」は良いパスワード??
ときどき変更する
パスワード情報の管理方法を知っておく
 暗号化されているか?
 だれもがアクセスできる状態になっていないか?
13
計算機管理

計算機管理を怠ると…
q
q

ウイルスが蔓延する
で加害者
踏み台攻撃の被害者になる
では,どうすればいいか?
q
q
q
踏み台攻撃のイメージ
ウイルス対策ソフト(Anti-virus software)を入れる
Windows Updateなどによる更新をまめに実施し,
安全な(バージョンの)ソフトウェアを使う
異変に気づけば,まずネットワークの遮断
 LANケーブルを引っこ抜け!
14
ソーシャルエンジニアリング

ソーシャルエンジニアリングを知らないと…
q

ソーシャルエンジニアリングの例
q

機密情報やアクセス権限が奪われる
「ご利用のオンラインバンクですが,手違いでパスワードを消失
してしまいました.誠に申し訳ございませんが,http://~~/ にて,
再登録をお願いします.」というメール
では,どうすればいいか?
q
q
q
善意を装った情報収集,情報操作には応じない
保護すべき計算機や情報を把握しておく
日々ニュースを見聞きする
15
安全性を確立するには

セキュリティが必要な箇所
q
q

銀行,空港など…関わる人が多く,要求される水準も高い
サーバ…止まったら,組織の内外が機能しない
安全性を高める運用方法
q
q
文書・図面に残しておく
 文書・図面が盗まれても,それのみでは安全性を損なわな
いようにする
権限を分散する
16
安全性確立の流れ

システムを提案する
q

システムの安全性をあらゆる角度から検証する
q

実装や実証実験も
学会(投稿論文),国際会議(口頭発表)などで,厳しい
同業者評価(ピアレビュー)を経る
 安全なシステムを考案する人は,
自他で提案したシステムの安全性を検証する人でもある
十分な期間検証され,それでも安全性を脅かすものが発見
されなければ,安全であると言える
17
隠すことによるセキュリティ(security by obscurity)

暗号アルゴリズムやシステム構築方法を隠すのでは,安全
性は実現できない
q

歴史的に,簡単に破られてきた
隠すのは,手法ではなく,鍵
q
q
鍵が512ビットなら,「当たり」の鍵を見つけるには,
平均2512/2回の値による試行を要する
ただし,鍵が512ビットでも,数千回程度の試行で破られるもの
ではいけない(見掛け倒しの鍵)
18
まとめ


情報セキュリティの三大要素は,機密性・完全性・可用性
情報セキュリティは専門家だけのものではなく,
ユーザサイドでもより安全にすることが可能
19
ダウンロード

PPT