1 of 17

情報倫理・セキュリティ

第1回

國島丈生(kunishi@c.oka-pu.ac.jp)

1

2 of 17

講義の概要、諸注意

  • スケジュール
    • 第1回〜第15回:國島(情報通信工学科・准教授、2610室)
    • 第16回:期末試験(國島)
    • どこかで外部講師による講義があるかも…
  • 毎回出欠を取ります
    • 学生証を忘れないように(忘れてもなんとかなるのであきらめないように)
    • 成績評価:定期試験70%, 受講態度30%
  • その他
    • 毎回の講義資料はWeb等で公開します
      • なるべく事前に公開するよう努力します…(by 國島)

2

3 of 17

授業計画(シラバス掲載のもの)

  1. 情報セキュリティとは
  2. コンピュータネットワークの基礎
  3. コンピュータセキュリティ(1)
  4. コンピュータセキュリティ(2)
  5. 暗号技術
  6. 暗号技術とネットワークセキュリティ
  7. 暗号技術と仮想通貨
  8. 無線LANのセキュリティ
  9. 電子メールのセキュリティ
  10. ウェブのセキュリティ(1)

3

4 of 17

授業計画(シラバス掲載のもの)

  1. ウェブのセキュリティ(2)
  2. マルウェアとその防御
  3. 権利の保護と法令順守(1)
  4. 権利の保護と法令順守(2)
  5. まとめ
  6. 期末試験

4

5 of 17

そもそもセキュリティって何?

5

6 of 17

セキュリティ(security)

  • 人、住居、地域社会、国家、組織、資産などを対象とした、害からの保護1)
  • safety と security2)
    • safety:火事や地震などの自然を対象にした安全性
    • security:泥棒や詐欺などの悪意をもつものに対する安全性
  • セキュリティの分類2)
    • ナショナルセキュリティ:国家安全保障を目的とする
    • 物理的セキュリティ:防犯カメラや入退出ゲートなど
    • 情報セキュリティ:メールやPCなどの情報を対象とする

  1. https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3
  2. 菊池, 上原「ネットワークセキュリティ」(オーム社, 2017), p.5

6

7 of 17

情報セキュリティ(information security)

  • 情報に関する以下の3要素を維持すること(JIS Q 27002)

7

脅威

説明

C

秘匿性(confidentiality)

情報を不適切な対象に見せない

ネットワークの盗聴

不正コピー

I

完全性(integrity)

情報が完全な形で保たれ、改ざん・破壊されない

データの改ざん

偽造

A

可用性(availability)

情報や資源がいつでも利用できる

サービス利用不能攻撃

破壊

菊池, 上原「ネットワークセキュリティ」(オーム社, 2017), p.6

8 of 17

例:ネットワーク非接続PCのセキュリティ

8

正規のユーザでない人がログインできないようにする/PC上の情報を閲覧できないようにする(秘匿性)

正規のユーザでない人がPC上の情報を改ざん・削除できないようにする(完全性)

USBメモリからデータを破壊する不正プログラムがインストールされないようにする(可用性)

情報

9 of 17

例:ネットワーク接続されたPCのセキュリティ

9

情報

USBメモリからデータを破壊する不正プログラムがインストールされないようにする(可用性)

正規のユーザでない人がPC上の情報を改ざん・削除できないようにする(完全性)

正規のユーザでない人がログインできないようにする/PC上の情報を閲覧できないようにする(秘匿性)

通信内容を盗聴(コピー)されない/通信内容を改ざんされない

悪意を持ったサイトと通信させられない

情報

ネットワーク経由で攻撃を受けない

10 of 17

ネットワークに接続すると脅威が増える

  • ネットワークに接続されていなければ
    • 物理的に攻撃(設置場所に侵入、機器の盗難・紛失、不正プログラムをUSBメモリなどで持ち込む、etc.)
    • ソフトウェア(OS, アプリケーション, etc.)の脆弱性(セキュリティホール)
  • ネットワークに接続されていると
    • 物理的に攻撃
    • ソフトウェアの脆弱性(セキュリティホール)
    • ネットワーク経由で外部から攻撃(目に見えない!
    • 通信に本質的に存在する脅威:盗聴、改ざん、なりすまし、否認、etc.
    • 自分で守れないコンピュータ上にある情報への攻撃(サーバ、クラウド、etc.)

10

11 of 17

一見ネットワークとは無関係なセキュリティ問題

  • 例:Intel CPUの設計上の欠陥(2018年1月)
    • CPU設計上の欠陥により、秘匿すべき実行時情報を盗み出される可能性
    • 特にクラウドコンピューティングで問題
    • ハードウェアの欠陥→本質的にはCPUを交換する以外解決できない
  • 例:IoTデバイスに対するセキュリティ問題
    • IoT:Internet of Things, モノのインターネット
    • タブレット等のデバイス、情報家電、各種センサ機器、RFIDタグ etc. とインターネット上のサーバとが通信によって連携して一つの情報システムを構成
    • IoTデバイス=小さなコンピュータ
      • 通常のコンピュータと同様、セキュリティの問題が潜んでいることが多々ある
      • パソコンやスマートフォンならOSの更新でセキュリティ問題を解決できる。でもIoTデバイスはどうする?

11

12 of 17

フィッシング事例

  • 2004年、ヤフージャパンのWebメールを標的としたフィッシング
  • 右図矢印のリンクをクリックすると…

出典: http://takagi-hiromitsu.jp/diary/20041205.html

12

13 of 17

フィッシング事例

  • 右図のようなログインフォームページに遷移
  • URLは ...yahoo.co.jp
  • ロゴなども本物のヤフージャパンと同じ

出典: http://takagi-hiromitsu.jp/diary/20041205.html

13

14 of 17

フィッシング事例

  • フォームに正しくないパスワードを入力すると「パスワードが正しくありません」という警告メッセージが出る

14

15 of 17

フィッシング事例

  • 正しいパスワードを入力すると、(本物のヤフージャパンと同じく)暗証番号の入力を要求される

出典: http://takagi-hiromitsu.jp/diary/20041205.html

15

16 of 17

フィッシング事例

  • 正しく暗証番号を入力すると、Yahooウォレットの登録情報の確認を要求される
  • しかし「キャッシュカードの暗証番号」の入力も要求されている→明らかにおかしい!

出典: http://takagi-hiromitsu.jp/diary/20041205.html

16

17 of 17

情報セキュリティは「深い」

  • 情報セキュリティ問題の原因:ミクロには様々なシステムの設計・実装上の欠陥(バグ)
    • 様々なシステム:ハードウェアから大規模情報システムまで
    • 人間が設計・実装する以上、欠陥はなくならない
  • 一つ一つは小さい欠陥だが、攻撃者はこれらを組み合わせ、さらに人間の心理、組織の社会的欠陥なども利用して攻撃を仕掛ける
  • 攻撃に対する対策・防御も複合的
    • 一つの対策ですべて対応できるわけではまったくない
  • 皆さんは将来技術者になる(ことが期待されている)
    • 情報セキュリティと技術的に向き合うことが必要
    • 「正常な動作」の理解だけではなく、異常な動作=設計者が予期しない動作の理解まで必要→コンピュータや情報技術に関する広範囲かつ深い理解が必要

17