情報システム論�

第 11 週�セキュリティ対策�根來�均�

セキュリティ対策の必要性�

!  データの改ざん、消失�–  ホームページの改ざん�–  パソコン内のデータ消失�

!  データの漏洩�–  （銀行口座からの）不正引き下ろし、第3者によるネット売

買�–  内部機密書類の漏洩�

!  被害者から加害者へ�–  メイルによるウイルスのまき散らし�–  （特定）サイトへの攻撃�

HOW!?�

認証通過、特定ポートへのアタック�

Eメイル受信、ソフトのインストール、 （ウェブアクセスによる）ダウンロード�

侵入�

感染�

盗聴�

ネット経由 だけではない！�

迷惑メールと個人情報の漏洩の例�

脅威のデータ収集ソフト�

Access log�

侵入を防ぐ�

!  ユーザ認証�–  識別: ユーザID、ユーザ名�–  認証: パスワード、�

• 身体的特徴: 指紋、声紋、虹彩�•  IC カード等による認証�

–  [利用権限のことを「アカウント (account)」という]�!  パスワード (password) について�–  辞書等のある単語は使わず、数字、記号も混ぜる�–  適切な長さを持つ�–  定期的に変更する�

ログイン (login) （ログオン, MS社）�

盗聴�

暗号化�

!   「平文 (clear text)」によるユーザID、パスワードの送信�–  途中ネットワークで盗聴されれば意味なし�

!   「暗号文 (cryptogram/ciphertext)」にして送信�

平文 (hirabun)

暗号文 (#S%@D8)

暗号化�

復号/解読（不正）�

暗号化技術�

!  暗号化�–  （古来）文字の転置、変換�–  （計算機）ビット単位での転置など�

!  暗号化アルゴリズム�

鍵� （非公開）�

平文� 暗号文�

ある規則に従って変換 （暗号化アルゴリズム）�

公開鍵暗号方式�

!  暗号化時の鍵（公開）と復号化時の鍵（非公開）で対となる「異なる」鍵を用いる�–  復号時の鍵を持っている者しか、復号できない�

!  不特定多数に鍵を公開出来るが、暗号化・複合化に時間がかかる�

!  例�–  RSA 暗号:巨大な整数の素因数分解の困難さを利用 –  楕円曲線暗号 (ECC):楕円曲線と呼ばれる数式によって

定義される特殊な加算法�–  ElGamal暗号: ECC に乱数を用いたもの

秘密鍵暗号方式�

!  対称／共有／共通 鍵暗号方式とも呼ばれる�!  暗号化時の鍵と復号化時で「同じ」鍵を用いる�!  事前に相手に鍵を配布する必要があるが、暗号化・

復号化は高速�!  例�–  DES 暗号:平文を 64 bit ずつのブロックに分割し、転置

と換字の組み合わせ処理を 16 回行う�–  他にも、Triple DES, IDEA, FEAL, RC5�

暗号化による安全な接続の例�!   リモートログイン�

–  telnet [23] → slogin (ssh [22], Secure SHell) [ ] は使用される port 番号�

!   メール�–  PGP (Pretty Good Privacy) による本文の暗号化�–  ssh によるサーバーアクセスへの暗号化�

•  pop3 [110] → pop3s [995]�•  imap [143] → imaps [993]�

!   ウェブアクセス�–  SSL (Secure Socket Layer) による暗号化（公開・秘密鍵方式の両方を利

用）�•  http [80] → https [443]�

–  デジタル署名�!   VPN (Virtual Private Network) による全ての通信を暗号化�

–  IP パケットを丸ごと暗号化し、2つの LAN を結ぶ�

デジタル署名と SSL�クライアント�

サーバー�SSL による接続要求 https://...

サーバーの公開鍵証明書（公開鍵） ���+ CA のデジタル署名 (秘密鍵で暗号化)

認証局 CA (Certificate Authority) �

CA からの公開鍵で復号 �

サーバーが本物で、証明書に改ざんがないか確認 （cf. フィッシング/なりすまし詐欺 対策）�

（信頼できる 第3機関）�

共通鍵を作るための乱数を生成し、 サーバーの公開鍵で暗号化し送信�

サーバーの秘密鍵で 復号し、共通鍵を生成�

共通鍵を生成�

共通鍵で暗号化通信�

不正アクセス�

!   侵入�–  パスワードクラック�–  バッファオーバーフロー (buffer overflow)�

!   ポートスキャン (port scan)�–  空いているポートを（虱潰しに）探す�–  （不正侵入等の入り口探し）�

!   DoS (Denial of Service), DDoS (Distributed DoS)攻撃�–  （不正、同時多発アクセスにより）サーバーのサービスを停止させ

る。�!   スパムメールの中継サーバ�

–  スパムメール（迷惑メール）の発信元にされてしまう。�!   踏み台�

不正アクセス対策�

!   ファイヤーウォール (firewall) の設置�–  ポートの制限�（不要なポートは閉じる）�–  IP アドレスの制限�–  時間の制限（不使用時はネットワークから離す）�–  ユーザによる制限�–  ログによる監視�

LAN

DMZ (De Military Zone) 非武装地帯�

サーバー�

firewall WAN

(Wide Area Network)

ウイルス対策�

!  セキュリティーホール／脆弱（ぜいじゃく）性のあるソフトのアップデート、不使用�

!  ウイルス対策ソフトの導入�!  怪しいソフト等はインストールしない�

セキュリティ情報�http://www.ipa.go.jp/security/

まとめ�

認証通過、特定ポートへのアタック�

Eメイル受信、ソフトのインストール、 （ウェブアクセスによる）ダウンロード�

侵入�

感染�

盗聴�

ネット経由 だけではない！�

Firewall

vaccine software-

update

encryption