Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

情報処理工学13資料 /infoeng13

情報処理工学13資料 /infoeng13

Kazuhisa Fujita

December 19, 2022
Tweet

More Decks by Kazuhisa Fujita

Other Decks in Education

Transcript

  1. 情報セキュリティとは • 外部とつながったネットワークやコンピュータは常に外部からの攻撃 の脅威にさらされている.その脅威から守ることを情報セキュリティ という. • 情報セキュリティ対策の必要性 • 企業などの組織の運営は情報システムへ依存している. •

    情報システムの停⽌による損失,情報漏えいによるイメージの失墜. • 情報システムへの被害は,組織に⼤きい被害をもたらすだけではなく,取 引先や顧客など広く影響を与える.
  2. 機密性 • 許可された⼈だけが決められた範囲内で情報資産にアクセスでき,情 報漏洩しないようにすること. 'â ´Ÿ¥ C΃ qi,;޺“+;JK'ÑKJèg ! ͯƁ

    #   ̡ ं ҵ  5 ʼn 5 ʼn U  r  ô   \   4 "  ڢ I НƁ U ͤƴĤ    ϴ þ  փs@ Ŝ Ú çççŦ୉ Ú ހ­ƒƒЇ  ¼Ť #  y x U A l ưÆ Ì   ǖ ȾƁ #  S Ń P "  : e ô   &   ǖ    y Ĺ ¾ Ǡ ĥ  $ 0Ȟ¼
  3. 完全性 • 情報資産の内容が書き換えられたりすることなく,正しい状態を保っ ていること (⠞Ž¥ ʉŻ qs;ߝ`¶HȓJè~ ñ ЍĹɔˆ¿

    # $  ųʉŻ #  Wï  ҃ þ  ػsޣ ŜȀ çççŦس Ú୉Ҫ­ƒƒЇ  ¼Ť #  y x U A  l ưÆü    լĕ " ¤ &ƎÎ »     w  Ӛ¿(ϝʉŻ  IJĿWx     %  D + < ) %  șǵ¼
  4. 可⽤性 • 利⽤者が必要なときに必要な情報資産を使⽤できるようにすること )⠗»¥ ƁI ij|Dz'ȓÑ'ƇǂÑȓJè~  ͯȲ #

     ҵ  5 ʼn 5 ʼn Rı   & 4 ࡼ e á  $  ųƀI ȲT  ҃ ̛  փs@ ŜÚ çççŦ࣏Ȁ Ҩ­ƒƒЇ ¼Ť #   % x U A 4 l ưÆǯ    œ  Đ  Յˮ 0 w  ȾƁ #  MIS vR  &  : e á   &         H?J ı&DždžƜǀ L Ȋɚ¼
  5. その他の要素 • 真正性 • ある主体または資源が主張通りであることを確実にする特性 • 責任追及性 • あるエンティティの動作が,その動作から動作主のエンティティまで⼀気 に追跡できることを確実にする特性

    • 信頼性 • 意図した動作および結果に⼀致する特性 • 否認防⽌ • ある活動または事象が起きたことを,あとになって否認されないように証 明する能⼒
  6. 演習 • 情報セキュリティは機密性,完全性,可⽤性の3つの基本概念でできてい る.可⽤性を⾼めるのはどれか.第35回臨床⼯学技⼠国家試験 1. 電⼦署名の使⽤ データの改ざんを防ぐため完全性 2. 2段階認証の使⽤ 特性の⼈しかアクセスさせない⽅法なので機密性

    3. ファイルの暗号化 特定の⼈しかアクセスできないので機密性,また,元のファイルを改変させない ため完全性 4. ハードウェアの⼆重化 データの消失を防ぎ使える状態を保つ,もしくは1つのサーバが故障してももう ⼀台が稼働し続けるので,可⽤性 5. 廃棄メディアの裁断処理 機密性
  7. 事例 • 2016年ヨドバシカメラの通販サイトがDDoS攻撃を受け,アクセスで きない状況になった. • 2016年MiraiというマルウェアによりDNSサービスサービスプロバイ ダの Dynが攻撃をうけ,その影響でTwitter,Spotify,Redditなどの サービスが利⽤できなくなった. •

    IoT機器に感染 • 「admin:1234」など典型的なユーザ名とパスワードを⽤いているIoT機器 • Miraiに感染したIoT機器は感染可能なIoT機器を探し,⾒つけたら攻撃者に 報告. • 感染したIoT機器はボットネットを構成し,攻撃に⽤いられる.
  8. DoS攻撃・DDoS攻撃の対策 • 個⼈としての対策 • ソフトウェアを最新のものにしておく. • セキュリティソフトを導⼊する. • 怪しげなファイルを不⽤意に開かない. •

    怪しげなサイトを開かない. • システム管理者としての対策 • 特定のIPアドレスやドメイン名の接続を遮断もしくは許可する. • 単位時間あたりのアクセス回数に制限を設ける. • ネットワークトラッフィクの監視システムを導⼊し,攻撃と思われる接続 を遮断する.
  9. ウェブサイトの改ざん • 企業や⾃治体のサイトが、他の誰かに改ざんされる • 改ざんはどのウェブサイトでも起こりうる • 有名かどうかは関係ない • マルウェア散布 •

    価格コム(2005年) • 政治的なメッセージの配信 • ⻄宮観光協会(2015年) • ルスツリゾート加森観光(2015年) • カメラバック販売代理店銀⼀(2015年) • 他のページに誘導 • 五島市(2015年)
  10. フィッシング詐欺 • クレジットカード会社や銀⾏からのお知らせを装って,クレジット カード番号や暗証番号などを聞き出す. • 銀⾏やgoogleなどの偽のウェブサイトに誘導し,クレジットカード番 号,暗証番号,パスワードなどを偽のウェブサイトに⼊⼒させ盗む. • 偽のウェブサイトは本物と⽠⼆つのため⾒分けるのは困難. •

    URLも本物と似ているもの(oが0になっているなど)を使っておりURLで も判別は難しい. • DNSサーバを乗っ取れば本物のURLを使った偽サイトを作ることも可能. • 偽のショートメッセージを送り,不正サイトに誘導し,スマホの不正 アプリをインストールさせそのアプリから個⼈情報を盗む. (https://is702.jp/news/3352/)
  11. 標的型攻撃 • ネットワーク経由で攻撃対象の企業や官公庁などの重要情報を不正に 取得する. • 不特定多数を狙ったものではなく,特定の企業などを狙っている. • 典型的な攻撃⼿順 • 標的の企業の社員にマルウェアを添付したメールを送る.

    • 関係者や取引先を装い,業務関連のメールだと思わせることで標的の社員 を信⽤させる.そして,添付されたマルウェアを開かせる. • マルウェアを通し標的の企業のPCを遠隔操作し,機密データを盗む.
  12. 標的型攻撃の対策 • ウイルス対策ソフト,セキュリティソフトの導⼊. • 万能ではない. • ソフトウェアの更新する. • やらないよりまし. •

    安易にメールの添付ファイルを開かない. • 開かせるように⼯夫してあるので開いてしまう. • ソーシャルエンジニアリングの⼿法が⽤いられる事があり,技術的な対策 だけではなく各⼈のセキュリティに関するリテラシも必要. • 異常な(不審な)通信を⾒つけ,通信を遮断する • データは暗号化しておく. • 騙されるものだと思っておく.
  13. 期末試験 • 第15回(2⽉1⽇)講義の後半に実施 • 時間は30分 • 範囲は第8回(ハードウェア)から第14回(セキュリティ)の講義で 取り扱った内容 • 国家試験,ME2種の過去問を改変したものを出題

    • 筆記⽤具,スマホorPCのみ持ち込み可能 • 不合格となった学⽣がいた場合は,再試の連絡を掲⽰板する. • 定期試験ができると国家試験もできるようになるので頑張ろう.