インターネット時代の...

インターネット時代のセキュリティ管理

第一回「授業概要」

2006年9月28日

慶應義塾大学 村井純

奈良先端科学技術大学院大学 山口英

慶應義塾大学 佐藤雅明

2P

インターネット時代

キーワード– ISP– WWW – Google– 2ch– Podcast– SNS– 情報大航海

– 暗号– デジタル情報

– 共通基盤

– グローバル空間

– デジタルテレビ

– YouTube– skype– 携帯電話

– WiFi– WiMAX– RFID

3P

インターネット時代のセキュリティ管理

セキュリティ管理とは何か？– デバイスのセキュリティ

– OSのセキュリティ

– アプリケーションのセキュリティ

– プロトコルのセキュリティ

– ネットワークのセキュリティ

– 組織のセキュリティ

誰に何の役割があるのか？– 個人

– 法人

– 行政

高度IT人材不足情報システムの高度化、情報セキュリティ対策の推進、事業継続性確保について、取り組み不十分。取り扱う情報に見合う人材が不足

業務依存性拡大企業・各種組織における本業での、情報通信サービス、情報処理サービスへの依存度拡大。まさに「システム止まれば売り上げこける」の状態。事業継続性確保の視点からの情報セキュリティ対策のニーズ拡大

攻撃手法・対象の変化ＢＯＴnet等の登場により、攻撃手法が急速に高度化することによって、実害が発生する事態が拡大。民間のオンラインサービスも攻撃対象に。まさに、自分たちのビジネス・プラットフォームがねらわれ出した（例：カカクコム）

組織内部構造の変化雇用環境の変化に、組織内での統治構造が対応しきれてなく、結果として情報漏洩などのリスクが高まる

Business IT platform

システムと人間系の不協和音の解消（１）急速なシステム依存の拡大（２）人材不足に直面、素人運用拡大へ（３）雇用の弾力化と統治機構の弱体化（４）実効性の高い取り組みの模索（５）実感できる「安全」

5P

３つの構成要素

技術 (technology)マネージメント (management)社会システムとの適合 (compliance)

Technology Compliance

Management

Solution development(Management decision)

6P

構造設計の視点

３つの構成要素の強みと役割を認識した構造設計

– 情報システムを対象とするので、技術の役割が支配的

– 技術は万能ではない → 補完する「管理」が必要

– 社会的な圧力としての compliance

常に問題を認知し、その解決に取り組むメカニズム

合理性、整合性、コスト、人材、教育….

7P

PDCAサイクル：合理性確保

情報管理体制の設計リスクに基づいた設計

統一性、整合性合理性、実効性

対策の検証監査・検査の実施

問題発見

対策実施システム運用管理

問題点の除去維持管理作業

新たな課題の抽出

Plan

Do

Check

Act

情報セキュリティの特質から “P” の弾力化必須

→新たな脅威が顕在化する時は予見できない

情報セキュリティの特質から “P” の弾力化必須

→新たな脅威が顕在化する時は予見できない

8P

情報セキュリティ対策は科学である

Business IT platform

情報収集

対策立案実施

解析・検証

課題抽出

○ システムの連続的かつ合理的な改善作業○ 認知、仮説設定、検証○ 対策による「系」の変化を理解する○ リスク顕在化による「系」の変化を設計する

9P

４つの視点（1/4）

認証とプライバシ認証：正当性の確認– 利用しようとしている人が

• その権利を持っているのか？• 名乗っている本人かどうか？

認証技術– パスワード– デジタル証明書– 生体認証

インターネット時代のプライバシとは何か？– 自動認識技術（AIDC）の発達

• バーコード、OCR、RFID、音声認識、画像認識

– 様々な情報の容易な“紐付け”• IDと 位置 / 行動 / 購買 / 嗜好 ・・・

10P

４つの視点（2/4）

コンテンツマネジメントインターネット上でデジタルコンテンツの配信が一般化

– 音楽：iTunes Store, mora win, USEN– 動画：iTunes Store，GYAO, YouTube,

Goo, Yahooデジタルコンテンツ管理の手法

– デジタルコンテンツにおける所有，コピー，再配布の概念とは？

– 容易に複製できるコンテンツの管理

• DRM（Digital Rights Management)• ワンソースマルチユース

• 電子透かし・コンテンツID

11P

４つの視点（3/4）

個人と社会のセキュリティ主体– 個人 / 法人 / 行政

セキュリティとは– 誰が作っていくのか？

– 何から守っていくのか？

– 誰のために作っていくのか？

グローバルガバナンス：異なる要求にどう折り合いをつけるか？– ITによる情報の価値化（流通・集積）

– メカニズムの複雑化

– セキュリティの役割が主体と他の主体との関係により異なる• 行政ー法人，行政ー行政，行政ー個人，法人ー個人

• 権利，利益，権益，公益の保護

– コンセンサス形成のメカニズム

12P

４つの視点（4/4）

セキュリティアーキテクチャHypertext Transfer Protocol -- HTTP/1.1 RFC：2616

Security Considerations

This section is meant to inform application developers, information providers, and users of the security limitations in HTTP/1.1 as described by this document. The discussion does not include definitive solutions to the problems revealed, though it does make some suggestions for reducing security risks.

授業概要

14P

担当教官

山口英– 奈良先端科学技術大学院大学

情報科学研究科 教授

– 内閣官房情報セキュリティセンター情報セキュリティ補佐官

– 電子政府推進管理室

電子政府推進管理補佐官

村井純– 慶應義塾 常任理事

– 慶應義塾大学環境情報学部 教授

– 慶應義塾大学大学院

政策・メディア研究科 委員

佐藤 雅明– 慶應義塾大学 大学院政策・メディア研究科 特別助手

15P

授業スタッフ

TA– 杉本 信太 （慶應義塾大学）

– 千葉 周一郎 （奈先端科学技術大学院大学）

– Kamphao SISAAT （奈良先端科学技術大学院大学）

– 中村 友一 （慶應義塾大学）

– 水谷 正慶 （慶應義塾大学）

授業内容に関する質問はMLまで

– soi-security@soi.wide.ad.jp

16P

成績評価方針

グローバルインフラストラクチャであるインターネットにおけるセキュリティ対策はどうあるべきか？– 受講者自身に考え、議論し、発言してもらう

課題– 各テーマにそった課題の提出（数回程度）

– グループワーク

授業への参加– 議論での発言、質問等を評価します

17P

授業日程（予定）

第01回 (9/28) 授業概要

第02回 (10/5 ) 認証とプライバシ (1)第03回 (10/12) 認証とプライバシ (2)第04回 (10/19) 認証とプライバシ (3)

第05回 (10/26) デジタルコミュニケーションにおけるコンテンツマネジメント (1)第06回 (11/2) デジタルコミュニケーションにおけるコンテンツマネジメント (2)第07回 (11/9) デジタルコミュニケーションにおけるコンテンツマネジメント (3)

第08回 (11/16) 個人と社会のセキュリティ (1)第09回 (11/30) 個人と社会のセキュリティ (2)第10回 (12/7) 個人と社会のセキュリティ (3)

第11回 (12/14) インターネットの未来像：セキュリティアーキテクチャ (1)第12回 (12/21) インターネットの未来像：セキュリティアーキテクチャ (2)第13回 (1/11) インターネットの未来像：セキュリティアーキテクチャ (3)

18P

SoIって何?

SoI (School Of Internet)インターネット上の大学、インターネット学科

Webとメールの環境があれば誰でも参加するこ

とが出来ます

慶応義塾の学生でなくても参加できます

http://www.soi.wide.ad.jp/

19P

本授業におけるSoI

授業はオンラインで何度も見ることができます

この授業はSoIで公開されています

SFCの学生以外のインターネット経由での受講者もいます

課題提出にはSoI学生登録が必須です

SoI登録の仕方は授業の最後に詳しく行います

20P

School of Internet

http://www.soi.wide.ad.jp/

21P

インターネット時代のセキュリティ管理Top Page

http://www.soi.wide.ad.jp/class/20060020/

22P

SoI入学手続き・履修申告

学生登録履修登録

SoIでの履修申告をしないと、

成績がつきませんので注意してください

23P

課題の提出

いずれかの方法で提出– テキストとして入力

– Web Page を作成してURLを登録

– SFCの学生はCNSのアカウントから提出しないと成績がつきません！！！！！！！！！！！！！！

履修者の回答は基本的に公開– 友達の回答なども参考に

– 〆切までは何度でも変更可

提出はいつも– http://www.soi.wide.ad.jp/report2000/rep_list.cgi?20060020