情報セキュリティと標準化i 第3回-公開用
TRANSCRIPT
情報セキュリティと標準化I 第3回
WEB公開版のため
内容は大幅に抜粋・省略しています。
前期:第15回
1 情報セキュリティの概要:基本概念、実装技術と対策方法2 情報セキュリティの概要:脅威リスクの分類と評価、その対策方法3 技術的セキュリティの技術と実装4 人的・物理的セキュリティと技術的セキュリティの関係5 対称暗号技術:秘密鍵技術と実装(セキュアプログラミング)6 非対称暗号技術:公開鍵技術と実装(セキュアプログラミング)7 セキュリティ監査と管理:セキュリティ技術評価
評価方法、保証レベル
8 セキュリティ監査と標準化:セキュリティ評価基準と標準化9 リスクの分析評価と管理対策:情報資産とリスクの概要,リスク分析評価
10 情報セキュリティのマネジメントとセキュリティポリシー: IMIS、関連法規
11 デジタル認証技術と標準化: デジタル署名、メッセージ認証、認証基盤12 物理的認証技術と標準化:利用者確認、生態認証、関連標準化動向13 観測・基盤実装技術:セキュアOS,セキュアプログラミング14 観測・応用実装技術:アプリケーションセキュリティ15 情報セキュリティ技術、分析評価方法、管理対策、標準化動向まとめ
第3回
技術的セキュリティの技術と実装
情報セキュリティ対策は技術・物理的・人的組
織的と3種類に分類される。第3回では技術的
セキュリティである暗号・認証技術、セキュア
OS,アプリケーションセキュリティ,セキュアプ
ログラミング等について解説する。またこれらの技術
要素に用いた情報セキュリティマネジメントシステムと
関連標準化動向について説明する。
基本情報処理技術者試験:
情報セキュリティ対策①物理セキュリティ対策:物理的な脅威から情報資産
を保護する。耐震設備、電源設備、入退室管理(IDカード)
②技術的セキュリティ管理:技術的な脅威から情報資 産をまもる。
コンピュータウィルス対策、WEB認証、アクセス制 御など
③人的セキュリティ対策:人的な脅威から情報資産を 保護する。
従業員、組織の人員の管理、セキュリティポリシー を守らせる(周知させる)。
情報セキュリティへの脅威の分類
①データセキュリティ大事なデータ(個人情報など)が守られること。
②システムセキュリティ個人のコンピュータやデバイスが守られること。
③ネットワークセキュリティ複数の人が使うネットワークやサービスが安全に利用できること。
④人的セキュリティ悪意のある人が大事な情報やシステムにアクセスできないようにすること。
情報セキュリティの3条件 CIA(秘匿性・完全性・可用性)
• 秘匿性 Confidentiality許可されたものが情報にアクセスできる。
• 完全性 Integrity情報が正確であり、改ざんされないこと。
• 可用性 Availability許可されたユーザが情報にアクセスし利用できる。
情報セキュリティのCIA
confidentiality
Integrity availability
機密性情報が組織や個人に
よって定められたルール
通りに保護できること。
可用性システムを必要に
応じて利用・制御ができ
ること。
完全性情報が破壊、改ざん又
は消去されていない状
態を確保すること
暗号・認証
アクセス制御・認証
暗号・アクセス制御
情報セキュリティのCIA
C
IA
サービス停止
盗難
漏洩盗聴
ウィルス感染
踏み台
不正利用なりすまし
セキュリティ対策の実行上の
基本原則プリベント(回避)
プロテクト(防御・防止)
レスポンド(対応)
リカバリー(復旧)
暗号化:C(秘匿性)を守る
平文 暗号文 平文
暗号鍵 復号鍵
共通鍵暗号方式:
暗号鍵と復号鍵に同じ鍵を用いる
復号鍵暗号方式:
暗号鍵と復号鍵が違う
暗号鍵は公開する(多)。秘密鍵で復号する(一)。
認証:完全性(I)を守る
送信
相手認証通信相手が本人かどうか
メッセージ認証通信の途中で
メッセージが改ざんされ
ていないか
デジタル署名送信する文書が正当化かどうか
基本情報処理技術者試験:認証
• 相手認証:通信相手が正しいか、本人かどうか確認 する技術
– コールバック、共通鍵、公開鍵暗号方式が使われる。
• メッセージ認証:通信文やファイルに改ざん(悪意の ある変更)が加えられたかを検出する技術。
• デジタル署名:文書の正当性を保証する技術
3つのシステム
アプリケーション
データベース
データベース
アプリケーション
データベース
アプリケーション
インターフェース インターフェース インターフェース
スタンドアロン型 サーバクライアント型 WEB型
基本情報技術者試験
クライアントサーバシステム①クライアントはデータ処理、サービス実行などをサーバに依頼する。
②サーバはクライアントの要求に応じてサービスを提供 する。ファイル管理、データベース操作、印刷処理、
通信機能の提供など
③サーバの種類ファイルサーバ:WEBページなどの共有ファイル管理データベースサーバ:データベースを操作するプリントサーバ:印刷するコミュニケーションサーバ:メールなどの通信を行う。
サイバースペース
Cyberspace = cybernetics + spaceの造語。
①オンラインによるコミュニケーションが行われるコンピュータ ネットワークの電子媒体のこと
②相互接続された情報技術によって表現され、さまざまな通信 機能や制御機能を持つ製品やサービスで構成されたもの
③コンピュータやネットワークの中に広がるデータ領域を、多数 の利用者が自由に情報を流し、情報を得たりすることができ る仮想的な空間のこと。
④物理的に存在する形があるものではなく、インターネットに接 続される機器やネットワークの技術的手段によって、インター ネット上において、人、ソフトウェア、サービスの関わり合い
からもたらされる複合環境
脆弱性管理:(A)を守る
リスク
脆弱性
脅威
何かしらの損失を発生さ
せる事態や状況への可能
性のこと。また、考えられ
る脅威を分析した結果と
して認識される損失可能
性(リスク因子)を示すこと
もある。
脆弱性:リスクを発生
させる原因のこと。プログラムを間違って
書くと発生する。
脆弱性を利用して、リ
スクを現実化させる
手段のこと。特に、脆
弱性を利用する事は
Exploitすると表現す
ることが多い。
基本情報処理技術者試験:機密保護
①暗号化:一定の規則でデータを変換して第三 者にわからなくする。
共通鍵暗号方式
公開鍵暗号方式
②認証:アクセスしている人や通信先が本人で あること、正当な利用者であることを確認する こと。
③アクセス管理:コンピュータシステムの資源に 対する不正なアクセスを防ぐこと。
脅威の種類
• 破壊:データやコンピュータを壊す• 漏洩:組織の機密情報や個人情報を外部に漏らす• 改ざん:ホームページなどが改ざんする• 盗聴:メールなどが盗み見される• 盗難:コンピュータやUSBメモリなどが盗まれる
• サービス停止:組織が提供しているサービスが落とされる• 不正利用:組織のネットワークやシステムが別の目的で不正に
利用される。• 踏み台:他の組織の情報システムを攻撃する手段に利用される。• ウィルス感染:ウィルス感染により組織の大事なデータが破壊さ
れる。• なりすまし:パスワードを盗まれ、本人のアカウントが情報を盗ま
れたり、買い物をされる。• 否認:文書がメールで送信した内容を、否定される。
参考(参照)文献
【1】図解入門
よくわかる最新情報セキュリティの基本と仕組み
- 基礎から学ぶセキュリティリテラシー
相戸 浩志
秀和システム
【2】基本情報処理技術者試験情報処理教科書 基本情報技術者 2013年版日高 哲郎
(翔泳社)
情報処理教科書 応用情報技術者 2013年版日高 哲郎
(翔泳社)
【3】ポケットスタディ
情報セキュリティスペシャリスト村山 直紀
秀和システム
第4回
人的・物理的セキュリティと技術的セキュリティの関係
情報セキュリティ対策は技術・物理的・人的組織的と3
種類に分類される。第4回では人的セキュリティ対策,
技術的セキュリティ対策(クラッキング対策,ウイルス
対策ほか),物理的セキュリティ対策などについて解
説する。また、人的物理的セキュリティと技術的セキュ
リティの関係として、システム管理と監査の観点から解
説を行う。