Download - 情報セキュリティ読本 - IT 時代の危機管理入門 -
1
情報セキュリティ読本
情報セキュリティ読本 – プレゼンテーション資料 -
情報セキュリティ読本 - IT 時代の危機管理入門 -
プレゼンテーション資料(第 5 章 もっと知りたいセキュリティ
技術)
2情報セキュリティ読本 – プレゼンテーション資料 -
第 5 章 もっと知りたいセキュリティ技術
1. アカウント、 ID 、パスワード2. ポートと脆弱性3. ファイアウォール4. 暗号とディジタル署名
3情報セキュリティ読本 – プレゼンテーション資料 -
1. アカウント、 ID 、パスワード
1 ) パスワードの重要性2 ) パスワードクラッキング3 ) パスワードを保護するための対策4 ) さまざまな認証方式
第 5 章
4情報セキュリティ読本 – プレゼンテーション資料 -
1 ) パスワードの重要性
• ID: ユーザが誰であるかを識別• パスワード : 本人であることを確認• 大原則「パスワードは本人しか知らな
い」• パスワードが漏えいした瞬間から、シス
テムやネットワークが脅威にさらされる• パスワードは、ユーザが思っている以上
に重要なもの
第 5 章 > 1. アカウント、 ID 、パスワード
5情報セキュリティ読本 – プレゼンテーション資料 -
2 ) パスワードクラッキング
• パスワードクラッキングの種類– 本人から入手(ソーシャルエンジニアリン
グ)– パスワードを推測– パスワードファイルを解析する(不正なツ
ールを使用)• 辞書攻撃 、ブルートフォース攻撃など ⇔ 用語集 p.125 (辞書攻撃)、 p.130 (ブルートフォース) 参照
– 盗聴する
第 5 章 > 1. アカウント、 ID 、パスワード
6情報セキュリティ読本 – プレゼンテーション資料 -
3 ) パスワードを保護するための対策
• 強度が高い(推測しにくい)パスワードを使用する– 長くする、生年月日・電話番号・愛称などは避ける– 大文字・小文字・数字・記号を組み合わせる
• 定期的にパスワードを変更する– 初期パスワードをそのまま使わない
• 絶対に人に教えない– 管理者などから問われることはない– アカウントの貸し借りはしない
第 5 章 > 1. アカウント、 ID 、パスワード
例:パスフレーズによる設計(好きなフレーズをもとに変換) パスフレーズ「JINSEI IROIRO」 パスワード 「J#NS2R&R」 母音を抜き記号や数字を挿入
7情報セキュリティ読本 – プレゼンテーション資料 -
4 ) さまざまな認証方式
• 本人しか知らない情報を入力– パスワード
• 本人固有の持ち物を使用– トークン(ワンタイムパスワード生成装置) – スマートカード等
• 本人の身体的特徴で識別– バイオメトリック認証(指紋など)
第 5 章 > 1. アカウント、 ID 、パスワード
⇔ 用語集 p.132 (ワンタイムパスワード)、 p.126 (スマートカード) p.128 (バイオメトリック認証)参照
8情報セキュリティ読本 – プレゼンテーション資料 -
2. ポートと脆弱性 ( 1 )
• ポート( 80 番、 25 番、 110 番等)– インターネットで特定のサービスを通信させる
ための識別番号• プロトコル (HTTP 、 SMTP 、 POP3 等 )
– サービスを提供するための約束ごと• 例 :
– WWW プロトコル( HTTP )→ポート 80 番– メール送信プロトコル( SMTP )→ポート 25
番– メール受信プロトコル( POP3 )→ポート 110
番
第 5 章
9情報セキュリティ読本 – プレゼンテーション資料 -
2. ポートと脆弱性 ( 2 )第 5 章
ポートとプロトコル
10情報セキュリティ読本 – プレゼンテーション資料 -
2. ポートと脆弱性 ( 3 )
• ポートが開いていると・・・– 提供しているサービスがわかる– 開いているポートを悪用して侵入・攻撃– 脆弱性があると、さまざまな被害を受ける
(ウイルス感染、操作権限の奪取、 DoS 攻撃を仕掛けるプログラムの埋め込みなど)
対策:• 使わないポートは閉じる• パッチを適用し脆弱性をふさぐ
第 5 章
11情報セキュリティ読本 – プレゼンテーション資料 -
3. ファイアウォール
1 ) ファイアウォールとは ?2 ) ファイアウォールの構成3 ) パケットフィルタリング、アプリケーシ
ョンゲートウェイ、プライベートアドレス4 ) ネットワークアドレス変換技術( NAT )5 ) DMZ6 ) ファイアウォールの落とし穴7 ) パーソナルファイアウォール
第 5 章
12情報セキュリティ読本 – プレゼンテーション資料 -
1 ) ファイアウォールとは ?
• インターネットと内部ネットワーク( LAN )の境界線上で、アクセス制御を行う装置
【ファイアウォールの主な機能】– 外部との出入口を絞る– 内部ネットワーク( LAN )の構造を外部に見せない– 外部からの不正なアクセスを排除– 必要なアクセスだけを通過させる
第 5 章 > 3. ファイアウォール
13情報セキュリティ読本 – プレゼンテーション資料 -
2 ) ファイアウォールの構成基本的なファイアウォールの構成
第 5 章 > 3. ファイアウォール
14情報セキュリティ読本 – プレゼンテーション資料 -
3 ) パケットフィルタリング
パケットの情報に基づいて、通過させるパケットと通過させないパケットを選別。通常は「通過を許可するパケットだけを指定」。
第 5 章 > 3. ファイアウォール > 3 )パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス
15情報セキュリティ読本 – プレゼンテーション資料 -
3 ) アプリケーションゲートウェイ第 5 章 > 3. ファイアウォール > 3 )パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス
• アプリケーションプロトコルに基づいてアクセスを制御する– 例 : HTTP ( Web アクセス)、 FTP (ファ
イル転送)、 POP (メール受信)、 SMTP (メール送
信)など• アプリケーションプロトコルごとに許可 /禁止を制御可能
16情報セキュリティ読本 – プレゼンテーション資料 -
3 ) プライベートアドレスの割り当て
第 5 章 > 3. ファイアウォール > 3 ) パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス
• グローバルアドレス– インターネットに接続する各機器に一意に割
り当てられた IP アドレス• プライベートアドレス
– 組織や会社内の閉じられた空間で独自に割り当てられた IP アドレス
– そのままではインターネットにアクセスできない
– 外部からアクセスされない利点もある
17情報セキュリティ読本 – プレゼンテーション資料 -
4 ) ネットワークアドレス変換技術( NAT ) ( 1 )
• 内部のプライベートアドレスをグローバルアドレスに変換し、インターネットへのアクセスを可能にする技術
• 利点– 限られたグローバルアドレスの有効活用– 内部情報を隠す– 外部からの不正アクセスを防ぐ
第 5 章 > 3. ファイアウォール
18情報セキュリティ読本 – プレゼンテーション資料 -
4 ) ネットワークアドレス変換技術( NAT ) ( 2 )
第 5 章 > 3. ファイアウォール
ネットワークアドレス変換( NAT:Network Address Translation )
19情報セキュリティ読本 – プレゼンテーション資料 -
5 ) DMZ (DeMilitarized Zone: 非武装地帯 )
外部のインターネットと内部の LAN の間に緩衝地帯を設け、公開サーバを設置
第 5 章 > 3. ファイアウォール
20情報セキュリティ読本 – プレゼンテーション資料 -
6 ) ファイアウォールの落とし穴
• ファイアウォールも万全ではない– 例 : DoS 攻撃やウイルスは防げないことも
ある• 過信せずにあらゆるセキュリティ対策
を行うことが肝要
第 5 章 > 3. ファイアウォール
21情報セキュリティ読本 – プレゼンテーション資料 -
7 ) パーソナルファイアウォール( 1 )
第 5 章 > 3. ファイアウォール
• インターネットに常時接続する個人ユーザに効果的
• さまざまな製品が発売されている– ウイルス対策ソフトウェアと組合せたもの
等• Windows XP の簡易ファイアウォール
機能
22情報セキュリティ読本 – プレゼンテーション資料 -
7 ) パーソナルファイアウォール( 2 )
第 5 章 > 3. ファイアウォール
攻撃や不正なアクセスを制限
通常利用
自分が攻撃してしまう場合
侵入者
インターネット
パーソナルファイアウォール
利用者
23情報セキュリティ読本 – プレゼンテーション資料 -
4. 暗号とディジタル署名
1 ) 暗号技術とは2 ) ディジタル署名とは3 ) 認証局とは4 ) 身近に使われている暗号技術
第 5 章
24情報セキュリティ読本 – プレゼンテーション資料 -
1 ) 暗号技術とは
• 暗号化、復号、鍵• 共通鍵暗号方式• 公開鍵暗号方式• 共通鍵方式と公開鍵方式の組み合わせ (ハイブリッド暗号方式)
第 5 章 > 4. 暗号とディジタル署名
25情報セキュリティ読本 – プレゼンテーション資料 -
暗号化、復号、鍵 ( 1 )
• 暗号化 : 特定の法則に基づいてデータを変換し、第三者に内容を知られないようにすること
• 暗号化、復号、平文、暗号文、アルゴリズム、鍵などの用語を理解したい
• 共通鍵暗号方式と公開鍵暗号方式の 2つが使用されている
第 5 章 > 4. 暗号とディジタル署名 > 1 )暗号技術とは
⇔ 用語集 p.129 (復号)
26情報セキュリティ読本 – プレゼンテーション資料 -
暗号化、復号、鍵 ( 2 )第 5 章 > 4. 暗号とディジタル署名 > 1 )暗号技術とは
例
ひらがな(あいうえお・・・)の各文字を 3 文字後ろにずらす
あした えそて暗号化
復号平文 暗号文
3 文字後ろにずらす
アルゴリズム鍵
27情報セキュリティ読本 – プレゼンテーション資料 -
共通鍵暗号方式 • 共通鍵暗号方式
– 暗号化と復号(元の状態に戻すこと)に「同じ鍵」を使用する
– 同じ鍵=共通鍵
第 5 章 > 4. 暗号化とディジタル署名 > 1 )暗号技術とは
例 : DES 、トリプル DES 、 AES 、 MISTY1 、 Camellia など
Password is AAA
Y/K0pQn]*+1?..
Aさん
Bさん
暗号化
Y/K0pQn]*+1?..
Password is AAA
復号
同じ鍵を使用=共通鍵
Password is AAAPassword is AAA
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
Aさん
Bさん
暗号化
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
Password is AAAPassword is AAA
復号
同じ鍵を使用=共通鍵
⇔ 用語集 p.120 ( DES )、 p.127 (トリプルDES )、 p.120 ( AES ) p.121 ( MISTY1 )、 p.120 ( Camellia )参照
28情報セキュリティ読本 – プレゼンテーション資料 -
公開鍵暗号方式 ( 1 )
• 秘密鍵と公開鍵の 2 本の鍵(ペア)を使用
• 公開鍵を使用して暗号化し、秘密鍵で復号する
• 「公開鍵と対になっている秘密鍵を使用しないと復号できない」ことがポイント ↓その秘密鍵を持つ人だけが復号可能
第 5 章 > 4. 暗号化とディジタル署名 > 1 )暗号技術とは
29情報セキュリティ読本 – プレゼンテーション資料 -
公開鍵暗号方式 ( 2 )第 5 章 > 4. 暗号化とディジタル署名 > 1 )暗号技術とは
秘密鍵と公開鍵
Password is BBB12345
iID?Y2cO4/VD2=Yx4o..
Password is BBB12345
D1pr5/GG?tYjTb$a4Kv..
公開鍵で暗号化
秘密鍵だけで復号可能
秘密鍵で暗号化
公開鍵だけで復号可能
公開鍵秘密鍵
秘密鍵と公開鍵のペア(他のどの鍵ともマッチングしない一意のペア)
Password is BBB12345
iID?Y2cO4/VD2=Yx4o..
Password is BBB12345
D1pr5/GG?tYjTb$a4Kv..
公開鍵で暗号化
秘密鍵だけで復号可能
秘密鍵で暗号化
公開鍵だけで復号可能
公開鍵秘密鍵
秘密鍵と公開鍵のペア(他のどの鍵ともマッチングしない一意のペア)
30情報セキュリティ読本 – プレゼンテーション資料 -
公開鍵暗号方式 ( 3 )第 5 章 > 4. 暗号化とディジタル署名 > 1 )暗号技術とは
公開鍵暗号方式による通信
例 : RSA 、 Diffe-Hellman など(一般的に RSA )が使用される
Bさん
Aさん
Password is AAA
Y/K0pQn]*+1?..
Bさん
暗号化Aさん
Y/K0pQn]*+1?..
Password is AAA
復号
秘密鍵と公開鍵を作成し、公開鍵を送信
公開鍵を受け取る 公開鍵を使用して暗号化し、送信
秘密鍵を使用して復号する
Bさん
Aさん
Password is AAAPassword is AAA
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
Bさん
暗号化Aさん
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
Password is AAAPassword is AAA
復号
秘密鍵と公開鍵を作成し、公開鍵を送信
公開鍵を受け取る 公開鍵を使用して暗号化し、送信
秘密鍵を使用して復号する
31情報セキュリティ読本 – プレゼンテーション資料 -
共通鍵方式と公開鍵方式の組み合わせ
• 共通鍵暗号方式– 最初の鍵の受け渡しが弱点
• 公開鍵暗号方式– 暗号化と復号に時間がかかる
• 2つを組み合わせることで弱点を克服– 最初に公開鍵暗号方式で共通鍵を送り、以降は共通鍵で暗号化 /復号
第 5 章 > 4. 暗号化とディジタル署名 > 1 )暗号技術とは
32情報セキュリティ読本 – プレゼンテーション資料 -
2 ) ディジタル署名
• 送信者が本人であり、送信内容が改ざんされていないことを証明する仕組み
• 公開鍵暗号方式に基づいて本人を識別– 公開鍵で復号できる → 対応する秘密鍵
を持つ本人から送られたことが証明される• ハッシュ関数によるメッセージダイジ
ェストで改ざんを検証
第 5 章 > 4. 暗号化とディジタル署名
33情報セキュリティ読本 – プレゼンテーション資料 -
認証機関
ユーザ
ユーザ
公開鍵、その他の情報
公開鍵、その他の情報公開鍵証明書 公開鍵証明書
3 ) 認証局とは ( 1 )第 5 章 > 4. 暗号化とディジタル署名
• 公開鍵暗号方式は優れた仕組みだが、なりすましを防げない
• 第三の機関を設け、公開鍵の正当性を証明する=認証局
34情報セキュリティ読本 – プレゼンテーション資料 -
3 ) 認証局とは ( 2 )第 5 章 > 4. 暗号化とディジタル署名
公開鍵証明書の利用
Bさん
Bさん
Password is AAA
Y/K0pQn]*+1?..
Aさん
暗号化Aさん
Y/K0pQn]*+1?..
Password is AAA
復号
公開鍵証明書を取得し、送信
秘密鍵を使用して復号する 公開鍵を使用して暗号化し、送信
認証機関の公開鍵を使用して確認の上、公開鍵を取り出す
Bさん
Bさん
Password is AAAPassword is AAA
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
Aさん
暗号化Aさん
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
Password is AAAPassword is AAA
復号
公開鍵証明書を取得し、送信
秘密鍵を使用して復号する 公開鍵を使用して暗号化し、送信
認証機関の公開鍵を使用して確認の上、公開鍵を取り出す
35情報セキュリティ読本 – プレゼンテーション資料 -
4 ) 身近に使われている暗号技術
• WWW での暗号化• 暗号化メール
– PGP– S/MIME
• 携帯電話や IC カードで利用される暗号技術
第 5 章 > 4. 暗号とディジタル署名
36情報セキュリティ読本 – プレゼンテーション資料 -
• HTTP プロトコルではデータが暗号化されずそのまま流れる
– 盗聴などデータ漏えいの危険性• データを暗号化して送受信= SSL• SSL での通信は Web ブラウザで 確認できる
WWW での暗号化( SSL )第 5 章 > 4. 暗号化とディジタル署名 > 4 )身近に使われている暗号技術
37情報セキュリティ読本 – プレゼンテーション資料 -
暗号化メール
• 暗号化メールにより、電子メールの安全性が高まる
– 盗聴の防止– 改ざんの検証– なりすましの防止
• 幅広く使用されている方式– PGP– S/MIME
第 5 章 > 4. 暗号化とディジタル署名 > 4 )身近に使われている暗号技術
38情報セキュリティ読本 – プレゼンテーション資料 -
携帯電話や IC カードで利用される暗号技術
• SSL 対応の WWW サーバへアクセスできる携帯電話
– 高度な暗号技術を使用した WWW サーバの認証やディジタル署名の利用が可能
– セキュリティ面での信頼性が向上• IC カード
– 暗号鍵を搭載できるので安全性が高い– クレジットカード、住民基本台帳カードな
ど
第 5 章 > 4. 暗号化とディジタル署名 > 4 )身近に使われている暗号技術
39情報セキュリティ読本 – プレゼンテーション資料 -
本資料の利用条件1. 著作権は独立行政法人 情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。
3. 営利目的の使用はご遠慮下さい。
4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。
5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。外部よりアクセスできる WEB サイトへの掲載はご遠慮下さい。
6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。なお、参考までに、 [email protected] まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数
7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。