6 9security2

高度情報化と社会生活

教養科目水曜日第３限目

講師藤野幸嗣

講師のメールアドレス

[email protected]

講義資料のウェブのアドレス

http://www.fujino.com

講義連絡用掲示板

http://twitter.com/fujinocom2010/6/9 高度情報化と社会生活 1

６月９日講義課題へのリンク

この課題の送信で出席扱いとします。

2010/6/9 高度情報化と社会生活 2

http://www.fujino.com/?p=349

http://www.fujino.com/?p=349


本日の講義 today lecture

第8回２０１０年６月９日

今週のネット

ネットのセキュリティ

ネットのセキュリティ対策

１．ウィルス対策２．情報リテラシー３．パスワード管理４．ファイアーウォール５．暗号化


今そこにある危機

単位を落としそうな受講生

ブログやツイッターの登録がない。

１７名

頑張らないと単位の取得が出来ない

ブログやツイッターの更新が無い。

２４名１５５名はセーフ

→頑張って更新してください。毎週は無理でも、継続をしていれば評価はします。2010/6/9 高度情報化と社会生活 5

今週のネット

さっそく菅首相の偽物がツイッターに

ツイッターに蔓延る「なりすまし」

誰でも自由にアカウントがとれる。

誰でもアイコンを書き換えられる。

常に偽物の危険が。

ツイッターで偽物を見破るには？


ツイッターで本物アカウント

0.Twitter社から公式と認められる。

→認定マークがつく。

→ただし現状は超有名な人のみ。

１．公式サイトからツイッターにリンクされている。個人だとブログからツイッターへの

リンクがある。（逆も必要）

２．継続して使われていて本人だと信用がおけるツイートが多数ある。（※コピペに注意）


Verified Account（認定）

※認定されていないからといって偽物ではない。 2010/6/9 高度情報化と社会生活 8


インターネットの階層

光ファイバーやイーサネット、電話線など

TCP/IP インターネットの通信手順

メール、ウェブ、Googleの基本サービスなど

ネット上のサービスブログ・ツイッター

アクティビティブログやTwitterのコメント


インターネットのトラブル

線が切れている!!

ネットの設定を間違えている!!

ソフトの設定を間違えている!!

ネットサービスにログインできない!!

ネットでだまされる!! データ漏洩!!

誰がネットを危険にしている？

ネットを危険地帯にしているのは教育者だ

和歌山大の豊田准教授が指摘

ネットを理解できない大人たちが危険性を助長

→ネットを隠れて使う。

→ネットのマナーを教えない。

ネット活用をきちんと教えるのが教育！

残された問題は親の教育。（ロストジェネレーション）2010/6/9 高度情報化と社会生活 11

http://itpro.nikkeibp.co.jp/article/NEWS/20090611/331724/




データのバックアップは必須

パソコンはいつかは必ず壊れる。

→永遠に動き続ける機械はない。

大切なデータは必ずバックアップをしておこう。

USBメモリーなどに保存をしておくこと。

そして、無くさないように。


安全の基礎、パソコンは清潔に！

パソコンは、こんなものに弱い。

→雷（不安定な電源も）

→水（湿気）

→ホコリ（ハウスダスト）

→タバコの煙

→燻蒸（バルサン）

パソコンのまわりは清潔に! 煙は禁物


仕事ならPCは２台いる？

パソコンはすごく故障しやすい。

万一、故障したときは仕事がすべて止まってしまう。

仕事を止めたくなければ、バックアップ用のパソコンは必須かも。

トラブルは一番起こって欲しくないときに起こる。

→レポートの締切前にパソコンが壊れる。


ついでにノートパソコンの運搬

パソコンは振動にとても弱い!

とくにハードディスクは壊れやすい。

車のシートに乗せて運ぶ→論外

車で運ぶなら、膝の上におきましょう。

リュックなど背負いが効果的、ショルダーやトートバッグでは置くときに注意しましょう。

ハードディスクは消耗品、ノートで２，３年

ディスクトップでも５年は持ちません。2010/6/9 高度情報化と社会生活 15

受講生の対策状況 153名

対策ソフトを入れている。

７４％

対策ソフトのアップデートをしている。

５２％

システムアップデートをしている。

４０％

半分以上は問題有り、はっきり言って「ひどい」


ネットのセキュリティ対策

１．ウィルス対策２．情報リテラシー３．パスワード管理４．ファイアーウォール５．暗号化


１．ウィルスから身を守ろう

知識防衛して安全にネットを使おう


ウィルスとは

「コンピュータ・ウィルス」

コンピュータに悪さをするプログラムのこと。

Webやメール、USB、デジカメなどから感染する。接触感染なので、病原体のウィルスと似た振る舞いをする。

ネットを介して爆発的に広まるものをとくに

「ワーム」と呼んだりする。2010/6/9 高度情報化と社会生活 19

ウィルスは誰がつくる？

大半は愉快犯

人が困るところを楽しむ。

最近は、こうした愉快犯から特定組織を

ターゲットにした金銭目的の犯罪も

増えている。

仕事のパソコンにはくれぐれも注意をする。


アタック型ウィルスに注意

ファイアーウォールや暗号化や認証の過信は禁物（後で話す）

ホストのセキュリティホールを突くアタックには常に注意が必要。

システムのアップデートを怠らない。

管理者でなくても注意は必要

→ウィルスやトロイの木馬による内部からの

破壊行為もありうる。2010/6/9 高度情報化と社会生活 21

ウィルスへの対処

ネットの利用にウィルスチェックは必須な時代。

また、ネットを利用するのに最低限のパソコンに関する知識は必要です。

自分のパソコンの状況を確認する。

→ウィルス対策ソフトの有無、アップデートの有無

まずウィルス対策ソフトをいれる。


しかし、実際は・・・

ウィルスによる被害よりも、

ウィルス対策ソフトの不具合や設定ミスによるトラブルの方が遙かに多い。

→ウィルス対策ソフトは理解できる人に設定をしてもらう方がよい。

→わけがわからずに対策ソフトだけをいれておくことも意味がありません。


ネットを利用するための前提

システムのアップデートは必須。

→MicrosoftUpdateの実行（月例・臨時）

ウィルス対策ソフトも必要。

→これもアップデートしないと意味がない。

FlashやReaderなどAdobe関係も必ずアップデートをする。（今は極めて危険）

Javaのアップデートも必要2010/6/9 高度情報化と社会生活 24

なぜアップデートを急ぐか？

システムの不備（セキュリティホール）は毎日のように発見されている。

アップデートができるようになるまで詳細は伏せられている。

アップデートの公開と同時に「セキュリティホール」の存在が全世界に明らかになる。

つまりアタックのターゲットはアップデートを怠っている「間抜け達」ということ。2010/6/9 高度情報化と社会生活 25

セキュリティソフトを入れる

無料のお薦め

→Microsoft Security Essentials

注意、インストールする前に他のウィルス対策ソフトをまず削除すること。（壊れますよ）

インストールしたら最初にまず更新をする。

次にフルスキャンをしてみる。

→ウィルスが見つかったら詳しい人に聞く。


http://bit.ly/1aRZDW

２．情報リテラシー

ネット以外にも危険はいっぱい

2010/6/9 27高度情報化と社会生活

ソーシャルハッキングに注意

ネットの不正侵入の事例もあるが、

多くのトラブルは、いわゆる詐欺である。

オレオレ詐欺は人ごとではない。

社員を装って、大切な情報聞き出す事例は意外に多い。

電話を数回かけることで、社内への侵入方法を聞き出すことが簡単にできてしまう。

ソーシャル・ハッキングのテクニック2010/6/9 高度情報化と社会生活 28

意外に多い肩越しの覗き見

ショルダー・ハッキング

人がパスワードや暗証番号を入れるのを

後ろから見ている。

ひどい場合にはパスワードを付箋に書いて

パソコンに張っているケースもある。

身近な危険にとにかく注意しよう！！


セキュリティポリシーの確立

セキュリティは利便性と相反する。

セキュリティはコストとも相反する。

経営のトップが配慮するべき事項。

ネットワークの利用者も管理ポリシーやルールを理解してコンピュータを使う必要がある。

踏み台になったり、書き換えられたりして

いったん失った信用は回復が困難である。

自らトラブルに巻き込まれない為に。2010/6/9 高度情報化と社会生活 30

情報漏洩の大半は人から

うっかりブログやＳＮＳに書き込んでしまう。

ヒューマンハッキングの問題

人間はシステムで最大の脆弱要素

人の心の弱みにつけこんでくる。

健康と健全な精神を保つのが一番の安全


情報リテラシーと危機管理

ウィルスや不正侵入対策よりも

安定した機器利用の方が困難

業務で使っているパソコンやケータイが壊れたら？

企業や個人は動産保険をかけておく

情報リテラシーを身につける。

→トラブルの対処方法を考えておく。

→マニュアル化も必要。


情報リテラシーとセキュリティ

バックアップの知識

リカバリーの知識

トラブル対処法の知識

サポートの窓口や保険など。

マニュアル化しておくことも大切。

社内教育も必要な状況

ネット社会の常識として認識しよう。


インターネットは危険か？


今そこにある危機

安全でないから防御をするための各種のセキュリティが必要になる。

セキュリティとは「ツール」ではない。

気をつけるという姿勢の問題なので心構えが必要。

安心・安全な場所の中ならセキュリティは不要だが、ネットにつながっていると、常に危険なデータが入ってくる可能性がある。2010/6/9 高度情報化と社会生活 35

インターネットは危険なのか？

現実世界と同じ程度に安全、同じ程度に危険ともいえる。

現実世界でも家の中、大学の中、往来で危険レベルは異なる。

→では、車道を歩くのは安全なのか？

→田舎の道ではほぼ安全だろう。

→１０号線では自殺行為となる。

同様にネットでもシチュエーションで異なる。2010/6/9 高度情報化と社会生活 36

ここでいう「セキュリティ」は

「ネットワークセキュリティ」

情報の漏洩や不正侵入など

「情報（コンテンツ）セキュリティ」

内容の改ざんや不正なコピー、

個人情報（プライバシー）

→でも大切なのは「広義のセキュリティ」＝安全な生活をおくるための知識2010/6/9 高度情報化と社会生活 37

インターネットは危なくない。

命をとられるわけではない、

財産がおびやかされるわけではない、

スキャンダルに巻き込まれるわけでもない。

現実世界をエクステンドする便利な道具として使うのが妥当。→パソコンの不安定さの方がよほど危ない

しかし、

インターネットはなぜ「危ない」といわれるのか？2010/6/9 高度情報化と社会生活 38

インターネットの危うさ１

もともとインターネットは学術研究が素地にあって、自由で規制のない空間というイメージがある。同時に保証もない、いわば自己責任の原理が優先する世界。

インシデント（トラブル事例）の影響がただちに、しかも広範囲に及ぶ。

→いまや世界中が高速なネットでつながっている時代だ。


インターネットワーム

ネットや媒体を媒介して害を及ぼすプログラム→ウィルス（病原体）

ネット越しに急速に広まるモノをとくに

インターネットワーム（単にワームとも）

2009年1月近年最悪のワーム

Conficker(別名Downadup)発生

USB媒介型世界で1000万台感染。


インターネットの危うさ２

匿名でやりとりができる。（あくまで見かけ上）

相手の正体が確認できないので、思わぬトラブルとなる。

→実際の犯罪行為の場合には、相手の特定

は可能なケースが多い。通信記録、ＩＰアドレスの確認。

匿名の利用を許している一部のサービスが問題。

無料メール、無料Ｗｅｂ、無料ブログサービス

管理の甘いネットカフェや公共端末、無線Ｌ2010/6/9 高度情報化と社会生活 41

インターネットの危うさ３

仮想空間をイメージした利用が多い。アバターやハンドルネーム、名無しさ

ん、匿名掲示板など。

→理解ができないわけではないが、現実逃避的なことはよそでやって欲しい。あくまで「現実空間の便利な拡張機能」という利用がメインだとこの講義では考えます。

そもそも仮想空間と現実空間のコミュニケーションは成り立ちません。2010/6/9 高度情報化と社会生活 42

インターネットの危うさ４

利用者が増大するにつれて「愉快犯」や「情報テロリスト」の登場

本人に利益があるわけではなく、たんに困らせてやろう、皆が騒ぐのが楽しいなど。世間を混乱させてやろうという攪乱目的。

ウィルスやワームもこうした愉快犯が原因


インターネットの危うさ５

「インターネット依存症」の出現ネットがないと不安になる、つながっていないと落ち着かないなど。

サービスの継続への不安とくに無料サービスは何時終了しても文句がいえない。プロバイダも今の料金でサービスが維持できるか？そもそも今の通信基盤の維持が将来にわたって可能なのか、ということもよく検討してみよう。

→セキュリティの最大の課題。2010/6/9 高度情報化と社会生活 44

インターネットの危うさ６

→最近は実際の犯罪行為が増えている。

フィッシングサイトなど

狙い撃ちでだまされる。

→手口は巧妙、実害も。

ソーシャル・ハッキング

クレジットカードの不正利用

情報の流出

コンピュータの乗っ取り2010/6/9 高度情報化と社会生活 45

フィッシングメール（ツイッター）


危機対策の諸手法

不正アクセス

→パスワードの管理

→ファイアーウォールによる対策

情報の漏洩

→認証、暗号化による対策

意図しない情報の漏洩

ファイル交換とウィルスによる漏洩

→ネットの利用に関する知識を持とう2010/6/9 高度情報化と社会生活 47

企業の情報漏洩の原因

会社のＷｅｂサイトから情報が漏洩

メールの誤送信

Winnyで情報漏洩

ウィルスで情報漏洩

ブログやＳＮＳに会社の情報を記入

→人為的な原因の場合は技術では対処が難しい。


安全なインターネット利用

システムアップデートはいまや必須。

ウィルス対策ソフトも必要。

家庭でもルータは必須といってよい。

→ファイアーウォールを設定する。

不用意にメールアドレスを書き込まない。

個人情報もむやみに書き込まない。

業務で使う際にはどの程度の情報を出すか、ルールを決めて管理を行う。


インターネットはオープンだ

誰でもどんな信号でも投げることができる。

→原則

でも、利用する権利のないサービスに勝手にログインすると法律違反になります。

「不正アクセス行為の禁止等に関する法律」

よそのコンピュータの入り口まできてノックするのは合法？→犯罪の予備行為だが・・・罰則はない。


情報を盗まれないために

認証と暗号の知識が必要な時代に突入している。

認証

利用権のある人を確認する技術

暗号

情報が途中で盗まれたり改竄されたり

しないための技術


インターネット・セキュリティ脅威対抗策セキュリティ

サービス

不正侵入ファイアーウォール

アクセス・コントロールやVPN

不正アクセスパスワード管理ワンタイムパスワードなど

盗聴・偽造・なりすまし

暗号化・電子署名認証局

情報漏洩ウィルス対策

社員教育

対策ソフト

リテラシー教育


３．パスワードによる対策

パスワード


インターネットの認証

認証方法

１．アカウント＝パスワード方式

２．物理認証方式

MACアドレスなどで確認する。

ハードウェアに埋め込んだ番号コード

暗号化されたICカードなど

ワンタイムパスワード

３．生体認証方式2010/6/9 高度情報化と社会生活 54

アカウント＝パスワード方式

最も普及している。

パスワードが漏れたらアウト。

パスワードが多くなってくると管理がとても大変である。→パスワード地獄

パスワードの再発行が手間

メールアドレスや確認フレーズなどで再発行をしているケースも多い。

※登録メールアドレスや再発行手順の確認をしておきましょう。


サイバー社会はパスワード社会

自分のパスワードの管理はきちんとやろう。

紙に書く、パソコンに覚えさせる。

パスワードの再発行方法も確認しておく。

→大半は登録メール宛のパスワードの再発行だ、メールアドレスの変更には細心の注意を払おう。

アドレスを変更しないメールをひとつ準備しておこう。（アンカーメール）2010/6/9 高度情報化と社会生活 56

パスワードの管理

ともかくキーボードに慣れること

登録間違、入力間違は極めて多い

日本語入力をしたまま、CapsLockをかけたままパスワードを登録してしまう。

侵入されやすいパスワード

並び数字、名前と同じ、アドレスと同じ

文字数が少ない

ブログの管理画面でもパスワード認証2010/6/9 高度情報化と社会生活 57

パスワードの問題

安易なパスワードにしている。

１２３４ password とか

数字のみ、単語、名前、簡単なキー入力

→大文字、数字、記号を組み合わせる。

パスワードをずっと変更しない。

定期的に変える。

パスワードの使い回し。

他のサービスとの共有。→これは危ない！


パスワードの初歩的な管理

１．頭で覚える。

２．指で覚える。 →多くなると無理。

３．紙に書いておく。→紛失、盗難。

４．パソコンに書いておく。→人に見られるおそれ。

→そもそも、パスワードは暗号化して保存をしておくべきもので、平文で保管するなどもっての外


Windowsのオートコンプリート

Windowsにアカウントやパスワードを記憶させる機能。

便利だが、そのパソコンを使う他の人にもパスワードがわかってしまう。

パソコンを変えたら使えない。

管理が難しい。

→共有パソコンでは要注意


Cookieの機能

サーバーが利用者を認証するためのデータを利用者のパソコンに送信して保持させる機能。

サイトを再訪問したときに、利用者を認証する機能。

偽造が簡単、セキュリティもないので、再訪問の確認程度に使われている。

共有端末ではCookieの機能を切っておく。2010/6/9 高度情報化と社会生活 61

パスワードをパソコンで管理

１．ブラウザに覚えてもらう。

→マスターパスワードを忘れると悲惨。

→パソコンが壊れたらアウト。

２．パスワード管理ソフトを使う。

無料でよいものがあまりない。

OSやブラウザで対応していないものがある。

Roboform 1PasswordPro LastPassなど。


ChromeにはLastPass

クラウド上にパスワードを保存するサービス。

ブラウザにいれれば、どこでも使える。

Chromeの機能拡張からインストール

メールアドレスとマスターパスワードを登録する。

あとはログインをするたびに自動保存をしてくれる。

破られにくいパスワードの発行機能もある。2010/6/9 高度情報化と社会生活 63

http://lastpass.com/

その他の認証システム

パスワードシステム

→ワンタイム・パスワードなどの新手法

バイオテック認証

指紋認証

サイバーサイン

網膜認証

→基本的には「なりすまし」への対策


ワンタイム・パスワード


http://www.e-obaq.com/bogus/archives/2006053.jpg

勝手に入ってはいけない

ネットを経由してパスワードを盗んで不正にコンピュータに侵入するのは犯罪です。

→不正アクセス防止法違反

昔は、入るだけで破壊行為をしなければ、よかったが、今は他人のパスワードを勝手に使ってログインをすると犯罪になります。


４．ファイアーウォールによる対策


不正な侵入への対策

自分のパソコンに他人が勝手にデータを

送り込める状態→不正侵入

データの改竄や消失など深刻な影響をもたらす。

データはとられなくても他の攻撃への「踏台」にされることもある。

基本的には防火壁（ファイアーウォール）が有効である。


ネットワークポリシー

どんな信号でも通過してよい。

→オープンネットとしてのインターネットの基本

逆に組織のネットワークはどのような考え方で運営されてもよいが、入口で出入りのチェックを行うのが通例。

その際のルールの基本的な考え方が「ポリシー」

→透過可能な信号と不能な信号の振り分け2010/6/9 高度情報化と社会生活 69

インターネットは公道


インターネット

LANLAN

セキュリティポリシー出入口でのチェックを行う。


ＬＡＮ

通過するルールを設定

インターネット

パソコンのファイアーウォール

WindowsXPsp2以降では標準装備

それ以外では共有するソフトは気をつける。

市販のファイアーウォールソフトもあるが、

かえって共有できない場合やインターネットに接続できなくなるケースもある。設定は慎重に、かつ知識が必要。

基本的にソフト・ファイアーウォールよりもハードウェアの「ルータ」の方をお薦めします。


ファイアーウォールの構成


ファイアーウォール

セキュアでないインターネット

非武装ゾーン

ファイアーウォール

ＬＡＮ

個人でもガードは必要

大切なデータがないので、ガードはしない。

ウィルス対策もしない。

パソコンが悪者に乗っ取られて踏み台にされる。

SPAMメールの大半が「ボット」化した個人のパソコンから送られている。

ボット（＝悪者に操られたロボットなパソコン）→インターネットの迷惑2010/6/9 高度情報化と社会生活 74

自宅のネットは誰が守るか？

会社ではネットワーク管理者がポリシーを設定してガードを固めている。

家庭や管理者のいない小規模オフィスは誰が守るのか？

通信事業者か？

たとえポリシーを設定しても不注意な利用者がウィルスやトロイのプログラムを不用意にダウンしたらセキュリティの意味は無い。2010/6/9 高度情報化と社会生活 75

５．暗号による対策

続きは来週やります。


暗号の話

インターネットで他人に信号が漏れないようにするにはデータを暗号化してやりとりをする。

暗号技術はこの２０年で急速に発達した技術である。

「インターネット」と「公開暗号鍵」の技術が文字通り「革命」をもたらした。



次回の講義予定

６月１６日

ネットと暗号Googleのサービス

6 9security2

Technology

Transcript of 6 9security2