スライド:PDF形式 - 大阪市立大学 学術情報総合センター

セキュリティ意識啓発講演会
OCUNETの情報セキュリティを
守るためのポイント
大阪市立大学
創造都市研究科/学術情報総合センター
中野秀男
nakano@media.osaka-cu.ac.jp
http://www.media.osaka-cu.ac.jp/~nakano/
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
今日の話
z
z
z
z
情報時代
情報セキュリティとは
セキュリティポリシー
情報通信倫理
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
情報社会
z
z
情報化社会から情報社会へ
社会インフラとしての情報システム
{
{
z
普通の人が使いだした
{ いろいろな「普通」「ふつう」「フツウ」の人
仕事や生活に密着した情報システム:それぞれに脆弱性
インターネットの出現でオープンシステムに
{
{
技術の進展で多様性が
{ アクセス制御:例はホームページ
セキュリティレベルに応じて
{ オープン、セミオープン、クローズド
{ インターネット、VPN、専用線
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
ユビキタス時代とセキュリティ
z
z
新しい道具の出現
携帯電話
{
z
ICカード
{
{
z
z
z
z
SPAM、ワン切り、出会い系、不当料金請求
住基カード、バンクカード、交通カード
非接触カード、電子財布
デジタルテレビ
無線タグ
センサーネットワーク時代へ(監視社会)
ユビキタスからアンビエントへ
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
セキュリティは計れる
z
z
z
セキュリティに万全はない
強いセキュリティ、弱いセキュリティ
守る/破るのに必要なリソースの量
{
z
例
{
{
{
z
番号合わせの鍵
暗証番号(4桁)
パスワード
でもそれぞれに抜け道はある
{
z
お金、時間、能力
知恵との戦い
セキュリティは各論対応に→
{
これからはプライバシーや個人情報保護、知的財産権
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
セキュリティいろいろ
z
z
z
オープンシステムの脆弱性
ハッカーではなくクラッカー:レベル1,2,3
増え続けるアタック
{
{
{
z
z
スパムメール、スパムの踏み台攻撃
ホームページの書き換え
コンピュータ・ウィルス、スパイウェア、アドウェア
簡単になる攻撃、難しくなる防御
管理側がやるべきこと
{
{
{
{
ウィルスチェック、スパムフィルター
Tiger Team(外部監査チーム)
IDS(侵入検知システム)
Port Scan(不正、うっかりソフト検出)
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
ハッカーとクラッカー
z
ハッカーの解釈
{ 良いハッカー
{ マスコミ
z
クラッカー
{ 1:雑誌や本を読んでちょっとやってみる人
{ 2:TCP/IPやUNIXやWinを徹底理解した人
{ 3:犯罪者
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
インターネットのセキュリティ
z
攻められながら改善されている
{ 追跡出来ること、2度とやられないこと
z
z
z
セキュリティ x 利便性 = 技術力 x 運用力
守るツールと破るツールは表裏一体
SOHO、モバイル時代のセキュリティ技術
{ ノート型PC、携帯電話
z
ユビキタス時代のセキュリティ、プライバシ
{ ICカード、センサーネットワーク
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
セキュリティ対策は
z
1.技術
まずは、出来るところまで
{ 管理者とユーザ
{
z
2.規則、法律
後追いだが、定まれば強力
{ セキュリティポリシー
{
z
3.モラル、倫理、教育
{
z
長い目で見れば、
保険
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
セキュリティポリシー
z
z
z
z
z
z
情報資産の分類:重要度、機器
対象範囲:人、物
組織・体制:管理体制、役割・責任
対策
違反者への対応
取り扱い:学内限定
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
セキュリティポリシー:対策
z
z
z
z
z
z
学外への侵害の禁止
管理者
重要度:非公開、学内限定、公開
暗号化、盗聴防止、ウィルスチェック
機器や媒体の管理・処分
意識啓発
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
セキュリティ対策上の留意点
z
z
情報公開制度及び個人情報保護との整合性
情報の性格に応じた機密性の考慮
{ 重要度
z
技術進歩への対応
{ 例:無線LAN
z
実現性への配慮
{ 予算、担当、能力
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
物理的・人的セキュリティ
z
物理的セキュリティ
{ サーバ
{ 管理区域
{ ネットワーク
{ 端末
z
人的セキュリティ
{ 管理者等の役割・責任
{ 教員、職員、学生の役割・責任
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
技術的セキュリティ
z
コンピュータの管理
サーバ
{ 端末
{
z
z
ネットワークの管理
OSやアプリケーションソフトのセキュリティホール
{
z
z
Tigerチーム、ポートスキャン
ウィルス、スパムメール、スパイウェア、アドウェア
不正アクセス防止
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
情報通信倫理
z
z
z
z
情報技術者の職業倫理
初等/中等教育における情報モラル
情報モラルの分類
Webページ検索・電子メール受信
{ 有害サイト、商品の購入、ねずみ講
{ Phishing詐欺
{ 出会い系サイト、SPAM、デマメール
(Hoax)
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
情報通信倫理(続)
z
Webページ作成
{ 著作権
{ プライバシー
{ 誹謗中傷
{ 個人情報の流失
z
電子メールの発信
{ たかがメール、されどメール
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
情報通信倫理(続々)
z
セキュリティ
{ なりすまし
{ 不正アクセス
{ コンピュータウィルス
z
人間関係や心身の健康
{ 人間関係の希薄化
{ 仮想現実問題
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
情報フィルタリング
z
有害情報に対して点数をつけてフィルタリ
ングする
{ 有害情報:暴力、セックス、言葉など
{ 反社会的、違法、公序良俗に反する、要注
意
z
管理者の情報フィルタリング
{ 電子メールのチェック
{ IDS(不正進入検知システム)
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
匿名性
z
z
z
z
z
z
匿名性(anonymous)
Anonymous FTP
パソコン通信のハンドル名
誰でも取れるメールアドレス(Hotmail等)
Open Proxy Server
匿名は悪か
{ 犯罪に使われる匿名性
{ 人権を守るための匿名性
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント
著作権や肖像権の認識
z
Webページによる知的所有権の侵害
{ 複製権
{ 公衆送信権
{ 商標権
{ キャラクターの使用
{ 音楽や映像
March/17/2008
OCUNETの情報セキュリティを守る
ためのポイント