1
情報セキュリティ読本
情報セキュリティ読本 ‒ プレゼンテーション資料 -
情報セキュリティ読本- IT時代の危機管理入門 -
プレゼンテーション資料
(第5章 もっと知りたいセキュリティ技術)
2情報セキュリティ読本 ‒ プレゼンテーション資料 -
第5章 もっと知りたいセキュリティ技術
1. アカウント、ID、パスワード
2. ポートと脆弱性
3. ファイアウォール
4. 暗号とディジタル署名
3情報セキュリティ読本 ‒ プレゼンテーション資料 -
1. アカウント、ID、パスワード
1) パスワードの重要性2) パスワードクラッキング3) パスワードを保護するための対策4) さまざまな認証方式
第5章
4情報セキュリティ読本 ‒ プレゼンテーション資料 -
1) パスワードの重要性
• ID: ユーザが誰であるかを識別• パスワード: 本人であることを確認• 大原則「パスワードは本人しか知らない」
• パスワードが漏えいした瞬間から、システムやネットワークが脅威にさらされる
• パスワードは、ユーザが思っている以上に重要なもの
第5章 > 1. アカウント、ID、パスワード
5情報セキュリティ読本 ‒ プレゼンテーション資料 -
2) パスワードクラッキング
• パスワードクラッキングの種類
– 本人から入手(ソーシャルエンジニアリング)
– パスワードを推測
– パスワードファイルを解析する(不正なツールを使用)• 辞書攻撃 、ブルートフォース攻撃など
⇔用語集p.125(辞書攻撃)、p.130 (ブルートフォース) 参照
– 盗聴する
第5章 > 1. アカウント、ID、パスワード
6情報セキュリティ読本 ‒ プレゼンテーション資料 -
3) パスワードを保護するための対策
• 強度が高い(推測しにくい)パスワードを使用する
– 長くする、生年月日・電話番号・愛称などは避ける
– 大文字・小文字・数字・記号を組み合わせる
• 定期的にパスワードを変更する
– 初期パスワードをそのまま使わない
• 絶対に人に教えない
– 管理者などから問われることはない
– アカウントの貸し借りはしない
第5章 > 1. アカウント、ID、パスワード
例:パスフレーズによる設計(好きなフレーズをもとに変換)
パスフレーズ「JINSEI IROIRO」 パスワード 「J#NS2R&R」
母音を抜き記号や数字を挿入
7情報セキュリティ読本 ‒ プレゼンテーション資料 -
4) さまざまな認証方式
• 本人しか知らない情報を入力
– パスワード
• 本人固有の持ち物を使用– トークン(ワンタイムパスワード生成装置)
– スマートカード等
• 本人の身体的特徴で識別
– バイオメトリック認証(指紋など)
第5章 > 1. アカウント、ID、パスワード
⇔用語集p.132(ワンタイムパスワード)、p.126 (スマートカード)p.128(バイオメトリック認証)参照
8情報セキュリティ読本 ‒ プレゼンテーション資料 -
2. ポートと脆弱性 (1)
• ポート(80番、25番、110番等)– インターネットで特定のサービスを通信させるための識別番号
• プロトコル(HTTP、SMTP、POP3等)– サービスを提供するための約束ごと
• 例:– WWWプロトコル(HTTP)→ポート80番– メール送信プロトコル(SMTP)→ポート25番– メール受信プロトコル(POP3)→ポート110番
第5章
9情報セキュリティ読本 ‒ プレゼンテーション資料 -
2. ポートと脆弱性 (2)第5章
ポートとプロトコル
10情報セキュリティ読本 ‒ プレゼンテーション資料 -
2. ポートと脆弱性 (3)
• ポートが開いていると・・・
– 提供しているサービスがわかる
– 開いているポートを悪用して侵入・攻撃
– 脆弱性があると、さまざまな被害を受ける(ウイルス感染、操作権限の奪取、DoS攻撃を仕掛けるプログラムの埋め込みなど)
対策:
• 使わないポートは閉じる
• パッチを適用し脆弱性をふさぐ
第5章
11情報セキュリティ読本 ‒ プレゼンテーション資料 -
3. ファイアウォール
1) ファイアウォールとは?2) ファイアウォールの構成3) パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス
4) ネットワークアドレス変換技術(NAT)5) DMZ6) ファイアウォールの落とし穴7) パーソナルファイアウォール
第5章
12情報セキュリティ読本 ‒ プレゼンテーション資料 -
1) ファイアウォールとは?
• インターネットと内部ネットワーク(LAN)の境界線上で、アクセス制御を行う装置
【ファイアウォールの主な機能】
– 外部との出入口を絞る
– 内部ネットワーク(LAN)の構造を外部に見せない– 外部からの不正なアクセスを排除
– 必要なアクセスだけを通過させる
第5章 > 3. ファイアウォール
13情報セキュリティ読本 ‒ プレゼンテーション資料 -
2) ファイアウォールの構成基本的なファイアウォールの構成
第5章 > 3. ファイアウォール
14情報セキュリティ読本 ‒ プレゼンテーション資料 -
3) パケットフィルタリング
パケットの情報に基づいて、通過させるパケットと通過させないパケットを選別。通常は「通過を許可するパケットだけを指定」。
第5章 > 3. ファイアウォール > 3)パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス
15情報セキュリティ読本 ‒ プレゼンテーション資料 -
3) アプリケーションゲートウェイ
第5章 > 3. ファイアウォール > 3)パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス
• アプリケーションプロトコルに基づいてアクセスを制御する–例: HTTP(Webアクセス)、FTP(ファイル転送)、
POP(メール受信)、SMTP(メール送信)など• アプリケーションプロトコルごとに許可/禁止を制御可能
16情報セキュリティ読本 ‒ プレゼンテーション資料 -
3) プライベートアドレスの割り当て
第5章 > 3. ファイアウォール > 3) パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス
• グローバルアドレス–インターネットに接続する各機器に一意に割り当てられたIPアドレス
• プライベートアドレス–組織や会社内の閉じられた空間で独自に割り当てられたIPアドレス
–そのままではインターネットにアクセスできない–外部からアクセスされない利点もある
17情報セキュリティ読本 ‒ プレゼンテーション資料 -
4) ネットワークアドレス変換技術(NAT) (1)
• 内部のプライベートアドレスをグローバルアドレスに変換し、インターネットへのアクセスを可能にする技術
• 利点
– 限られたグローバルアドレスの有効活用
– 内部情報を隠す
– 外部からの不正アクセスを防ぐ
第5章 > 3. ファイアウォール
18情報セキュリティ読本 ‒ プレゼンテーション資料 -
4) ネットワークアドレス変換技術(NAT) (2)第5章 > 3. ファイアウォール
ネットワークアドレス変換(NAT:Network Address Translation)
19情報セキュリティ読本 ‒ プレゼンテーション資料 -
5) DMZ (DeMilitarized Zone:非武装地帯)
外部のインターネットと内部のLANの間に緩衝地帯を設け、公開サーバを設置
第5章 > 3. ファイアウォール
20情報セキュリティ読本 ‒ プレゼンテーション資料 -
6) ファイアウォールの落とし穴
• ファイアウォールも万全ではない– 例: DoS攻撃やウイルスは防げないこともある
• 過信せずにあらゆるセキュリティ対策を行うことが肝要
第5章 > 3. ファイアウォール
21情報セキュリティ読本 ‒ プレゼンテーション資料 -
7) パーソナルファイアウォール(1)第5章 > 3. ファイアウォール
• インターネットに常時接続する個人ユーザに効果的
• さまざまな製品が発売されている–ウイルス対策ソフトウェアと組合せたもの等
• Windows XPの簡易ファイアウォール機能
22情報セキュリティ読本 ‒ プレゼンテーション資料 -
7) パーソナルファイアウォール(2)第5章 > 3. ファイアウォール
攻撃や不正なアクセスを制限
通常利用
自分が攻撃してしまう場合
侵入者
インターネット
パーソナルファイアウォール
利用者
23情報セキュリティ読本 ‒ プレゼンテーション資料 -
4. 暗号とディジタル署名
1) 暗号技術とは2) ディジタル署名とは3) 認証局とは4) 身近に使われている暗号技術
第5章
24情報セキュリティ読本 ‒ プレゼンテーション資料 -
1) 暗号技術とは
• 暗号化、復号、鍵
• 共通鍵暗号方式
• 公開鍵暗号方式
• 共通鍵方式と公開鍵方式の組み合わせ
(ハイブリッド暗号方式)
第5章 > 4. 暗号とディジタル署名
25情報セキュリティ読本 ‒ プレゼンテーション資料 -
暗号化、復号、鍵 (1)
• 暗号化: 特定の法則に基づいてデータを変換し、第三者に内容を知られないようにすること
• 暗号化、復号、平文、暗号文、アルゴリズム、鍵などの用語を理解したい
• 共通鍵暗号方式と公開鍵暗号方式の2つが使用されている
第5章 > 4. 暗号とディジタル署名 > 1)暗号技術とは
⇔用語集p.129(復号)
26情報セキュリティ読本 ‒ プレゼンテーション資料 -
暗号化、復号、鍵 (2)第5章 > 4. 暗号とディジタル署名 > 1)暗号技術とは
例
ひらがな(あいうえお・・・)の各文字を3文字後ろにずらす
あした えそて
暗号化
復号平文 暗号文
3文字後ろにずらす
アルゴリズム
鍵
27情報セキュリティ読本 ‒ プレゼンテーション資料 -
共通鍵暗号方式
• 共通鍵暗号方式– 暗号化と復号(元の状態に戻すこと)に「同じ鍵」を使用する
– 同じ鍵=共通鍵
第5章 > 4. 暗号化とディジタル署名 > 1)暗号技術とは
例: DES、トリプルDES、AES、MISTY1、Camellia など
Password is AAA
Y/K0pQn]*+1?..
A さん
B さん
暗号化
Y/K0pQn]*+1?..
Password is AAA
復号
同じ鍵を使用=共通鍵
Password is AAAPassword is AAA
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
A さん
B さん
暗号化
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
Password is AAAPassword is AAA
復号
同じ鍵を使用=共通鍵
⇔用語集p.120(DES)、p.127 (トリプルDES)、p.120(AES)p.121(MISTY1)、p.120 (Camellia)参照
28情報セキュリティ読本 ‒ プレゼンテーション資料 -
公開鍵暗号方式 (1)
• 秘密鍵と公開鍵の2本の鍵(ペア)を使用• 公開鍵を使用して暗号化し、秘密鍵で復号する
• 「公開鍵と対になっている秘密鍵を使用しないと復号できない」ことがポイント↓その秘密鍵を持つ人だけが復号可能
第5章 > 4. 暗号化とディジタル署名> 1)暗号技術とは
29情報セキュリティ読本 ‒ プレゼンテーション資料 -
公開鍵暗号方式 (2)第5章 > 4. 暗号化とディジタル署名> 1)暗号技術とは
秘密鍵と公開鍵
Password is BBB12345
iID?Y2cO4/VD2=Yx4o..
Password is BBB12345
D1pr5/GG?tYjTb$a4Kv..
公開鍵で暗号化
秘密鍵だけで復号可能
秘密鍵で暗号化
公開鍵だけで復号可能
公開鍵秘密鍵
秘密鍵と公開鍵のペア(他のどの鍵ともマッチングしない一意のペア)
Password is BBB12345
iID?Y2cO4/VD2=Yx4o..
Password is BBB12345
D1pr5/GG?tYjTb$a4Kv..
公開鍵で暗号化
秘密鍵だけで復号可能
秘密鍵で暗号化
公開鍵だけで復号可能
公開鍵秘密鍵
秘密鍵と公開鍵のペア(他のどの鍵ともマッチングしない一意のペア)
30情報セキュリティ読本 ‒ プレゼンテーション資料 -
公開鍵暗号方式 (3)第5章 > 4. 暗号化とディジタル署名 > 1)暗号技術とは
公開鍵暗号方式による通信
例: RSA、Diffe-Hellmanなど(一般的にRSA)が使用される
B さん
A さん
Password is AAA
Y/K0pQn]*+1?..
B さん
暗号化
A さん
Y/K0pQn]*+1?..
Password is AAA
復号
秘密鍵と公開鍵を作成し、公開鍵を送信
公開鍵を受け取る 公開鍵を使用して暗号化し、送信
秘密鍵を使用して復号する
B さん
A さん
Password is AAAPassword is AAA
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
B さん
暗号化
A さん
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
Password is AAAPassword is AAA
復号
秘密鍵と公開鍵を作成し、公開鍵を送信
公開鍵を受け取る 公開鍵を使用して暗号化し、送信
秘密鍵を使用して復号する
31情報セキュリティ読本 ‒ プレゼンテーション資料 -
共通鍵方式と公開鍵方式の組み合わせ
• 共通鍵暗号方式
– 最初の鍵の受け渡しが弱点
• 公開鍵暗号方式
– 暗号化と復号に時間がかかる
• 2つを組み合わせることで弱点を克服– 最初に公開鍵暗号方式で共通鍵を送り、以降は共通鍵で暗号化/復号
第5章 > 4. 暗号化とディジタル署名 > 1)暗号技術とは
32情報セキュリティ読本 ‒ プレゼンテーション資料 -
2) ディジタル署名
• 送信者が本人であり、送信内容が改ざんされていないことを証明する仕組み
• 公開鍵暗号方式に基づいて本人を識別
– 公開鍵で復号できる → 対応する秘密鍵を持つ本人から送られたことが証明される
• ハッシュ関数によるメッセージダイジェストで改ざんを検証
第5章 > 4. 暗号化とディジタル署名
33情報セキュリティ読本 ‒ プレゼンテーション資料 -
認証機関
ユーザ
ユーザ
公開鍵、その他の情報
公開鍵、その他の情報公開鍵証明書
公開鍵証明書
3) 認証局とは (1)第5章 > 4. 暗号化とディジタル署名
• 公開鍵暗号方式は優れた仕組みだが、なりすましを防げない
• 第三の機関を設け、公開鍵の正当性を証明する=認証局
34情報セキュリティ読本 ‒ プレゼンテーション資料 -
3) 認証局とは (2)第5章 > 4. 暗号化とディジタル署名
公開鍵証明書の利用
B さん
B さん
Password is AAA
Y/K0pQn]*+1?..
A さん
暗号化A さん
Y/K0pQn]*+1?..
Password is AAA
復号
公開鍵証明書を取得し、送信
秘密鍵を使用して復号する 公開鍵を使用して暗号化し、送信
認証機関の公開鍵を使用して確認の上、公開鍵を取り出す
B さん
B さん
Password is AAAPassword is AAA
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
A さん
暗号化A さん
Y/K0pQn]*+1?..Y/K0pQn]*+1?..
Password is AAAPassword is AAA
復号
公開鍵証明書を取得し、送信
秘密鍵を使用して復号する 公開鍵を使用して暗号化し、送信
認証機関の公開鍵を使用して確認の上、公開鍵を取り出す
35情報セキュリティ読本 ‒ プレゼンテーション資料 -
4) 身近に使われている暗号技術
• WWWでの暗号化• 暗号化メール
– PGP– S/MIME
• 携帯電話やICカードで利用される暗号技術
第5章 > 4. 暗号とディジタル署名
36情報セキュリティ読本 ‒ プレゼンテーション資料 -
• HTTPプロトコルではデータが暗号化されずそのまま流れる
– 盗聴などデータ漏えいの危険性
• データを暗号化して送受信=SSL• SSLでの通信は
Webブラウザで確認できる
WWWでの暗号化(SSL)第5章 > 4. 暗号化とディジタル署名 > 4)身近に使われている暗号技術
37情報セキュリティ読本 ‒ プレゼンテーション資料 -
暗号化メール
• 暗号化メールにより、電子メールの安全性が高まる
– 盗聴の防止
– 改ざんの検証
– なりすましの防止
• 幅広く使用されている方式– PGP– S/MIME
第5章 > 4. 暗号化とディジタル署名 > 4)身近に使われている暗号技術
38情報セキュリティ読本 ‒ プレゼンテーション資料 -
携帯電話やICカードで利用される暗号技術
• SSL対応のWWWサーバへアクセスできる携帯電話
– 高度な暗号技術を使用したWWWサーバの認証やディジタル署名の利用が可能
– セキュリティ面での信頼性が向上
• ICカード– 暗号鍵を搭載できるので安全性が高い
– クレジットカード、住民基本台帳カードなど
第5章 > 4. 暗号化とディジタル署名 > 4)身近に使われている暗号技術
39情報セキュリティ読本 ‒ プレゼンテーション資料 -
本資料の利用条件
1. 著作権は独立行政法人情報処理推進機構に帰属します。著作物として著作権法により保護されております。
2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。
3. 営利目的の使用はご遠慮下さい。
4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。
5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。なお、参考までに、 [email protected] まで以下をお知らせ下さい。・使用する方もしくは組織の名称・使用目的・教育への参加人数
7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。