セキュリティと知的所有権

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download セキュリティと知的所有権

Transcript

セキュリティと知的所有権

インターネット
情報処理
情報セキュリティと
知的所有権
The Internet
亀山幸義
[email protected]
http://www.is.tsukuba.ac.jp/~kam
情報セキュリティ
l
セキュリティ security
– 安全性、安心感、保安、…
l
情報セキュリティ
l
前提
– 情報に関する安全性
セキュリティへの脅威
侵入
盗聴
l 改ざん、なりすまし
l 破壊
l
l
– （ある種の）情報は守る価値がある
e.g. オンラインでの商取引
– 手段を講じなければ守れない
l
l
l
ウィルス、ワーム
DoS攻撃
ここでは、主としてインターネット上の情報セキュ
リティを取り上げる
侵入、盗聴等
l
侵入
– 利用資格のない者（あるいは、ソフトウェア）がコン
ウィルス、ワーム
l
l
ることもある
– ウィルス：コンピュータへ侵入して、ファイルを消去した
盗聴
りシステムを停止させる等の害を及ぼすもの
– 通信路上において第三者(送信者でも受信者でもない
– ワーム：コンピュータへの侵入はするがそれ以外の害
者）が情報を見ること
は及ぼさないもの
– インターネットはそもそも盗聴のことを考えて設計され
– 通常は、特定のコンピュータをターゲットとしたもので
ていない！
l
改ざん、なりすまし
– 情報を一部変更して嘘の情報を流したり、他人になり
すましてその人の権限で行うべき行為をおこなうこと。
l
破壊
– 情報、情報システムを破壊すること
言葉
– 総称して「ウィルス」と呼ばれることが多いが、区別す
ピュータに忍び込むこと
– 盗聴、改ざん、破壊などを伴うことが多い
はなく、不特定多数のシステムを狙う（愉快犯）
l
原因
– ソフトウェアの虫(バグ）に乗じる
– 電子メイルやWWWを使って、受取人自身にプログラ
ムを実行させる（トロイの木馬）
– １か所に侵入したら、そこを拠点に次々と伝染する。
1
DoS攻撃
DoS
攻撃
l
セキュリティ問題の影響
Denial of Service
l
– １つ１つの通信は正規のものであるが、それら
経済的損失
– 電子商取引において致命的
を短時間に大量に発生させて、サービスを機
能停止させてしまうもの
– 例：インターネット上のいろいろなコンピュータ
から、特定のサーバへのアクセスを短時間に
大量に発生させる
– 例：大量のメイルを送りつける
– 企業秘密の漏洩
l
社会的損失
– たった１人の愉快犯のために数千万人が多大
な時間と手間を費やす。最悪の場合、インター
ネットを利用できなくなる
– インターネット社会への悪い先入観をうむ
セキュリティ対策
個人レベルでの対策
l
心構え１
– インターネットは若い
– もともと「性善説」に立って設計されていた
– 長い年月をかけた安全対策がない
個人レベルでの対策
l セキュリティのための技術
l
l
心構え２
– セキュリティに「絶対」はない
– 絶対に大丈夫な金庫はない
– いくら頑丈な扉でも鍵をかけない人間がいれば。。。
l
自分にとってのセキュリティ対策を身につける
必要がある
– 重要な情報をもっている人とそうでない人が同じ対
策を取る必要はない
– 便利さと安全はしばしば相反する
個人レベルでの対策
l
自分のセキュリティモデルを持つ
個人レベルでの対策（ウィルス）
l
– 添付ファイルにプログラムを含むもの（マクロウィ
– 自分の持つ情報の「大事さ」に応じて、適切
ルス）
な管理形態を選択する
l
ウイルスの侵入経路を知る
– web page をクリックするとプログラムを実行する
例
もの
– free software （トロイの木馬）
– 本当に大事な情報はインターネットから切り
離す(e.g.クレジットカード番号）
l
– ほどほどに大事な情報：パスワードを頻繁に
更新、防火壁等で守られている場所に置く
– 危ない場所の情報：インターネット経由で暗
号化せずにアクセスするもの
– 公開してよいデータ：改ざん対策のみ
それぞれに対策を取る
– プログラムを添付ファイルで送ることは稀なので、
全く実行しない設定にするのがよい
– web page でもプログラムの実行はなるべく避ける
（しかし、web page が楽しくなくなる。。。）
l
新しい情報に敏感になる
– OSなどのバグに起因するセキュリティ破り
2
個人レベルでの対策
バックアップ
l
それでも侵入されてしまう可能性がある
個人レベルでの対策
個人情報
l
– 氏名、住所、電話番号、家族など、個人を特定され
い限り(専門家でも）全ては把握できない
– 少しはプログラムを実行したい
– インターネットに公開してはいけない
てしまう恐れのある情報すべて
l
l
個人情報
– 自分の使っているシステムのバグは、専門家でもな
２次的な対策
買い物などで個人情報を入力するときは十分に
注意すること
–
–
–
–
– いつも複数のシステムを使えるようにしておく
– データの定期的バックアップを取る
きちんとした会社の運営しているサーバか？
暗号化されているか？（SSL)
どういう理由で個人情報を必要としているのか？
入力するのは必要最低限の情報にすること
セキュリティのための技術
暗号の原理
暗号化、復号化は「鍵」があれば容易
鍵を持っていなければ、非常に時間がかかる
(しかし時間さえかければ解読可能）
暗号系
l 情報システムとしての対策
l
送信者情報
暗号化
暗号化データ
通信、処理
復号化
受信者
情報
暗号の原理
l
鍵の持ち方
– 共有鍵暗号
l 送信者と受信者の対ごとに異なる鍵が必要
– 公開鍵暗号
l 通信相手によらず、「自分の鍵」を持つことができ
る
l 自分の鍵には、公開鍵と秘密鍵がある
– 秘密鍵（他人に見せてはいけない）
– 公開鍵（誰に見せても良い）
l
公開鍵と秘密鍵は、どちらを暗号化に使ってもよい。
暗号化に使っていない方の鍵で復号化できる。
暗号化データ
公開鍵暗号
l
仕組み
– Aさんに情報を送りたい人は誰でも、Aさんの公
開鍵を用いて暗号化した情報を送ればよい（A
さんの秘密鍵を使ってのみ、復号化できる）
– 情報の改ざんを防ぐ為には、署名をつければよ
い（Bさんの秘密鍵をつかって暗号化したデー
タを添えれば、誰でもBさんの公開鍵を使って
復号化できるが、そのデータを作成することは
Bさんにしかできない）
3
インターネットにおける暗号
l
前提：
インターネットにおける暗号
l
– インターネット上の通信は暗号化されていない！
– インターネットサービスごとに暗号化する必要がある
l
WWWアクセス
l
電子メイルの読み込み
l
遠隔ログイン
– SSL https://www…..
– APOP Authentication つきのPOP
暗号化されていない主なもの
– 電子メイルの転送(郵便局間の転送）
l 秘密を要する電子メイルの場合は、自分で暗号化す
る必要がある(相手側が復号化できなければいけな
い）
– 電子掲示板やネットニュースへの投稿
– ファイル転送（webページのアップロードなど）
– 普通の手順による遠隔ログイン（telnet,
rlogin)
– SSH 暗号化された遠隔ログイン
– etc.
完璧な暗号は存在しない
l
防火壁（ファイアウォール）
原理的な問題
– 復号化は、鍵がなければ絶対不可能なのではなく、現
在知られている計算方法では時間がかかる、という事
l
l
l
優れた計算方法が発見される可能性がある
コンピュータの性能が上昇すれば短時間で破られる
大事な部屋への出入り口を限定して、
そこに扉をつけ、見張り番を置く
– 鍵の長さを長くすれば復号化の時間は長くなるが、暗
号化も大変になる、という trade-off がある
l
サーバ
人間やシステムの問題
Internet
– 暗号化、復号化の計算をしているコンピュータ自体が
Intranet
侵入されていないか？
防火壁
– 人間が秘密鍵を完璧に保持できるか？
– 他の見破られやすいシステムにおける鍵と共通にして
いないか？
サーバ
cf 顔や指紋による認証システム
通信の記録
l
l
通信の記録や、コンピュータの利用の
記録をつけておけば、セキュリティ上
の問題が発生した時に追跡が可能にな
る
一方で、プライバシの問題も生じる
知的所有権
l
知的所有権とは
– 著作権、特許、商標など
– 法律で保護される権利 (しかし、法律は国に
よって異なる）
l
対象となるもの(日本の場合）
– 小説、音楽、絵画、写真、等々
– ソフトウェア(プログラム）は著作物か？
– アルゴリズムは特許の対象か？
– ビジネスモデルは特許の対象か？
4
知的所有権とインターネット
l
– 絵画は複製が比較的困難
– ディジタル化されたデータは複製が容易
l
インターネットはその特徴に拍車をかけた
– 一人のユーザが公開しただけで、世界中の人がその
データを入手できてしまう
l
知的所有権を守るためには。。。
(純粋な）情報は複製が容易
l
そもそも守るべきか？
l
守るとしたら。。。
– おそらく YES
– 法的な規制
l
著作権法、特許法、、、
– 経済面からの解決方法（？）
Napster裁判
– 音楽データをインターネット上で公開(不特定多数が
共有）
– 裁判の結果、Napsterは利用料を著作権者に支払うこ
とになった
– しかし、第2、第３のNapsterが登場している。。。
l
音楽用CD-Rメディアの料金に上乗せして、音楽著作権者の
協会に支払う
– 技術の側からのアプローチ
l
暗号化
l
電子透かし
– 鍵を持っている人だけが利用できる
– 絵などに、人間が気づかない範囲で情報を埋め込む
まとめ
インターネットはセキュリティに関し
て極めて脆弱
l 情報を守るべき度合いに応じたセキュ
リティ対策を、ユーザ自ら講じる必要
がある
l 暗号系はセキュリティと知的所有権を
守るための要となる技術。ただし、暗
号系だけでは目的を達成できない
l
5