Comments
Description
Transcript
スライド:PDF形式 - 大阪市立大学 学術情報総合センター
セキュリティ意識啓発講演会 OCUNETの情報セキュリティを 守るためのポイント 大阪市立大学 創造都市研究科/学術情報総合センター 中野秀男 [email protected] http://www.media.osaka-cu.ac.jp/~nakano/ March/17/2008 OCUNETの情報セキュリティを守る ためのポイント 今日の話 z z z z 情報時代 情報セキュリティとは セキュリティポリシー 情報通信倫理 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント 情報社会 z z 情報化社会から情報社会へ 社会インフラとしての情報システム { { z 普通の人が使いだした { いろいろな「普通」「ふつう」「フツウ」の人 仕事や生活に密着した情報システム:それぞれに脆弱性 インターネットの出現でオープンシステムに { { 技術の進展で多様性が { アクセス制御:例はホームページ セキュリティレベルに応じて { オープン、セミオープン、クローズド { インターネット、VPN、専用線 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント ユビキタス時代とセキュリティ z z 新しい道具の出現 携帯電話 { z ICカード { { z z z z SPAM、ワン切り、出会い系、不当料金請求 住基カード、バンクカード、交通カード 非接触カード、電子財布 デジタルテレビ 無線タグ センサーネットワーク時代へ(監視社会) ユビキタスからアンビエントへ March/17/2008 OCUNETの情報セキュリティを守る ためのポイント セキュリティは計れる z z z セキュリティに万全はない 強いセキュリティ、弱いセキュリティ 守る/破るのに必要なリソースの量 { z 例 { { { z 番号合わせの鍵 暗証番号(4桁) パスワード でもそれぞれに抜け道はある { z お金、時間、能力 知恵との戦い セキュリティは各論対応に→ { これからはプライバシーや個人情報保護、知的財産権 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント セキュリティいろいろ z z z オープンシステムの脆弱性 ハッカーではなくクラッカー:レベル1,2,3 増え続けるアタック { { { z z スパムメール、スパムの踏み台攻撃 ホームページの書き換え コンピュータ・ウィルス、スパイウェア、アドウェア 簡単になる攻撃、難しくなる防御 管理側がやるべきこと { { { { ウィルスチェック、スパムフィルター Tiger Team(外部監査チーム) IDS(侵入検知システム) Port Scan(不正、うっかりソフト検出) March/17/2008 OCUNETの情報セキュリティを守る ためのポイント ハッカーとクラッカー z ハッカーの解釈 { 良いハッカー { マスコミ z クラッカー { 1:雑誌や本を読んでちょっとやってみる人 { 2:TCP/IPやUNIXやWinを徹底理解した人 { 3:犯罪者 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント インターネットのセキュリティ z 攻められながら改善されている { 追跡出来ること、2度とやられないこと z z z セキュリティ x 利便性 = 技術力 x 運用力 守るツールと破るツールは表裏一体 SOHO、モバイル時代のセキュリティ技術 { ノート型PC、携帯電話 z ユビキタス時代のセキュリティ、プライバシ { ICカード、センサーネットワーク March/17/2008 OCUNETの情報セキュリティを守る ためのポイント セキュリティ対策は z 1.技術 まずは、出来るところまで { 管理者とユーザ { z 2.規則、法律 後追いだが、定まれば強力 { セキュリティポリシー { z 3.モラル、倫理、教育 { z 長い目で見れば、 保険 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント セキュリティポリシー z z z z z z 情報資産の分類:重要度、機器 対象範囲:人、物 組織・体制:管理体制、役割・責任 対策 違反者への対応 取り扱い:学内限定 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント セキュリティポリシー:対策 z z z z z z 学外への侵害の禁止 管理者 重要度:非公開、学内限定、公開 暗号化、盗聴防止、ウィルスチェック 機器や媒体の管理・処分 意識啓発 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント セキュリティ対策上の留意点 z z 情報公開制度及び個人情報保護との整合性 情報の性格に応じた機密性の考慮 { 重要度 z 技術進歩への対応 { 例:無線LAN z 実現性への配慮 { 予算、担当、能力 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント 物理的・人的セキュリティ z 物理的セキュリティ { サーバ { 管理区域 { ネットワーク { 端末 z 人的セキュリティ { 管理者等の役割・責任 { 教員、職員、学生の役割・責任 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント 技術的セキュリティ z コンピュータの管理 サーバ { 端末 { z z ネットワークの管理 OSやアプリケーションソフトのセキュリティホール { z z Tigerチーム、ポートスキャン ウィルス、スパムメール、スパイウェア、アドウェア 不正アクセス防止 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント 情報通信倫理 z z z z 情報技術者の職業倫理 初等/中等教育における情報モラル 情報モラルの分類 Webページ検索・電子メール受信 { 有害サイト、商品の購入、ねずみ講 { Phishing詐欺 { 出会い系サイト、SPAM、デマメール (Hoax) March/17/2008 OCUNETの情報セキュリティを守る ためのポイント 情報通信倫理(続) z Webページ作成 { 著作権 { プライバシー { 誹謗中傷 { 個人情報の流失 z 電子メールの発信 { たかがメール、されどメール March/17/2008 OCUNETの情報セキュリティを守る ためのポイント 情報通信倫理(続々) z セキュリティ { なりすまし { 不正アクセス { コンピュータウィルス z 人間関係や心身の健康 { 人間関係の希薄化 { 仮想現実問題 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント 情報フィルタリング z 有害情報に対して点数をつけてフィルタリ ングする { 有害情報:暴力、セックス、言葉など { 反社会的、違法、公序良俗に反する、要注 意 z 管理者の情報フィルタリング { 電子メールのチェック { IDS(不正進入検知システム) March/17/2008 OCUNETの情報セキュリティを守る ためのポイント 匿名性 z z z z z z 匿名性(anonymous) Anonymous FTP パソコン通信のハンドル名 誰でも取れるメールアドレス(Hotmail等) Open Proxy Server 匿名は悪か { 犯罪に使われる匿名性 { 人権を守るための匿名性 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント 著作権や肖像権の認識 z Webページによる知的所有権の侵害 { 複製権 { 公衆送信権 { 商標権 { キャラクターの使用 { 音楽や映像 March/17/2008 OCUNETの情報セキュリティを守る ためのポイント