| ■インターネットの光と影 |
 |
|
□「光」の部分
|
|
|
○日本全体でのインターネットの利用者は6900万人(全人口の54.5%)、利用者数では米国に次いで世界第2位、利用率では世界第10位。
|
|
○インターネットはどんどん便利になっている。その使い方も、単なる情報交換の手段から拡大し、社会的にインターネットを活用する場面が増えてきている(電子入札、電子申請、オンラインショッピングなど)
|
|
|
□「影」の部分
|
|
|
○インターネットを利用した不正・犯罪
チラシ配りよりも、より効率的に多くの人にクレームや誹謗中傷を撒き散らすことができるなど、インターネットが出てくることでよりクリティカルになってきている。(例:覚えのない支払い請求のメール、これに対してはまったく支払う必要はない)
|
|
○基盤への攻撃
・ウィルスの被害の拡大(FBIのような組織であっても)
・サイトの改ざん(ちょっとの知識でもできてしまう)
・ID・パスワードの不正取得によるお金の引き出し
・個人情報が入っているパソコンの盗難など。
|
|
|
□セキュリティの対象となるもの
|
|
|
○一般的にセキュリティの対象となるのは「基盤への攻撃」。災害など偶発的なものもあるが、それよりも意図的なものを最近では「セキュリティの脅威」と呼んでいる。
|
|
○「基盤への攻撃」が重要となる背景
・参加者の匿名性、多様な利用者(世界で約5億人、中にはテロリストやカルト集団も)
・多様なネットワークによる構成(中継するサーバから情報ののぞき見ができる)
・インターネットと企業内ネットワークの連携(重要なデータベースへのアクセスも)
・商取引への適用の進展
|
|
| ■セキュリティの脅威 |
|
|
|
□脅威の内容
|
|
|
○近年どんどん増えており、特にウィルスや侵入による被害が増えてきている。第3者による脅威(「情報のCIA」)には以下のものがある。
1)機密性(Confidentiality)の喪失:情報ののぞき見
2)完全性(Integrity)の喪失:情報の破壊・改ざん
3)可用性(Availability):みんなが利用できなくする
|
|
|
□完全性の喪失の事例
|
|
|
○アメリカの某銀行がロシアのクラッカーによって預金額を変更され、不正送金をさせられた(銀行の制御ネットワークの情報を改ざんした)
|
|
○下水処理システムの制御システムを変更、未処理の下水を海に放流させ、海洋生物が多く死んだ(信号・鉄道・飛行機などへのクラッキングやサイバーテロは、可能性としてはあり得る)
|
|
|
□攻撃者の種類
|
|
|
1)部外者(50%):クラッカー(スクリプトキッド)、スパイ、テロリスト、犯罪者
2)部内者(50%):従業員、アルバイトなど
|
|
|
□攻撃の内容
|
|
|
1)直接的攻撃:不正アクセスにより、ネットワークやファイル内のデータを攻撃
2)間接的攻撃:ソフトウェアをコンピュータにインストールさせて攻撃(ウィルスなど)
|
|
| ■セキュリティ対策の概要 |
|
|
|
□攻撃に対する主要な対策
|
|
|
○セキュリティ対策は、「家の周りの塀」と一緒。よく言われるウィルス対策やパソコン自体の盗難のほか、以下のことにも気をつける。
1)アクセス管理:ファイアウォールの設置
2)アクセス制御:パスワード管理、ユーザ認証
|
|
|
□ユーザ認証の技術
|
|
|
○以下のような技術を、目的に応じて組み合わせることで認証が強化される。
1)本人の知識を利用する
2)磁気カード(ICカード)を利用する
3)身体的特徴(指紋や光彩など)を利用する
|
|
|
□パスワード管理の技術
|
|
|
○学生を同数に分け、任意のパスワードをつくってもらい、これを割り出す実験を行った。事前にレクチャーを受けていない人(3人)は、受けた人(1人)よりパスワードが簡単に見破られた。
|
|
○「8文字以上にする」「英数字だけでなく、特殊記号を使う」、「0を()にする」などで、強いパスワードにすることができる。頻繁にパスワードを変えることも重要だが、忘れやすくなるので、変えるルールを決めておくとよい。
|
|
|
□不正進入方法の分類
|
|
|
○攻撃者は主に以下の方法でコンピュータに進入する。
・パスワードを解析して進入
・他人をだまして不正に入手、なりすましを行う(ソーシャルエンジニアリング)
・セキュリティホールをついた進入(プログラム上の欠陥、メール機能の悪用)
・DOS攻撃(情報のリクエスト先を偽造してある1つのコンピュータに向かうように書き換える)
|
|
○問題は、自分が被害者にも加害者にもなりうること。一般的な対策レベルを満たしていれば、損害賠償の対象にはならないが、あまり知識がないなら、HPはサーバを立てるよりもプロバイダ提供のスペースを使う方がよい。
|
|
| ■トラブルを防止するには |
|
|
|
□技術的な対処方法
|
|
|
○対策用ソフトやパッチを導入することにより、セキュリティホールをなくす(ウィルス対策ソフトよりも重要)。
|
|
○データを破壊・改ざんされる前に、セキュリティ監視やデータの暗号化を実施する。
|
|
|
□暗号とは
|
|
|
○そのしくみは、「アルゴリズム」と「鍵」からなっており、「アルゴリズム」で暗号化し、「鍵」で復号化をする。
|
|
○暗号の種類には、「共通鍵暗号(シーザー暗号)」と「公開鍵暗号」があり、前者は暗号鍵=復号鍵、後者は暗号鍵≠復号鍵となっているのが特徴である。
|
|
○私たちの身近なところでも、クレジットカードの番号を打ち込む際にはSSL(https://〜で始まるページ)で行う、メールでもデジタル署名と暗号化ができるなど、身近なところで暗号はすでに使われている。
|
|
|
□PCの盗難を防ぐグッズ
|
|
|
○本体と机をつなぐワイヤーや、USBの「鍵」(差し込まないと起動しない)などがある。
|
|
|
□セキュリティポリシー
|
|
|
○得た情報に対してどのような考え方と保護手段を取っているかを説明したもので、個人サイトでも方針を明確にした方がよい。ただし、言葉だけにならないように、実際にどう運用するかも考える。
|
|
| ■インターネットを利用した不正行為 |
|
|
|
□誹謗中傷
|
|
|
○誹謗中傷には、しかし表現の自由の問題がある。インターネットは、弱者が自分の主張を表現できる場でもある。
|
|
○プロバイダー法の施行により、誹謗中傷は司法に持って行く方向で、自分でも削除できるようになった。
|
|
|
□ネチケット
|
|
|
○ネットワークの世界で守るべきエチケット。ちなみに、エチケットとは、貼り札・席順の札をつけたことが語源。
|
|
|
□インターネットをする資質
|
|
|
○相手の顔が見えないことから、どうしても議論になってしまいやすい。以下のことに気をつける。
1)答えのない議論はしない
2)誹謗中傷はしない
3)無視する
|
|
| ■健全なインターネット社会を目指して |
|
|
|
|
○インターネットは画期的な情報収集メディア。「影」の部分のリスクを小さくしていくことで、インターネットをより価値のあるものにしたい。
|
