Transcript 最新のセキュリティ対策とそのための設定

サイバーセキュリティ
基礎論
1
― IT社会を生き抜くために ―
7.設定
サイバーセキュリティ基礎
2
設定
 個人でできるサイバーセキュリティ対策を知る
 情報機器そのものを守ること
 サービスに提供した自分の情報などを守ること
 ネット上を流れる情報を盗聴されないためにで
きること
 無線LANの概略
 暗号化通信の概略
サイバーセキュリティ基礎
3
ネットワークの例
データ
センタ
サーバ
インターネット
九州大学
自宅など
無線LAN
サイバーセキュリティ基礎
利用者
の情報
...
...
4
攻撃の例
偽サイト
データ
センタ
サーバ
インターネット
九州大学
自宅など
無線LAN
盗難
サイバーセキュリティ基礎
乗っ取り
利用者
の情報
...
...
5
できるところから対策
データ
センタ
サーバ
インターネット
九州大学
自宅など
無線LAN
個人でも対策可能な所
サイバーセキュリティ基礎
利用者
の情報
...
...
6
何が守れるのか？
 情報機器そのもの
 自分のパソコン・スマホとその内容
 より安全な使い方
 サービス側にある情報
 「アカウント」の保護
 ネット上で受け渡される情報
 無線LANの安全性について
 サーバ・クライアント間の暗号化について
サイバーセキュリティ基礎
7
手元の端末を守る
サイバーセキュリティ基礎
8
情報機器を守る
 盗難・紛失対策
 他人に操作されないようにする
 パスコード・パスワードでのロック
 内部データの暗号化
 「iPhoneを探す」などのサービス
 乗っ取られると悪用される危険はある
 「悪意のあるソフトウェア（マルウェ
ア）」対策
 malware = malicious software
サイバーセキュリティ基礎
9
パスワードロック
 Windows・Mac等のパソコンの場合
 自分のユーザにパスワードを設定
 スクリーンセーバや画面を閉じた時にロックされる
ように設定
 一定時間触らないとロックがかかるように設定
 起動時の自動ログインはしない
 めんどくさい！と思うかもしれないが、それが
普通になるように習慣づけるべき
 ロックしないのは自分の自転車に鍵をかけずに道端
に放置するようなもの
サイバーセキュリティ基礎
10
Windows 7 の例
サイバーセキュリティ基礎
11
パスコード・パスワードロック
 スマートフォンはパスコード等を設定する
 ４桁の数字でもいいがパスワード文字列の方がよ
り強固
 面倒だが設定していないと盗難・紛失時に厄介
 ロックを外されると「なりすまし」で被害が拡大
 指紋認証機能などがあれば活用する
 パターンロックは画面に残る指の跡からバレるお
それがあるので注意する
サイバーセキュリティ基礎
12
iPhone 5s の例
サイバーセキュリティ基礎
13
「マルウェア」
 コンピュータウイルスなど、悪意のある活
動をするソフトウェアの総称
 利用者をだましたり、気づかないうちにパソコン
等に入り込んで実行
 情報を盗む
 クレジットカード・オンラインバンキング
 ソフトウェアのライセンスキー
 いろいろなサービスのログイン情報
 外部に迷惑メールを送信する
 他のパソコン等にさらに侵入を広げる
サイバーセキュリティ基礎
14
マルウェア対策（１）
 ウイルス対策ソフト
 基本的には「既知」のウイルスしか検知しない
 新種の出現が早くなり有効性は低下
 対策ソフトの更新が追いつかない
 半分くらいしかひっかからないという報告もあり
 しかし何もしないよりはいい
 ただし過信してはいけない
 「検知されなかったから開いていい」わけではない
 そもそも危ないファイルを扱わないような心がけ
 全学ソフトウェアを利用
 http://soft.iii.kyushu-u.ac.jp/a-virus/
サイバーセキュリティ基礎
15
サンドイッチテスト
 このサンドイッチ、食べても大丈夫？
 自分で作ったサンドイッチ
 コンビニで買ったサンドイッチ
 友達からもらったサンドイッチ
 知らない人からもらったサンドイッチ
 公園で拾ったサンドイッチ
 いろいろな状況を想像してみる
 サンドイッチを、アプリやソフトウェア、メールの添付ファイ
ルなどに置き換えて考える
サイバーセキュリティ基礎
16
携帯・スマホ・タブレットは？
 iOS（iPhone・iPad・iPod touch）
 仕組み的に対策ソフト自体がほとんど無い
 App Storeは事前審査が厳しい（と思われている）
 マルウェアが存在しないわけではない
 App Store以外からは通常アプリは導入できない
 Android
 ウイルス対策ソフトはあるが、実効性は疑問
 Google Play Storeの事前審査は甘い
 設定によりGoogle Play Store以外からもアプリが導入可
能
 自己責任
サイバーセキュリティ基礎
17
マルウェア対策（２）
 ソフトウェアには「バグ」（プログラムの
誤り）がつきもの
 人間が作るものだから
 多くのマルウェアは「バグ」を利用して攻
撃・侵入する
 特に攻撃に利用可能な「バグ」を「脆弱性」
 通常、脆弱性は見つかると修正される
 修正版に更新することで攻撃されにくくなる
サイバーセキュリティ基礎
18
ソフトウェア更新
 Window、Mac OS などの基本ソフトウェア
（OS = Operating System）は常に最新版に
 Windows Updateなどのソフトウェア更新機能
 特に攻撃に利用されやすいソフトウェアに注意
 Oracle Java
 Adobe Acrobat Reader
 Adobe Flash Player
 Microsoft Office
サイバーセキュリティ基礎
19
携帯・スマホ・タブレットは？
 iOS（iPhone・iPad・iPod touch）
 Appleが不定期に更新
 旧世代の端末も数年間は対応
 Android
 大元の開発はGoogleだが機種毎に改造
 携帯キャリアやメーカーがアップデートを提供し
てくれることを祈る
 あまり長期間は期待できない…
 ガラケーはそもそも攻撃対象になりにくい
サイバーセキュリティ基礎
20
サーバ上にある情報を守る
サイバーセキュリティ基礎
21
「アカウント」の保護
 「アカウント」
 情報システムを利用する「権利」のこと
 利用者の様々な情報が紐づく
 個人の識別
 個人情報の蓄積
 利用履歴
 アカウント名（ユーザ名・ユーザID）とパス
ワードの組での保護が一般的
 そのアカウントの正当な利用者だけが知っているは
ずの情報
サイバーセキュリティ基礎
22
パスワード
 「部屋の鍵」「車の鍵」のようなもの
 内容が漏れるとアカウントを勝手に利用される
 現実の部屋や車と違って地球の裏側からでも
 いろいろな攻撃方法がある
 総当り
 辞書攻撃
 盗聴
サイバーセキュリティ基礎
23
パスワードの複雑さ
 数字4桁
 104 = 10,000通り
 英数字8文字（大文字小文字を区別）
 628 = 218,340,105,584,896通り (218兆)
 英数字記号8文字（使える記号によるが一例）
 968 = 7,213,895,789,838,336通り (7,210兆)
 「総当り」攻撃への耐性が違う
 使える文字が多く、長いほど強い
 盗聴の場合はどんなに複雑でも無駄
 ウイルス感染等によりキー入力を盗まれることも
サイバーセキュリティ基礎
24
辞書攻撃
 全ての組み合わせを試すのは時間がかかる
 よく使われるパスワードを集めたリストを使う
 英単語・氏名
 なんらかの理由で漏洩したパスワードリスト
 世界中で最も使われているパスワード
 「123456」「password」「qwerty」「abc123」
 使わないように！
サイバーセキュリティ基礎
25
使い回し問題
 複雑なパスワードはたくさん覚えられない
 同じパスワードを使いまわしたくなる
 メールアドレスで登録など、IDも使いまわ
すケースが多い
 結果、1つ漏れたら他のサービスも破られる
サイバーセキュリティ基礎
26
使い回し問題
[email protected]
password
漏洩
Google
[email protected]
password
Facebook
[email protected]
password
iCloud
[email protected]
password
サイバーセキュリティ基礎
Dropbox
27
使いまわさない工夫
 全部を覚えないでいいようにルールを作る
 数文字の固定文字列に、サービス名などから連想
される文字列を少し足す、など
 しかし全部脳内で済ますのは限界……
サイバーセキュリティ基礎
28
機械に覚えさせる
 ブラウザの保存機能は使うな、という意見もある
 そのPCが他人に操作されるとまずい
 保存したデータを吸い取るウイルスもある
 覚えられずに同じパスワードを使いまわすのとどち
らがリスクが高いだろう？
 パスワード管理ソフトを使う手もある
 Lastpass, 1Password, KeePass 等々
 ランダムパスワード自動生成と併用すると強い
 元データを失うと自分ではパスワードがわからなくなる
サイバーセキュリティ基礎
29
2要素認証
 認証に2つ以上の情報を使用する
 ユーザのみ知っている情報 → パスワード
 ユーザのみ持っているもの → スマホ
 スマホに・・・
 サーバから1回限りのパスワードをSMSで受信
 アプリで1回限りのパスワードを生成
 Google, Facebook, Dropboxなどメジャーな
サービスが対応
サイバーセキュリティ基礎
30
2要素認証の様子
ID
yourid
Password
********
追加の画面
2-step verification
Enter the verification code
574834
サイバーセキュリティ基礎
31
通信経路を守る
サイバーセキュリティ基礎
32
無線LAN（Wi-Fi）について
 皆さんが使っているパソコンをネットワー
クに接続している仕組み
 スマートフォンや携帯の「3G」とか「4G」
とか「LTE」とか「Xi」とかとは別の仕組み
 ほとんどのスマートフォンは両方使える
 「ガラケー」では使えないことが多い
 扇型のマークで表現されることが多い
サイバーセキュリティ基礎
33
無線LANと暗号化
 携帯電話網は盗聴の心配はまずない
 無線LANは条件によって簡単に盗聴可能
 インターネットもあまり信頼できないが
 パスワードも何もなしでつながる無線LAN
は基本的に盗聴し放題
 kitenetやedunetは安全な方式を使っている
サイバーセキュリティ基礎
34
無線LANの安全性
強い
WPA2
WPA(Wi-Fi Protected Access)
保護なしも同然
WEP(Wired Equivalent Privacy)
保護なし
弱い
サイバーセキュリティ基礎
35
Androidでの確認例
 設定は無線LANの提供者側で決まり、利用者は選択でき
ない（弱い無線LANには接続しない、しかない）
サイバーセキュリティ基礎
36
保護のない・弱い無線LANの
危険性
 誰でも通信内容を傍受できる
 別途暗号化通信を使わなければ筒抜け
 利用しないで済むなら使わない
 カフェや公共施設などにある無料の無線
LANにも多い
 Fukuoka City Wi-Fi なども…
 使うなら覚悟の上で
サイバーセキュリティ基礎
37
「野良無線LAN」の危険性
 鍵のかかっていない、公衆向けでない無線LAN
を見つけることがある
 鍵がかかっていないので、接続すると使えそうに思
える
 誰が設置したかわからない、悪意があるかも？
 盗聴・偽サイトに誘導等の危険性
 素性の分からない無線LANは利用しない
サイバーセキュリティ基礎
38
公共の共用端末
 インターネットカフェ・ホテルのロビーなど
 無料や、時間あたりいくらで使える物
 どう管理されているかまったくわからない
 ウイルス等に感染してキー入力や画面を盗聴されて
いる可能性がある
 パスワードやクレジットカード番号などを絶対
入力しない
 そういう入力が必要なサイトを利用しない
 観光情報を調べるくらいにしておく
サイバーセキュリティ基礎
39
暗号化通信の概略
 インターネットは盗聴されている可能性が
ある
 無線LANも盗聴されているかもしれない
 多くのサービスで暗号化通信が利用可能
 盗聴されても内容がわからないようにする仕組み
サイバーセキュリティ基礎
40
SSL・TLS
 インターネット上で通信を暗号化して安全
にする仕組み（プロトコル）
 SSL: Secure Socket Layer
 TLS: Transport Layer Security
 SSLとTLSはほぼ同じものを指すと思って良い
 サーバとクライアントの両方が対応してい
ないと使えない
 サーバが本物かどうかの確認の仕組みも
サイバーセキュリティ基礎
41
メール送受信の暗号化
（Outlook 2013）
詳しくは http://www.m.kyushu-u.ac.jp/s/4-PC.html
サイバーセキュリティ基礎
42
ウェブの暗号化（https）
（Internet Explorer）
サイバーセキュリティ基礎
43
ウェブの暗号化
（Google Chrome）
サイバーセキュリティ基礎
44
SSL・TLSなら暗号化されていな
い無線LANでも大丈夫？
 偽サーバに誘導する仕組みがあるかも
 通信を暗号化していても通信している相手
自体が偽物であれば意味はない
 知らずにパスワードなどを送信してしまうかも？
 暗号化通信では守れないので野良無線LAN
はやはり使うべきでない
 サーバ証明書の警告が出たら接続しない
サイバーセキュリティ基礎
45
警告画面
（Internet Explorer）
サイバーセキュリティ基礎
46
まとめ
 個人でもできる、具体的な対策方法
 所有しているパソコン・スマホなどの保護
 盗難・紛失対策
 マルウェア対策
 利用しているサービスの保護
 パスワードの取り扱い
 通信経路の保護
 無線LANの安全性について
 共用端末の使い方
 暗号化通信について
サイバーセキュリティ基礎
47
サイバーセキュリティ基本法
（2014年11月6日成立）
 サイバー攻撃対策に関する国の責務などを定めた法律
 （教育研究機関の責務）第八条 大学その他の教育研究機関は、
基本理念にのっとり、自主的かつ積極的にサイバーセキュリ
ティの確保、サイバーセキュリティに係る人材の育成並びにサ
イバーセキュリティに関する研究及びその成果の普及に努める
とともに、国又は地方公共団体が実施するサイバーセキュリ
ティに関する施策に協力するよう努めるものとする。
 （国民の努力）第九条 国民は、基本理念にのっとり、サイ
バーセキュリティの重要性に関する関心と理解を深め、サイ
バーセキュリティの確保に必要な注意を払うよう努めるものと
する。
 法案全文
 http://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/honbu
n/houan/g18601035.htm
サイバーセキュリティ基礎
48
課題
 本日の講義を聞いて、新たに自分が気をつけよ
うと考えたことがあれば、それを書いてくださ
い。
 本日の講義であげた事例で、既に自分が実施し
ていることがあればそれを示し、それをする事
の利点や難点など気づいたことを書いてくださ
い。
 逆に、知ってはいたが自分では実践していない
ことがあれば、その内容とそれをしない理由を
書いてください。
 本講義の感想、要望、質問などあれば、書いて
ください。
サイバーセキュリティ基礎