Transcript インターネット時代の個人情報保護とセキュリティ技術1

NEXT熊本セミナー
“ネットワーク時代のセキュリティを考える”
「インターネット時代の個人情報保護と
セキュリティ技術」
RSAセキュリティ株式会社
代表取締役社長 山野 修
インターネット時代の個人情報保護と
セキュリティ技術
•
情報セキュリティ対策の動向と現状
•
E-セキュリティ技術
•
セキュリティ対策事例
→ E-セキュリティは、E-ビジネスを実現させるための
Enabling Technologyである
2
RSA Security 会社紹介
• 世界が認める暗号技術とインターネット技術
– 10億コピーものRSA BSAFE® 暗号技術が
世界中で使用されている
• ユーザー認証技術のリーディング･カンパニー
– 1000万個以上の RSA SecurID® 二要素ユーザー認証が
利用されている
• セキュリティや電子認証の標準化や普及に寄与
– SSL、S/MIME、IPSec、PKCS、PKIX等の標準を提案
– 1995年、VeriSign Inc.を分社化
• The Most Trusted Name in e-Security
3
情報セキュリティ対策の世界での動向
• 情報システムの重要性が高まるにつれ、運用に伴う
リスク管理とセキュリティ対策が必要とされてきた
• 金融業務に関連する情報セキュリティ対策の指針
– BS7799、ISO17799
• 欧州の金融機関で利用されている情報セキュリティ
対策の指針
– ISO/TR 13569
• ISO/TC68が策定した情報セキュリティ対策の指針
– ISO/IEC 15408
• 情報セキュリティ製品・システムの評価基準
4
情報セキュリティ対策の日本での動向
• 情報セキュリティ対策を促進するため、各方面で
法制化、規定化されてきた
– 旧郵政省「個人情報保護に関するガイドライン」
– 「不正アクセス防止法」
– 「電子署名及び認証業務に関わる法律」
– 金融庁「金融検査マニュアル」
– 日本銀行 「平成12、13年度の考査の実施方針」
– 「ＩＴ基本法」、「電子政府実現一括法」
– 経済産業省 「ISMS適合性評価制度」
– 「個人情報保護基本法」
5
日本銀行 「平成１２年度 考査の実施方針」
• 平成１２年４月発表、「金融機関における情報セキュ
リティの重要性と対応策」
– インターネットを利用した金融サービスを中心に
• 情報セキュリティポリシーの策定
• 情報セキュリティ対策の確立
• 情報セキュリティ対策の適切な運用
出典：「金融機関における情報セキュリティの重要性と対応策」日本銀行、2000年4月18日
6
経済産業省 「ISMS適合性評価制度」
• 平成13年4月からＢＳ7799、ISO17799をベースに、
ＩＳＭＳ（ｲﾝﾌｫﾒｰｼｮﾝ･ｾｷｭﾘﾃｨ管理ｼｽﾃﾑ）として施行
• 従来の「情報処理サービス業システム安全対策実施
事業所認定制度」（安対制度）は平成13年3月で終了
• コンピュータ・センターやシステム・プロバイダーの
セキュリティ・ポリシーとセキュリティ対策の運用状況を
監査
7
「個人情報保護基本法」
• 平成１３年３月、政府、個人情報保護法を国会へ提出
• OECD（経済協力開発機構）をベースにした原則
• 官民が共通して守るべき基本原則を規定
• 民間事業者に対しては、
–
–
–
–
–
利用目的の通知
必要な範囲での収集を規制する利用目的による制限
情報の主体者への同意を原則にした第三者への提供
本人からの個人情報の開示・訂正請求を原則として従う
「事業者が遵守すべき事項」として定めた
8
情報セキュリティ対策の現状
• 情報セキュリティポリシーの策定は進行中
• 不正侵入やウイルス攻撃に対する、ファイアウォー
ルとウイルス対策ソフトウェアの導入は完了
• オープンシステムでの盗聴（盗取）、データ改竄、
成りすまし対策に対しては、万全か？
対策は万全か？
9
情報セキュリティ対策の確立
• セキュリティは、ファイヤーウォールやウイルス対策
だけではない
• 強力な盗聴・改竄・成りすまし防止が必要
• 個人が所有する個人情報へのプライバシー保護
• すべての要素のセキュリティが高いこと（セキュリティ・
チェーン）
• サーバーやサイトが完全に安全であることへの信頼感
• ユーザや情報システムにとって管理が簡便であること
E-ビジネスにはE-セキュリティが必要
10
ブロードバンドやＷｉｒｅｌｓｓの現状
• ADSL、ケーブル・インターネット、ＦＴＴＨが急成長
– 2001年度末までに350万世帯
– 2002年度末までに630万世帯 （野村総研調査 2001/11）
• Wireless LANを用いたホットスポット・サービスの普及
• VPNを用いたIP-VPNやExtranetが本格化
• 情報セキュリティ対策が社内システムだけでなく、ブロ
ードバンドやWirelessまでも対象となる
• 情報セキュリティ対象の拡大とダウンサイジング
11
情報セキュリティとブロードバンドの関係
今後の情報セキュリティの対象
拡張インターネット
（Extended Internet)
従来の情報セキュリティの対象
ブロードバンド
VPN
インターネット
インターネット
（Internet)
（Internet)
VPN
Wireless
社外システム 社内システム
（Intranet)
（Extranet)
リモート
アクセス
12
E-ビジネスのためのE-セキュリティ
• Intrusion detection
（侵入検知）
• Authentication （認証）
• Authorization （アクセス
管理）
• Privacy （秘匿性）
• Transaction
integrity
（処理の完全性）
• Vulnerability Assessment
（弱点への攻撃）
Enable
（安全な取引の実現）
Detect
（不正侵入や攻撃の検出）
Defend
（侵入やウィルスに対する防衛）
• Firewall （ファイヤウォール）
• Antivirus （ウィルス対策）
13
代表的なE-セキュリティ技術
• 強力なユーザ認証
→ 二要素認証技術
• 強力な通信と情報保護 → 暗号・認証技術
• 安全なWebアクセス
→ SSL技術
• トランザクションの認証 → 電子認証技術
14
ユーザ認証での固定パスワードの危険性
• 通常の固定パスワードは、ハッカーにかかれば
約95％の確率で破られる。
– パスワード・クラッキングツール
– ネットワーク・スニッフィング
– パスワードの推測
• パスワードは簡単に漏れてしまう。
– 社員、契約社員、関連業者間での伝達、HPへの掲載
– 詐欺行為（ソーシャル・エンジニアリング）
• ユーザ・サポートの約20～40%はパスワード関連作業
→ 通常の固定パスワードでは十分ではない
15
強力なユーザ認証
二要素認証技術
パスワード?
① パスワード（PIN）
② ワンタイムパスワード、またはICカード
1234
+
234836
パスワード とワンタイムパスワードを入力
時間同期方式による強力なユーザ認証
16
ユーザ認証のセキュリティ強度
厳格なユーザー
認証による
最高の安全性
情
報
の
価
値
二要素認証
生体測定
（指紋、虹彩、顔等）
情報の価値と
コストとの比較
ハードウェア ワンタイムパスワード
トークン ICカード
強い識別と強力な認証
（限定多数へは有効）
電子証明書
強い識別と弱い認証
（特定多数へは有効）
パスワード
（95%の確率で推測可能）
（不特定多数へは有効）
弱い識別と弱い認証
17
二要素認証技術の応用例
• リモート・アクセスでの利用
– インターネット、 無線、VPNを通じて社内システムへ
ログインする際のユーザ認証
• Ｗｅｂアプリケーションでの利用
– Webへのアクセスを確実にユーザ認証を行い、さらに
ポータルに経由での情報提供
• 応用範囲
– 企業
– B2B
– B2C
→ ネットワーク・アクセス、モバイル・アクセス、SFA
→ マーケット・プレース、SCM
→ ホーム・バンキング、インターネット・トレード
18
暗号・認証 技術
• 共通鍵暗号方式と公開鍵暗号方式
• 暗号アルゴリズム
• デジタル封筒、署名、認証
19
共通鍵暗号方式
• 従来からの共通鍵（対称鍵）による暗号方式
平文
本日は、多数ご
出席いただきま
してありがとうご
ざいます。
．．．．．．．．．．
．．．．．．．．．．
．．．．．．．．．．
．．．．．．．．．．
暗号文
暗号化
S;*dsfeclycm)7f
XF[@drdadf*(
‘$%&^\^Ffeas
%)fwetsdwffd
．．．．．．．．．．
．．．．．．．．．．
．．．．．．．．．．
．．．．．．．．．．
共通鍵
平文
復号化
本日は、多数ご
出席いただきま
してありがとうご
ざいます。
．．．．．．．．．．
．．．．．．．．．．
．．．．．．．．．．
．．．．．．．．．．
共通鍵
同じ鍵
20