Transcript 2002インゼミ発表ファイル

情報技術革新とセキュリティー
佐藤ゼミ １Ａ
インターネットの普及
ＩＴ革命は終盤戦で
ある。
100
80
普及率（％）
Ⅰ－１
60
88.6
80
68.2
0
12.3
6.4
1997
97.6
68
60.5
40
20
95.8
31.8
19.1
19.2
11
1998
1999
世帯普及率
事業所普及率【5人以上】
44.8
34
2000
2001
企業普及率【300人以上】
Ⅰ－２
携帯電話の普及
みんなが持っている携帯電話
携帯電話インターネットの普及
ＮＴＴドコモのｉモード
いたるところで電子メール
携帯電話の普及状況
万加入
7000
6000
5000
4000
3000
2000
1000
0
6094.2
6912.1
5113.9
H12.3
H13.3
H14.3
％
80
70
60
50
40
30
20
10
0
携帯電話インターネットの普及率
75.1
56.7
14.7
H12.3
H13.3
H14.3
大学生とメール
授業中にメール 大学生は８１％も
◇授業中にメールをする大学生は８１％も――一橋大学の学生が、携帯電話の
メールを利用して集団カンニングしたことが分かったばかりだが、授業中メールは
予想以上に深刻だった。
◇これは上智、成蹊、専修、東京経済、東洋、早稲田の六つの大学の学生でつくる
グループが、東京広告協会の協力で大学生８００人に聞いた結果分かった。
◇メールをするのは女性８４％、男性７７％。メール以外にも、居眠り８２％、友だち
とおしゃべりするが７７％。授業中に食事をするとの答えも８％あった。子供の学
力低下の結果？ それとも、授業の中身のせい？ 【大西康裕】
•
［毎日新聞１２月５日］ ( 2002-12-05-18:30 )
Ⅰ－３
電子商取引の拡大
何でもネットで買い物できる時代
旅券・中古車・家電製品など
先行するBtoB 着実に伸びているBtoC
電子商取引（BtoC市場の推移）
億円
14000
12218
12000
BtoC市場
10000
8000
6233
6000
4000
3500
1665
2000
818
0 285
H8 H9 H10 H11 H12 H13
電子商取引（BtoB市場の推移）
兆円
60
50
40
30
20
10
0
53.9
BtoB市場
38.1
14.4
H11
H12
H13
平成１４年度情報通信白書
Ⅰー４
企業のネットワーク導入
ものだけじゃなくサービスもネットで提供
（１）アウトソーシングビジネス
– グループウェア、会計、データストレージ、メール配信、給与計算
（２）ソリューションビジネス
– 問題解決のためのシステム構築ビジネス
余った経営資源の活用、専門分野への特化,
コアコンピテンスをより強くして競争に勝ち残る
Ⅰ－５
電子政府の推進
行政機関におけるホームページ開設数
件
IＴ革命
1400
1215
1200
e-Japan構想
電子申請・届出システム
住民基本台帳ネットワー
ク
1000
1310
874
800
600
400
490
356
200
0
H9
H10
H11
H12
H13
平成１４年度情報通信白書
Ⅰ－６
Ex).
コミュニティの形成
子育てネット
阪神大震災での安否確認
ＮＧＯ・ＮＰＯ活動
ボランティアネット
情報バリアフリー
Ⅰ－７
ブロードバンド化・ユビキタスネットワーク
（1）ブロードバンド
高速大容量の回線 料金の低下
（FTTH料金）
平成１２年１２月：41450円
（2）ユビキタスネットワーク
平成１４年３月：５２００円
（DSL料金）
平成１１年１２月：６１００円
「いつでも、どこでも、誰でも」ネット接続
できる環境。
平成１４年３月：２９００円
Ⅰ－８
情報化社会はバラ色の未来か
インターネットは必要不可欠
インターネットの必要性
いまやインターネットは欠かせないインフラ
技術が描く明るい未来
ユビキタスネットワ－ク
ＩＰＶ６
どちらとも
いえない,
0.6
なく ても
よい, 0 . 2
ある方が
いい,
32.7
必要不可
欠, 6 6 . 5
伸び悩むブロードバンドビジネス
キラーコンテンツの不足
必要不可欠
どちらともいえない
ある方がいい
なくてもよい
インターネットの特性と情報社会の問題
Ⅱ－１
インターネットの特性
–
–
–
–
誰でも参加できる
情報取得の容易さ
オープンである
グローバルである
犯罪行為・反社会的行為の増加
という負の側面
犯罪・反社会的行為の原因
利便性・効率性の向上
という正の側面
– 匿名性が犯罪の検挙を困難にして
いる
– 複製の容易さが広範囲な被害をも
たらす
– 制度の未整備により反社会的行為
が取り締まられない
– 他国との習慣や制度の違い
増える苦情・相談
Ⅱ－２
通信サービスが複雑化することや、違法ではないが悪質な利用者が
存在することで情報通信に関する苦情や問い合わせは年々増加
総務省に寄せられた苦情
平成1２年度： ４，７４１件
平成1３年度： ７，３８３件
件
8,000
迷惑メールに対する苦情（迷惑メールのあり方研究会）
ピークは平成13年5月 １４３,０６３件
件
160000
7,383
7,000
143063
140000
6,000
120000
5,000
4,741
4,000
3,593
3,000
107855
94857
81542
74787
73936 69559
63568 61153
57059
42583
37787
100000
80000
2,379
60000
2,000
40000
1,071
1,000
度
度
13
年
平
成
12
年
度
平
成
11
年
平
成
10
年
度
度
平
成
度
成
9年
平
度
平
成
7年
平
H14.3
H14.2
H14.1
H13.12
H13.11
H13.10
H13.9
H13.8
H13.7
H13.6
H13.5
H13.4
H13.3
H13.2
H13.1
H12.12
H12.11
H12.10
H12.9
H12.8
H12.7
H12.6
H12.5
H12.4
成
8年
0
24678
19080
18477
7010
3956
2696
2043
1490
1729
1070
1340
01250
20000
331 318
急増するハイテク犯罪の被害
600
559
500
415
400
357
262
300
176
200
100
110
63
32
年
00
20
年
年
99
19
98
19
年
97
年
19
95
19
年
94
19
93
年
0
19
など情報通信機器を使った犯罪
19
•コンピュータウイルス
•不正アクセス
•電子的記録の改ざん・消去
•ネットワークを利用した犯罪
詐欺・わいせつ物配布・児童売春
ハイテク犯罪検挙件数
件
年
ハイテク犯罪とは
96
Ⅱ－３
それぞれ1998年を100として指数化した
急増するハイテク犯罪の被害
Ⅱ－３
インターネット普及とハイテク犯罪
1600
1400
1200
1000
ウイルスによる被害
件数（IPA/SEC）
800
不正アクセスの件数
（CERT/CC）
600
1410.2
1192.2
インターネット利用者
数(通信白書)
400
200
0
288.1
100
1998年
1999年
2000年
2001年
それぞれ1998年を100として指数化した
Ⅱ－３
急増するハイテク犯罪の被害
コンピュータウィルス
不正アクセス
識別符号(ID番号等)窃用、セキュリティホー
ル攻撃により、許可なくネットワークに侵入す
る行為を行うこと
｢不正アクセス行為の発生状況及びアクセス制御機
能に関する技術の研究開発の状況｣ より
1400
1200
1000
800
600
400
200
0
平成12年
件
平成13年
1253
547
448
258
73
25
106
8
合
不
国
海
計
明
内
外
か
か
ら
ら
Ⅱ－４
情報は守られるのか
コンピューターウイルスや不正アクセスは、情
報を奪ったり、破壊したりする。
では、情報をどのようにして守るのか？
Ⅱ－５
システムのセキュリティ対策は万全か
ミッションクリティカルなシステム
システムの
セキュリティ対策を講じること
も重要。
個人のインターネットの利用
普及によって
•
•
•
•
メールの送受信
ホームページの閲覧
掲示板、チャット
eコマース（オークション、ショッピング）
ユーザー同士のコミュニケーション
の発達
情報のやり取りの機会の増加
インターネット上での情報やり取りを阻害する要因
堂本千葉県知事の
メールマガジンの購読者
にウイルスの添付された
メールが送られていた
TV九州放送では、２８０人
分の個人情報が第三者に
閲覧できるようになっていた
防御策
個人の利用者に対しての
不正アクセスは、一日１０件
ぐらい行われている
セキュリティ対策を施すことで、
利用者の利便性が向上し、
さらなるネットワークの構築の実現
安全の確保
まず、最初にとれる対策
パソコンの初期設定を変更し、
対応していく必要がある
重要な情報を整理し、
バックアップ（保存）をする
ウイルス対策ソフトの導入
コンピュータウィルスを検出・駆除するツール
ウィルスの定義ファイルの定期的な更新
IPAが受けたコンピュータウイルス届出件数の推移
ワクチンツールの更新
％
3000
25
2778
2440
2203
2500
2000
20
19.4
14.5
1567
1476
1500
13.9
12.2
11.3
10
1000
3
1
11
9
7
5
3
1
9
7
11
し
て
上
い
期
い
周
な
の
回
上
上
以
以
上
上
回
１回
以
に
新
年
年
更
１
１
１
回
以
以
１
に
に
月
年
ヶ
半
３
１
回
回
に
１
１
1998年 1999年　2000年
月
に
に
5
3.9
2.6
隔
月
週
3
6
0
日
1
8.5
6
5.6
4.5
5 4.9
毎
906
700 676
490
500 455
476 459 556
414
405 461
385
341
332
306
299
251
238
216 219
198
0
9.4
8
900
２０００年
23.6
22.1
20
15
１９９９年
ファイアウォールの導入
不正アクセスを防止する
ハードウェア
通信パケットの送信元や受信先のアドレスやデータ内容を
検閲して、あらかじめ登録されたチェックリストに該当しない
ものだけを通過させるアクセスコントロール機能の技術
を利用
ソフト
セキュリティ検査サービスを利用する
セキュリティ検査サービス
セキュリティ対策の実効性を第三者の目でチェックする
サービス
セキュリティ検査ツールを使って、セキュリティ・ホールの有
無などを探して、安全度を評価してくれる
例：Symantec社のサービス
•Security Check
ウェブサイト上でウイルスに感染していないかをチェックす
る
セキュリティホールを埋める
セキュリティホールとは
セキュリティを著しく低下させるプログラム上
の欠陥のことをさし、すべてのアプリケーション
に存在する可能性がある。ＯＳといえども例外で
はない。
パッチを充てる
セキュリティホールを埋める修正プログラムの
ことをパッチという。ベンダーのサイトなどを通じ
て定期的にパッチを当てていくことが重要。
マメにしろ
守るものは個人情報
個人情報とは
年収や資産・借金
デジタル化された情報は容易にコピー
されて持ち出すことが可能
行動歴、電話番号
手帳・日記の中身
交友関係、家族構成
身長・体重など身体の特徴
など
パソコンのアカウントや
ＩＤナンバー、
ＩＰアドレスー
IPアドレス
漏洩した情報はインターネットを通じて
広範囲に流出してしまう
対策の甘い人は、その情報を利用されて、
被害を受ける可能性がある。
個人情報の自己防衛
企業のセキュリティに対するポリシーを読んで、企業を知る
信頼性のあるサイトを選択する
企業が提供しているサービスを利用する
個人のセキュリティ不備が、社会全体に影響を及ぼす為、
個人のセキュリティ対策は、利用者として採るべき必要性がある
個人でとれるセキュリティのまとめ
セキュリティを守るのは自己責任
他人に迷惑をかけないマナーが求められる
セキュリティ情報を定期的に入手しておく
セキュリティ対策機関の情報やサービスを
活用していく
セキュリティ対策をとる必要性を認識する
企業の対策
•
•
•
•
企業とインターネット
企業を対象とした犯罪が起きている
企業におけるセキュリティ対策の必要性
企業における具体的なセキュリティ対策
–
–
–
•
•
Eコマースにおけるセキュリティ対策
社内ネットワークでのセキュリティ対策
システムのセキュリティ対策
対策にかけるコスト
企業は積極的にセキュリティ対策を行うべき
企業とインターネット
BtoC
消費者との取引
BtoB
企業間取引
CＲM
カスタマリレーションシップ
マネジメント
SCM
internet
サプライチェーン
マネジメント
企業を対象とした犯罪が起きている
元東芝社員に有罪判決 東京地裁
2002.09.06
昨年１２月、宇宙開発事業団のコンピューターに不正アクセスし、三菱電機の機密データを引き
出したとして、不正アクセス禁止法違反に問われた元東芝社員の右田俊介被告（２８）に対し、
東京地裁（小倉正三裁判長）は６日、懲役８月、執行猶予２年（求刑・懲役１０月）を言い渡した。
ＮＴＴドコモ社員が個人情報を不正閲覧
2002.10.19
ＮＴＴドコモ関西（大阪市）の男性社員が、契約者の住所や金融機関の口座番号などの個人情報
を不正に閲覧していたことが、１９日明らかになった。同社は男性社員を懲戒処分にした。
同社側が、大阪地裁で係争中の民事訴訟の中で認めた。訴訟は今年７月、滋賀県内の男性
が、男性社員と同社を相手取り、自分の情報を勝手に閲覧されたとして、慰謝料１１０万円の支
払いを求めて提訴している。
システムのセキュリティ対策
システムのダウン
一瞬たりともダウンできないシステム
金融システム・航空管制システム・予約システムなど
システムがダウンすると社会
に甚大な影響を及ぼす
みずほ銀行のATM障害
２００２年４月１日に発生
企業におけるセキュリティ対策の必要性
信用の低下を防ぐ
・顧客との信頼
・取引先との信頼
・社会的な信頼
機密情報を守る
付加価値の創造
・財務情報
・知的財産
・会員の増加
・データベース
・売上の増加
・リスクマネジメント
企業における具体的なセキュリティ対策
Eコマースにおけるセキュリティ対策
– インターネットでの通信
– 電子商取引での対策
社内ネットワークでのセキュリティ対策
– 企業内ＬＡＮの運用
システムのセキュリティ対策
– システムダウン対応策
Eコマースにおけるセキュリティ対策
– インターネットでの通信
Ｂ社
A社
「200円の商品を１０個お願いします」
internet
暗号化技術・VPN
ハッカー
のぞき見
改ざん・消去
Eコマースにおけるセキュリティ対策
– インターネットでの通信
• 暗号化の問題点
– 暗号化によって安全が１００％守られるとは限ら
ないことを認識しなければならない
– 暗号化を行うとコンピュータの演算速度が遅くな
る原因となる。暗号化は必要な文章にのみかけ
るべき
– 技術だけではセキュリティを確保できるとは限ら
ない、制度面でのカバーも必要である
Eコマースにおけるセキュリティ対策
– 電子商取引での対策
• 電子商取引の規模は年々増加しているが、
多くの人々は電子商取引に不安を持ちなが
ら参加している
• 企業に必要なことはいかにして利用者の不
安を少なくするかである
Eコマースにおけるセキュリティ対策
– 電子商取引での対策
• 信頼できる第三者が介在する認証局基盤
• 個人情報を守る暗号化技術 ＳＳＬ
• 被害にあった利用者に対して保障をする
PKIによる電子認証のコンポーネント
社内ネットワークでのセキュリティ対策
ハッカー
企業内ＬＡＮ
ファイアウォール
監視・認証
Ｗｅｂ
ルーター
内部不正
パスワード付与
・認証
不正アクセス
不正侵入
メール爆弾
クラッキング
サービス拒否
スパイ活動
アクセスコントロール
ログ取得
サー
バー
LANでの問題点
システムのセキュリティ対策
システムダウン対応策
• ダウンサイジング
• 分散型コンピューティング
メインフレーム
リスクの分散
セキュリティ管理の現状
大半の企業は設備を導入している
多くの企業では、すでにファイアウォールやワクチンソフト
を導入済みである。ここで挙げた意外にもセキュリティ対策
の技術はある。
しかし、こうした取り組みがあるにもかかわらず不正アクセス
などの犯罪が減らないのは、技術的な対策だけでは不十分
ということである。
制度や運用の対策が
必要
社内ネットワークでのセキュリティ対策
セキュリティポリシーの策定
– 企業内の規約としてネットワークの運用方法をルール化する
– ネットワーク管理者が利便性と安全性のバランスをとってセキュリティ
レベルを設定する必要がある
– ネットワーク管理者の負担が大きくならないように作業をルーティン化
していくべきである
専任のセキュリティ管理者の有無
セキュリティポリシーの有無
社内ネットワークでのセキュリティ対策
• セキュリティ・ポリシーは一連の動作や作業
の流れを考慮するべき
• 企業内にセキュリティの専門家を配置する
• 対策にかけれるコストには限りがある
– 設備の導入費、人件費、運用費
– セキュリティレベルを引き上げる事故が起こるリ
スクは減少するがとコストは上昇する
企業は積極的にセキュリティ対策を行うべき
セキュリティポリシー
情報セキュリティポリシーを策定し
その後も企業内での体制を継続
的に進化発展させる必要がある。
自社で出来ないなら他の
業者に任せるのも重要
セキュリティビジネス市場
１９９９
２０００
２００１
２００４
セキュリティ関連製品
２３５
３２５
３９５
８５８
セキュリティ関連サービス
２９１
３６７
４７２
１１３６
日本の情報セキュリティビジネス市場
600
セキュリティビジネス市場は年々
成長している。セキュリティ対策の
不備は企業だけでなく、他の利用
者も危険にさらされる。企業はこう
下サービスを積極的に利用してい
くべきである。
アンチウィルス
ファイアウォール・ＶＰＮ
億円
認証
500
暗号
400
セキュリティマネジメント
300
セキュリティシステム構築
200
セキュリティコンサルティン
グ
セキュリティ管理
100
0
1999
2000
2001
2002
2003
2004
セキュリティ保険
情報セキュリティに関する国の役割
国が行う役割
個人や企業の対策
補えきれない部分
後は国が対応するべき
どのような役割
があるのか？
法律の制定
プロバイダ責任制限法
迷惑メール防止2法
個人情報保護法
不正アクセス法
通信傍受法
電子署名法
情報リテラシーの向上
情報の提供
相談
指導
情報教育
法律の制定
１．迷惑メール防止２法
２．プロバイダ責任制限法
３．個人情報保護法案
迷惑メールの問題
商業広告メール
出会い系サービス
アダルト画像
不特定多数
社会問題化
早急に対応を！
迷惑メール防止２法
「特定電子メール送信適正化法」
表示義務
(1) 特定電子メールである旨
(2) 当該送信者の氏名又は名称及び住所
(3) 当該特定電子メールの送信に用いた電子メールアドレス
(4) 当該送信者の受信用の電子メールアドレス等
罰則
３０万円から５０万円
「特定電子メール送信適正化法」迷惑メール問題への取り組み
迷惑メール防止２法
「特定商取引改正法」
表示義務
１．通信販売事業者等の電子メールアドレスの表示
２．（メールの件名欄に「！未承諾広告！」と表示）
３．消費者が電子メールの受け取りを希望しない場合の表示方法
罰則
３０万円から５０万円
７月１日施行
あいまいなサイト運営者の責任
2チャンネル訴訟の場合
ニフティサーブ「現代思想フォーラム事件」の場合
2チャンネル訴訟
運営者に管理責任
を持たせる判決
１誹謗・中傷の書き
込み
５
書
き
込
み
削
除
命
令
３書き込み削除依頼
仮処分申請
2 削除依頼
４ 削除に応じず
ニフティサーブ「現代思想フォーラム」事件
運営者に
責任無し
名誉毀損や！
フォーラム
書き込み
X氏
X氏
不法行為責任を認める
不法行為責任を否定！！
Y氏
新たな法律の必要性
２ちゃんねる
管理者に責任あり
ニフティ
管理者に責任なし
これまでの法律では掲示板などでの運営者の責任が あいまい
運用者の責任の明確化
プロバイダ責任制限法
２００１年１１月３０日交付、２００２年５月２７日施行
インターネット上のウェブページ、電子掲示板等におい
て、著作権侵害、名誉毀損、プライバシー侵害等の行
為がなされた場合の、プロバイダ等の損害賠償責任の
制限について定めている。
宇治市の住民基本情報流出
個人情報保護法案
(1)個人情報を取扱う者は、基本原則にのっとり、その適正な取扱いに
努める
(2)個人情報取扱事業者とは、個人情報データベース等を事業の用に
供している者
(3)個人情報取扱事業者に利用目的の特定、第三者提供の制限（本人
同意を要す）、適正な取得、正確性の確保、安全管理の措置、本人関
与の仕組み（利用目的の通知・データの開示、訂正・利用停止等の措
置）などの義務を課す
(4)主務大臣の報告聴取、勧告、改善命令、これに従わない場合六月
以下の懲役または三十万円以下の罰金
(5)報道活動、学術研究、宗教活動、政治活動は、義務規定の適用除
外などである。
情報リテラシーの向上
リテラシー向上のために
情報の提供
IPA・ISEC
相談・指導
総務省利用環境
整備室の利用
情報教育
IT基礎技能講習事業
情報教育
IT基礎技能講習事業
目的
国民がITの基礎技能を修得すること
情報の提供
IPA/ISEC
情報の提供機関
対策情報 対策手段
啓発
セキュリティ情報の提供
相談・指導
総務省電気通信利用環境相談室
サービスが
受けられな
い
消費者
こうしなさい
トラブル
どうしたらいい
の？
相談室
企業
Ⅳ－１
セキュリティ対策の実行が高度情報社会の実現につながる
• ネクスト・ソサエティ
– 蒸気機関（技術的影響）→鉄道網（社会的影響）
– コンピューティング（技術的影響） →インターネット網（社会的影響）
• 次の時代に求められるものは正確さと安全
速く・大量に物
資を輸送するこ
とが重要
【 発展段階 】
時刻に正確に・
安全に運行す
ることが重要
【 成熟段階 】
高度な情報化社会を迎えるためには正確さと安全が重要