セキュリティ対策

1. セキュリティ対策 ネットワークシステム 第１３回

2. ネットワークを脅かすもの（脅威） • 多種多様 • 新たな脅威も • 対策方法もいろいろ • すべてを取り上げることは不可能 • 盗聴対策などの基礎としての暗号 • 不正アクセス対策の基本であるアクセス制限 “ネットワーク”の話ではない

3. 参 照 サ イ ト • PKI 関連技術情報http://www.ipa.go.jp/security/pki/index.html • リモートアクセス環境におけるセキュリティhttp://www.ipa.go.jp/security/awareness/administrator/remote/index.html • “5分で絶対に分かるファイアウォール”http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin00.html • 暗号の歴史http://www.mitsubishielectric.co.jp/security/learn/info/misty/

4. 暗　　号 “情報社会と情報倫理” で取り上げた

5. 注　　意　第１１回のスライド • インターネットで従来から使われていたプロトコルではデータはそのまま（平文で）転送されるものがほとんどである • つまり，盗聴されると筒抜けになる • 現在は，データを暗号化するものがある

6. 用語の確認 • 元のメッセージを平文（ひらぶん） • 暗号化したメッセージを暗号文 • 暗号文を平文に戻すことを復号 • 復号化と言わないことはない • 第三者が（盗聴した）暗号文を平文に戻すことは解読

7. 暗号の方式 • 共通鍵暗号 • 公開鍵暗号

8. 共 通 鍵 暗 号 古典的な暗号

9. 共 通 鍵 暗 号 （１） • 例　シーザ暗号 • 3文字後にずらすことにより，暗号化 • NETWORK → QHWZRUN • 3文字前にずらすことにより，復号

10. 共 通 鍵 暗 号 （２） • 暗号化も復号も，3文字ずらす • この3を暗号の鍵と呼ぶ • 3でなくても，かまわない • 暗号化と復号で同じ鍵を使う暗号を共通鍵暗号 同じ鍵

11. 共 通 鍵 暗 号 の 問 題 点 • 相手ごとに鍵を用意する • 多数の鍵の管理 • どうやって相手に鍵を渡すか

12. 公 開 鍵 暗 号 1970年代以降

13. 公 開 鍵 暗 号 （１） • 暗号化の鍵（key1とする）と復号の鍵（key2とする）が異なる • key1で暗号化した暗号文は，key2で復号できる（key1では復号できない） • この他の条件 • key2で復号できるものは，key1でしか暗号化できない • key1からkey2を簡単に割り出せない

14. 公 開 鍵 暗 号 （２） 重要なポイント 暗号化と復号で， 別の鍵を使う key1では 復号不可

15. 公 開 鍵 暗 号 （３） • A　暗号メッセージの受け手 • B　暗号メッセージの送り手 • A（受け手）が，　　鍵のペアーkey1とkey2を用意し，　　暗号化用の鍵 key1 をBに伝える　　（復号用の鍵 key2 は手元に保管）

16. 公 開 鍵 暗 号 （４） • B が A に暗号化メッセージを送信 • key1とkey2は，Aが用意する • 暗号化用鍵 key1 をBに渡す

17. Aに暗号化メッセージを送りたい人は誰でも，key1により暗号化すればよいAに暗号化メッセージを送りたい人は誰でも，key1により暗号化すればよい つまり，key1は秘密にする必要はない ただし，key2はAだけの秘密にしなければならない 公 開 鍵 暗 号 （５） ＣでもDでも誰でも

18. Aに暗号化メッセージを送りたい人は誰でも，key1により暗号化すればよいAに暗号化メッセージを送りたい人は誰でも，key1により暗号化すればよい つまり，key1は秘密にする必要はない ただし，key2はAだけの秘密にしなければならない key1をAの公開鍵（暗号鍵）key2をAの秘密鍵（復号鍵，個人鍵） 公 開 鍵 暗 号 （６）

19. 公 開 鍵 暗 号 （７） • つまり，B は A の公開鍵を使って暗号化し，A は A（自分）の秘密鍵を使って復号する

20. デ ィ ジ タ ル 署 名（１） • 誰が用意した文書か？ • ディジタル文書での署名（サイン）

21. デ ィ ジ タ ル 署 名（２） • 公開鍵暗号の応用 • RSAという公開鍵暗号では，秘密鍵で暗号化した暗号文は，対応する公開鍵で復号できる • 通常は，公開鍵で暗号化，秘密鍵で復号 • ここではRSAを用いるものとする

22. デ ィ ジ タ ル 署 名（３） A（だけ）が保管している Aの秘密鍵で暗号化したもの であることは分かる • Aからメッセージが届いた • Aからのメッセージであることを，どうやって確認するか？！ • それは，Aの公開鍵で復号できた（内容が分かるメッセージになった） • メッセージの送り主はA • Aの署名があるようなもの • 公開鍵で復号できるので，秘密保持は不可

23. デ ィ ジ タ ル 署 名（４） Bさんは， 間違いなくAさんからのメッセージであることが分かる さらに，メッセージが改ざんされていないことも分かる • http://www.ipa.go.jp/security/pki/024.html 正しくは，これが署名

24. 公 開 鍵 暗 号 • 公開鍵暗号では • 暗号化による秘密保持 • ディジタル署名による相手やメッセージが改ざんされていないことの確認 • RSA以外の公開鍵暗号でも可能

25. 公 開 鍵 暗 号 の 問 題 点 • 公開鍵を入手方法 • 認証局の証明書（詳細略） • 処理時間がかかる

26. ア ク セ ス 制 限

27. 例えば • あるネットワークにwebサーバがない • そのネットワークに，ポート80でアクセスされることはない • ポート80でアクセスされたら，それは不正アクセスの疑い • ポート80宛のパケットは破棄

28. 不正アクセスと思われるものインターネットの現実不正アクセスと思われるものインターネットの現実

29. ファイアウォール（１） • fire wall　防火壁 • 外部との境界に置き，外部からの不正アクセスを防ぐ 不正アクセス

30. ファイアウォール（２） • 外から内への制限だけでなく，内から外への制限を課す場合もある • なぜ？

31. ファイアウォール（３） • 通過させるパケットの指定と通過させないパケットの指定 • ここでは， • すべてのパケットの通過させない • 例外的に通過させるパケットを指定 • 通過させたパケット（通信）の応答のパケットは通過させる（特に指定しなくても）

32. ファイアウォール（４） • 通過させるパケットの • 送信元のIPアドレス • 送信元のポート番号 • 送信先のIPアドレス • 送信先のポート番号 を指定する • ただし，“＊”はすべてを意味する • 例 IPアドレスが“＊”の場合は，インターネット全体を意味する

33. ファイアウォールの例（１） • ホスト1はポート番号23で，ホスト3の任意のポート番号からのアクセスを受け付ける • ホスト2は，ホスト3からのアクセスを受けつけない

34. ファイアウォールの例（２） 通過させるパケットの指定 “192.168.20.1”の任意のポートから “192.168.10.1”のポート番号23への パケットは通過OK • ファイアウォールの設定 • （すべてのパケットの通過を禁止） • “192.168.20.1”，“＊”，“192.168.10.1”，“23” ポート番号23

35. ファイアウォールの例（３） • インターネットから，公開webサーバへのアクセスは可 • インターネットから，内部用webサーバへのアクセスは不可

36. ファイアウォールの例（４） 送信元のIPアドレスが任意　→ インターネット全部 送信元のポート番号が任意 → 制限なし • （すべてのパケットの通過禁止） • “＊”，“＊”，“192.168.10.5”，“80”

37. ファイアウォールの例（５） • 実際のネットワークは，もっと複雑 インターネットから・へのアクセス可能（DMZ） 組織内ネットワーク インターネットからのアクセス不可

38. ファイアウォール（５） • 以上，簡単なファイアウォールの例 • パケットフィルタリング • ルータの設定で可能 • パケットの内容までみて判断するようなものもある • 専用のハードウェア，ソフトウェア

39. ま　と　め

40. 暗　号（１） • 暗号をつかったアプリケーション • 暗号の応用 • と言ったことも重要

41. 暗　号（２） • 共通鍵暗号 • 問題点 • 公開鍵暗号 • 公開鍵と秘密鍵 • 暗号化・ディジタル署名 • 問題点

42. ファイアウォール • パケットフィルタリング