Download
1 / 75
770 likes | 951 Views
教育現場で必要とされる 情報セキュリティとは? -個人情報保護法完全施行を控えて- -情報セキュリティを知る -. 日置慎治 帝塚山大学 経営情報学部/情報教育研究センター ( NPO 法人なら情報セキュリティ総合研究所). 昨日のニュースから 札幌刑務所受刑者データ流出. 受刑者データ8名分が流出 前科情報をFAXで送信する際、宛先を間違えた. 昨日( 2005/3/5 )の日経記事から 携帯ウイルス日本上陸. Cabir( カビール ) が日本上陸(F・セキュア社) 端末はボーダフォン 香港訪問の日本人が現地で感染した可能性
E N D
教育現場で必要とされる情報セキュリティとは?-個人情報保護法完全施行を控えて- -情報セキュリティを知る - 日置慎治 帝塚山大学 経営情報学部/情報教育研究センター (NPO法人なら情報セキュリティ総合研究所)
昨日のニュースから札幌刑務所受刑者データ流出昨日のニュースから札幌刑務所受刑者データ流出 • 受刑者データ8名分が流出 • 前科情報をFAXで送信する際、宛先を間違えた
昨日(2005/3/5)の日経記事から携帯ウイルス日本上陸昨日(2005/3/5)の日経記事から携帯ウイルス日本上陸 • Cabir(カビール)が日本上陸(F・セキュア社) • 端末はボーダフォン • 香港訪問の日本人が現地で感染した可能性 • 無線通信機能(Bluetooth)により近くの携帯電話に複製を送り込む • 「事実確認はまだだが、感染するとは考えられない」(ボーダフォン日本法人広報部)
昨日(2005/3/5)の日経記事から狙われる子供の個人情報昨日(2005/3/5)の日経記事から狙われる子供の個人情報 • 1409件の相談 3年で30倍(国民生活センターへのトラブル相談件数) • 架空請求・ダイレクトメールなど • 6-17歳の子供の個人情報に関するトラブルはネット関連が約9割を占める • 「無料」につられメールアドレスなど安易に登録 • 電話や路上アンケートで同級生や名前、電話番号などを聞き出される子供も • 「子供は大人に比べ個人情報に関する危機意識が薄い。周囲の大人の目配りが必要」
教育現場で必要とされる情報セキュリティとは?教育現場で必要とされる情報セキュリティとは? • 教師(学校)としての情報セキュリティ問題 • 個人情報(成績、学生データ他)漏えい • 機密情報(入試問題他)漏えい • 情報の改ざん • 学内ネットワーク停止 • ウイルスによる被害・加害 • 教育内容としての情報セキュリティ • 生徒に何をどう伝えていくか • 情報倫理、被害者・加害者にならないために • ウイルス被害、ネット詐欺などに対する正しい知識 もっとも大切 だが、困難?
帝塚山大学(今年度2つのGPに採択) 経営情報学部にて「情報ネットワーク」担当 情報教育研究センター長、教育情報化コーディネータ、CCAI NPO法人「なら情報セキュリティ総合研究所」 自治体等のセキュリティポリシー策定支援 情報セキュリティに関する啓発活動 専門は 素粒子物理学(計算物理学モンテカルロシミュレーション) 並列計算・ハイパフォーマンスコンピューティング コンピュータネットワーク 日置って誰? 自己紹介
「情報ネットワーク」講義紹介 --講義のデジタル化と厳格な出席管理 -- 多様な学生に対する具体的な対応 • 欠席による進度の遅れ 対応策:講義のデジタル化と厳格な出席管理 (1)講義のデジタル化 講義映像をデジタル化したビデオ教材を用意し、講義の翌日から学生はサーバへアクセスし臨場感あふれる講義を「受講」することが可能。 ※帝塚山大学のTIESを積極的に活用 TIES(Tezukayama Internet Educational Service)
「情報ネットワーク」講義紹介 --講義のデジタル化と厳格な出席管理 -- TIES講義「情報ネットワーク論」http://www.tiesnet.jp
「情報ネットワーク」講義紹介 --講義のデジタル化と厳格な出席管理 -- (2)厳格な出席管理 • レポート提出が出席点に • 講義を欠席した場合にはデジタル教材を学習し、レポート課題を提出することにより出席した場合と同等に扱う(現在のところ講義後、1ヶ月程度の猶予) • 出席を厳格化 • 欠席した回の内容を学習していないことによる学生の理解不足が多少なりとも解消 • 1)授業中の質問の内容からまったく理解していないと思 われる学生の数が減った • 2)「何度も繰り返し見たのですが、それでもここがわかり ません」という質問の焦点が明確 学生証に印刷されたバーコードを読み取り、出席データを作成する「バーコード出席管理システム」を活用 これは私と学生との共同制作(2003年度卒業研究)
講義紹介 シスコネットワーキングアカデミーhttp://www.cisco.com/japanese/warp/public/3/jp/event/training/academy/success/ • ケーブル作成から、ルータの設定、ファイヤーウオールによるアクセス制御などをルータ実習を通して学習(CCNA取得を目標) • 社会人(聴講生)、他大学の学生(単位互換)、高校生(高大連携)なども受講中 access-list 100 permit tcp any any establishedaccess-list 100 permit tcp any host 160.244.156.138 eq 80access-list 100 permit tcp any host 160.244.156.139 eq 25access-list 100 permit tcp any host 160.244.156.140 eq telnet・・・
NPO法人「なら情報セキュリティ総合研究所」 インターネット安全教室
Nara Prefectural Police 平成17年2月24日 企業における情報漏えいとセキュリティ対策 データ漏えい犯罪の現状 奈良県警察本部生活安全部 高 橋 正 樹
些細なことが大事に!! ・使っていたパソコンを買い取りに出した ・パソコンが盗難にあった ハードディスクが復元され、情報が流出 【対策】 ハードディスクを復元できないように消去する 物理的に破壊する パソコンだけではなく、フロッピーディスクや USBメモリーなども置き忘れ、盗難にはご注意を!!
些細なことが大事に!! セキュリティ対策製品の利用 最近では、コンピュータのBIOS認証やHDDのパスワード設定、 指紋認証、セキュリティチップ等不正使用を対策する製品もある セキュリティポリシーと利用者への教育 最悪の場合を想定したセキュリティ対策が必要!!
Nara Prefectural Police 情報漏えいの事例3ーウィルスの感染による情報漏えい 私物パソコンの公務利用 重要な情報を保存 持ち帰っていいの? セキュリティポリシーは?? そのパソコンでインターネットに 繋いだ ウィルス対策とかアップデートて?? セキュリティの認識不足 http://www.mainichi.co.jp/digital/network/archive/200403/29/5.html
狙われる家庭内無線LAN AP:アクセスポイント =接続点 野良AP =セキュリティの甘いAP 64%が無防備状態 http://www.mainichi-msn.co.jp/search/html/news/2004/11/17/20041117org00m300105000c.html
Nara Prefectural Police 不正アクセス行為対策等の実態調査 調査対象 全国の企業、情報通信関連、 医療関連、教育関連、 行政サービス機関から 2,000件を抽出 調査方法 郵送調査方式 (回答率36.6%) http://www.npa.go.jp/hightech/cyberterror/nsresearch07/index.htm
Nara Prefectural Police 無線LANのセキュリティ対策 全体の37.9%の事業体で利用されている 盗聴対策 WEPの暗号化 58.2% ESS-IDの適切な設定 41.8% MACアドレス認証 35.3% 磁気遮蔽 0.4% 特に行っていない 13.5% 3つのすべての対策を行っている事業体は14.9%
ほうら、ここにもいたよ。 鍵の掛けていない無線LAN! 早速、つないでみるか ・・・・・ 使えそうだ!地図に落としておかなきゃ Nara Prefectural Police 無防備な無線LANの問題点 ある日、あやしい人物がTさんの家の前で、車を止め、何かはじめました。
今日は、ここの家から不正アクセスして やろう。 オークションに出品して、あとはカモが 引っかかるのを待つだけだ。 ついでにイタメールを送ってやるか・・・・ クラッカー Nara Prefectural Police 無防備な無線LANの問題点 数日後、あやしい人物が車を止めて、中でコンピュータを使っていました。
Nara Prefectural Police 無防備な無線LANの問題点 無防備な基地局 セキュリティのかかっていない 無線LANは、匿名アクセスの温床 インターネットが使い放題 掲示板への書込、オークション詐欺、ウィルスの送付 内部のコンピュータへの侵入 情報漏洩、不正アクセス
野良APをどうやって探すか!? インターネット上のフリーソフト「Network Stumbler」を利用する 無線LANに接続できるかできないか一目瞭然 暗号化されている基地局
Nara Prefectural Police 無線LANのセキュリティ設定 無線LANのセキュリティは、あまり高くありません。 しかし、何もしないわけにはいかないのです。 最低限、次の3つの設定をする必要があります。 ①ESS-IDの設定 無線基地局の名前です。 ②MACアドレスのフィルタリング 接続するコンピュータを制限します。 ③WEPによるデータの暗号化 データを覗かれないように暗号化します。 無線LAN製品の殆どは初期状態で使うことは、危険です。
Nara Prefectural Police 無線LANのセキュリティ設定 無線LANのセキュリティは、あまり高くありません。 しかし、何もしないわけにはいかないのです。 最低限、次の3つの設定をする必要があります。 ①ESS-IDの設定 無線基地局の名前です。 ②MACアドレスのフィルタリング 接続するコンピュータを制限します。 ③WEPによるデータの暗号化 データを覗かれないように暗号化します。 無線LAN製品の殆どは初期状態で使うことは、危険です。
Nara Prefectural Police 新たなサイバー犯罪の手口 フィッシング(Phishing) フィッシングとは Yahooなどの企業を騙って、偽のメールを送りつけ、人のクレジットカード番号 などを盗む手口のひとつとして、最近流行しています。 フィッシングは外来語で、しかも、造語です。 Phishing = sophisticate + fishing (洗練された手口) (魚釣り:獲物を釣る) 警察庁では 「フィッシング(Phishing)」とは、銀行等の企業からのメールを装い、メールの 受信者に偽のホームページにアクセスするよう仕向け、そのページにおいて 個人の金融情報(クレジットカード番号、ID、パスワード等)を入力させるなど して個人の金融情報を不正に入手するような行為であり、その情報を元に 金銭をだまし取られる被害が欧米を中心に広まっています。 今後、日本においても同種の形態による被害が発生するものと思われます。
Nara Prefectural Police 日本でのフィッシング被害 日本でも次の企業が、名前を語られたと公表しています。 ○JCB ○Yahoo! JAPAN ○イーバンク ○ビザ、インターナショナル これらのメールのように不特定多数 に大手企業を騙って送信し、 個人情報を入力させようとします。 クリックすると・・・ Yahooを騙ったメールの例 偽のページへ誘導!
Nara Prefectural Police フィッシングの被害にあわないために ○宛名に注意 宛名に、個人を識別するもの(自分の名前、ID、口座番号等)が記載されていない 場合には、不特定多数に配信している詐欺メールのおそれがありますので注意しま しょう。 ○検索サイトや「お気に入り」からアクセス メールに記載されているURL(偽のホームページへ誘導する)をクリックするのではな く、自分であらかじめ登録しておいたURLやインターネットの検索サイト等の信頼の おけるところから当該企業のHP(ホームページ)へアクセスするようにしましょう。 また、個人情報を入力する際は、ブラウザの鍵マーク(SSLで保護されたページか) や、警告が表示されないか確認しましょう。 ○企業の実際の窓口に確認 個人情報・金融情報を聞き出そうとするメールに対しては、送信元の企業の実際の 窓口に電話等で問い合わせ、メールを配信したかどうかを確認しましょう。
Nara Prefectural Police 新たなサイバー犯罪の手口 ファーミング(Pharming) フィッシングの進化形!? 種さえまけば、 えさをまかなくても 収穫できる 偽のサイトへの誘導 ・ウィルス・ワームを使う ・DNSサーバに虚偽の情報 を書き込む http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/
Nara Prefectural Police サイバー犯罪に対する警察の体制 都道府県警察 警 察 庁 サイバー犯罪対策 プロジェクト 都道府県警察間の連絡・調整、指導 情報技術犯罪対策課 ● サイバー犯罪捜査官 ● 情報セキュリティ ・アドバイザー ● サイバー犯罪に 対応できる装備資機材 情報技術の解析に関する技術支援 情報技術解析課 技術センター ◇ サイバー犯罪の取締り ◇ 情報セキュリティに関する広報啓発 ◇ 産業界等との連携の強化 ◇ サイバーパトロール ◇ サイバー犯罪等に関する相談への対応
セキュリティポータルサイト http://www.cyberpolice.go.jp
4月から施行 個人情報保護法に不安6割
個人情報保護法とは? ・個人情報は組織のものではなく、「本人」のもの 「本人」には自分の個人情報をコントロールする権利がある ・「本人」からの開示要求に応える必要 窓口が必要、本人確認を厳密に、消去法も検討 ・利用目的を「本人」に通知、またはHPなどで公開 目的外利用はダメ! ・情報漏えいがあれば、行政処分 明確な目的がない情報は、破棄するのがベター ・5000名以下の組織は適用外? 安心するのではなく、あくまでも組織としてのモラルの問題と 考えよ。(「本人」の身になって考えればよいのでは?)
個人情報漏洩事故(数字は概数) • 660万人分の顧客情報(プロバイダ) • 140万件のIP電話通話記録も流出 • 116万人分の顧客情報(消費者金融) • 90万人分のカード会員情報(石油会社) • 60万人分の顧客情報(私鉄、旅行代理店) • 30万人分の顧客情報(プロバイダ、通販) • …
情報漏えい事故データベース(例:MIS月間情報セキュリティ)http://www.monthlyiso.net/SITE1PUB/sun/7/news/report235.html情報漏えい事故データベース(例:MIS月間情報セキュリティ)http://www.monthlyiso.net/SITE1PUB/sun/7/news/report235.html
個人情報保護法にむけて情報セキュリティ対策セキュリティポリシーを軸に個人情報保護法にむけて情報セキュリティ対策セキュリティポリシーを軸に • 物理的対策 • 盗難対策、施錠、隔離 • 人的対策 • 教育、啓発、相互監視、記録 • ソフト的対策 • 認証(パスワード、指紋etc) • ウイルス対策ソフト導入、保守 • 不正アクセス対策(IDS,FWなど) • データの暗号化 • 無線LANの危険性
情報セキュリティ対策物理的対策 • 盗難対策、施錠、隔離 • 機密情報は別室に保管 • ネットワークなど繋がない • 鍵をかけるとともに、入退室チェック • 監視カメラ • PCはケーブル等で机と固定 • USBなど外部メディアの口を塞ぐ • 使用時以外はロッカー等に保管 • PC等持ち出しは厳禁とする
情報セキュリティ対策人的対策 • 人的対策に勝るものなし! • 教育、啓発 • 内部犯行を防ぐにはこれしかない! • 無知ほど怖いものはない • 記録(入退室記録、アクセス記録など) • 古典的な手法であるがいざというとき役立つと同時に、抑止力にもなる • 相互監視 • 重要データにアクセスするときは複数で行う、あるいは声を出すなど
情報セキュリティ対策ソフト的対策 • 認証(パスワード、指紋etc) • ウイルス対策ソフト導入、保守(スパイウエア等も含む) • 原則としてパターンファイルを越えられない • 「前に導入した」では意味がない、保守を • 不正アクセス対策 • ファイヤーウオール(FW)…プロトコルや宛先、送信元など不正なパケットをアクセスリストにより遮断 • 不正検知システム(IDS)…Dos攻撃など上記では対応できないような不正な動作を検知する • データの暗号化…持ち出しには義務づける • 無線LANの危険性…安易な設置は命取り
セキュリティポリシー • 情報セキュリティ対策として • 技術的対策はもちろん重要であるが、加えて • 組織の仕組みの整備が必要(トップダウンで!) → セキュリティポリシーを軸に • セキュリティポリシーのPDCAサイクル • Plan…策定、組織 • Do…教育、運用 • Check…検査、監査 • Action…見直し
セキュリティポリシー3階層 • セキュリティポリシーの3階層 • 基本方針…組織の方針を明示、憲法に相当 • 対策基準…遵守するべきルール • 実施手順…現場でおこなう具体的なマニュアル • 組織によってはこれにこだわる必要はない • 具体的に動ける仕組みがもっとも大切 • 絵に書いた餅では意味がない 教育
セキュリティに関するニュース(例:IT保険.com)http://www.it-hoken.com/cat_eeeaei.htmlセキュリティに関するニュース(例:IT保険.com)http://www.it-hoken.com/cat_eeeaei.html
教育内容としての情報セキュリティ生徒に何をどう伝えていくか教育内容としての情報セキュリティ生徒に何をどう伝えていくか • @Policeなどを積極的に活用 • データ記録の仕組み・消去 • 情報を安全に取り扱うには、データの暗号化 • 敵を知り、己をしれば… 知っておきたいウイルス情報 • 実習を通した体験学習
ファイル削除やフォーマットではデータは完全には消えないファイル削除やフォーマットではデータは完全には消えない • ファイル削除は、ファイルの管理情報として「使われていない」とするだけ。 • ファイル内容自体は消去しない。 • 復元ソフトを使えば復元可能 • ファイルのあった場所にランダムな情報を上書きすることがある程度有効(磁気情報は完全にはなくならない) • 物理的に壊すのが最善? • 米国におけるデータ消去基準 • 空軍(4回書き込み) • 陸海軍(3回書き込み) 管理エリア データエリア
データの暗号化 複数回の書き込みによる完全削除機能 • 暗号化とは? • シーザー暗号化実習(情報ネットワーク1第7回) • 便利な暗号化ツール • アタッシュケース(フリー) • http://www.vector.co.jp/soft/dl/win95/util/se280871.html
知っておきたいウイルス情報 • 携帯電話も感染(カビール, 2004/6) • PocketPCも感染(ダッツ,2004/7) • 話をするウイルス(アムス,2004/9) • 9割のPCにスパイウエアが • 意図しないうちにPCに入り、害を及ぼす • ソフトウエアのインストール許諾を装うものも • 差出人詐称ウイルス • 「はがき」の差出人は本当に正しい? • フィッシング、ファーミング
コンピュータウイルスについておさえておきたい3つの事コンピュータウイルスについておさえておきたい3つの事 • どこからでも感染する • 有線のみならず、無線でも • PC、携帯電話、ポケットPC… • ウイルスはどんなことでもできる • ウイルス作成者が決めたことを実行するのがウイルスプログラム • 放っておくと、自分が加害者になってしまう • いつまでも被害者ではいられない
教育内容としての情報セキュリティ例:実習授業教育内容としての情報セキュリティ例:実習授業 • ウイルス対策実習 • 拡張子詐称ウイルス体験 • シーザー暗号を使った暗号化・解読実習 • 講義「情報ネットワーク論」から抜粋 • 暗号化、解読HP • アタッシュケースを使った、ファイル暗号化実習・実践のすすめ
何はともあれ、ウイルスの情報を知る • 大事なことは、正確な情報を得るということ。 • 残念ながら、友人からの電子メールで得た情報には、 • 1)その友人の得た情報が正しいのかどうか? • 2)本当にその友人からのメールなのかどうか? • など不確定要素があることは否定できない。 • 警察庁セキュリティポータルサイト@police • http://www.cyberpolice.go.jp/ • ダウンロードしてビデオや講義を学習可能
ウイルスに感染してしまったら・・・? • あなたの目の前のパソコンが急に変なメッセージを発したら? • あなたが予期しない動きをしはじめたら? • メール添付ファイルをクリックしたら急にパソコンが不安定になったら? • ウイルスに感染している可能性が大です。 • (問)そのとき、最初に何をすればいいでしょうか? • パソコンの電源を切る • パソコンショップに飛んで行き、 ウイルス対策ソフトを購入する • ネットワークのケーブルを抜く
