ビデオを始めます まず第1回目ですけどもこのような形の 内容で進めていきます まず最初に情報セキュリティの基本要素に ついてですまず情報セキュリティというの がどういうことを扱うかということに関し て最近 起こってる事柄というものをまとめていき たいと思います ここでは近年 起こった セキュリティに関する事象ですねそういう ものとして何が起きるかというのを 示していますで例えばですけども2018 年コイン チェック者から 暗号資産と呼ばれるいわゆるビットコイン のようなものですねそれの被害額っていう のが 580億円出てますこれは ウォレットの秘密鍵が盗まれたということ が原因となってますそれから2021年の 1月から12月までのフィッシング 報告件数これはフィッシングというのは フィッシング詐欺と呼ばれるもので後で 実際に例を見せますけどもこれが 5216,504 件この数字は2020年の 約2.3倍という風になってますそれから 昨年2022年 北朝鮮のハッカーグループと思われる 攻撃者による 暗号資産の不正なダッシュコロナ被害額は およそ 780億円という風になっていますこう いう形で社会に対してセキュリティが 被害を受けるということが起きています こういう情報のことを特にセキュリティ インシデントと呼びますセキュリティに 関する何らかの事件だという風に考えて くださいこのインシデントの発生という ものを これによる被害っていうものを最小化する こういうことを目的に 組織的社会的に行われる防衛活動ですね これのことを 講義の情報セキュリティという風に呼んで おります で具体的なフィッシングの例ですけども フィッシングっていうのはユーザーを 罠が仕組まれたサイトに引っ張り込むこと によってその罠にのサイトで IDとパスワードを入力させてそれらの 情報を盗み取るこういったことが行われ るっていうのがフィッシングと呼ばれる ものですフィッシングのツールとしては 電子メールというのを使われることが多い んですけどもそれ以外に最近ではSMS等 のメッセンジャーを使った遠いというのが ありますでこれは実際に私のところに来た 住信のメッセージになりますけどもここで この Amazon何がすって書いてあるところ この後ろのところは実際のドメインとは 違ってるんですけども一応念のため伏せて ありますこういう SMSを送ってきてユーザーがここの リンクをクリックすると 罠サイトに飛ばされてそこでIDと情報が 盗まれるといったことが起きますそれから こちらの方もフィッシングに関する メッセージが来たものですけどもこれは ですねこういうリンクが来ますここでは auの未納料金によるよってなんか支払い をしなきゃいけないということなんだけど も私の場合はauの回線は一切使ってない のでこういうことが来ること自体が おかしいということでこの時点で フィッシングであるということに気づく わけです ところがこういうフィッシングあるいは スミッシングと呼ばれる 詐欺情報を詐欺 攻撃ですねというのはユーザーの隙をつい て行われるもので例えばこちらの方は実際 にその フィッシングのメール等々で使われる サイトにアクセスした場合にどういう ところに 案内されるかということですまずこの左側 の方はここに示してある通りこれは Amazonそのものの正しいURLに なりますでこれに対してこっち側は 攻撃者が送ってきたリンクで示されるもの で Amazonとは違う変なサイトに来てる んだけどもこの2つのサイトっていうのは 見た目は全く同じように見えるということ でちょっと油断するとすぐ騙されちゃって ここでログインのパスワード等々を入力 するとこれは攻撃者に盗まれるとこういう 事象が起きます ということで情報セキュリティというのは こういうものが 盗まれないような対策を打ちましょうと いうことなんだけどもそこで基本を構成 する情報セキュリティの基本要素という ものがありますこれは最終的に英単語の 頭文字を取ってきてCIAという言葉で まとめることができますまず第一の項目と しては 秘匿性というものがありますでこれは情報 を 暗号化するなどして 権利を持たない対象不適切な対象には見せ ないようにするということがありますで この秘匿性の 典型例としては 暗号化することによって特定の情報が他者 に漏れないようにするということがあり ます 次に情報セキュリティの基本要素の2番目 完全性という言葉がありますこれは英語の インテグリティこれを翻訳したものになり ますこの完全性というのは情報が 完全な形で保たれ 偽造とか改ざんがされてないということ それを検出できることなどを指します でこれに対しての対策 技術例としてはデジタル署名と呼ばれて いるものあるいはハッシュ関数を利用する というものが挙げられますこれらの 技術を適切に使うことによってデジタル データの改ざんとか偽造っていうのがなさ れないようにしますよということです3番 目が 可用性と呼ばれる性質でこれは英語の avierabityから来ていますこの avabilityっていうのはどういう 特徴を持つかというと情報を利用する権利 がある人はいつでも利用できますよとこう いう性質をさせますでこの 権利を持つ人っていうのを認証するための 美術として個人認証とか バイオメトリックスという生体情報なんか がありますこの正しい 権利を持ってる人かっていうのを確認 できればいつでも利用させましょうという ことでこれによってドス攻撃とかランサム ウェアといったものに対応することができ ますそれからさっきの 秘匿性ですけどもこれは英語で言うと コンフィデンシャリティと呼ばれている ものになりますこの コンフィデンシャリティのCと インテグリティのiとそれから アベラビリティ 可用性のAこれをまとめるとCIAという 風になってこの3つを守るということが 情報セキュリティの基本ということになっ ています でこのCIAに対する攻撃例ですけども これの例としてはここ数年で 顕著になってきた攻撃としてランサム ウェアというものがありますこれは 攻撃対象の情報システムこれの記憶 デバイスですね例えば SSDとか ハードディスクとかこういったものを 一括して暗号化してしまうことによって そのシステムを利用できないようにし ましょうともし利用できるようにしたけれ ばこの複合この暗号化したデータを元に 戻す 複合会議を 渡してもいいけども私が欲しかったら 身代金を払ってくださいというようなもの になっています 一番最初のランサムウェアっていうのは こういう身代金を要求するっていうところ からこのランサムっていう名前が来てるん ですけれども最近は単純に暗号化するだけ じゃなくて 攻撃者はまずこの 攻撃対象の情報を盗んでくるわけですその 情報を盗んできた情報を公開してもいい ですかとこういう形で脅しをかけるという ことがありますで本来個人情報等が含まれ てる場合にはそれは安易に公開されては 困るということでこの場合にはさっきの 秘匿性っていうものが失われることになり ますそれから 攻撃者は 暗号化した情報をそのまま 被害者に対して渡すだけではなくて 暗号化する情報を勝手に改ざん書き換えと かをしたりした上でそれを 暗号化してそれを元に戻していいよという ような形で 複合感が提供する場合がありますこの場合 にはこの盗まれた情報に関して 完全性が失われてる書き換えられてる可能 性があるというようなことがありますそれ から このランサンドウェアの場合には とりあえずここで暗号化された段階で 情報システムが使う情報にアクセスでき なくなるということになりますつまり使い たい情報にアクセスできないということに なるんでこれによって 可用性というのが失われるとこういうこと になります 情報セキュリティをサポートする技術って いうのはいろんなものがあるんですけども この事業で扱うセキュリティ技術としては まず最初に危篤性の担保のために使われる 暗号ですそれからデジタルデータの 完全性の証明のために用いられるデジタル 証明技術というものがありますデジタル 署名技術っていうのは 暗号技術の一つの公開鍵暗号をうまく利用 することで出てくる技術になりますでこれ らの 暗号化等の 技術と ネットワークというものを組み合わせる ことでいろんなことが達成できるように なってきますで暗号を使ったいろんな共同 作業みたいなものですねそれのことを 暗号プレイいうふうに言いますで暗号は 単純にPCの上に乗っかってる技術情報を 保護するだけじゃなくて ネットワークを介してやり取りされる情報 これのセキュリティというものも考えて いくがありますそれらを支える技術を総称 してネットワークセキュリティという風に 呼んでいますそれから 暗号と似た技術に情報ハイリングという ものがありますこれはあるコンテンツの中 に別の情報を 隠しておくそういった技術を指しますけど もそれ以外の使い方なんかもあるので とりあえずここでは情報ハイディングと いうふうに呼んでおきますそれからこう いう技術があった時にその技術が適切に 設計したものではないんであればそこに その セキュリティの問題っていうのが出てくる ことになりますなのでこれらの技術を使っ てきちんと情報システムを作ってるかどう かといったようなことを評価する必要が ありますそういう話でセキュリティ評価 っていうのが出てきますあとはこの情報 セキュリティというのは情報を悪用したり あるいは 素人が無知なために気づかない形で相手に 情報を渡してしまうといったようなことが あり得ますつまり人間の心理的な要件って いうのが結構重要になりますそこで関連し た言葉として情報倫理ということが出てき ますこういうことに注目してこの授業は 進めていきます で情報セキュリティは今見た通りいろんな 技術を組み合わせることによって 作られているものになりますけどもまず ここで出てきてるのはさっき出てきた 暗号プロトコルと呼ばれているものになり ます 暗号プロトコルスの他 0知識証明っていう ネットワークを介して自分が知っている 秘密を相手に漏らすことなく自分はその 知識は知っているということを証明する なんていう不思議なことができるように なっていますそういうところで活躍するの がこの共通鍵暗号とそれから公開鍵暗号 あるいはハッシュ関数と呼ばれる特殊な 関数それの一つの応用であるデジタル署名 こういったものを使うことでこの暗号 プロトコルとか 0知識証明っていうのが作られることに なります で特にこの公開鍵番号デジタル照明に関し ては数学の中の整数論それから代数系と いうものを使って構築されていくそういう 関係にあります 次に ここで出てきているpkiとか インターネット 基盤というものがあります先ほど話した 通り情報セキュリティといった場合には 単純に1台のPC上のセキュリティを担保 するだけではなくてPCとPCをつなぐ ネットワークこのネットワークを介して 送られる情報これらに関しても適切に セキュリティを保障することが必要だと いう話になりますその ネットワークを暗号化するための基盤とし て使われるのがここに書いてあるhpki パブリックインフラストラクチャーである とかあるいはインターネットそのものと いうのがこの ネットワークの基盤になるという風に 考えることができますでここの セキュリティを担保するのによく使われる ものとしてまずはファイアウォールという 余計なものを ネットワークの内側に入れないあるいは ネットワークから漏れないようにするそう いう技術がありますそれをもうちょっと 進化させると ネットワークを介して 侵入してきた敵を 検知するとかそもそも 侵入ができないようにする防止技術こう いったものがありますあるいはその ネットワークを超えて内部のネットワーク に入る際にはユーザーが誰なのかという ことをきちんと特定しなくちゃいけないん だけどもその時に最近だとこの生体認証 バイオメトリクスと呼ばれているものが 使われるようになっていますこれを典型例 としては指紋であるとか顔ですね顔の画像 こういったものを使って本人であるかどう かというのを 認証する技術ってのが必要になってきます それからその情報システムといった時に その情報を表現するものにはいろんなもの があるんだけども例えば動画 像 静止画像こういったコンテンツの中にそれ をサポートする情報を秘密に埋め込むこう いう技術がありますこういう技術を総称し て情報ハイディングと言ったりします あるいは特にコンテンツの保護を目的と する場合には電子化しという場合もあり ますこういう情報コンテンツを守る技術 なんかが入ってるというのがこの 信頼できるコンテンツルーツソフトウェア 開発というものになりますで ネットワークを介して所有権が正しく ある人からある人に 渡されているそういうことを保証する技術 の一つにこの トークン通称NFTと呼ばれる技術があり これはいわゆるビットコインのような 暗号資産の技術の発展系として生まれてき たものだけども何かの所有権というものが 正しくある人からある人に伝えられたと いうようなことを 暗号等々の技術を使って渡そうというもの になりますこういう感じで ネットワークを流れるコンテンツこれの 権利っていうのをきちんと評価しましょう というようなことをする場合にこういう ものを作っている 使っている製品それがどのぐらいきちんと 整備されたものなのかというのを評価する 必要がある場合がありますそういうものを セキュリティ評価というふうに呼びます