Linux Security: 第1章 - セキュリティとは
↑ | ⊗ | →
1.3 セキュリティの概念
セキュリティは社会生活ではなくてはならいもので、最も守備範囲が広い国家安全保障から、
監督省庁指針、企業ガバナンスとブレークダウンして考えると、ICTに関連するのは以下の3つ。
- 情報セキュリティ
いわゆる情報全ての保全で、紙や音声などといった古くからあるメディアも含まれる。
- コンピュータセキュリティ
情報のうち、電子データに対象を絞ったもの
- ネットワークセキュリティ
電子データがネットワークを介し情報交換される場合。
1.4 情報セキュリティ
最近特に話題性のある情報としては、「個人情報」がある。いわゆる名簿情報。
損害賠償請求の場合1件当たりの相場は500〜1,500円程度。
判例にもよるが、容姿や収入(富裕層)に係ると飛躍的に上がる。
過去、エステティック・サロン TBCの顧客名簿は1件あたり3万円、
証券会社の顧客(富裕層)も数万円。
1.10 情報セキュリティポリシーの構造
テキストにあるポリシーは IPA のガイドラインに基づいており、広義のポリシー。
より厳密には、以下のようになる。
- 情報セキュリティ基本方針(Policy)
Why : なぜ情報セキュリティが必要なのか?
- 情報セキュリティ対策標準(Standard)
What : 何を守るべきなのか、関係者の共通認識。
- 情報セキュリティ対策実施手順(Procedure)
How : どのように守るのか、日々の作業。
☞ IPA - 情報セキュリティ
1.11 セキュリティ関連の法律
テキストではかなり情報に絞っているが、ワンクリック詐欺、架空請求など
一般の「詐欺」も関連してくる。
網羅的にまとめているのは総務省のページ
☞総務省 : 国民のための情報セキュリティサイト
>基礎知識>情報セキュリティ関連の法律
* 2012/5 より不正アクセス禁止法が強化され、IDやパスワードの不正取得・保管、
他人のIDやパスワードの提供、これらを目的とした行為(フィッシング行為)も
規制対象となりました。 また懲役も1年から3年に引き上げられています。
2013/5 には番号利用法(マイナンバー制)と連携づけられています。
Keyword:
- 多因子認証 - MFA: Multi Factor Authentication
パスワードとICカードといいたように認証を複数の仕組みで行う。
指紋(fingerprint)、静脈(vein)、虹彩(iris)、顔(2D/3D face)などは生体認証 (biometrics)と呼ばれる。
- ワンタイムパスワード - OTP: One Time Password
サーバとクライアントで同じタイミングで乱数を発生させる。クライアント側の乱数発生器はユーザ毎に発生パターン(塩)を変えており、同時期に同じ値にならないよう工夫されている。
- クレーム・ベース - Claims-based
利用者に関する複数の情報を使う方法。例えば航空チケットであれば、氏名、便名、座席の組合せなど。最近では他の認証システムとの共同運用(SSO - Single Sign On)
- CAPTCHA(キャプチャ) - Completely Automated Public Turing test to tell Computers and Humans Apart
コンピュータによる力ずくの方法(Brute Force)や膨大なリクエストを回避する目的で、相手が人かコンピュータか判定する(Turing test)仕組み。
最近ではCAPTCHAを解析するサービスもあり、より複雑・直観的な作業を伴う仕組みも増えている。