第2回インターネットセキュリティセミナー結果
日時
1.原会長あいさつ
愛媛県
情報スーパーハイウェイ
愛媛スクールネットの整備
進展
大きな利便性の裏に各種犯罪が増加している
3年目
官民一体の活動
発足当時16団体が36団体となっている
今後のネットワーク社会の健全な発展のため、
よりいっそう努力していきます
2.新津社長あいさつ
宇和島ケーブルテレビ社長新津社長
インターネットの発展に伴い平静11年ケーブルインターネット事業の展開
それがきっかけとなり町が変わろうとしている
行政スクールネットワークの構築
行政インフラネットの構築
商工会議所ショッピングモール
地元商店街共通ホームページの構築
至る所でインターネットの普及が一気に発展している
セキュリティの問題
常時接続
従来こうしたセミナーが都市部、県庁所在地で行われているのが通常であるが
地方でこのようなセミナーが開かれることに意義がある
宇和島水産高校ホームページ不正アクセス問題
ホームページ再開に尽力お礼
インターネット世界の健全な発展の陰にこうした団体がいる
森井教授徳島大学教授
〜サイバーテロからウイルス汚染までの実態と対策〜
1994年長崎大学と愛媛大学の間で交換授業を行ったことがある
(今では当たり前であるが)
WEBの電子新聞を作成してみた(画像を組み込んでみたもの)
国内
頻繁に起こるWEBの書き換え
データ漏洩
WEBの利用・悪用
手軽なメール
携帯電話の発達
本来のインターネットではないが、
Iモードが発展してますます一般人にインターネットが
身近なものになっている
新しい文化が押し寄せている
それに対する摩擦がますます大きくなっている
2月19日以降ある特定の団体から日本のサイトが攻撃されている
ホームページの書き換えが行われている
昨日あたりは北海道が軒並みやられている
跡を残しててくれる場合は助かる
跡を残してくれない場合が困る
JNBとかは、シンプルな跡を残す
本日のメニュー
1 it革命の意味と社会変革
新しい文化と求められる意識改革
2 ウイルス
その意味と対策
3 文化摩擦
秩序なきパワーの行方
4 不正アクセスの現状
いかにして侵入するか?
日本は16ビットの文化圏
欧米は8ビットの文化圏というOSの違いから
ウイルスや不正アクセスにしても成功しない場合があるため、
アメリカ等でやられていることが爆発的に入ってこない
1 IT革命の意味と社会変革
読み・書き・そろばんにインターネットを取り替えるならまだ江戸時代
一部の人しか知らない世界
これから明治維新に入っていくがまだ日本では明治維新が始まらない状態
これから明治維新に変わっていくために最も重要なものは教育である
明治政府も教育に力を入れた
しかし学校の先生方がどうしてよいか分からないという状態である
デジタルデバイドの解消を目指している
「処遇の平等」から「機会の平等」へ
IT講習会が、地域商品券と同じような状況になってしまわないか?
一時的にパソコンが売れるだけ
単純に平等になる話ではない多くの人にチャンスを
与えるということに重点をおかないと失敗する。
ネットワークを多くの人が使うようになったのだが、
おかしな使われ方が多くなっているということが底辺にある。
パソコンとインターネットの違い
パソコンとは技術・インターネットとは理念であるから
双方を教えなくてはならない
Ipv6ネットワークの構築
プロトコルも変わってくる・アドレス空間も大きくなる
エンドtoエンド双方向通信(本来の通信)が可能になる
技術的な不足から自由な環境ではないのが現状である
なぜIPV6なのか
アドレス不足
インターネットへの対応が遅れた日本
特に企業は深刻
国際競争力の確保
ネットワーク技術はアメリカが握っている
問題は技術者不足である
ハッカークラッカー
アメリカやヨーロッパでこれらが多い理由
名前を売ったら高給で企業に雇われる
罰金より後々の生活がいい方がいい
日本ではまだ倫理観があるのでそこまで多くない
2 ウイルス
一時停滞していたが、今年度からまたはやりだした。
ITAへの届け出参考
届けでがあったもの1月で500件実数はかける100であろう
自分のところが被害を被ったのに喜んで申告しない
申告することでメリットもあるのだが
やられていることすら分からない会社が一番悪い
(結構多い市町村レベルのところに多い)
おもしろいウイルスが出てきた(技術的には大したことはない)
ラブレターウイルス
怪しいメールは開かない
感心を引くようなファイル名で興味を抱かせて開かせ感染させる
最近のツールは便利になってきている
安全性とトレードオフの関係になっている
ウイルスと言うものは全部悪いのか?(ワーム)
そうではない
ワーム→ウイルスと表裏一体のもの
勝手に移っていってシステムを修理していくもの
ウイルスではない→ネットワークエージェント
ネットワークエージェントの研究は大切だが、
一歩間違えるとインターネットワームとなってしまう。
19989年にアメリカではやった際には、
研究室で研究していたものが誤って世界に流れてしまった。
(CPUパワーを止めてしまうものであった)
ウイルスマップによるリアルタイムのウイルス情報
日本はあまりはやっていないようである
アメリカ・オーストラリアが多いようである
コンピュータウイルスの定義
まだまだ愉快犯がタイプのものが多い
実際に恐いのは愉快犯ではないタイプである
トロイの木馬タイプの中でもバックドアを仕掛けられ、
個人情報ファイルを探し出して外に送り出すタイプ。
しかもそれが分からないようになっていて、
ある日そのウイルスは消えている。
ウイルス検知ソフトは、分かっているものを防ぐものだから完璧ではない。
日々の管理によってウイルスを防ぐ必要がある。
最近のウイルスの傾向は、どういうようなことをやるのか分からないタイプ
暗号化しているために解析できず、なにが起こるのか分からない。
どんな症状を起こすのかの全容はまだ分からない
今年度一番はやったタイプ
渦を巻くタイプ
最も恐ろしいウイルスはデマウイルス
にせのウイルス情報のこと
クリスマス前とかに多い
人を混乱させる
善意の人を巻き込むだけに始末が悪い
チェーンメールになってシステム破壊につながる
有害情報
怪文書(悪質な中傷や詐欺も
信じられないスピードで自己増殖される
途中に別の情報がくっついてくる
その上にインターネットはまだ理解されていない
インターネット=マスコミと思っている=なんでも正しいと思っている
インターネットによるとなどと書かれている新聞もある
情報伝達の制御ができないという問題が起こっている。
インターネットの中にある真実の情報をいかにみつけるのか
基本的な考え方はエンドtoエンドの通信である
自己責任の世界である 匿名の世界ではない
1994年頃までは秩序ある世界であった。
実名で書いていた。
ある日突然そうではなくなった。
パソコン通信の登場によって変わってしまった。
1995、6、7年頃には双方が戦っていた。
しかし、インターネット派は研究や仕事が忙しい者が多かったが、
パソコン通信派は、暇な時間のある者が多かったために、
負けてしまった。
そのため、パソコン通信派を主流として今のインターネットは進んでいた。
匿名の理解が違っていた。
よく分からないメールを送ってくる人間がたくさんいる
こういう人間に対しては返信してはいけない。
返信してしまうとまた帰ってくる。
トレースルートでたどって、
元の発信先の通信事業会社から送信できないようにしてもらえばよい。
大学には頻繁に来ているので頭から削除する
3 文化摩擦
ポスト「ものつくり」の時代へ
映像やビデオはインターネット上で配信される時代になるであろう。
大容量の情報配信ネットの構築が進もうとしているが、
とういったものはいつも都会から
中央と地方の格差がますます広がっている
著作権
身近になった権利侵害
ドメイン問題
チェーンメール
システム破壊の可能性がある
ねずみ講
条文などが書いていて、論理的に書いていたら、すぐに信じてしまう。
「手紙」では真意は伝わらない
複雑なことは伝わらない
メールで単位をくれなどと書いてくる者のいる
有害情報
有害サイトへアクセスすることが心配であろう。
ほとんどの学校がフィルタリングシステムを入れているが、それが危ない。
フィルタリングソフトに登録されていない場所には行ける。
みたいものはいくらでも見えるし、自宅でも見に行ける。
フィルタリングソフトを最初から入れること間違いではないか
臭い者にはふたをしろの考えかたであるが、完全にふたもできないものである。
ログが残ること、そのほか処罰があることなど、
自己責任であることを教える必要性がある。
情報教育の重要性
これからの人材を育成する必要がある。
コンピュータ教育
コンピュータのダイスでななく、どのように使うか
正確にはどのように使わせるか
もっと正確にはどのように使わせる環境を整えるか
コンピュータルームはおかしい発想である。
誰でもいつでも使えるものでないとおかしいのである。
コンピュータは大切に使うものではない。
どんどん使うものである。
情報教育(1)
情報教育とは何か
技術ではなく考え方である
「情報」(カリキュラムでの)とは
読み書きそろばんができること
情報教育(2)
調べることではなく情報を選択する力
情報の価値を見つけだす力を養成
出てきた情報のどれが価値があるのか、何が重要なのか、価値があるのか?
99パーセントはくだらない情報か嘘
残り1パーセントが重要である。
今の情報量は数十テラである。
その量は愛媛新聞社が創刊から全部あわせた記事でも数テラもないであろう。
そのくらいの情報があふれている。
知識は共有できるもの
これからの先生は知識からいかに知恵を出していくかが重要になってくる
4 不正アクセスの現状
ネットワーク犯罪
かつてのコンピュータ犯罪
内部の者、もしくはそれに近いものの犯行
ネットワーク犯罪へ
いわば、すべて内部の者の犯行
罪の意識は低い
広い意味でも狭い意味でも「内部」
どうやって防いでいくのか。自分で守らなくてはならない
インターネット西欧の文化圏であるので日本では根付きにくい
何もしなくても守ってもらえる日本の文化とは違う自己責任の世界である
とりぜずの危機
サービス妨害とファイル破壊
サービス破壊
簡単にできる
メールが受信できなくなるようにする
ファイル破壊
なりすまし
パスワードファイルの搾取とパスワードアタック
パスワードは破れる
踏み台にされることが怖い
訴訟問題となった際に、踏み台にされたところが
対象となるので言い逃れができなくなる
スパムメールのリレーによるスパム記事の配送
気がつかないうちに中継点にされることが日本には多い
各省庁が被害にあった
ネットワークセキュリティ
初歩できなアクセス管理を行えばよい
ほとんどの不正アクセスは番号をつかれるだけ
革新的な方法でバグやセキュリティホールを全面的についてくるのはまずない
古いOSを使っていたり、パッチをあてていなかったことなどが原因である。
情報の盗聴・改竄・計算機への不正アクセス等への対策
99.99パーセントのクラッカーは出来心もしくは幼稚な手を使う
初歩的な管理で対処できる
Firewall
残りの0.01パーセントは暗号技術で対処
何を守るのかが重要
守らなくてもよいものまで守ろうとすることが多い
何でもかんでも守ろうとする=何も守っていないこととなる
使いやすさと安全性は反比例
セキュリティのコスト
絶対に秘匿にすべき情報はネットワークから切り離す
これは極論
コストに見合ったセキュリティ
ポイント
セキュリティポリシー
デフォルト設定
最新サービスパック
アクセスコントロール
セキュリティ設定のテクニック・監査
稼働状況の監視
物理的セキュリティの確保
エンドユーザ教育
セキュリティ情報収集
パスワードでは無理
56ビット すぐに解析できる
パスワードでユーザ管理は無理
ユーザ危機とパスワード強度の問題
パスワードは暗証番号
ユーザ識別は物理的な鍵で行う
ICカード
身体的特徴
バイオメトリック情報
徳島大学で研究しているもの
IDS
WEBページ改竄リモート監視システムの紹介
自分のところのコンピュータで監視するシステムはあるが、
監視しているシステムに侵入されると意味がない。
第3者が監視するシステムを開発して公開実験している。
森井教授のベンチャー企業論の紹介
まとめ
危機管理意義とセキュリティポリシー
エンドユーザの意識改革
江崎澄孝警部
小中学生や高校生たちにどのように教えればよいのか
〜情報リテラシー講習会〜
歴史とICT革命について
情報通信革命 劇的な社会構造の変化
日本のICTについて
インターネットとはなにか
世界中のネットワークを結んでいるもの。
新幹線や、飛行機や、船が人と人を結びつけているように、
情報と情報を結びつけているもの。
インターネットで何ができる
どんな注意が必要か
道路における交通ルールを学んだように、
インターネット上でもルールが必要である。
チャットと掲示板
とてもおもしろいものであるが、その裏には危険も潜んでいる
言葉でいくら説明しても分からないはず
模擬的にやらせてみる
掲示板上でケンカがおこった、現実社会ではどうするか
他人のことを悪く言ったり、名前や電話番号を書いてしまうとどうなるか?
出会いの掲示板
本名や住所、電話番号、写真をインターネット上に出すとどうなるのだろうか?
相手の言っている名前や性別は本当なのだろうか?
自分のことには慎重になるのに他人のことは、慎重になれない人が多い
CYBER ANGELS
ガーディアンエンジェルスの活動を紹介
適正な発達のための学校教育は極めて重要
そこで
学校経営、教師側の危機意識 啓発したい。
(真の意味での情報リテラシーとは)
情報化をめぐる現状と問題点を提供したい
保護者とともに考える必要がある
パネルディスカッション
宮本氏
パネラー
田崎教授
情報教育とセキュリティ 〜IT社会での人間教育〜
情報に関するモラルやルールのための教育の実施
IT革命と社会倫理
IT革命により、グローバル化や情報化が進み、
デジタルデバイドで貧富の格差が激しくなる。
社会の主役が移りつつあるのに?
日本のGDPの40パーセントが製造業であるため、
ハード主体のものつくりにこだわっていないか。
これまで認められていた価値が変わっている。時代の変革期である。
ここ1年くらいではっきりしてきたのは、
IT産業なりネット経済などが臨界点を越えたということ
(スタンフォード大学 今井賢一)
IT社会というのは、小さな存在が大きな力を得る
「テクノロジー下克上」も可能である。
IT社会で求められる社会倫理とは
何が正義、構成、平等なのかについて改めて考えさせられる。
アナログを基盤としたハード重視の社会がもやはそのまま通用しない。
心の教育の充実
こどもたちがバーチャルな空間に埋没することによって、
自然体験・社会体験が不足したり、
良好な人間関係を気づくことができなくなったり、
さらには現実感を喪失したリすることが懸念される。
こどもと顔をあわせずに電子メールなどだけでやりとりするだけで
本当にコミュニケーションがはかれるだろうか?疑問である。
バーチャルな世界
ネットの世界では、生の声もない世界であり、人間本来のつきあい、
つまりコミュニケーションのできない人間が増えてくる。
他人に無関心な人間が増えるであろう。
しかし過去へはもどれない。
情報通信倫理教育の必要性
モラルハザード(倫理の欠如)
IT社会におけるモラルとは何かが本当は分かっていないのではないか。
生理学
ある時期、ある刺激を与えないと生涯にわたり
ある能力が身に付かないことを教えている。
早くから実物・本物を見ることができる。
教育のための技術の研究開発
フィルタリングソフト普及
そのための対策
表現の自由よりも制限を重視すべきという考えが多い。
見たことのある有害サイトはアダルトサイトが圧倒的に多い
この現実をどうするのか。
教育上のセキュリティポリシ
まずこどもたちを信頼しよう。そして
「よくない情報をあえて見せる」 その上で
「なぜだめなのかを話しあう」 これで効果がなければ
「注意・警告する」 それでも効き目がなければ
「物理的対応をとる」 そしていよいよとなれば
「処罰」でもって対応せざるをえない
教育の情報化
すべての公立学校教員がコンピュータの活用能力を身につけられるようにする。
本当であろうか??できるのか疑問がある。
情報教育学会
学会学生会員による小中高校IT教育への支援を提案
日米の学校教育の実態を比較すると、日本の整備の遅れが目立つ
情報教育で最も重視すべきこと
ネットはあくまでもコミュニケーションの道具・手段である。
大事なのは、技術の習得(読み書きリテラシー)よりも
むしろネットを用いた学習環境の中で、
コンピュータをうまく使って多様な価値観あるいは本物の情報と出会い、
情報洪水でも主体的に情報を取捨選択、
整理して発信してゆく感性や能力(真の情報リテラシー)を養うこと。
ITによって教育を変える。
要は、コミュニケーションセンスを磨くことが求められるべきである。
法的対応
最近の若者には「人は人、自分は自分」という価値観と規範が多い。
自己領域に侵入しなければ
「逸脱行為であっても特にかまわない」ということである。
このような傾向を、公共をめぐる議論に組み込まなければならない。
(例)チケットゲッター
国境で仕切られた国家の規律に服さない無政府的状態こそ、
サイバースペースの源泉と考え、
「サイバースペース独立宣言」が一部で主張されている。
しかし、ネット上で名誉を傷つけられた苦痛は、
バーチャルではなく、現実である。
現実社会で犯罪や不法行為とされるものは、
バーチャルな社会でも犯罪他不法であるとすべきではなかろうか。
サイバー上での法的不備が目立つようである。
有体物より無体物のほうが重要になってきている時代である。
性善説との決別
「ネット利用規範」は果たして守られるだろうか・
ネットの利用者は「自浄能力」と持っていると考えるべきだろうか。
"互いの信頼関係"はネット社会では
成り立つのだろうか。
これからは、性善説に基づく日本的倫理観ではなかったか。
ネット社会におけるグローバルな倫理観は、
「性弱説」に基づくべきではなかろうか。
特に相手の顔が見えないところでは、
人間はその本性がそれと自覚せぬうちに出てくるのではないか。
人材育成は簡単にいくものではない。
危機意識を持ってほしいと思う。
森井教授
添付ファイルを開かないという教育はするが、どこから来たのかを考える。
インターネットを全く知らない人は添付ファイルを送ってくるものである。
特にお役所に人は必ず添付ファイルを送ってくる。
相手を理解してあげることが必要であろう。
中国からのアタックなどがあり、怖いものと感じるが、
そんなに怖いものではない。
ちゃんと守ればいい。ちょっとやればいい話である。
ただし金がかかる。
そんなにかかるものではない。
ただで安全が保証できるものではない。
昔から日本は水と安全はただであるとの理念があるが、
それは税金を払っているから警察が守ってくれるが、
インターネットの利用については税金を払っていないので
誰も守ってくれないのでその分くらいはお金を払うべきである。
分かっている人に相談して対処方法を勉強すればよい。
江崎氏
中国系グループによる攻撃の手法
マジカルサイト
110番は急いだときだけ110番である。
何かあったら110番は間違いで、自分でできるは自分でやってほしい。
自分でできることまで110番する人がいるが、
インターネットの世界でもそれと同じことが起こるであろう。
自分で守ることができるようになってほしい。
松木氏
高速上位接続をにらんだセキュリティも大切になってくる
プロバイダの立場から
実話の紹介
メールや掲示板をよく使う女性
「掲示板上で誹謗中傷を受けているがどうにかならないか」
何もできない。
年をとっているがよくネットを使っている
「多くのところから仕事がこなくなった」
電子メールで注文などを受けると顧客に配信してきたが、
添付ファイルがついてきたものを頭から捨ててしまった。
その結果約1年間仕事が入らなかった。
これらはデジタルデバイドではないか。
知らない間に使えない側になってくる。
セキュリティやマナーをおろそかにしてはならない。
これらと折り合いをつけながらネット社会を生きていかなければならない。
電気通信事業者は、電気通信事業法で縛られるので、基本的にログは公開しない。
当事者間で話し合いを前提にしているが、
ほとんとのプロバイダが好意的に対策をとってくれるので、
まずはプロバイダに相談をしてみること。
掲示板の問題
掲示板の管理者へまず抗議
掲示板を運営しているプロバイダへ相談
90パーセント以上で特定できる
誰が書き込んだのはは言ってくれてないから、
当局の礼状に基づいて対処すればよい。
Firewallを扱っている大企業から送られたメールにウイルスが感染していた。
その現実が怖い。
しかも自分も会員へそのままウイルス付きのメールを送信してしまった。
このようにプロが使っても観戦してしまった。
だから、一般の方はかならず感染することがあると思った方がよい。
常時接続になると、一般の方が使用しているOSは
常時接続を意識して作られたものではない。
どのような攻撃をされるか分からない。
そういったパソコンで常時接続をすると、自分のパソコンとクラッカーのパソコンが
一本の専用線で直結されているのと同じこと。
アタックされないようにすることも大切だが、
必ず攻撃されるということを前提においてメンテナンスを行うこと。
ほとんどの方は、一台のパソコンしか持っていない。
それには1台のハードディスクである。
エンジンが1個しかついていない飛行機と同じである。
ハードディスクは消耗品である。必ず壊れる。もっても5年である。
ハードディスクはもう一台買うことと毎日のバックアップ
そうしておけば、たとえウイルスに感染してもそう怖くない。
プロバイダは100パーセントのグローバルサービスを提供しなくてはならない。
ゼロセキュリティが原則である。
むき出しの上で堅牢なセキュリティを求められるので狙われる。
自分のセキュリティ対策を話すことがセキュリティ対策に反することとなる。
普通にやっていれば怖いものではないということを認識してほしい。
ヒューコム
蔡氏
ダイヤルアップにはなかった常時接続でのセキュリティ
ここ最近大企業ではやっとセキュリティが普及してきたが、
Firewallをつければ安心というイメージがある。
仕組みがわからず管理せずそのままにしているものあり、
また、管理を任せると莫大なコストがかかる。
人材を育てていく教育も必要な気がする。
何かが発生したら大騒ぎするが、そうならなければ放っておかれるのが問題。
これからは、24時間ポートスキャンで穴を探っている者が多い。狙われている。
ダイヤルアップであれば、つないだり切り離したりするので
IPアドレスが変わっていたのが常時接続では変わってくる。
そういう危機意識を持って使ってほしい。
お客様にセキュリティシステムの機器をつければ大丈夫という考えが
まだまだ残っている。
介助してくれる会社もあるが、そういうサービスはサービスとして
自分でできる範囲は自分で運用していくが、
それだけでは十分ではないと考えておく。
常時接続に対する防御は簡単であるので、
ナットベースのFirewallでも入れておくべき。
必要のないときには、回線からはずしておくのも手である。
シスコシステムズ
早川氏
主流で使われているメーカーとしてどのような解決策があるか
ブロードバンド時代では、これまでより遙かに大きい情報が流れ出す。
ギガビットに対応できるセキュリティ商品の開発
大学が多いが、大学からの不正アクセスを防ぐには、
学生の利用状況を明確に把握しておかなければならない。
学内LANにユーザ認証というシステムを入れていかなければならない。
シスコではURTの開発をしている。
LANの中でのセキュリティを意識している。
グローバルアドレスとプライベートアドレス
プライベートアドレスでナットを使い
IPアドレスを変換すると攻撃されい。
しかしIPv6になるとプライベートアドレスが使えなくなる。
FirewallやIDSを入れた際アクセス制限を設定する際に詰めていくと、
どれが大切でどれが大切でないのかといった
セキュリティポリシがはっきりしていないことが多い。
使っていく人間の方がまだまだ追いついてないように感じる。
メールのウイルスの話について、
昨年末からWS2000が標準として使用しているが、
メールのダウンロードにもウイルスチェックが動いている。
また、常にアップデートをするようにしている。
トレンドマイクロ
森岡氏
当初クライアントが中心であったのが、
昨年ラブレターウイルスがはやりだした頃から、社内に入ってくる前の段階で
ウイルスを発見して駆除するソフトが売れている。
IPAによると昨年5月に900件という過去最高の届けであった。
昨年11月12月今年の1月の3ヶ月で2000件以上の届け出があった。
最近マトリックスやナビダットやハイブリスなどのウイルスが発見されている。
ただ買っていれれば良いというものではない。
そのネットワークに応じた導入が必要である。
ウイルスを外に出さない、感染しないと言う気持ちで仕事をしている。
質問
ビジネスでインターネットのオフィス環境が使えないところは、
営業チャンスから排除される時代になる。
中国人クラッカーの話
2月16日に1週間日本の主要なサーバを攻撃する旨を表明
あるポートにバックドアをしかけているようである。
2月23日の午後8時になんらかのメッセージを出す旨を言っていた。
当局の対応でほとんどのバックドアをつぶしていた。
NTの5.0でもやられている。レッドハットもやられている。
それぞれがやられている。
IDSである程度防げるが、完璧ではない。置いておくだけではだめである。
クラッカーの手口はその度に変わっているので、
常にその手口を登録する必要がある。
変なパケットを変と感じるのかどうかが大切。
毎日パケットをチェックしておかしいと見つけだす力が必要
今回の手口はすべてログを消していて、どこから来たのか判明しない。