セキュリティについてのめも（応用技術）

基本概念：CIA + α

用語	意味
機密性（Confidentiality）	権限のない者に情報を使わせず、開示しないこと
完全性（Integrity）	情報が正確で欠損や改ざんがないこと
可用性（Availability）	必要なときに情報にアクセスして利用できる状態

+ αのセキュリティ要素

用語	意味
真正性（Authenticity）	エンティティ（人・システムなど）が主張通りであること
責任追跡性（Accountability）	誰が何をしたかを一意に追跡できること
否認防止（Non-repudiation）	行為や事象を否認できないようにすること
信頼性（Reliability）	意図通りの動作や結果が一貫して得られること

---

情報セキュリティの重要性

• 情報資産：業務に価値のある情報（顧客情報、設計図など）
• 脅威：資産や組織に損害を与える可能性のある要因
• 脆弱性：脅威が付け込める弱点

---

不正のメカニズム

🔺 不正のトライアングル理論

🛡 状況的犯罪予防論（対策）

対策方針	内容
やりにくい	物理的・技術的に困難にする（鍵、監視など）
見つかる	発見されやすくする（ログ監視、監視カメラなど）
割に合わない	罰則強化、得られる利益を減らす
その気にさせない	教育・倫理向上
言い訳させない	明確なルール・罰則の提示

---

攻撃者の種類と動機

• スクリプトキディ：既存のツールを使う初心者攻撃者
• ボットハーダー：複数のPCを遠隔操作
• 内部関係者：社員など、内部からの脅威

攻撃目的の例

• 金銭奪取
• ハクティビズム（政治的・社会的主張）
• サイバーテロリズム

---

🧬 サイバーキルチェーン（Cyber Kill Chain）

サイバー攻撃を7段階で分析：

1. 偵察（Reconnaissance）：標的の情報収集
2. 武器化（Weaponization）：マルウェア作成など
3. 配送（Delivery）：メール添付、USBなどで送信
4. 攻撃（Exploit）：脆弱性を悪用し侵入
5. インストール（Installation）：マルウェアを設置
6. 遠隔操作（C&C）：外部から制御
7. 目的実行（Actions on Objectives）：情報窃取など

---

🔐 暗号化技術

基本用語

• 暗号化：平文 → 暗号文
• 復号：暗号文 → 平文

共通鍵暗号方式

• 同じ鍵で暗号化・復号
• 高速、処理が軽い

公開鍵暗号方式

• 公開鍵（暗号用）と秘密鍵（復号用）のペアを使用
• 各ユーザーが鍵ペアを持つ

---

ハッシュ関数

• 一方向性の関数で、元のデータからハッシュ値を生成
• 改ざん検出に使える

特性

• 原像計算困難性：元データを推測しにくい
• 衝突発見困難性：同じハッシュ値になる別データを見つけにくい

---

📝 デジタル署名

• 公開鍵暗号＋ハッシュで実現
• 改ざん防止と「本人による署名」の証明

---

暗号アルゴリズムの例

公開鍵暗号

アルゴリズム	特徴
RSA	素因数分解の困難さを利用
楕円曲線暗号（ECC）	離散対数問題を利用し、RSAより鍵が短くて済む

共通鍵暗号

アルゴリズム	特徴
DES	古い標準、56ビット鍵
AES	DESの後継、128/192/256bit対応
RC4	ストリーム暗号（現在は推奨されない）

ハッシュ関数

名称	特徴
MD5	衝突が発見されており安全ではない
SHA-1	同様に安全性に課題あり
SHA-2	SHA-256, SHA-512など。現在主流

---

🔑 PKI（公開鍵基盤）

• 認証局（CA）：デジタル証明書を発行
• 政府が運営する場合は「GPKI」
• サーバー証明書・クライアント証明書あり

失効チェック

• CRL：証明書失効リスト
• OCSP：オンライン照会による失効確認

---

🔐 暗号化の応用

• SSL/TLS：Web通信の暗号化
• IPSec：ネットワーク層の暗号化
• S/MIME：メールの暗号化と署名
• PGP：個人メールなどで使用
• SSH：安全なリモートログイン

---

🔐 認証技術

• 利用者認証：ID/パスワード、生体認証など
• シングルサインオン（SSO）：一度の認証で複数サービス利用
• HMAC：ハッシュ関数によるメッセージ認証
• コードサイニング認証：ソフトウェア改ざん検出
• リスクベース認証：IPや端末などリスクに応じて認証レベル変化
• 3Dセキュア：クレジットカードの本人認証（VISA、Masterなど）