授業メモ

★情報セキュリティ
---情報セキュリティにおいての注意点---
・整理整頓の必要性
・裏紙の利用は表側の内容が情報資産の場合、注意。（この場合、社内利用に留めておいた方がよい）
・業務内容の保持・・・外部に漏らさないよう留意
・公共スペースでの会話・・・社外にでたら仕事の話は一切しない（情報漏洩の源となってしまうため）
・携帯電話での会話・・・携帯電話は時と場所を選ばすにかかってくる。他人に聞かれていることが多いので注意。
・個人の電話番号・・・個人情報のため本人の承諾がある以外は教えてはならない。要求された場合には相手の電話番号を教えて頂き、折り返し電話するようにする。
・配送ミス・・・送信先ミス、機械的なエラー（fax)
　　　　　　　　宛先・封入ミス、郵便事故（郵便〠）
・自然災害による情報漏洩、etc.

---パスワードを盗みとる方法---
1.ソーシャル・エンジニアリング
詐欺的な手法によって不正に情報を入手することである。IDやパスワードを盗みとる場合、必ずしもコンピュータの技術が必要なわけではない。技術に頼らずに、人間の心理や行動における盲点やミスを突いて不正に情報を入手する手口を「ソーシャル・エンジニアリング」と呼ぶ。
2.ショルダーハッキング
IDやパスワードを入力している状態を肩（ショルダー）越しに覗き見ることで不正にIDやパスワードを入手する方法。
3.スカベンジング
ゴミの中からIDやパスワードのメモやその他の情報資産を入手する方法
4.電話によるなりすまし
上司やシステム管理者になりすまして電話をかけてIDやパスワードが必要な事態が発生して支給対応が必要だと騙してパスワードを入手する方法。
2）技術的な手段で盗み取る方法
1.キーロガー
通常、パスワードの入力を行っても画面上は"*"が表示されるだけで入力した文字は表示されない。キーロガーはキーをログする。キーボードからの打鍵履歴をすべて記録する仕組みをコンピュータ内に組み込んでパスワードを入手する。
2.ブルートフォース攻撃
パスワードとして利用可能な文字の組み合わせを片っ端から順番に試してみることでパスワードを破る方式、総当たり攻撃ともいわれる。
3.辞書攻撃
パスワードとして利用されがちな文字列をあらかじめ辞書として登録しておき、辞書に登録されている文字列を順番に試してパスワードを破る手法。
4.レインボー攻撃
あらゆるパスワードに対応したレインボーテーブルを用意しておき、コンピュータ内のパスワードのハッシュ値と一致するハッシュ値をレインボーテーブルから探し出すことでパスワードを盗みとる手法。
（下記レインボーテーブル参照）
cf. 入力してきたパスワードが正しいかどうか？
コンピュータ内にパスワードを保持しておいてある。昔はパスワードの文字列そのものをサーバーに保持していた。現在はハッシュ値に変換してサーバーにもハッシュ値として保持してある。

---ハッシュについて---　ハッシュ関数 - Wikipedia
・ハッシュ：与えられたデータ（ここではパスワード）に対して、演算（ハッシュ関数）を行うこと。
演算結果「ハッシュ値」または単に「ハッシュ」と呼ぶ。
・例）パスワードが「123」、ハッシュ関数が「9で割った余り」の場合
123÷9＝13余り6なので、この場合のハッシュ値は6となる。
・代表的なHASH関数：MD5 128bitのハッシュ値を作りだす。
　　　　　　　　　　　　　SHA-1 160bitのハッシュ値を作りだす。
・ハッシュ関数の特徴
①入力された値から一定の長さの値を出力できる。
②同じ値を入力すると常に同じ出力値が出力されるが、入力される値が一部分でもことなると出力値が大きく変化する。
③ハッシュ値から元のデータを特定することはできない。
hash/swf：入力文字数が異なっても同じ文字数がでるが（固定長）、文字が異なると値が変更される。
情報処理の世界ではテキスト・データであっても画像データであっても，すべてのデータは0と1を組み合わせて表現されている。つまり，どんなデータ（ファイ ル）であっても，一つの数値とみなすことができ、ハッシュ値とは，あるデータ（つまり数値）を，ハッシュ関数と呼ばれる関数で演算した結果。ハッシュ値は基のデータを約束事（アルゴリズム）に従って細かく切り刻んで，一定の長さに 整えたもの。
基のデータ（ビット列）をハッシュ関数を使って計算すると固定長のビット列になる。
・レインボー・テーブル
様々なパスワードとハッシュ値の組み合わせを保持したデータをレインボー・テーブルと呼ぶ。
パスワード　　　　　　　 　ハッシュ値
AAA → Hash関数　　asdfgh5dfg
AAB → Hash関数　　9rio2phal3
AAC → Hash関数　　kiuj8sekls

---パスワードの適切な管理---
パスワードを適切に設定/管理することでパスワードが漏えいする可能性を減少させることは可能である。
・周囲の状況を確認（見ている人間がいない）してからパスワードを入力する。
・パスワードのメモを他人の見えるところに置かない。
・不特定多数が利用するパソコン（インターネットカフェ等でパスワードの入力が必要なサイトにアクセスしない（キーロガーの可能性）
・短いパスワードを設定しない（最低８文字　可能なら15文字以上）
・パスワードには、単語や生年月日、電話番号等の辞書攻撃の対象になるものや容易に推測可能なものは利用しない。
・パスワードは数字だけ、英字だけを利用せずに数字、英小文字、特殊文字を混在させる。
・パスワードは定期的に変更する。
・初期パスワードは初回ログオン時に変更する（初期パスワードは自分以外に初期設定を行った管理者も知っている）
・パスワードの入力にソフトウェアキーボードを利用する。
（IMEパットのソフトキーボード、またはアクセサリ- コンピュータの簡単操作の中のスクリーンキーボードで入力）
・ようこそ画面（ユーザーの一覧表示される画面WindowsXP）を表示しないように設定する。
・直前に利用したユーザー名を表示しないように設定する。

---パスワード付け方サンプル---
①自分の好きな文章（または歌詞)を思い浮かべる。
②好きな文章をローマ字に変換する。
③ローマ字に対して、自分なりの変換規則を適用して、数字、英大文字、英小文字、特殊文字が混在するようにする。ex. l → 1、i → ! 、a → @、 s → &
④変換した文字列の特定位置の特定文字数を取り出す。
　ex. 3文字目から10文字目までの8文字を利用
⑤文字列の一部を入れ替える。
cf. パスワードチェッカー Microsoft社　https://www.microsoft.com/japan/protect/yourself/password/checker.mspx