HOME 教育状況公表 本日
情報処理概論 戻る 進む Google+ 講義スライド

個人認証から電子決済まで〜フィンテックとセキュリティ〜

情報処理概論 WebClass Google+ files syllabus 52210 C1 情報機器の準備

個人特定ツールとしての電子メールと携帯電話番号

WEBでメールアドレスを入力すると と促されたことはないだろうか。入力した個人を特定するのに電子メールを使っているのである。 携帯電話番号を使って 「SMSで送られた番号を入力してください」と促すのも同様である。

メールの設定例(NIFTYの例) imapの設定例(NIFTYの例)

情報漏えいを防ぐには

大学生だからこそ、正しい知識を身につけよう。 フィンテック はネットカフェなどを避けて自宅のパソコンから操作しよう。

出典:知るぽると

暗号化と公開鍵暗号方式によって,インターネット通信は盗まれないようになっております.
教科書:情報技術基礎,コロナ社,p.21 (2013).

最新のインターネットをつかった犯罪

山形県警本部生活環境課様より最新のインターネットをつかった犯罪について,講話を予定しております.

電子証明書の審査と信頼性―ICカードやSIMにはどんな情報が入っているのか?―

SIMロック解除―SIMを盗まれたらどうしたらいいか?

なぜ生体認証が必要か?―パスワードは盗まれる前提で決めよう!・指紋認証から静脈認証への変遷

デジタル証明書とサーバ証明書

暗号化通信や企業の信頼性のためにサーバ証明書が使われているが,安価なドメイン認証の電子証明書が増えている世の中で, 企業やウェブサーバの信頼性を保つためにはどのような方法がとられているか?

常時SSL化とブラウザーの警告表示

2016年から常時SSL化(Always on SSL)が進んだ. Let's Encryptが無料 SSL/TLS 証明書発行サービスを開始したこともあり常時SSL化はさらに進んだ. そのような中,2018年7月に提供されるGoogle Chrome 68には全てのHTTPサイトへのアクセスについて警告がでることが決定され,ウェブサーバのSSL化は事実上必須事項となっている.

ドメイン認証(DV,Domain Validation)

SSLサーバ証明書の所有者が証明書に記載のあるドメイン(コモンネーム;CN)の使用権を所有していることを認証するものです。
https://jp.globalsign.com/service/ssl/knowledge/types-of-ssl.html

企業認証

http://www.atmarkit.co.jp/ad/geotrust/sslcert0905/sslcert.html

EV(Extended Validation)証明書

https://www.nic.ad.jp/ja/basics/terms/ev_certificate.html#1

サイバー基本台帳

JCANとROBINS,一般財団法人日本情報経済社会推進協会(JIPDEC)

クライアント証明書とソフトウェアの信頼性

証明書の管理が大変,ICカード,SIM,JCANパス

アンドロイドのアプリは,電子証明書で署名して改ざんを防止

暗号化通信とマルウェアスキャンツール

暗号化によって通信を盗み見ることは事実上不可能である. 逆に言えば,暗号化されたhttpsの通信によってウェブサイトからウィルスやマルウェア,仮想通貨マイニングツールをダウンロードされても,途中通信機器では防ぎようがない. 非暗号化通信であるhttpプロトコルでは,ウィルススキャンの機能をファイアーウォールを使えば,マルウェアやウィルスの感染を防げる. httpsの通信でもファイアーウォールないワイルドカード(*.*)のSSL証明書をインストールし,透過的に暗号を解読して,プロキシすることで保護できる. しかし,ワイルドカード(*.*)のSSL証明書は,パブリック認証局からは発行されないの利用者のブラウザーに毎回警告ができるなども問題もある. この解決には,ワイルドカード(*.*)のSSL証明書を発行する独自認証局のルートCAの証明書をすべてのクライアントPCにインストールする必要がある. 大学のような学生の持ち込みスマートフォンやノートパソコンの多い現場で,事実不可能に近い.

そんな中,ミラーパケットをキャプチャーし,パケットのヘッダー領域に着目して,相関解析を行い,セキュリティインシデントを発見できるiNetSec MP 2040が発売された. SSLの通信でも,リクエスト部分のヘッダーは暗号化されていない.そこで,ヘッダーを解析すればURLの情報は取得できる. これだけでは,マルウェアやウィルスの存在は発見できないが,相関解析によって端末の挙動からマルウェアやウィルスへの感染を疑わせる挙動が発見できれば,情報漏えいなどのインシデントを未然または最小限の被害で回避できる. また,ファイアウォールはセッション記録を取れるので,通信やURLの情報を記録できる.しかし,ボーダールータなどは,ファイアウォールの外側に設置するため,セッション記録は取れない. このiNetSec MP 2040は,ミラーパケットの解析からセッションを割り出すため,ボーダールータの通信やボーダールータへの攻撃活動も分析できる.

iNetSecによるマルウェアの感染の相関解析結果

ミラーパケットの解析は,1993年ごろからある古典的な技術である. しかし,収集した膨大な通信パケットからセキュリティ的に危険な通信を探すは,通信の開始パケットを探して,パケットを組み立て,通信の内容から解析するため.管理者の負担が大きい. 2018年に発売されたiNetSec MP 2040は,ミラーパケットの整合性と開始パケットの探索をし,攻撃プロセスを時系列的に解析する装置であり,管理者の負担を軽減してくれる. 下記の画面に,本学のボーダールータへの脆弱性攻撃やPCへのマルウェアの攻撃プロセスの解析に,このiNetSecを活用した事例を示す.

iNetSecによるルータへの攻撃のタイムライン

参考資料:iNetSec MP 2040, http://www.pfu.fujitsu.com/inetsec/products/mp/

企業のコンプラと暗号化通信

ネットワーク機器でコンプライアンスに対応するために,ネットワーク機器で,一度,暗号化を復号して解析する装置も販売されている.

https://www.techmatrix.co.jp/security/paloalto/ssldecryption.html
http://www.macnica.net/bluecoat/solution_ssl.html/

B2C

工場のしくみ, pp.172-173.

ウィルススキャンソフトウェアとマルウェア対策

解決方法の一つして,ウィルススキャンソフトウェアを導入する方法がある. 学生の持ち込みPCには,学生が購入したウィルススキャンソフトがインストールされているが,ソフトの選定理由を聞いてみると 「PCを購入したときに,ショップに進められて4年契約のソフトを購入した」など回答もあり,ソフトウェアの選定方法をまとめる.

ウィルスソフトウェアは,ご予算と性能を勘案して選んでください. ウィルスやマルウェアの検出・防御率について,AV-Comparativesのホームページにウィルスソフトウェアの比較が掲載されている. テストの結果は,マルウェアの防御やヒューリスティックテスト,マルウェアの駆除などのいくつかの項目で比較されている. マルウェアの検出率は,2018年2月24日現在のアンチウィルスソフトの比較表によると, 日本国内で主要なSymantec, McAfee, Trend Micro, Microsoft, AVGともにオンラインによって99%以上の検出率を示した.

個人向けの主なウィルススキャンソフトを法人や企業,営利目的で利用するときは,ウィルススキャナソフトウェアメーカに問い合わせをして利用規約に違反しないように使用してください. 下記の表に個人向けの主なウィルススキャンソフトの比較を示す.一部の商品を除いては,法人利用が不可能と判断せざるないケースがある. 表中の法人利用の欄については,利用規約に明記されていない場合もあるので,購入前にメーカの問い合わせをしてください. メーカによっては法人契約が可能な商品をご紹介いただけることもあります. 法人向けの「Symantec Endpoint Protection」や「ウイルスバスター™ コーポレートエディション」を研究室で利用した方からの報告では, 「Symantec Endpoint Protection」のインストール方法がわかりやすいとの報告があった. また,2018年4月時点でのモバイル端末への対応状況は,ウイルスバスタークラウド,ノートンアンチウィルス,マカフィーイブセーフのソフトウェアがiOSおよびアンドロイド端末で利用できす. AVG アンチウィルスはandroid端末にインストールできる.

表.個人向けの主なウィルススキャンソフトの比較(2018年4月時点)
社名 製品名 法人利用 判断理由 引用元
Trend Micro ウイルスバスター クラウド 問合せ 1 トレンドマイクロ製品 利用規約
Symantec ノートン アンチウイルス ベーシック 2 ノートン製品使用許諾契約
McAfee マカフィー®リブセーフ™ 不可 (問合せ) 3 マカフィー リブセーフ
Microsoft Windows Defender Windows製品の利用規約に準ずる Windows10の標準搭載されているWindows Defenderの利用規約について
AVG アンチウィルス無料版 不可 4 AVG 2015 | ライセンス契約

1.EULAに

なお、お客様が個人ユーザである場合には、本ソフトウェアをインストールするすべてのオペレーティングシステムは、同一個人または同一世帯で所有するクライアントハードウェア上で稼動するものとします。

と記載があり,個人利用以外はできないよう思われる.しかし,本製品は,インストールできる台数が限定されており,同一法人内で使用する分には,メーカへの不利益が発生しないとも判断できるので,利用可である可能性が高い.購入前にメーカに問い合わせて,確認してください.

2.EULAに

本ソフトウェアおよびサービスを使用する個人、企業、または法人(以下、「お客様」「お客様の」)に対して本ソフトウェアおよびサービスの使用を許諾します。

と記載があり,法人も利用可能である.

3.製品ページに

お客様が所有し、個人的に使用するデバイスまたは同居するご家族のデバイスを、契約期間中、保護します

と記載されており,本製品は家族内は台数が無制限であるため,法人は利用不可である可能性が高い.法人利用を希望されるときはメーカに問い合わせをしてください.

4.EULAに

承認される目的とは、(i) 無料ソリューションおよびベータ ソリューションでは、ユーザーの個人的、非商業的な使用、および (ii) 他のソリューションでは、ユーザーの個人的な使用または内部的な商業的使用を意味し、いずれの場合も第三者の利益となる再販売またはその他の利用はできません。

と記載されているの法人利用は不可能である.

認証

ある行為とか文書の成立・記載とかが、正当な手続きでなされたことを、公の機関が証明することを認証と言います。

食の安全や環境保全のために農場を認証する jgap

本人確認書類が必要がときがあります。 税務署で確定申告したり、銀行口座を作ったり、クレジットカードを発行したりするときです。 公的な本人確認書類としては、運転免許証、マイナンバーカード、保険証などがあります。 場合によっては2種類以上提示を求められる場合があります。 写しを取るには、目的を説明して、本人の許諾が必要が必要です。

学生証や受験票も本人確認に使われます。

オンラインバンキング/インターネットバンキング

銀行には、都市銀行、地方銀行、ネット銀行などがあります。 このうちネット銀行は、取り引きのほとんどをコンビニATMなどで行い、通帳を作成しない銀行です。

まずは自分のメインバンク を決めましょう。 ディスクロージャ誌を見て、自己資本比率を確認しましょう。 (参考:知るぽると 金融機関の選び方

コンビニから ネットワークプリントができます。

住民票を移していますか?―戸籍と住民票・住民基本台帳カードとマイナンバー

都市伝説「住民票を写すと地元の成人式に出られない?」・・・ほとんどの地元自治体は出席大歓迎です! 住民票は上水下水などの住民サービスのユーザー登録。 住民票を移さない場合はごみだしを遠慮いただく自治体もあります。

住基ネット マイナンバーの関係はについては 下記のようになっています。

マイナンバー制度の導入に伴い、平成28年1月以降、これまでの住基カードに替 えてマイナンバーカードを交付することとなっております。このため、法令の規定 により、マイナンバーカード取得の際は住基カードを返納していただくこととなっ ております。ただし、記念品として失効した住基カードをお持ちいただくことはで きますので、ご希望の場合には、その旨窓口の職員までお申し出ください (参考:総務省Q&A)

米沢市役所住民登録(住民票)

市町村が発行する証明書をコンビニから交付できる コンビニ交付 があります。 残念がなら、平成29年2月1日現在、米沢市は 住所地の証明書交付も本籍地の戸籍証明書交付もコンビニからできません。

米沢市の住民基本台帳カード(住基カード)を取得した人に加点!
自分で銀行口座を開設して、生体認証体験した人に加点!

確定申告とe-Tax

国税庁で 確定申告 を電子化する場合、 マイナンバーが必要です。 米沢にも税務署があります。

e-TaxがCMなどでさかんに宣伝されています。クリックの回数が多く、情報量が多すぎて、簡単とは言えない状況です。 ウィンドウを開くタイミングにも規則性がなく、飛んだ先のページのデザインも統一性がありません。 税金から多くの広告費や人件費を費やしている割りには、ネットを充分できてない感が否めません。 なぜこのような状況に陥ったのでしょうか?

住民基本台帳カードの使い方

(1) 電子証明書による本人確認を必要とする行政手続のインターネット申請が可能になります
(2) 本人確認の必要な窓口で、公的な身分証明書として利用することができます
(3) 市区町村が行う独自のサービスが受けられます
(4) 転入転出手続の特例が受けられます
http://juki-card.com/use/index.html
・・・が現状実態は使わない法が手続きが早かった例(ともゆき先輩の)も・・・利用度の低さが原因

どの決済を選択すべきか?―現金、振込み、振り替え、代引き、クレジット決済、デビット決済、電子マネー(e-マネー)、ビットコイン

自分のメインバンクを決めよう。 自己資本比率とソルベンジャーマージン比率

クレジットカードの発行と信用情報

クレジットカードのブランドとイシュア

クレジットカードのサインは日本語それとも英語

信用情報

手数料3.25%のSquareリーダー

https://squareup.com/jp

通貨の信頼性

補足(最新話題)

HDMIとHDCP

HDCP=コンテンツが不正にコピーされるのを防止する著作権保護技術→公開鍵暗号方式

MiracastとHDCP

突然届い請求書?

突然届いた請求書,見覚えがないんだけど?関連ノート


QRコード
https://edu.yz.yamagata-u.ac.jp/Public/52210/52210_04.asp

SSLの仕組み

このマークはこのページで 著作権が明示されない部分について付けられたものです。

山形大学 データベースアメニティ研究所
〒992-8510 山形県米沢市城南4丁目3-16 3号館(物質化学工学科棟) 3-3301
准教授 伊藤智博
0238-26-3753
http://amenity.yz.yamagata-u.ac.jp/

Copyright ©1996- 2018 Databese Amenity Laboratory of Virtual Research Institute,  Yamagata University All Rights Reserved.