1 / 28

情報セキュリティ読本 - IT 時代の危機管理入門 -

情報セキュリティ読本 - IT 時代の危機管理入門 -. プレゼンテーション資料 (第 2 章 今日のセキュリティリスク). 第 2 章 今日のセキュリティリスク. 情報セキュリティ 高水準で推移するウイルス被害 外部からの侵入(不正アクセス) サーバへの攻撃(サービス妨害) 情報システムのセキュリティホール. 第 2 章. 1. 情報セキュリティ. 1 ) 情報セキュリティの基本概念 機密性 完全性 可用性 2 ) 情報資産とリスク・インシデント 情報資産 リスクとインシデント リスクの要因. 第 2 章 > 1. 情報セキュリティ.

gomer
Download Presentation

情報セキュリティ読本 - IT 時代の危機管理入門 -

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 情報セキュリティ読本- IT時代の危機管理入門 - プレゼンテーション資料 (第2章 今日のセキュリティリスク)

  2. 第2章 今日のセキュリティリスク • 情報セキュリティ • 高水準で推移するウイルス被害 • 外部からの侵入(不正アクセス) • サーバへの攻撃(サービス妨害) • 情報システムのセキュリティホール

  3. 第2章 1. 情報セキュリティ 1) 情報セキュリティの基本概念 • 機密性 • 完全性 • 可用性 2) 情報資産とリスク・インシデント • 情報資産 • リスクとインシデント • リスクの要因

  4. 第2章 > 1. 情報セキュリティ 1) 情報セキュリティの基本概念 正当な権利をもつ個人や組織が、情報やシステムを意図通りに制御できること 情報の機密性、完全性及び可用性の維持 (情報セキュリティマネジメントシステムの国際標準であるISO/IEC17799の定義) ◆機密性:アクセスを認可された者だけが、情報にアクセス        できることを確実にすること ◆完全性:情報および処理方法が正確であること及び完全        であることを保護すること ◆可用性:認可された利用者が、必要なときに、情報及び関連        する資産にアクセスできることを確実にすること

  5. 第2章 > 1. 情報セキュリティ 2) 情報資産とリスク・インシデント • 情報資産 • 財務情報、顧客情報、技術情報 等 • システム(ハードウェア、ソフトウェア)、ネットワーク、データ、ノウハウなどさまざまな形 • リスク • 情報資産が損なわれる可能性(内的、外的な要因がある) • インシデント • 実際に、情報資産が損なわれてしまった状態

  6. 第2章 > 1. 情報セキュリティ > 2. 情報資産とリスク・インシデント リスクの要因 (脅威) 守るべきもの ◆ 情報   (紙、電子媒体、ネットワーク上)   財務情報、人事情報、顧客情報、   戦略情報、技術情報 等 ◆ 情報システム   コンピュータ(パソコン、サーバ、   汎用機)、 ネットワーク、通信設備 ◆ 社会的信用

  7. 第2章 2. 高水準で推移するウイルス被害 • ウイルス届出件数は1999年より急増 • 2002年、2003年と減少したが、2004年から再び増加に転じる • 巧妙化・凶悪化が最近の特徴 • ウイルス届出は、IPAセキュリティセンターのWebページに毎月掲載 コンピュータウイルスの届出状況  http://www.ipa.go.jp/security/txt/list.html

  8. 第2章 3. 外部からの侵入(不正アクセス) 1)侵入の手口 2)事前調査 3)権限取得 4)不正実行 5)後処理

  9. 事前調査 権限取得 不正実行 後処理 ファイル 奪取 資源利用 不正プログ ラム埋込 踏み台 ポートスキャン 様々な 攻撃 (結果) 裏口作成 証拠の隠滅 特権ユー ザ獲得 システムの 情報収集 アカウント名の 調査 パスワード 推測 一般ユーザ 権限獲得 第2章 > 3. 外部からの侵入(不正アクセス) 1) 侵入の手口 • 一般的な侵入は次の4つの段階を経て行われる

  10. ポートスキャンとは?(用語集より)   攻撃・侵入の前段階として、標的のコンピュータの各ポートにおけるサービスの   状態を調査すること。(ポートと脆弱性については、読本 p.83-84 参照) 第2章 > 3. 外部からの侵入(不正アクセス) 2) 事前調査 • システム情報の収集 • IPアドレス • サーバ名 • サーバソフトウェア • OSの種類、バージョン • 提供されているサービス • 侵入検知システム • Webサイトの調査やポートスキャンを実行

  11. 第2章 > 3. 外部からの侵入(不正アクセス) 3) 権限取得 • ツールなどを使用し、パスワードを強引に解読して権限を取得= パスワードクラッキング • パスワードクラッキングの手法 i) ブルートフォース攻撃 ⇔用語集p.130 参照 • 総当り的に調べる ii)辞書攻撃  ⇔用語集p.125 参照 • 特殊な辞書を使用して照合

  12. 第2章 > 3. 外部からの侵入(不正アクセス) 4) 不正実行

  13. 第2章 > 3. 外部からの侵入(不正アクセス) 5) 後処理 • 証拠隠滅 ログの消去などにより侵入の形跡を消す • バックドアの作成 次回の侵入を容易にするための裏口を設置

  14. 第2章 4. サーバへの攻撃(サービス妨害) 1)DoS攻撃(サービス妨害攻撃) • DoS: Denial of Services 2)DDoS攻撃(分散DoS攻撃) • DDoS: Distributed DoS 3)メール攻撃

  15. 第2章 > 4. サーバへの攻撃(サービス妨害) 1) DoS攻撃 • サーバに過大な負荷をかけ、パフォーマンスの低下やサービス停止に追い込む攻撃 • Pingの悪用など、さまざまな攻撃手法がある • DoS攻撃を行うコードを仕込むウイルスも登場している

  16. 攻撃プログラム埋め込み (ツール、ワーム等) 攻撃者 ターゲット 踏み台 大量データを一斉送信 (DDoS攻撃)によりダウン 踏み台 第2章 > 4. サーバへの攻撃(サービス妨害) 2) DDoS攻撃 DoS攻撃を多くのコンピュータから一斉に行うとDDoS攻撃 攻撃プログラムを埋め込まれて気づかずにDoS攻撃に加担することがある 攻撃プログラム埋め込み (ツール、ワーム等)

  17. 第2章 > 4. サーバへの攻撃(サービス妨害) 3) メール攻撃 • メールサーバに大量のメールを送り付ける • メールサーバのパフォーマンス低下や機能停止 • 第三者中継機能を悪用 • スパムメールの踏み台として利用される i) メールは自分のネットワーク宛のもののみ受信 ii)第三者中継は禁止 第三者中継 : 外部から来たメールを別の外部へ転送する機能

  18. 第2章 5. 情報システムのセキュリティホール 1)セキュリティ上の弱点(脆弱性) 2)OSの脆弱性 3)Webブラウザやメールソフトの脆弱性 4)Webアプリケーションの脆弱性 5)脆弱性を悪用する攻撃 • バッファオーバーフロー攻撃 • クロスサイトスクリプティング攻撃 • SQLインジェクション攻撃

  19. 第2章 > 5. 情報システムのセキュリティホール 1) セキュリティ上の弱点(脆弱性) • 脆弱性=「情報システムのセキュリティ上の欠陥」 • セキュリティホールと呼ぶこともある • 一般的な用語の使い分け • ソフトウェアの設計もしくは実装上のエラーが原因⇒脆弱性 • 弱いパスワードや設定ミスなども含め広い意味⇒セキュリティホール                      ⇔用語集p.126 (脆弱性、セキュリティホール) 参照

  20. 第2章 > 5. 情報システムのセキュリティホール 2) OSの脆弱性 • オペレーティングシステム(OS)=コンピュータシステムを管理する最も基本的なソフトウェア • Windows, Mac OS, UNIX, Linux など様々なOS • このオペレーティングシステムに見つかったセキュリティ上の欠陥=OSの脆弱性 • メーカーから提供されているセキュリティパッチ(修正プログラム)を適用することが重要 ⇔用語集p.125 (修正プログラム) 参照

  21. 第2章 > 5. 情報システムのセキュリティホール 3) Webブラウザやメールソフトの脆弱性 • インターネットを介してデータをやり取りするので、脆弱性があると影響を受けやすい • 例: 不適切なMIMEヘッダが原因で、IEが電子メールの添付ファイルを実行する(MS01-020) ⇔用語集p.127 (添付ファイル)、p.121(MSxx-xxx) 参照 • 脆弱性を悪用するウイルスが増加しているので、セキュリティパッチを適用することが重要

  22. Webサーバ aaa CGI ①入力 Xxx xxx xx xxxxxxxx xxx xx PHP ・・・ ②処理 Webブラウザ Webアプリケーション ③表示 脆弱性があると ユーザ ・サーバ上のファイルを盗まれる ・悪意のあるプログラムを実行されるなど 第2章 > 5. 情報システムのセキュリティホール 4) Webアプリケーションの脆弱性

  23. 第2章 > 5. 情報システムのセキュリティホール 5) 脆弱性を悪用する攻撃 • バッファオーバーフロー攻撃 • クロスサイトスクリプティング攻撃 • SQLインジェクション攻撃

  24. 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 バッファオーバーフロー攻撃 • 大量のデータを送り込んでバッファをあふれさせ、プログラムの誤作動を招く。 • これにより、不正なコードを実行させたり、権限を不正に取得する。

  25. 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 クロスサイトスクリプティング攻撃 • スクリプトと呼ばれるプログラムを悪用。 (1) • 罠が仕掛けられたサイトで、ユーザがリンクをクリックすると発生。 (2) • 別サイトに飛ばされて、スクリプトが実行される。 (3,4) • 個人情報の漏えい、不正な買い物などの被害にあう。 (5)

  26. ①正しい入力 ②SQL文でデータ照会 ID Pass 情報 ③結果(データ)を返却 ④結果表示 一般利用者 データベース Webサーバ + Webアプリケーション 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 SQLインジェクション攻撃 WebアプリケーションにSQLインジェクションの脆弱性があると • データベースに問い合わせをするSQL文に不正なコマンドを埋め込むことにより、レコードを不正に操作 • 情報の改ざん、消去、漏えいなどの被害 

  27. ②不正なコマンドが埋め込まれたSQL文 データベース ①不正な入力 情報 SQLインジェクションとは?(用語集より)  データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を 基にデータベースへの命令文を組み立てている。この命令文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性がある。 この問題を悪用した攻撃手法は、一般に「SQL インジェクション」と呼ばれている。 Webサーバ + Webアプリケーション 情報の改ざん、消去 情報の閲覧 (漏えい) 脆弱性があると。。。。 悪意を持つ人 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 SQLインジェクション攻撃 Web アプリケーションにSQLインジェクションの脆弱性があると、SQLインジェクション攻撃を受けることがある

  28. 本資料の利用条件 • 著作権は独立行政法人 情報処理推進機構に帰属します。著作物として著作権法により保護されております。 • 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 • 営利目的の使用はご遠慮下さい。 • 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 • 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。   • 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。なお、参考までに、 isec-info@ipa.go.jp まで以下をお知らせ下さい。  ・使用する方もしくは組織の名称  ・使用目的  ・教育への参加人数 • ご質問、ご要望等は、 isec-info@ipa.go.jp までお知らせ下さい。

More Related