1 / 41

講義番号 097047 情報セキュリティ特論

2009年06月19日 NECネクサソリューションズ 佐藤 隆哉. 10/06/03 r.0. 2009 年度 講義資料(抜粋版). 講義番号 097047 情報セキュリティ特論. (第4回~第6回)資料. 講師略歴. 氏名  佐藤 隆哉 所属   NEC ネクサソリューションズ株式会社      第一マーケット事業本部 第一システム事業部 業務内容   官庁・金融マーケットのシステム開発・構築・サポート 業務略歴 主にオフィスコンピュータを利用した業務アプリケーションシステムの開発サポートを担当  (約12年) 財務会計パッケージソフトの開発 (約2年)

bertha
Download Presentation

講義番号 097047 情報セキュリティ特論

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 2009年06月19日 NECネクサソリューションズ 佐藤 隆哉 10/06/03 r.0 2009年度 講義資料(抜粋版) 講義番号 097047情報セキュリティ特論 (第4回~第6回)資料

  2. 講師略歴 氏名  佐藤 隆哉 所属  NECネクサソリューションズ株式会社      第一マーケット事業本部 第一システム事業部 業務内容   官庁・金融マーケットのシステム開発・構築・サポート 業務略歴 • 主にオフィスコンピュータを利用した業務アプリケーションシステムの開発サポートを担当  (約12年) • 財務会計パッケージソフトの開発 (約2年) • 企業ネットワークシステムの設計・構築(5年) • グループウェア、メールシステムの設計構築(約5年) • インターネット関連ビジネスの調査研究 (約2年) • プラットフォーム&セキュリティ製品のプロダクト    マーケティング (約4年)

  3.  今日、産業や政府活動、国民生活の多くがコンピュータやコンピュータネットワークに依存し、ITは企業の競争力を高めるために必要不可欠な要素となっています。 今日、産業や政府活動、国民生活の多くがコンピュータやコンピュータネットワークに依存し、ITは企業の競争力を高めるために必要不可欠な要素となっています。  同時にITに活動基盤を置く企業への脅威は、情報システム上で金銭や個人情報などを狙う手法、コンピュータウイルス、スパイウェアなどの不正なプログラムは常に新たなものが生まれています。 企業は危機を認識しているのか?実態はどうか?また、対策はどうあるべきかを考察する。 はじめに

  4. 講義概要 1. ビジネスにおける情報セキュリティリスクと   セキュリティマネジメント 2.高まるセキュリティマネジメントの重要性 ・情報セキュリティガバナンスの取り組み 3.情報セキュリティガバナンスの有効な施策等 4. 情報セキュリティ対策の変化 5.企業のとるべきセキュリティ技術的対策事例  付録:ISMS認証の実際(CISOの立場で)

  5. 1.ビジネスにおける情報セキュリティリスクとマネジメント

  6. 情報セキュリティ上の脅威が事業に与える影響情報セキュリティ上の脅威が事業に与える影響 経営における意義 3つの側面 1.社会的責任 BtoB、BtoC、BtoG 形態は様々であるが多くの繋がりの   チェーンの一部であり、個の脅威は周囲に関係する。 2.企業価値の向上と競争の優位性 事業の情報技術依存度が高まるなか、自社のセキュリティレベルの高さを対外的にアピールすることで、顧客からの支持を得て、企業価値の向上、競争優位の確保を狙えます。 3. 情報システムが経営のリスク要因に 事業の情報技術依存度が高まり、情報システム関連の事故が、事業の存続すら脅かすリスクとなりつつあります。実際、最近の情報流出事故や、ホームページへの不正侵入事件などでは、対策が講じられるまでインターネットを利用する事業が休止に追い込まれた事例が見られ、これらの損失は大変大きなものになっています。

  7. 先ずは、適切なリスク分析・評価 詳細リスク分析  ステップ1 情報資産の識別(洗い出し)  ステップ2 ①情報資産価値の評価         ②資産間の依存関係の確認         ③脅威の評価         ④脆弱性の評価 ⑤既存及び計画中の管理策の識別  ステップ3 リスクの評価          リスク値=資産価値×脅威×脆弱性  ステップ4 管理策の選択と制約事項の識別  ステップ5 リスク許容の判断 

  8. 資産価値の設定例 機密性、完全性、可用性の評価結果を基に、総合的な資産価値を判定 (リスク分析を簡略化するため)

  9. 脅威の発生可能性の設定例 ぜい弱性の設定例

  10. リスク受容基準の設定 リスク値を“0”にすることは、現実的には不可能 リスクを受容する基準を定め、それを超えるリスクには対策を講じる。 (例) リスク値 = 資産価値 × 発生可能性 × ぜい弱性   36    =    3   ×    3    × 4       リスク値:36 リスク受容基準:18 < ※ あくまで「目標値」    として設定します。  リスク対応(追加対策等)

  11. 2.高まるセキュリティマネジメントの重要性情報セキュリティガバナンスの取り組み2.高まるセキュリティマネジメントの重要性情報セキュリティガバナンスの取り組み

  12. 情報セキュリティガバナンス  インターネットの黎明期では、情報セキュリティ対策の主流は、不正アクセス対策のためのファイアウォールやIDSの導入、ウイルス対策などの技術的対策でした。  しかし、情報セキュリティ対策は、情報システム部門だけに任せておけば良いのではなく、組織全体で取り組むものであり、人的、物理的、組織的、技術的な多方面からの対策が必要であること、また、経営者の関与が重要であることが認識されはじめました。  そして情報セキュリテマネジメントの考え方の浸透、情報セキュリティガバナンスの取り組みが求められています。 情報セキュリティは、技術部門だけの 課題では無くなった

  13. 情報セキュリティガバナンスとは

  14. 情報セキュリティガバナンス確立の取り組み 前提  1.情報セキュリティに絶対はなく、事故は起こりうるもの  2.対症療法的対応から、自立的・継続的に改善・向上する仕組みへ 3.リスクに応じた合理的な対策を実施し、維持する 4.ステークホルダーに適切に情報開示し支持を得る

  15. 情報セキュリティガバナンスの確立には 1.経営意思の明確化  何を守るか ・・・ 重要情報資産、法令順守、社会的責任 どこまで守るか ・・・ 保有可能な残存リスクレベル 2.内部統制の確立  責任配置の設計 セキュリティ施策の設計実施・・・リスクに応じた合理的設計  事件・事故、災害への対応・・・事業継続計画  情報セキュリティ監査による検証 3.ビジネスのEnd-to-Endのセキュリティ確保 4.多様化するステークホルダーへの説明責任

  16. 3.情報セキュリティガバナンスの 有効な施策等3.情報セキュリティガバナンスの 有効な施策等

  17. 情報セキュリティ評価について

  18. 情報セキュリティ対策ベンチマークのコンセプト情報セキュリティ対策ベンチマークのコンセプト

  19. 業種別の傾向

  20. 証明-ISMS適合性評価制度 • 日本版BS7799 • JIS X 5080をベースとした国内の制度 • ISMS認証基準に対する準拠性を評価 • 2001年4月からパイロット運用、2002年4月から本番運用開始  • 安対制度に代わる第三者認証制度 • 情報処理サービス業電子計算機システム安全対策実施事業所認定制度は2001年3月に廃止 • 2001年度にパイロット運用の後、2002年度より本格実施 • 審査登録機関の連携が加速 -ISMS認定取得の促進- ・3年以内の実現         →公開企業、個人情報取扱事業者 ・3年以内に着手、実行に移す →中小企業

  21. 各種施策ツールやISMS認証等の関係

  22. 2009年06月19日 NECネクサソリューションズ 佐藤 隆哉 講義番号 097047情報セキュリティ特論 企業のとるべきセキュリティ 技術的対策事例

  23. 目次 第1章 IT基盤セキュリティ  1-1.IT基盤セキュリティとは 1-2.ウイルス対策 1-3.IT資産管理 1-4.検疫ネットワーク 1-5.スパム対策 1-6.Webアプリケーションファイアウォール 第2章 情報漏えい対策 2-1.情報漏えい対策とは 2-2.持ち出し制御/暗号化 2-3.操作ログ収集 2-4.URLフィルタリング 2-5.Mailフィルタリング/アーカイブ 第3章 IT統制 3-1.IT統制とは 3-2.ユーザ認証 3-3.アクセスコントロール 3-4.統合ID管理 3-5.シングルサインオン

  24. 1-2.ウイルス対策  –インシデント事例 - インシデント事例 【メールの添付ファイルからのウイルス感染】 AさんはソフトウエアベンダーのY社で顧客の窓口対応を担当しています。 ある日、Aさんは英語のクレームメールが送られてきたため、慌てて添付ファイルを開こうとしました。 すると、「The file could not be opened!」と書かれたダイアログが表示され、ドキュメントを開けることはできませんでした。Aさんは不思議に思いましたが、その後、特に異変は無かったため、気にせずに業務を継続しました。 数時間後、取引先のN社から、「ウイルスの添付されたメールがAさんから送られてきた」との連絡が入りました。 Aさんのメール送信の履歴を確認したところ、N社以外にもAさんのメーラーのアドレス帳に登録されているアドレスに対して、ウイルスの添付されたメールが送信されていました・・・

  25. 1-3.IT資産管理  –インシデント事例 - インシデント事例 【脆弱性からのウイルス感染】 製造業のA社は、海外にも進出する中堅企業です。ある日の午前、海外部門のいくつかのパソコンで、「操作が遅くなる」「ネットワークに繋がらない」「起動しなくなる」など、複数の症状が現れ、正午過ぎには、症状は他の部門まで広まりました。しかし、同じ部門内でも問題が起きていないPCや、1台も問題が出ていない部門など、症状は様々です。 全てのクライアントPCのウイルスを駆除した後に、ネットワークに接続していると、数時間もするとまた別のウイルスに感染するという悪循環が発生しました。ウイルスの発生源を特定すると、プリンタサーバとして動いている古いPCが浮上しました。 海外部門がWebサイトを閲覧した事によりもたらされたウイルスが、この古いPCを苗床に、インターネット上から次々とウイルスをダウンロードしては、他のPCの脆弱性を突いてウイルス感染を引き起こしていたようです。脆弱性の有無により、ウイルス感染は左右されていたのです。

  26. 1-5.スパムメール対策  –インシデント事例 - フィッシング詐欺の事例 【Yahoo!JAPAN】 ヤフーオークションのカスタマーサービスに成りすましたHTMLメールを送信し、偽の 「Yahoo! JAPAN ID検索/パスワード再発行」画面を表示するフィッシング詐欺。クレジットカード番号や暗証番号の入力も要求している。 【VISA】 「VISA認証サービス」を偽装した日本語メールを送信し、ユーザーIDやパスワード、クレジットカード番号を入力させるフィッシング詐欺。この偽サイトはJavaScriptを使ってアドレス・バーに正規のURLを表示させていた。 【イーバンク銀行】 「イーバンク銀行からのお知らせ[入金がありました]」というメールを送信し、ログインパスワードや暗証番号を入力させるフィッシング詐欺。 スパムメールの処理に掛かるコスト 従業員1,000名の企業で1日当たり一人20通のスパムを受信し、1通の処理に15秒を要するものとし、従業員の年収を600万円と仮定すると、この企業では年間720万通のスパムを受信し、従業員はトータルで30,500時間をそのメールの処理に費やすことになります。    週40時間の就業時間で計算すると約14名分の生産性を浪費することになり、年収で換算すれば、その価値は、8400万円にもなります。    メールサーバの処理コストやストレージのコスト、情報システムスタッフの時間消費なども含めれば、そのコストはさらに大きなものになってしまいます。

  27. 1-6.Webアプリケーションファイアウォール –インシデント事例1-6.Webアプリケーションファイアウォール –インシデント事例 実際に起きたインシデント 【顧客情報の漏洩(化粧品・医薬品メーカーS社)】自社のウェブサイトに大量の不正アクセスがあり、14万人分の顧客情報が流出した可能性があると発表し、ウェブサイトの公開を中止しました。  流出した可能性のある個人情報: - メールアドレス、氏名、電話番号、ユーザーID、パスワード     (クレジットカード番号など決済情報は含まれない) 外部からの不正アクセスで顧客情報を大量に盗まれたということから、「SQLインジェクション」が行われたのではないかと推測されています。 【ホームページの改ざん(九州地方 H市)】市の公式ホームページが21回にわたり不正アクセスを受け、トップページが改ざんされて、不正なコードを埋め込まれました。ページが改ざんされていた期間に同ホームページへアクセスしていた場合、パソコンがウイルスに感染したおそれがあります。 用語説明 - SQLインジェクション アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと

  28. 2-1. 情報漏えい対策とは ファイル交換ソフト(Winnyなど)の利用によるネット流出、ノートPC、USBメモリの盗難・紛失などによる、情報漏えい事件は後を絶ちません。 たとえ一度の情報漏えいであっても、謝罪費用、調査費用といったコスト面だけではなく、企業としての信頼やブランドイメージの低下など、企業への影響は計り知れません 実際の漏洩原因の80%は内部の人間による盗難・流出などの内部要因が占めており、こうした内部の人間に情報漏えいを起こさせないための対策が必要です。 本章では情報漏えい対策の中の「持ち出し制御/暗号化」、「ログ収集」、「Mailフィルタリング」、 「URLフィルタリング」について説明します。

  29. 2-2.持ち出し制御/暗号化  –インシデント事例 - インシデント事例 【持ち出しPCの置き忘れ】 18:30S社に勤めるMさんは客先でのプレゼンを終了 19時から友人と飲み屋に行く約束をしていたMさんは、PCを持ったまま客先から飲み屋に行きました。 すっかりアルコールの入ったMさんは、いい気分で帰宅しました。翌朝、PCがないことに気づいたMさんは、慌てて捜索しましたが、結局、紛失したPCを発見することが出来ませんでした。 後日、MさんのPCに保存されていた顧客リストがインターネットに流出しているとの報告を受け、S社は顧客情報の漏洩を公表・謝罪しました。 顧客リスト

  30. ファイルサーバ上に 顧客リストが存在 USBメモリで もちだされていた 2-3.操作ログ収集  –インシデント事例 - Winny暴露ウイルスに感染 ファイルサーバ Bさん Bさん Winnyネットワーク USBメモリ USBメモリ 公開フォルダ Winnyネットワークに 顧客リストが漏えい インシデント事例 【ファイル交換ソフトの利用による情報漏えい】 ある日、「A社の顧客情報が流出しているようだ」との問い合わせがA社に殺到しました。顧客台帳と照らし合わせると、過去のある時点でのお客様情報と一致したため、お客様にお詫びするとともに社内調査を開始しました。 すると、顧客情報を管理するお客様センターでの管理がずさんであったことが判明しました。顧客管理システムを運用する管理者のログイン履歴や変更履歴が残されておらず、担当者側ではメールやインターネット、USBメモリの利用などが日常的に行われていました。 調査の結果、流出したファイルを業務で使用していたBさんが、USBメモリにデータを入れて持ち帰り、自宅のパソコンで編集作業をしたことを認めました。以前、ファイル交換ソフト「Winny」を使用しており、その際、ウイルスに感染したために顧客情報一覧のデータがインターネット上に流出してしまったのです。

  31. 2-3.操作ログ収集  –お客様の抱える問題 - 悪意あるユーザ 誰がアクセスしたのか わからない ファイルサーバ プリントアウト どうやって持ち出したのか わからない CD/DVD USBメモリ FD お客様の抱える問題 データ持ち出しによる情報漏えい- 会社からデータを勝手に持ち出したことで、USBメモリなどの外部メディアの紛失や、ファイル交換 ソフト(WinnyやShare等)でのネット流出などの情報漏えい事件が絶えません ファイルへの不正アクセス、端末の不正使用- 重要データに対して、いつ・誰が・どの端末から・何をしたかを把握できていないために、システム管    理者の知らないうちに情報が外部に流出しているリスクがあります 特権ユーザ(Administrator、root等)による内部犯行- システム管理者が利用する「特権ユーザ」は、制限なく重要データにアクセスすることができます。    この「特権ユーザ」を悪用した大規模情報漏えい事件は毎年発生おり、内部統制でも職務分掌と    特権ユーザ管理の対策が求められています

  32. 3-1. IT統制とは IT統制は内部統制の中で、財務報告にかかわる業務プロセスおよびアプリケー ションに対して、さらにその土台となるITインフラへの統制を行うものとして位置 づけられています。 日本版SOX法の施行に向け、企業には内部統制の強化が義務づけられるなか 、 巨大なITインフラを所有する企業・組織を中心に、 ITインフラの統制は重要な経営課題の1つとなっています。 本章では、 IT統制の中の、「ユーザ認証」、「アクセスコントロール」、「統合ID管理」、「シングルサインオン」についてご説明します。

  33. 3-2.ユーザ認証  –インシデント事例 - インシデント事例 【共有アカウントの使用】 アパレル業T社は全国に18店舗を展開しています。 各店舗には販売管理システム用にPCが設置してあり、PCのアカウントは各店舗の店長が管理しています。しかし実際は、店長以外の社員がPCを扱うことも頻繁にあり、アカウントは店長、各社員が共通のものを使用していました。 ある日、取引先であるクレジットカード会社のY社から、T社の顧客のカード番号が不正に利用されている可能性があるとの指摘を受けました。 情報システム部門が調査したところ、A支店の顧客情報のみが漏えいしていることまでは分かりましたが、共有のアカウントを使用していたために、いつ、誰が、どうようにして情報を流出させたのか特定することができませんでした・・・

  34. 3-2.ユーザ認証  –お客様の抱える問題 - Aさんになりすまし 正規ユーザ  (Aさん) ID :  Pass : @@@@@@ ID :  Pass : @@@@@@ 悪意あるユーザ 手帳・付箋の盗み見 肩越しからの盗み見 長期間同じパスワードパスワードクラッキング お客様の抱える問題 「ID&パスワード」認証の脆弱性 - ID&パスワードを手帳/付箋に記載しPCと一緒に保管 -長期間同じパスワードを利用する、推測されやすいパスワードを利用する - 共有ID利用によるユーザ特定不能 - クラッキングツールの一般化    (ツール類をパックした製品がインターネットで購入可能。フリーソフトやクラッキング手引きサイト     も存在。) 離席時のセキュリティ対策 -PCにログインした状態のままで打ち合わせ等で座席を離れている隙に、別の人間にPCを勝手に操 作される危険性があります

  35. ICカード 指紋 3-2.ユーザ認証 –問題の解決策 - 問題の解決策 (「ID&パスワード入力」より) 強固で正確なユーザ認証 - “特定の人間にしかできない操作”をPCログイン時やアプリケーション利用時に要求することでユーザを特定します    (例) 個人に付与したICカードをかざす、指紋が一致する、PCとは別の専用端末が表示するパスワードを入力する 簡易で確実なPCロック (例) かざしていたICカードを外すだけでスクリーンセーバーロックがかかる など ユーザ権限に基づいたPCのアクセス制御/利用制限 (例) アルバイトは閲覧のみ可能、社員は印刷も可能 など ユーザ操作ログの保存/解析 推奨製品製品名をクリックするとベンダーの製品紹介ページを表示します SmartOnシリーズ (ソリトンシステムズ) - ユーザ入力の情報にUSBキーやICカードなどのデバイス認証を加え、セキュリティ認証強度を高めるソリューション SecureFinger (NEC) - 指紋認証ユニット利用時に、OSログオン、スクリーンセーバーロック解除、アプリケーションパスワード代替の機能を    実現し、セキュリティ認証強度を高めるソリューション SecureMatrix (シー・エス・イー) - 人が頭の中に想い描くイメージとワンタイムパスワードを融合した、認証方式〔マトリクス認証〕を採用した本人認証    システム

  36. 3-3.アクセスコントロール  –インシデント事例 - アカウント:Administrator アクセスログを改ざんしてしまえば、証拠隠滅になるぞ。 特権ユーザになれば、やりたい放題だ! 悪意のあるユーザ インシデント事例 【特権ユーザの濫用】 NさんはS社で業務システムの運用管理を担当して3年になります。S社の業務システムはメンテナンス、バックアップ等の運用管理を開発会社の社員を含め、数名の担当者で行なっています。各担当者は作業の利便性が良いことから、 特権ユーザ(Administrator)を使用して、作業を行なっていました。 ある日、S社に「S社で取り扱っている顧客情報がインターネットに流出している」という 連絡がありました。慌てて、Nさんは他の担当者に連絡を取り、顧客情報の流出経路と内容の特定のため、業務システムへのアクセスログの調査に取り組みました。 しかし、顧客情報への不正アクセスログは記録されていなかったため、流出経路と内容を特定できませんでした。どうやら、犯人は特権ユーザを不正に取得しており、自らのアクセスログを消去したようです。 顧客情報の流出経路と内容を開示することができなかったS社は、さらに社会的信用を失うことになりました・・・

  37. ID・パスワード ID・パスワード ID・パスワード ID・パスワード ID・パスワード ID・パスワード ID・パスワード 3-4.統合ID管理  –インシデント事例 - グループウエア 悪意のあるユーザ 不正アクセス  退職者ID・パスワード  退職者ID・パスワード … インシデント事例 【残存IDを使用した不正アクセス】 SさんはO社でグループウエアの運用管理を担当して5年になります。  ある日、Sさん宛てに「グループウエアの掲示板に、ある社員を誹謗中傷する内容の 書き込みがされている」という連絡が入りました。 Sさんが、書き込みをした人物の調査をおこなったところ、去年の3月末に退職したYさんであることが判明しました。 去年の3月末は新入社員、異動者、退職者など多くの人事異動があったため、オペレーションミスから、グループウエアのYさんのアカウントを削除し忘れていました。 どうやら、誰かが、削除し忘れたYさんのアカウントを不正に使用したようです・・・・

  38. 3-5.シングルサインオン(SSO)–インシデント事例 - インシデント事例 【付箋紙からのパスワード漏えい】 O社では、勤怠管理システム、交通費精算システム、グループウエアなど複数の システムを個別のサーバで運用をしています。 ある日のO社内での会話です。 Bさん「ファイルサーバに保存していた、今期の業績に関する機密文書がなくなってい     るんだけど、心当たりはないか?」 Aさん「たしかここに・・・見当たりませんね。念のため、アクセスログを調べてみます。」 Aさん「Mさんのアカウントで削除が行われているようです。誤って削除したのですかね?」 Bさん「Mさん、今期の業績に関する機密文書のファイルを削除しただろう!」 Mさん「いいえ、機密文書にはアクセスしていないですよ。」 Bさん「ていうか、付箋紙にファイルサーバのID、パスワード書いて、PCに貼り付けてる じゃないか!これじゃあ、誰でも君のアカウントでアクセスできてしまうよ!!」 Mさん「だって、ID、パスワードが多すぎて覚えきれないんですよ・・・」 ID、パスワード ID、パスワード

  39. ◆おわりに - 情報セキュリティ対策マップ -

More Related