地方公共団体における セキュリティ対策について

地方公共団体における
セキュリティ対策について
財団法人
地方自治情報センター
自治体セキュリティ支援室
本日お話すること
自治体セキュリティ支援室について
 平成21年度 情報セキュリティ事件・事故
情報収集分析結果
 自治体セキュリティ支援室 事業紹介




2
ウェブ健康診断
ウェブ感染型マルウェア能動的検知
今後の方向性について
LASDEC自治体セキュリティ支援室の支援事業について
地方公共団体の情報セキュリティレベルの向上を支援するための各種事業を実施。以下は今年度事業予定。
●ウェブ健康診断の実施
地方公共団体が運営するホームぺージの改ざん防止等に資するため、ウェブアプリケーションの脆弱性の有無を診断し、診断結果を提供
(H21年度実績:530団体)
●ウェブ感染型マルウェアの能動的検知事業の実施
地方公共団体のホームページを自動巡回し、Gumblar(ガンブラー)等のWeb感染型マルウェアの感染有無を検査し、マルウェアが検知し
た場合は当該団体へ連絡(H21年度実績:870団体)
●情報セキュリティ内部監査推進のためのアドバイザー派遣
内部監査を初めて実施する市町村にアドバイザーを派遣し、円滑に実施できるよう支援するとともに、内部監査人の育成を行う
(H21年度実績:19団体)
●ICT部門のBCP(業務継続計画)策定のためのアドバイザー派遣
ICT部門の業務継続計画策定を支援するため、アドバイザー派遣等を実施 (H21年度実績:5団体)
●ポータルサイトの運営、自治体セキュリティニュース・メールマガジンの発行
セキュリティ関連の事故情報、セキュリティ情報機関から入手した注意喚起情報等をLGWAN−ASPを活用したポータルサイトにより提供
するほか、最新のセキュリティニュースやセキュリティ対策取組事例などを内容とするメールマガジンを定期的にLGWANメールで地方公共団
体に配信
●自治体CEPTOAR(セプター)の業務
内閣官房情報セキュリティセンター(NISC)から提供される重要インフラ分野で共有すべきIT障害等(例えばサイバー攻撃の発生や災害に
よる被害が予測される場合など)の情報をLGWANメールで地方公共団体に一斉通知
(注)CEPTOAR:Capability for Engineering of Protection, Technical Operation, Analysis and Responseの略。第1次情報セキュリティ基本計画(平成18年
2月2日)に基づき、IT障害の未然防止等のため政府等から提供される情報について関係重要インフラ分野で共有するため、各重要インフラ分野(情報通
信、金融、航空、鉄道、政府・行政サービス(地方公共団体を含む)等の10分野)内で整備する「情報共有・分析機能」のこと。
平成21年度
情報セキュリティ事件・事故 情報収集分析結果
自治体セキュリティ支援室では、地方公共団体や国、公益法人等公的機関を対象に収集した情報セキュリティ
の事件・事故情報をとりまとめています。(調査データ:平成21年4月1日∼平成21年3月31日)
情報漏えい事件・事故(主に個人情報漏えい)の原因内訳
紛失が約4割
合計:466件(H20:386件)
依然多い情報漏えい事故
件数微増の不正アクセス・ウィルス関連
4
(注) 上記データは当センターが独自に収集した情報を基にして作成しておりますが、地方公共団体、国、公益法人等における、
全ての情報セキュリティ事件・事故を集めた統計データではありません。
平成21年度情報セキュリティ事件・事故 情報収集分析結果
情報漏えい原因の分類 前年度比較
100
90
H20(左のグラフ)
86
80
80
H21(右のグラフ)
80
73
70
60
57
55 55
50
45
40
30
25
20
32 32
30
21
16
15
8
10
14
5
0
書類紛失
5
USBメモリ紛失
PC・FD等紛失
Winny等
盗難
誤送信
委託先
HPへの誤記載
その他
(注) 上記データは当センターが独自に収集した情報を基にして作成しておりますが、地方公共団体、国、公益法人等における、
全ての情報セキュリティ事件・事故を集めた統計データではありません。
近年の情報セキュリティ事件・事故(事例1/2)
書類の紛失関連
A県は2009年11月17日、県立高校の教頭が生徒及び教職員の個人情報を記入した修学旅行マニュアルを紛失したと発表した。修学旅行
から帰宅する際に紛失したもので、マニュアルには2年生の全生徒(314名)のクラス、氏名のほか、修学旅行自由行動時の班長・副班
長生徒(123名)の氏名、携帯電話番号、修学旅行引率教職員(16名)の氏名、携帯電話番号が記載されていた。
USBメモリーの紛失関連
B県は2009年9月30日、中央児童相談所において職員が障害児施設利用者の個人情報を含むUSBメモリを紛失したと発表した。職員
は業務終了後、USBメモリをキャビネットに保管したと記憶しているが、後日使用しようとしたところ所在不明に気がついた。この
USBメモリには相談記録に関する児童氏名、相談内容、家族の状況、本人(児童)の生育歴や障害児施設利用者の氏名・生年月日・
利用施設、課税状況、施設利用負担額等、約50人分の個人情報が記録されていた。
誤送付・誤送信関連
C省は2009年10月27日、電子メールの誤送信により採用説明会参加者のメールアドレスが漏えいしたと発表した。C省の採用説明会参
加者の一部に対し、今後の採用説明会の予定を案内するに際し、計385名分のメールアドレスが他の受信者に見える形で送信してしたも
の。
盗難関連
①D市教育委員会は2010年1月7日、生徒の個人情報を含むノートパソコンが盗難に遭ったと発表した。市立中学校教員が年末に実家
へ帰省している間に自宅が空き巣の被害に遭ったもので、パソコンには在籍生徒391名分の氏名、生年月日・住所・電話番号等の個人
情報が含まれていた。
②E県教育委員会は2009年9月14日、県立高校において生徒の個人情報を含むUSBメモリが盗難に遭ったと発表した。このUSBメ
モリは生徒会顧問室の鍵のかかっていない机の引き出しに保管されていたもので、在校生、卒業生の氏名、成績等、あわせて1042人分
の個人情報が含まれていた。
委託先
総務省は3月24日、地方公共団体の業務を受託した事業者(F社)においてポータブルハードディスクの紛失事故があり、その中に個
人情報が含まれていたことから、外部委託事業者に対する個人情報の管理について注意喚起する文書を都道府県あてに通知した。
このハードディスクには約20万件の個人情報等が含まれており、G町以外の地方公共団体に関する個人情報や今年度同社と業務委託契
約を締結していない地方公共団体の情報も含まれていた。
6
近年の情報セキュリティ事件・事故(事例2/2)
Gumblar(ガンブラー)ウイルス感染
①G県は2010年1月28日、G県が提供している「某スポーツネット」のサイトが不正アクセスにより改ざんされ、当該サイトの閲覧者に
ウイルス感染の可能性があると発表した。現在、当該サイトは閉鎖している。改ざんされたウェブページを閲覧した場合、コンピュー
ターウイルスの「Gumblar(ガンブラー)」亜種に感染する可能性があり、感染すると意図しないサイトへ誘導される可能性がある。な
お、改ざんされた期間は不明とされているが、1月15日に不正アクセスがあったことは確認されている。
②H区は2010年1月12日、区立中学校のホームページが改ざんの被害に遭い、閲覧者にウイルス感染に可能性があると発表した。現在同
中学校のホームページは閉鎖されている。ウイルス感染したサイトは昨年12月26日21時から今年1月6日14時にかけて公開しており、この
間に621件のアクセスがあったとされている。区は上記期間に同サイトを閲覧した人に対しウイルス駆除ソフトを最新の状態にして、ウ
イルススキャンを実施するよう、呼びかけている。
SQLインジェクション等
①J市は2008年2月19日、公共施設予約システムが外部からの不正アクセスを受け、システムを停止したと発表した。なお、これに伴う
個人情報の漏えい及び予約内容への影響は認められていない。
②K市は2008年3月13日、同市のホームページのコンテンツの一つとして提供している地図情報提供サービスがSQLインジェクション
の攻撃を受け、不正な文字列を書き込まれるなどの改ざんの被害を受けた。
フィッシングサイト設置
L市は2007年11月28日、同市ホームページ内の「教育ポータルサイト」に、某国のオークション等を業務とする会社の擬似ページ
が作成され、利用者情報を不正取得する「フィッシング行為」の踏み台とされる被害が確認されたと発表した。
ホームページへの大量アクセス
M県は2009年2月26日、同県のホームページが同日午後2時ごろから約20分間にわたり約650万回のアクセスが集中し、閲覧しにくい
状態になったと発表した。県情報政策課によると、県ホームページを公開するサーバに対して、某国のプロバイダに割り当てられてい
るIPアドレスから大量かつ不審な通信が行われていたため、ホームページの閲覧に支障を生じさせたものと考えられるという。同課は
原因を確認後、直ちに大量アクセスを行っているIPアドレスからの通信を遮断する措置を実施した。ホームページの改変や業務への支
障はなく、現在は通常どおり閲覧できるようになっている。
7
公的機関の情報セキュリティ事件・事故事情
事件事故発生件数(総数)は増加(H20:386件⇒H21:466件)
Winny等ファイル共有ソフトのウィルスに起因する情報漏えい
はほとんど見られなくなった。(H20:30件⇒H21:8件 )
依然多い「情報(USBメモリ、PC、書類)の紛失」。
「盗難」、「誤送信」「委託先からの漏えい」は増加している。
(H20:57件/45件/15件⇒H21:80件/80件/21件)
不正アクセス関連は、手法の変化と被害の増加
(H20:21件⇒34件)







8
OS/アプリケーションの脆弱性(サーバ側の脆弱性)
→Webアプリケーションの脆弱性(サーバ側の脆弱性)
→Web管理者/コンテンツ管理者PCの脆弱性(クライアント側の脆弱性)
目立つ・愉快犯・手動・単独(少数)
→目立たない・金銭目的・自動化・組織化 …がより一層強まった。
(注) 上記考察は当センターが独自に収集した情報を基に分析した結果を用いておりますが、地方公共団体、国、公益法人等に
おける、事件事故発生傾向分析ではありません。
Webサイトを狙った攻撃の発生状況(例)
解析対象のウェブサイト: JVN iPedia(脆弱性対策情報データベース)
解析したウェブサーバのアクセスログの期間: 2009年1月∼12月
 攻撃が成功した可能性の高い件数: 0件
サイトの有名・
 攻撃があったと思われる件数 : 5,827件
無名は関係ない


1日平均で16件近くの攻撃が来ているという計算になる。
9
出典:IPA Web Application Firewall読本 http://www.ipa.go.jp/security/vuln/documents/waf.pdf
ウェブ健康診断事業について
厳選
12項目
10
診断対象例:
・電子申請
・電子調達(入札)
・図書館蔵書検索、貸出予約システム
・施設予約システム
・議事録検索
・自治体公式ホームページの検索機能
・資料請求・問い合わせ等のフォーム
・市町村長への手紙
・イベントやメールマガジン等の申込みフォーム
・地域SNS
・掲示板
・粗大ごみ収集の申込み
・GIS(Geographic Information System)
・バナー広告等、外部サイトへの転送機能
・シミュレーター(年金、健康管理等)
・イベントカレンダーなど。
LASDEC ウェブ健康診断の特徴的な取組例




診断の仕様が決まっており、インターネットにも公開して
いる。一定の技術力を持つ事業者であれば、健康診断
仕様の脆弱性診断も可能。
事業者選定時には、診断の技術力チェックのため、技術
テスト(ペーパーと実技)を課している。
選定された事業者の診断結果についても、一部ランダム
に選択した団体の結果について正確な結果かどうか抜
き打ちチェック(別の識者に再度診断してもらう)してい
る。
診断結果の傾向分析をし、各団体の情報セキュリティ担
当課と情報共有をしている。
11
Web感染型マルウェア(例)
Gumblar(ガンブラー)マルウェア感染までの動き
被害団体のホームページ
(感染サイト)
アクセスした一般ユーザの
PCにマルウェア感染
これら一連の動きが
“自動”で行われている
⑤Webページを書き換え、
悪意あるコードを設置
(なりすましのアクセス)
攻撃者
③FTP でコンテンツ
のアップロード
(通常のアクセス)
④攻撃者へ、FTP の
パスワードを勝手に送信
感染したWebサーバー
②マルウェアに感染
①感染したWebページを閲覧
12
コンテンツ作成者のPC
(参考)某団体の被害事例(一般ユーザ)
13
(参考)Googleセーフブラウジング
Firefoxの場合
Google Chromeの場合
14
ウェブ感染型マルウェア能動的検知
申込時登録者
(Webサーバ
管理者等)
(昨年度実施イメージ)
都道府県
公式ホームページ
Webサーバ
③緊急通知
JPCERT/CC
⑦対処方法等報告書
及び専用マルウェア駆除
ソフトの提供(試行)
④インシデントの届出
(マルウェア検体の届出)
市
⑧緊急対処の実施
ホームページでの広報等
⑥マルウェア解析報告
及び専用マルウェア駆除
ソフトの提供(試行)
委託事業者
②マルウェア
検出通知
LASDEC
⑤マルウェア検体解析依頼
(マルウェアそのものは、物理的
に運搬)
⑨事業終了後、統計
データ等の情報共有
(LGWANのみ)
LGWAN
15
町
①公式ホーム
ページの巡回
検査
Web感染型
マルウェア検知
サーバ
(クローラー)
村
第2次情報セキュリティ基本計画が示すこれからの方向性
第2次情報セキュリティ基本計画(平成21年2月3日)は、第1次情報セキュリティ基
本計画(平成18年2月2日)の後継であり、平成21年度から平成23年度までの政
府のセキュリティ施策の基本的な方向性を示した計画
無謬(むびゅう)性の追求から事故前提社会へ
 内部監査から外部監査、そして相互監査へ
 より幅広い行政分野でセキュリティ浸透へ
 ベストプラクティスの更なる相互活用へ
 地域におけるセキュリティ人材育成へ
 より合理的・自主的なセキュリティ対策へ

16
資料、メーリングリスト等のご紹介(自治体限定)

ICT部門のためのBCP策定支援アドバイザー派遣事業成果物
派遣先5団体の策定したBCP(公開用)を参考提供中

神戸市、東京都北区、伊那市、小鹿野町、奈良市

情報セキュリティ内部監査アドバイザー派遣事業成果物
内部監査マニュアルを参考提供中


ウェブ感染型マルウェア能動的検知、ウェブ健康診断両事業
の傾向分析や、対策等の解説を含む事業結果報告を近日公
開予定。
これらの成果物は、自治体セキュリティニュース、メールマガジン(一部資料
は、自治体セプターのメーリングリストのみの提供)でお知らせしています。

自治体セキュリティメールマガジンの購読は以下にてご登録ください。
http://lascww02.lg-lib.asp.lgwan.jp/magazine/index.html (LGWAN接続環境が必要です)
17
今後とも、よろしくお願いします。
(財)地方自治情報センター
自治体セキュリティ支援室(略称:LASC(ラスク))
メールアドレス(LGWAN):lasc_info@lg-lib.asp.lgwan.jp
メールアドレス(Internet):lasc@lasdec.or.jp
自治体セキュリティ支援室ポータルサイト(LGWAN-ASP):
http://lascww01.lg-lib.asp.lgwan.jp
18