神奈川県高等学校教科研究会 神奈川県高等学校教科研究会 情報セキュリティ研修( Ⅰ) 情報セキュリティ研修(Ⅰ) 2004年8月26日 神奈川県高等学校教科研究会 情報セキュリティ大学院大学 内田 勝也( uchidak@gol.com ) 1 1.情報セキュリティの必要性 情報セキュリティ研修 質問 以下の質問についてどのように回答されるでしょうか? (考えられるものを選択して下さい。 この質問はパズルや引っかけ問題ではありません。 情報セキュリティを考える上で、大切なものだと思っています。) 見知らぬ所で、周りを見回して誰も近くにおりません。ふと見るとお金が落ちていました。 ざっと見るとXX円ありそうです。 この時、以下のどれをとる可能性があるでしょうか? 1. 拾って警察に届ける 2. 自分の懐に入れてしまう 3. 無視してそのままにする また、この時の金額によって、あなたのとる手段は1∼3で変化がありますか? 下の線の所に、上記1∼3までを実際の金額を入れて回答して下さい。 少額 落ちていた金額 高額 私の場合 私の場合 ページ Katsuya Uchida 2 情報セキュリティ研修 uchidak@gol.com 1.情報セキュリティの必要性 コンピュータ犯罪者像 z ページ 3 コンピュータ犯罪者・・・・・ 15∼45歳の男性(女性も増えてきたが)。コンピュータの専門知識はさまざまで、過去の犯罪歴 はほとんどない。個人的な資質としては頭脳明晰,やる気があって企業にとって望ましい人間の ように思われてきた。 犯罪者のほとんどは、企業や政府機関内部で信頼される地位にあり、コンピュータシステムに簡 単に接近できる。 朝早くから、夜遅くまで仕事をし、休暇をとることも少ない。 Katsuya Uchida uchidak@gol.com 2 1.情報セキュリティの必要性 情報セキュリティ研修 個人情報漏洩事件 z 2003年6月、大手コンビニA社は、A社の会員カードの会員約56万人分の個人情報が社外流出したと発表。 流出情報は住所、氏名、生年月日、自宅と携帯電話番号で、口座番号や年収などの信用情報は含まれてい ない。 流出した個人情報は、2002年8月17日時点でカード会員だった顧客に関する情報。 外部からの不正なアクセスか内部から持ち出されたかは不明。 A社によると、個人情報にアクセスできるのは、社内と委託会社に約10台ある特定のコンピューターだけで、パ スワードを知っているのは社内と委託会社で計20人という。 A社は、カード会員115万人全員に謝罪のため、社長名の手紙と500円分の商品券を送る。 A社の財務状況(2003年2月決算内容) 売上高 2,503億円 営業利益 341億円 経常利益 307億円 (約2%に該当) 当期利益 89億円 (約7%に該当) 115万人 115万人 × 500円 = 5億7500万円 ( 6億円) z 2002年5月、B社の顧客・アンケート協力者の個人情報(氏名、住所、年齢等の他、電話番号やメールアドレ ス )、約5万件がネット上に流出。 名誉の侵害は,謝罪などで回復できる可能性がありますが,個人情報は いったん流出すると,もはや回復が不能です。 今回のこのような深刻な被害を2度と起こさないという公益的な目的の下,被害者の救済と,こうした深刻な被 害を引き起こしたB社に対し謝罪と相当額の賠償を求めるために,B社プライバシー被害弁護団を設立。 エステティック大手のB社のWebサイトから氏名や住所、年齢などの情報が漏洩した事件では、被害者が1人あ たり115万円の損害賠償を求めている。 (5万人×115万円=575億円) ページ 5,000人× 5,000人×10万円=5億円? Katsuya Uchida 4 情報セキュリティ研修 uchidak@gol.com 1.情報セキュリティの必要性 個人情報漏洩事件 z 2004年2月、インターネット接続サービス会社で契約者情報約460万人分が流出 ページ 5 インターネット接続サービス会社Bの契約者情報約460万人分が流出していたことが判明した。 流出した情報はADSLサービスの契約者情報で、このデータベースにアクセスできるのは昨秋の時点で、 B社のシステム開発者ら132人。 国内の5カ所からアクセスでき、132人の中には社員以外の委託業者も含まれている。 アクセス方法は IDとパスワードを入れる。当時は3∼4人のグループで一つのパスワードを使う方法も一 部で採っていた。 今般の個人情報盗難問題に関して、全社的な情報管理体制の検証を行った結果、下記対策が最も重要 であるとの認識に達し、本年3月末までに緊急対策として、下記の対策を早急に実施することとした。 1.組織的安全対策 2.物理的安全対策 3.技術/運用的安全対策 4.人的/業務委託安全対策 企業としてのセキュリティ管理能力を高めるため、より本質的な活動を中長期的に継続して取り組むこと を発表した。 具体的には下記の活動に取り組む。 〔企業のセキュリティ管理能力を高める中長期的な活動への取り組み〕 ¾ リスク対応の原則 ¾ セキュリティのデザインと実装の原則 ¾ セキュリティマネジメントの原則 に則り、対策を行う。 全被害者に金券500円を送付 実質は ¾ 460万人 × 500円 = 23億円 460万人× 460万人×1000円 = 46億円 Katsuya Uchida uchidak@gol.com 3 情報セキュリティ研修 1.情報セキュリティの必要性 福島県岩代町の情報漏洩: 2002年 2002年12月 12月26日 26日 z 情報漏洩発生 : 2002年12月26日 委託業者によるバックアップデータの引き取り(1回/月) データは暗号化されており、施錠対策がされていた 業者社員が保管場所へ直行せず営業所に駐車中に車上荒しにあう 全住民9,600人の基本情報が盗難(4日後に発見) コンピュータ専門誌 コンピュータ専門誌 による指摘ですが による指摘ですが z 事件発生以降: 2002年12月26日以降 事故後2日間延べ170人の職員を動員して町内2,300戸全てを訪問 変更データシステムの再作成及び入力作業(3日間) 委託業者と約600万円(経費356万円+慰謝料250万円)で和解 委託契約の損害賠償金では一般的には上限額制限があり、年間契約料を超える費用は自治体負 担になる。 ⇒ 「情報セキュリティ保険」? z 損害賠償: 全住民9600人×10,000円=9600万円 情報漏洩発生前の対策 こんなことないでしょうね! z システム室・磁気カードによる電子施錠 z 基幹系/情報系のネットワーク分離 z セキュリティポリシーの策定あり z 外部委託契約書(NDA条項あり) ¾ 保管場所・直行契約なし ?! ページ 参考: 日経コンピュータ 2003年6月30日 Katsuya Uchida 6 情報セキュリティ研修 uchidak@gol.com 1.情報セキュリティの必要性 コンピュータウイルスによるネットワーク障害 平成15年8月22日(金)大阪府発表資料より z 庁内ネットワークの復旧状況 (平成15年8月22日(金)15時現在) 作業経過 z 8月19日(火)午前9時10分ごろ、コンピュータウイルス「Welchia(ウエルチア)」によるネットワーク障害が z z z z 発生 初日の対応: 状況把握、作業方針の確認、ウイルス対策ソフト(CD−ROM)の作成(約500枚)及び作業手 順書の作成を行った 2日目(8月20日): 本庁及び出先機関の職員への説明会で作業手順を説明。本来は、この対応作業を行 い安全確認された端末機を順次接続することにしていたが、ウイルス対策が不完全な状態のものが接続さ れ、ウイルスがネットワークに広がる恐れが出たため、端末機のクリーニング作業のみを実施した。 3日目(8月21日): 感染した端末機が接続されることのないよう、所属単位で責任を持って対応することを 徹底し、準備の整った所属から順にネットワークに接続を開始した。 この結果、本庁・出先あわせて92所属、 端末機全体の約半分を接続。 4日目(8月22日): 本日も同様の手順で接続作業を継続し、ネットワークの再接続はほぼ完了する見込み。 当面の対応: 感染した端末機が残っている恐れもあるため、ネットワークの常時監視を継続する。 原因について z 詳細については、現在究明中だが、何らかの原因によりウイルスに感染したパソコンが庁内ネットワークに 何らかの原因によりウイルスに感染したパソコンが庁内ネットワークに 接続されたものではないかと考える。 接続された z また、ウイルス定義のパターンファイルが最新のものに更新されていないパソコンが一定数あった ウイルス定義のパターンファイルが最新のものに更新されていないパソコンが一定数あったため感染 が一気に拡大し、感染されたパソコンから出された異常な通信がネットワーク回線を埋め、他のパソコンから の通信ができなくなった。 今後の対応 z セキュリティホールに対するセキュリティパッチの適用 z 個人所有のパソコンの庁内使用の禁止など、ネットワーク利用のモラルの徹底 z ネットワーク管理体制及び監視機能の強化 ページ 7 Katsuya Uchida uchidak@gol.com 4 1.情報セキュリティの必要性 情報セキュリティ研修 コンピュータウイルスによるネットワーク障害について(続き) ウイルス感染状況 (8月21日16時現在) 調査台数: 4,174台 端末機との再接続 本 庁 出先機関 (8月22日15時現在) 全 体 感染台数:1,314台(約 31.5%) 80/ 91 約88% 73/106 約69% 153/197 約77% z 府の発表をみている限り、2日間、パソコンを利用した作業ができなかった。 z 3日目に半数が復旧し、完全復旧は4日目になった。 z 直接的な作業(費用) CD-ROM(500枚)作成、 作業手順書の作成 端末クリーニング(8000台?)作業 税金の無駄使い!? z 間接的な費用 PC(8000台?)が2日間利用できなかった。 半数は更に1日利用不可。 CD-ROM作成費用:500枚×10分/枚×7,200円/時間 直接費用 作業手順書作成: 1日 × 50,000円 端末クリーニング: 1時間×8,000台×7,200円/時間 8,000台×50,000円/日×20%×2日 間接費用 4,000台×50,000円/日×20%×0.5日 合 計 ページ 61万円 5万円 5,760万円 1億6,000万円 2,000万円 2億3,826万円 Katsuya Uchida 8 uchidak@gol.com 1.情報セキュリティの必要性 情報セキュリティ研修 ブロードバンド(DSL ブロードバンド(DSL + FTTH + CATV)加入者数の推移 CATV)加入者数の推移 16,000,000 14,000,000 2001年 2002年 2003年 2004年 1月末 16,194 3,133,935 8,344,955 14,083,597 2月末 34,372 3,493,490 8,881,011 14,493,012 3月末 854,655 3,861,195 9,397,426 14,917,165 4月末 112,182 4,267,215 9,959,881 15,378,930 5月末 178,737 4,646,486 10,488,773 15,807,952 6月末 1,258,333 4,995,526 10,939,411 2001年 2002年 2003年 7月末 400,760 5,405,102 11,355,672 8月末 510,339 5,773,144 11,793,084 9月末 1,801,796 6,137,824 12,256,136 10月末 921,867 6,629,575 12,722,560 11月末 1,204,564 7,191,211 13,154,708 12月末 2,827,564 7,805,917 13,641,311 12,000,000 10,000,000 8,000,000 6,000,000 4,000,000 2,000,000 0 01.01 01.04 01.07 最近は、40∼45万件/月の増加 ページ 9 01.10 02.01 02.04 02.07 02.11 03.01 03.04 03.07 http://www.soumu.go.jp/ 03.11 04.01 04.04 総務省調査を筆者が編集 Katsuya Uchida uchidak@gol.com 5 1.情報セキュリティの必要性 情報セキュリティ研修 インシデント件数(CERT/CC ) インシデント件数(CERT/CC) 160,000 1 3 7 ,5 2 9 140,000 120,000 8 2 ,0 9 4 100,000 80,000 5 2 ,6 5 8 60,000 40,000 2 1 ,7 5 6 20,000 0 6 1988 132 1989 252 1990 4 0 6 7 7 3 1 ,3 3 4 2 ,3 4 0 2 ,4 1 2 2 ,5 7 3 2 ,1 3 4 3 ,7 3 4 1991 1992 1993 1994 1995 1996 1997 1998 9 ,8 5 9 1999 2000 2001 2002 2003 http://www.cert.org/ ページ Katsuya Uchida 10 uchidak@gol.com 1.情報セキュリティの必要性 情報セキュリティ研修 攻撃ツールの高度化と侵入知識の低下 Auto Coordinated Tools Cross site scripting “stealth” / advanced scanning techniques High packet spoofing Staged denial of service distributed attack tools sniffers Intruder Knowledge sweepers www attacks automated probes/scans GUI back doors network mgmt. diagnostics disabling audits hijacking burglaries sessions Attack Sophistication exploiting known vulnerabilities password cracking self-replicating code Intruders Knowledge password guessing Low 1980 1985 1990 1995 2000 CERT/CC ( http://www.cert.org/ ) ページ 11 Katsuya Uchida uchidak@gol.com 6 1.情報セキュリティの必要性 情報セキュリティ研修 セキュリティの脆弱性トップ14 13. 情報漏洩により、攻撃 者にOS、アプリケーションの バージョン、ユーザ、グルー プ、共有、SNMP、finger、 SMTP、telnet、rusers、 sunrpc、NetBIOS等のDNS 情報サービスをもたらす。 12. 不要なサービス(sunpc、 FTP、 DNS、 SMTP)を実行し ているホスト Internet/DMZ Servers 14. ネットワークやホストに おける不適切なログ収集、 監視や検知能力 10. ウェブサーバ のCGIやスクリプト、 匿名FTP等イン ターネットサーバ の設定ミス 9. ワークステーションでの弱く、 容易に推測され易い、再利用 されているパスワードはサービ スを危険にさらすことになる。 8. X Windows等の認証 のないサービス 11. ファイアウォールある いは、ルータのACLの設定 ミスで直接内部システムへ のアクセスを許したり、 DMZサーバを危険にさら すことになる WorkStation 7. 過度のファイルやディレ クトリ・アクセス制御 (NT/95 共有、UNIXの NFSエクスポート) Internal LAN Internal Router Border Router d De Firewall Internet ica Internal LAN cu ci r its Dialup Branch Office WorkStation 3. NTドメイントラストや UNIX .rhost等の過度な信 頼関係やホスト .equivファ イルは攻撃者に重要シス テムへ不正アクセスを許し てしまう Mobile/ Home user 2. 安全性に問題があり、監視さ れていないリモートアクセスポイン トは企業ネットワークへの簡便な アクセス手段を提供する ページ ted Remote Access Servers 1. 不適切なルータのアクセス制御: ルータのACLの設定ミスは、ICMP、 IP、NetBIOSを通して情報漏洩や DMZサーバ上のサービスに対する無 権限アクセスを許してしまう。 6. 周知徹底されたセキュリ ティポリシー、プロシー ジャー、ガイドライン、最低 限のスタンダードの欠如 5. パッチがされず、古く、 脆弱性があり、ディフォルト 設定状態のソフトウェア 4. 過度な特権を持った ユーザアカウントやテス トアカウント 「Hacking Exposed」より Exposed」より Katsuya Uchida 12 情報セキュリティ研修 uchidak@gol.com 1.情報セキュリティの必要性 技術以前の問題 ? 2002年7月、当時の米国大統領重要インフラ保護委員会 の副委員長 ハワード・シュミットは、インタ ビューで、『米国国防総省(DOD)が行った2001年の調査では、国防総省への攻撃の97∼98%の 攻撃はパッチ適用をしなかったか、設定ミスである』と述べている。 http://www.govtech.net/magazine/sup_story.phtml?id=18492 Security First Howard Schmidt, the former chief security officer at Microsoft, speaks about the national plan and other cyber security issues. (July 2002 ) Q: What kinds of technology will be needed to stave off electronic attacks? Do we need bigger anti-virus programs? A: The common misconception is this is a technology issue. But it's not a technology issue. For example, the DOD did an analysis last year and it's somewhere in the high 90s, like 97 [percent] to 98 percent of things that have hit the DOD systems have been the result not of some new piece of technology but exploitation of people that have not had processes in place to install patches or to configure their systems properly. Government Technology Unauthorized DoD Intrusions (314 Category 1 & 2 Intrusions as of 1 Jan 2003) ページ 13 492 Unauthorized DoD Root- Level Intrusions (as of 31 Dec 2001) Katsuya Uchida uchidak@gol.com 7 情報セキュリティ研修 1.情報セキュリティの必要性 既知の脆弱性 多くの有害プログラム(ウイルス、ワーム等)は、既知の脆弱性を利用 z CodeRed ワーム 2001年7月17日に発見された。(13日に最初に発見されたが、機能強化されたものがすぐに出現した) 最も「0-Dayワーム」に近いが、脆弱性情報は、2001年6月18日に公表されており、脆弱性情報公開より、 1ヶ月弱遅れて作成された。 z Nimda ワーム Internet Explorer の脆弱性 (不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイ ルを実行する (MS01(MS01-020)) 020))、および IIS の脆弱性( の脆弱性(「Web サーバー フォルダへの侵入」の脆弱性 (MS00(MS00-078)) 。 z SQL Slammer ワーム 2003年01月に発見された。 2002年07月に報告されたMS SQLサーバのセキュリティホール(MS02-039)を利用した。(MS社は危険性を 「高」としており、SQL Server 2000 を使用している場合は、直ちに修正プログラムをインストールして欲しいと している。) z ブラスター・ワーム Windows OS に対して、TCP135 に対して、TCP135 ポート (Microsoft RPC) に対して MS03MS03-026 の脆弱性を悪用した攻撃データ を送信します。 MS03MS03-026 の脆弱性の対策が行われていない Windows OS は、攻撃をうけ” は、攻撃をうけ”感染” 感染”し、自らが 攻撃者となり他のシステムに対して “感染” 感染” 活動を行う。 MS03年7月17日) MS03-026: 026: RPC インターフェイスのバッファ オーバーランによりコードが実行される。(2003 オーバーランによりコードが実行される。(2003年 17日) ページ Katsuya Uchida 14 情報セキュリティ研修 uchidak@gol.com 1.情報セキュリティの必要性 情報セキュリティの目的 z 情報を資産としてとらえ、その情報資産を守るための仕組み(体制)の確立を行う。 z 体制作りは、組織として行うことが大切であり、経営層から末端の従業員までが体制作りを行う必 要がある。 OECDセキュリティガイドライン「セキュリティ文化(Culture of Security)」を確立する。 参考:日本経済新聞社 ネット時評 江藤 学「『セキュリティ文化』を根付かせるために」 http://it.nikkei.co.jp/it/njh/njh.cfm?i=20020826s2000s2 z 情報資産を保護するための仕組み(体制)として、単に技術だけでなく、管理・運用や法制度など も含めて構築していくことが重要。 ページ 15 Katsuya Uchida uchidak@gol.com 8 情報と情報資産 情報セキュリティ研修 情報とは? 「情報とは目的をもったデータの集まりをさします。」 情報の具体例 顧客情報、製品情報、販売情報、社員情報、製品開発情報、・・・・ 個人の氏名、性別、生年月日、年収、家族構成、住所、電話番、・・・・ 情報の形態は? 文書・書類(紙媒体) ファイル(コンピュータ内部) ファイル(コンピュータ用媒体) メモ(紙媒体) ノウハウ(人間の記憶) ・・・・ 人 物 情報の重要性 3つの経営資源 人、 物、 金 に次ぐ、4つ目の経営資源 金 情 報 情報資産 ¾ 情報 ¾ 情報システム構成要素: コンピュータのハードウェア、 ソフトウェア、ネットワーク等 ¾ 人間 ページ 情報セキュリティで守るべきもの ・・・ 1.関連設備 2.ハードウェア 3.ソフトウェア 4.情報 5.人 建物、電源、空調設備、監視設備等 コンピュータ機器、ネットワーク機器等 基本ソフト、アプリケーションソフト等 IT情報、印刷物等 関連要員 Katsuya Uchida 16 情報セキュリティ研修 uchidak@gol.com 情報と情報資産 情報資産の分類と管理 情報資産のグループ化 z ISMS 適用範囲に存在する情報資産の洗出し 作業負荷は非常に大きい。 z リスク分析の作業を進めるにあたり、「情報資産 のグループ化」は作業負荷軽減と今後の分析 作業の効率化に有効な考え方である。 z 例えば、情報資産価値や属性(保管形態や保 管期間、用途等)が一致するものを一つのグ ループとする等です。重要性や属性が同じで、 結果的に適用されるセキュリティ対策が同じで あれば、同じグループとしてまとめて管理するこ とが効率的です。 z 情報資産の洗い出しの目的は、ISMS の適用対 象全体で適切なセキュリティ対策を決定するこ とであり、組織の全ての情報資産を網羅し、一 つひとつの情報資産の属性を明記した詳細な 資産台帳を作成することが必ずしも重要ではな い。 z 重要でないと判断した情報でも時間と共に重要 性が高まることがあるため、一定期間ごとに全 ての情報の見直しが必要である。 ページ 17 情報資産分類の考え方 − 場所別分類 1. メインフレーム 2. サーバー(Web、メール、DB 等) 3. クライアントPC(文書、電子メール 等) 4. 外部記憶媒体 5. ネットワーク(回線)上 6. 可搬型システム(ノートPC、PDA、携帯電話 等) 7. 郵送物 8. 外部委託先 9. 外部保管場所(データ、プログラム、文書) 10. バックアップセンター 11. 紙 12. 利用者 Katsuya Uchida uchidak@gol.com 9 情報と情報資産 情報セキュリティ研修 情報セキュリティを確保するために・・・ 機密性 (Confidentiality) 情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。 完全性 (Integrity) 情報が完全であり、前の状態から変更されていないこと。 可用性 (Availability) 許可されたユーザが必要な時に、情報にアクセスできることを確実にすること。 英語の頭文字をとって、 英語の頭文字をとって、 CIA と言われている。 と言われている。 更に、 説明責任(Accountability)または、可監査性(Auditability)の必要性 過去に遡って事実を明らかにする仕組み(記録を残す)を構築する 情報セキュリティを確保するための仕組み(体制)は、バランス良く行うことが大切で、全 情報セキュリティを確保するための仕組み(体制)は、バランス良く行うことが大切で、全 体を考えた時、最も弱い所がそのシステムのセキュリティレベルであり、全体の平均値 体を考えた時、最も弱い所がそのシステムのセキュリティレベルであり、全体の平均値 がセキュリティレベルではない。 がセキュリティレベルではない。 例えば、100点の場所が3ヶ所あっても、20点の場所が1つあれば、セキュリティレベル 例えば、100点の場所が3ヶ所あっても、20点の場所が1つあれば、セキュリティレベル は20点になり、合格点にはならない。 は20点になり、合格点にはならない。 ページ Katsuya Uchida 18 情報セキュリティ研修 uchidak@gol.com 情報と情報資産 情報資産の分類と管理(続き) 情報区分(影響度の基準) z 資産目録の作成後、資産価値を評価する。資産価値は、組織の事業上重要なプロセスに対する影響度ととらえることが可能 です。 z 組織のニーズに基づく情報資産の識別と評価は、リスクアセスメントにおける重要な要因となる。従って、主要な情報資産の 価値の評価は、組織のビジネスをよく理解した情報の管理責任者(「情報オーナ」)によって行われなければなりません。 z 情報資産の価値を判定する際にC.I.A.の3 要素に関する組織独自の判断基準を確立する必要がある。下表 に機密性の判 断基準を例示する。 資産価値 クラス 1 公開 (PUBLIC) 2 社外秘 (FOR INTERNAL USE ONLY) 3 秘密 (CONFIDENTIAL) 4 極秘 (SECRET) 説 明 第三者に開示・提供可能 内容が漏洩した場合でも、ビジネスへの影響はほとんど無い 組織内では開示・提供可能(第三者には不可) 内容が漏洩した場合、ビジネスへの影響は少ない 特定の関係者または部署のみに開示・提供可能 内容が漏洩した場合、ビジネスへの影響は大きい 所定の関係者のみに開示・提供可能 内容が漏洩した場合、ビジネスへの影響は深刻かつ重大である 個別の情報資産の価値は、上表の例示のように、あらかじめ規定された情報区分に基づき、主に情報の管理責任者(所有者)の主観で判 定される。 情報区分(ラベリング) z z z z z ページ 重要データ(極秘、秘密、社外秘)は作成から廃棄(重要データでなくなる)まで、ラベルで認識できるようにする。 公開データは、特にラベルを貼らないことも考えられる。 分類された情報が無許可で開示されるリスクがあり、使用時、保存時、輸送中にも必要な保護を考慮する。 印刷されたものに対しては、綴じていないものは、各ページに適切なラベルを印刷する。 他組織での分類の解釈に注意が必要。同じ言葉が異なる意味に使われていることもある。 19 Katsuya Uchida uchidak@gol.com 10 情報と情報資産 情報セキュリティ研修 情報セキュリティを支える3要素 z 情報セキュリティを確保するためには、技術だけで確保できない。 z 技術、管理・運用、法制度が三位一体となって情報セキュリティを構成していく。 情報 セキュリティ 技術 管理・運用 暗号、個人識別 教育・訓練 ファイアウォール 法制度 刑法 個人情報保護法 リスク分析 電子署名法 情報倫理 アンチ・ウイルス 侵入検知システム ページ 不正アクセス禁止法 情報セキュリティ管理システム IT基本法 Katsuya Uchida 20 情報セキュリティ研修 リスクマネジメント 労務リスク 労務リスク 情報漏洩・改竄・消失 システムダウン サービス妨害 機器損傷・破壊 不正アクセス 有害プログラム 等 労働争議、役職員の 不正・犯罪、差別・セ クハラ 等 情報リスク 情報リスク 財務リスク 財務リスク uchidak@gol.com 政治リスク 政治リスク 投資の失敗、不良債 権、企業買収・合併・ 吸収、株価下落 等 戦争・革命・内乱、貿 易摩擦、輸出入規制、 規制強化 等 経済リスク 経済リスク 法務リスク 法務リスク 為替変動、金利変動、 金融危機、等 製造物責任、リコー ル、知的所有権、プ ライバシー侵害 等 社会リスク 社会リスク 生産・ ・開発リスク 生産 生産・開発リスク 生産ラインの変化、 海外生産、品質管理、 技術の陳腐化 等 総務・ ・広報リスク 総務 総務・広報リスク 株主対策、ブランド イメージ、クレーム処 理、等 ページ 21 消費者運動、不買運 動、高齢化・少子化等 保安リスク 保安リスク 災害リスク 災害リスク 火災・爆発・倒壊、停 電事故、盗難 等 地震・津波・高潮、台 風・竜巻、噴火・地滑 り、洪水 等 不法行為リスク 不法行為リスク テロ、誘拐、総会屋・ 脅迫、ひぼう中傷 等 実践「危機マネジメント」 ぎょうせい より、筆者による追加・編集 Katsuya Uchida uchidak@gol.com 11 リスクマネジメント 情報セキュリティ研修 リスクについて ② 窓が開いている (Vulnerability) ① 雨が降る (Threat) ③ 窓が開いていたために高価な絨 毯がぬれる可能性は50%ある。 (Likelihood) 参考 参考 Risk Risk Cube Cube ⑤ 自動的に開閉を行う仕組の導入 (Control) 管理費用 管理費用 窓の自動開閉 窓の自動開閉 ペルシャ絨毯(2,000,000円) 2,500円 2,500円 資産価値 リスクの大きさ ④ カーペットを洗濯にだす (Impact) 修繕: 60,000円 洗濯: 15,000円 合 計: 75,000円 脆弱性 上記の①∼⑤をリスク管理では以下のように定めている。 ① 脅威 (Threat) ② 脆弱性 (Vulnerability) ③ 可能性 (Likelihood) ④ 影響 (Impact) ⑤ 管理策 (Control) ページ 脅威 時間軸を入れ、4次元で考える必要があろう Katsuya Uchida 22 uchidak@gol.com リスクマネジメント 情報セキュリティ研修 事件・事故の費用計算 Lowest Reported Theft of proprietary info. ($) Highest Reported ($K) Average Losses ($) '00 01 '02 '03 '00 01 '02 '03 '00 '01 '02 '03 情報資産の盗難 1,000 100 1,000 2,000 25,000 50,000 50,000 35,000 3,032,818 4,447,900 6,571,000 2,699,842 破壊 1,000 100 1,000 500 15,000 3,000 10,000 2,000 969,577 199,350 541,000 214,521 通信盗聴 200 1,000 5,000 1,000 500 500 5,000 50,000 66,080 55,375 1,205,000 15,200 System penetration by outsider 外部者のシステム侵入 1,000 100 1,000 100 5,000 10,000 5,000 1,000 244,965 453,967 226,000 56,212 Insider abuse of Net access 内部者のアクセス乱用 240 100 1,000 100 15,000 10,000 10,000 6,000 307,524 357,160 536,000 135,255 Sabotage of data of networks Telecom eavesdropping Financial fraud 資産詐欺 500 500 1,000 1,000 21,000 40,000 50,000 4,000 1,646,941 4,420,738 4,632,000 328,594 Denial of services DoS攻撃 1,000 100 1,000 500 5,000 2,000 50,000 60,000 108,717 122,389 297,000 1,427,028 Virus Unauthorized insider access Telecom fraud Active wiretapping Laptop theft ウイルス 100 100 1,000 40 10,000 20,000 9,000 6,000 180,092 243,845 283,000 199,871 内部者の無権限アクセス 1,000 1,000 2,000 100 20,000 5,000 1,500 100 1,124,725 275,636 300,000 31,254 通信詐欺 1,000 500 1,000 100 3,000 8,000 100 250 212,000 502,278 22,000 50,107 盗聴 5,000,000 0 0 5,000 5,000 0 0 700 5,000,000 0 0 352,500 1,000 1,000 2,400 1,200 2,000 5,000 2,000 58,794 61,881 89,000 47,107 ノートPC盗難 500 Total Annual Losses 情報資産の盗難 破壊 通信盗聴 外部者のシステム侵入 内部者のアクセス乱用 資産詐欺 DoS攻撃 ウイルス 内部者の無権限アクセス 通信詐欺 盗聴 ノートPC盗難 Total Annual Losses ページ 23 ($) '00 '01 '02 '03 66,708,000 27,148,000 991,200 7,104,000 27,984,740 55,996,000 8,247,500 29,171,700 22,554,500 4,028,000 5,000,000 10,404,300 265,337,940 151,230,100 5,183,100 886,000 19,066,600 35,001,650 92,935,500 4,283,600 45,288,150 6,064,000 9,041,000 0 8,849,000 377,828,700 170,827,000 15,134,000 346,000 13,055,000 50,099,000 115,753,000 18,370,500 49,979,000 4,503,000 6,015,000 0 11,766,500 455,848,000 70,195,900 5,148,500 76,000 2,754,400 11,767,200 10,186,400 65,643,300 27,382,340 406,300 701,500 705,000 6,830,500 201,797,340 2003 CSI/FBI Computer Crime & Security Survey Katsuya Uchida uchidak@gol.com 12 リスクマネジメント 情報セキュリティ研修 脅威と脆弱性 脅威・脆弱性の明確化 リスク因子(Risk source): リスクが顕在化する要因で、脅威と脆弱性の組合せ z ① 脅威の識別 z 脅威: 情報システムや組織に損失や損害をもたらすセキュリティ事故の潜在的原因 脅威は、脆弱性により誘引され、顕在化することにより組織及び組織の業務に影響を与える 脅威の大きさは、その要因や対象となる情報資産ごとに、その発生可能性を評価して決定する 人為的脅威 意図的(計画的)脅威(Deliverate) 偶発的脅威(Accidental) 環境的脅威 環境的脅威(Environmental) 情報管理責任者は、情報利用者、他事業部門関係者、外部の専門家から提供される脅威に関する情報 を基に、自らが管理する情報資産がさらされる脅威を識別し、下表に例示するような一覧表を作成する。 z 脅 威 地震 停電 静電気 オペレータの操作ミス 人的資源(スタッフ)不足 IDの偽り 悪意あるソフトウェア ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ 意図的脅威 偶発的脅威 ● ● ● ● ● ● ● 環境的脅威 ● ● ● ● 脅威の例示とその分類例 ページ Katsuya Uchida 24 uchidak@gol.com リスクマネジメント 情報セキュリティ研修 脅威と脆弱性 (続き) 脅威の洗い出し方法 z z z z z z z 意図的(計画的)脅威は、攻撃者の動機、攻撃に必要とされるスキル、利用できるリソースを考慮に入れ、 情報資産の特性、魅力、ぜい弱性から、どのような要因が脅威であるかを識別します。 偶発的な脅威は、立地条件、極端な気候条件の可能性及び要員によるミスや誤動作などから影響を及 ぼす可能性を識別します。 次に、脅威の発生頻度を評価します。 頻度についても、脅威の識別と同様に自身の業務と関連する他部門と協力して整理する。 作成した脅威一覧に基づき、業務上の経験や過去に収集した統計的なデータに基づいて検討する。 評価にどの程度の正確性を要求されるかにもよりますが、「低い」、「中程度」、「高い」の3 つの区分とす る場合が多い。 下表に、3 つに区分した場合の判断基準を例示する。 脅 威 発生可能性 区分 1 低い 2 中程度 3 高い 説 明 発生する可能性は低い。発生頻度は1年に1回あるかないかである。 発生する可能性は中程度。発生頻度は半年に1回あるかないかである。 発生する可能性は高い。発生頻度は1ヶ月に1回以上である。 脅威の判断基準 ページ 25 Katsuya Uchida uchidak@gol.com 13 リスクマネジメント 情報セキュリティ研修 脅威と脆弱性 (続き) ② 脆弱性の識別 z 脆弱性とは、脅威発生を誘引する情報資産固有の弱点やセキュリティホール z 脆弱性は、それだけでは何ら障害とはならないが、脅威を顕在化させ、損害や障害を導く可能性がある。 ⇒ 逆にいえば、脅威が存在しない脆弱性は、あまり気を配らなくても良い。 z 脆弱性の分類例を下表 に示します。脆弱性をリスト化する際は、脅威と関連づけて整理する必要がある。 脆弱性の分類 環境・施設 ハードウェア ソフトウェア 脆弱性の例 ドア、窓などの物理的保護の欠如 不安定な電源設備 災害を受けやすい立地条件 温湿度変化に影響を受けやすい 記憶媒体のメンテナンス不足 仕様書の不備 アクセスコントロールの欠如 不適切なパスワード 監査証跡(ログ管理)の欠如 バックアップコピーの欠如 関連する脅威の例 盗難 停電、誤動作 洪水、地震、災害 故障、誤動作 故障、情報漏洩 ソフトウェア障害、誤動作 なりすまし、改ざん、情報漏洩 不正アクセス、改ざん、情報漏洩 不正アクセス 復旧不能 ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ 脆弱性の識別 ページ Katsuya Uchida 26 uchidak@gol.com リスクマネジメント 情報セキュリティ研修 リスク対応 リスクの保持 (リスクの許容) リスク移転 リスクコントロール リスクの低減 損失予防策 損失軽減策 高 影響度︵ 損害の大きさ︶ リスク戦略の立案 リスクはゼロにならない リスクファイナンス 保険は通常ここ! 保険は通常ここ! ここへの保険は無理 ここへの保険は無理 (A) (A) リスクの低減 リスクの低減 リスクの移転 リスクの移転 (C) (C) リスクの回避 リスクの回避 リスクの低減 リスクの低減 (B) (B) リスクの保有 リスクの保有 (D) (D) リスクの低減 リスクの低減 低 リスクの回避 低 可能性(発生の頻度) 高 (A) 影響度が大きいが、発生頻度は低いので、損害を小さくするための「リスク の低減」を施すとともに、保険による「リスクの移転」も検討する。 (B) 影響度も可能性も低いので、「何もしない」(リスクの保有)選択がある。 (C) 影響度も可能性も高い場合、「影響度、可能性を減らす」ことが大切になる。 (D) 可能性が高いが、影響度(損害)は小さいので、リスクの低減を行う。また、 リスク保有の検討も行う。 ページ 27 Katsuya Uchida uchidak@gol.com 14 リスクマネジメント 情報セキュリティ研修 ギャップ分析 ベースラインアプローチ 情報資産ごとにリスクそのものを評価しない。一般 の情報セキュリティに関する基準や、業種・業界で 採用されている標準やガイドラインなどを参照し、 組織全体で共通のセキュリティ対策を実施します。 実現可能な水準の管理策を採用し、組織全体で セキュリティ対策に抜け漏れが無い様に補強して いくアプローチです。 ベースラインアプローチは、大きく分けると以下の 2 つの手順で実施されます。 z ベースラインの決定 z ギャップ分析の実施 ベースラインアプローチでは、組織の達成する情 報セキュリティ管理について独自の「対策の標準」 を作成する。この対策の標準のことを「ベースライ ン」と呼ぶ。 ページ Katsuya Uchida 28 uchidak@gol.com リスクマネジメント 情報セキュリティ研修 情報資産のリスクアセスメント リスク値の計算 参考 参考 Risk Risk Cube Cube 1 資産価値 1 2 3 4 1 1 2 3 4 2 2 4 6 8 3 3 6 9 12 1 2 4 6 8 脅 威 2 脆 弱 性 2 3 4 6 8 12 12 18 16 24 資産価値 リスクの大きさ 3 1 3 6 9 12 2 6 12 18 24 3 9 18 27 36 資産価値 1 2 3 4 1 1 2 3 4 2 2 4 6 8 リスクを受容できる範囲 ページ 29 3 3 6 9 12 1 2 4 6 8 脅威 時間軸を考え、4次元で考えることも 必要であろう。 リスク値 = 「資産価値」×「脅威」×「脆弱性」 1 脆弱性 脅 威 2 脆 弱 性 2 4 8 12 16 3 3 6 12 18 24 1 3 6 9 12 2 6 12 18 24 3 9 18 27 36 リスクに対して何らかの対策を講じる範囲 Katsuya Uchida uchidak@gol.com 15 暗号の基礎 情報セキュリティ研修 代理申請を悪用 少し古い資料ですが 不法滞在の中国人に日本人名義のパスポートを交付させたとして、警視庁公安部に旅券法違反容疑で逮捕された暴 力団幹部らが、写真による身元確認なしで申請できる制度を悪用し不正取得を繰り返していたことがわかった。 A容疑者は愛知県の女性の氏名や生年月日を記入し、B容疑者の妻の顔写真を貼った申請書を使ってパスポート を取得した疑い。 パスポートの申請時には、戸籍謄本等のほか、運転免許証など官公庁発行の写真入り証明書を示し、窓口で職員 が申請書に貼られた写真と照合して本人かどうか確認する。しかし、A容疑者は旅券法施行規則で健康保険証と印 鑑登録証明書を持参すれば写真付きの証明書なしでも申請できる点に着目。申請書にB容疑者の妻の写真を貼り、 本人名義の保険証と印鑑証明を添付し、本人に代わって窓口に来る「代理申請」をすることで、写真照合を逃れてい た。 パスポートは申請から約10日後に本人が出頭して受け取るが、窓口ではこの時にも本籍や生年月日などを言わせ て再度、身元を確認しているという。しかし、今回の事件で不正取得したB容疑者の妻は警視庁の調べに「名前を呼 ばれ『はい』と答えるだけで受け取れた」と供述しているという。 外務省旅券課によると、窓口での不正取得は毎年約30件発覚している。同課は「運転免許証がない人は写真付き の証明書を持っていない人が多い。写真照合も義務づけるなどチェック強化は、規制緩和の流れに逆行することにな る。受け取り時に生まれ年の干支を答えさせるなどして、確認するしかない」と話している。 毎日新聞 1997.12.13 夕刊 ページ Katsuya Uchida 30 uchidak@gol.com 暗号の基礎 情報セキュリティ研修 暗号の仕組み セキュリティを確保する方法として、暗号が非常に重要な役割を演じいます。 【 送 信 者 】 暗号鍵 送信者が書い た 文章で す。 暗 号 処 理 送信者が書い た 暗号文 す。 。 文章で 平文( ひ ら ぶん ) ( 送 信 ) 【 受 信 者 】 復号鍵 送信者が書い た 送信者が書い た 文章で す。 文章で す。 。。 復 号 処 理 暗号文 平文( ひ ら ぶ ん) 暗号鍵と復号鍵によって以下の2つの方式がある ① 同一の場合 ・・・ 共通鍵暗号方式 ② 異なる場合 ・・・ 公開鍵暗号方式 ページ 31 Katsuya Uchida uchidak@gol.com 16 暗号の基礎 情報セキュリティ研修 公開鍵暗号方式 受信者の 公開鍵 【 送 信 者 】 送信者が書い た 送信者が書い た 文章で す。 暗 号 処 理 暗号文 文章で す。 平文( ひら ぶん) 受信者の 秘密鍵 【 受 信 者 】 送信者が書い 送信者が書い た 暗号文 文章で す。 た 文章で す。 復 号 処 理 平文( ひら ぶん) 1976年に米国のDiffieとHellmanがその考え方を提案したもので、この考え方では、1対の鍵ペアで、いず れか一方の鍵で暗号化したメッセージは他の鍵でしか復号化できないという特徴がある。 1978年にMITにいたRivest、Shamir、Adlemanの3人が新しい公開鍵暗号方式を発表し、これを 「RSA暗号方式」と呼び、現在最も一般的に利用されている公開鍵暗号方式になっている。 ページ Katsuya Uchida 32 uchidak@gol.com 暗号の基礎 情報セキュリティ研修 公開鍵暗号方式の利用 公開鍵暗号方式では、送信者、受信者それぞれが、公開鍵・秘密鍵を1づつ(1対)持っており、送 信者が 受信者の公開鍵を利用する場合 ・・・ メッセージの暗号化 送信者の秘密鍵を利用する場合 ・・・ デジタル署名(送信者が確かに送信者である) 【送信者】 受信者の 公開鍵 送信者が書い た文章です。 暗号処理 暗号文 送信者が書い た た 文章です。 受信者の 秘密鍵 【受信者】 送信者が書い 復号処理 た文章です。 平文(ひらぶん) 平文(ひらぶん) 上記で、「送信者」が暗号化したメッセージを復号できるのは、「受信者」だけです。 【送信者】 送信者の 秘密鍵 送信者が書い た文章です。 平文(ひらぶん) 暗号処理 暗号文 送信者が書い た た 文章です。 送信者の 公開鍵 【受信者】 送信者が書い 復号処理 た文章です。 平文(ひらぶん) 上記で、復号できたメッセージを暗号化できるのは、「送信者」だけです。 ( ⇒ 送信者であることの証明 になる) 但し、送信者が本当に送信者であると確認する手段にはならない。 ページ 33 Katsuya Uchida uchidak@gol.com 17 暗号の基礎 情報セキュリティ研修 ハッシュ関数 「一方向関数: ハッシュ関数 = メッセージダイジェスト」と呼ばれるもの ① 任意の長さのメッセージの変換を行い、一定の長さのダイジェストを作る。 ② 作成されたダイジェストは元のメッセージに戻す方法はない。 ③ 2つのメッセージが同じダイジェストを作り出す可能性は殆どない。 メ ッ セ ージ ダイ ジェ スト メ ッ セ ージ ページ ハッ シ ュ 処理 Katsuya Uchida 34 uchidak@gol.com 暗号の基礎 情報セキュリティ研修 電子署名(DIGITAL 電子署名(DIGITAL SIGNATURES) SIGNATURES) z 電子署名は、送受信の情報の信頼性と本人から送られてきたものであることを保証する仕組み。 【受信者】 受信者】 【送信者】 送信者】 送信者が書い 送信者が書い た文章です。 た文章です。 ダイジェスト ダイジェスト 作成 作成 送信者の 秘密鍵 ダイジェスト ダイジェスト 暗号化処理 暗号化処理 暗号化された 暗号化された ダイジェスト ダイジェスト ページ 35 平文 送信者が書い 送信者が書い た文章です。 た文章です。 送信者が書い 送信者が書い た文章です。 た文章です。 暗号化された 暗号化された ダイジェスト ダイジェスト 暗号化された 暗号化された ダイジェスト ダイジェスト 送信者の 秘密鍵 ダイジェスト ダイジェスト 作成 作成 ダイジェスト ダイジェスト 復号処理 復号処理 ダイジェスト ダイジェスト 比較 比較を行い、 同じであれば、正しい、 異なれば、偽になる。 Katsuya Uchida uchidak@gol.com 18 暗号の基礎 情報セキュリティ研修 認証・否認防止 z 前で述べた「デジタル署名」では、確かに送信者の秘密鍵を知っているが、他人が送信者に「な りすまし」て、公開鍵を送ってきた可能性は残る。 z この様な「なりすまし」を防止するために、信頼できる第三者に証明書を発行させる事により、自 分自身を第三者に証明してもらうことで取引を行う仕組みを作っている。 z このような第三者を「認証局」(Certificate Authority)とか、「認証機関」と呼んでおり、認証局が 発行する証明書を「デジタル証明書」(Digital Certificate)と呼んでおり、このデジタル証明書によ り、個人や組織の身元を証明してもらう。 z これにより、ある人が送ったメッセージがその人が送ったものであることが証明される。逆に言え ば、送付されたメッセージを自分が送ったものであることを否認できなくなる。 z なお、認証局でデジタル証明書を発行してもらうためには、自分自身の身元を証明するものが必 要になる。 z 個人であれば、パスポート、自動車免許証、写真入りの社員証等法人であれば、登記簿、代表 者の印鑑証明等が必要になる。 ページ Katsuya Uchida 36 uchidak@gol.com 情報セキュリティ対策 情報セキュリティ研修 技術的対応 vs 管理・運用的な対応 情報セキュリティにおいて、パスワードの重要性は理解できる。 しかしながら、外出が多 いし、出張の間に重要情報が入ってくる事がある。緊急の情報を社内の人に確認して貰 わなければ、仕事ができない。 だから、パスワードを部内でオープンにしている。 解決 策があれば、教えて欲しい! どのような回答をしますか? 技術的な対応で考えると、多分、できないと回答せざるを得ないであろう。 ゼロ・イチ的な発想をすべきでないのが、管理・運用的な回答であろう。100%完璧なものでな くても、最も望ましいと思われる回答を探してそれを実行していくことが大切であろう。 z 最適解を求めることができないのであれば、「最善の方策」(Best Practice)を探すことが必 要になる。 z z ページ 37 Katsuya Uchida uchidak@gol.com 19 情報セキュリティ対策 情報セキュリティ研修 抑止、予防、検出、回復 z z z z 抑止: 予防: 検出: 回復: セキュリティ脅威そのものを発生させない 脅威発生時に情報資産への波及を防ぐ 脅威の発生を検知する 脅威による情報資産の破壊などから復旧する セキュリティ脅威とセキュリティ対策方針 セキュリティ対策方針 抑止 予防 検出 1-1. 建屋の物理管理(記録 障害管理(バック 建屋の物理管理 記録媒体の不正持ち出しに 媒体の保管場所の物 アップ/リストア) (記録媒体の保管 理的管理、記憶媒体 管理) よるデータ紛失 記録媒体:フロッピー、MO、 の保管場所への入室 管理) CD-R等 1-2. 建屋の物理管理(記録 データの秘匿(デー 建屋の物理管理 (記録媒体の保管 記録媒体の不正持ち出しに 媒体の持ち出し管理) タの暗号化) 管理) よるデータ暴露 1-3. アクセス管理(コピー アクセス管理(コ 追跡・監査(操作ロ 非許可者が別の記録媒体に 機能の使用を制限、業 ピー元データに権 グ情報の追跡・監 務/運用端末の使用 限設定、 査) コピーし持ち出す データの秘匿(デー 電子署名(電子す コピー: コマンド、業務アプリ を制限) タの暗号化) かし) 等 脅 威 回復 − 可変媒体 有効期間管理(暴 露データの無効 化) 有効期間管理(暴 露データの無効 化) 田渕治樹「国際セキュリティ標準 ISO/IEC 15408入門」オーム社より ページ Katsuya Uchida 38 uchidak@gol.com 情報セキュリティ対策 情報セキュリティ研修 抑止、予防、検出、回復 (続き) 参 考: z 受動的な対応: 事故に会って初めて、情報資源を保護する対策を行う。 z 積極的な対応: 事前に対応を行うもの。 情報セキュリティ対策は、「積極的な対応」を行うこと。 受動的な方法では、セキュリティ費用は以下のようになり、セキュリティ費用は計算できない。 セキュリティの全体費用 = 事故による費用 + 事後対応策の費用 ・ ・ ・ ① 事故による費用: 事故が起こらないと算定できない 適切な計画やリスク管理を行うことで、事故費用を大幅に削減することは可能である。 事故が発生する前に事前の対応を行うことで事故は防ぐことが可能になる。 セキュリティの全体費用 = 事前対応策の費用 ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ ② 以上を考えると、 事故による費用 + 事後対応策の費用 >> 事前対応策の費用 ① ページ 39 ② Katsuya Uchida uchidak@gol.com 20 情報セキュリティ研修 情報セキュリティ対策 インシデント対応体制・組織 問題が発生してから、対応組織を編成しても遅すぎる。事前にどの様なインシデントが発生するかを想定して、 対応組織を編成し、普段から訓練を実施すること。 z インシデントの処理過程 攻撃元の特定 対象(ターゲット):無差別・狙い打ち、直接攻撃・間接攻撃 インシデントの種類: ワーム、DoS攻撃、破壊行為 影響範囲: 攻撃のみ、侵入、破壊、情報漏洩、システム停止、内部的な二次被害の可能性 被害の深刻度: 修復不要、修復可能、復旧時間見積、修復不可能(?) 連絡対象: 運用担当者・管理者、関係部門、顧客、内部利用者、経営層、ISP、警察、IPA/JPCERT 復旧対応: 復旧範囲の明確化(トロイの木馬、バックドア、不正アカウント等) 記録: インシデント情報の記録、時刻記録、裁判対応(ログ、VTR撮影等) z インシデントチームの任務 組織的、正当な手順で調査を行う 可能な限り、公平で完全な調査を行う インシデントが本当に発生したかを確認する インシデントの損害、範囲を見極める 調査中は、顧客への対応を確実に行う インシデントを制御し、拡大を防ぐ 関連情報は全て収集し、記録する 調査過程の管理を確実に行う。(収集した証拠を保全する) 法律、企業ポリシーで規定されたプライバシーを保護する 警察(法執行機関)や司法当局と連携する インシデントに関する秘密を守り、不用意に公開しない 必要であれば、専門家を利用する 客観的事実を基に、インシデント対応方法を経営層に提案する z ページ Katsuya Uchida 40 情報セキュリティ研修 uchidak@gol.com 情報セキュリティ対策 インシデント対応体制・組織 インシデントチーム構成 インシデント関連サーバ数 オペレーティングシステムの種類 技術レベル 外部公表 以上のような内容により、誰をチームメンバーとするかを考える必要がある。 一般の企業・組織を取り巻くリスクと同じような扱いが、個人情報漏洩等のような重要な問題が発生した場合 には必要になる。 いわゆる、「リスクコミュニケーション」として対応することが必要になる。 参考: 東京商工会議所 編 z 「図解 企業を危機から守るクライシス・コミュニケーションが見る見るわかる」 サンマーク出版 ページ 41 Katsuya Uchida uchidak@gol.com 21 情報セキュリティ対策 情報セキュリティ研修 リスクコミュニケーション 1. 1.アクション・プラン アクション・プラン の策定 の策定 2.事実の確認 3.情報公開 (個人情報漏洩事件発覚時に向けた対策 ) 事前の対策 連絡網の整備 責任の所在の明確化 有事の対処法の周知(教育) アクションの洗い出し ポイント z 即座に調査を始められる体制 z 迅速かつ正確な報告 z z z z z 該当する個人情報の素早い見極め z 棚卸し z 迅速かつ正直であること z 「隠し立てしない」意識改革 z 「顧客のため」を考慮した情報公開 z 情報公開のワークフローの確認 方法 z 取引先、行政などへの対応 4.被害拡大防止 5.原因究明 6.改善/再発防 止策の実施 (どこでどんな情報を持っているか、情報がどう流 れるか、管理体制はどうなっているかなどを把握、 委託契約関係の把握) (メール、Web、郵送、フリーダイヤル、社告) z 詐欺などに関する顧客への警告 z できることの洗い出し z データ回収や差し止め方法に精通している弁護士 z 二次流出の防止 とのコネクション z システムの詳細なアクセス・ログ記録 z 入退室まで含めたログ記録 z アカウント管理の徹底 z 入退室やシステム利用のログ の解析 z 甘い運用体制の改善(共有アカウントの廃止、外 z 危険の徹底排除 部記憶装置利用の禁止など) z 防止策、実施内容の公開 z 契約社員、業務委託先から誓約書、契約内容の 見直し 日経コンピュータ 2004.05.31 ページ Katsuya Uchida 42 uchidak@gol.com 情報セキュリティ対策 情報セキュリティ研修 災害時復旧計画・事業継続計画 海外での損失統計 ページ Safeware社のコンピュータ関連の損失統計 ノートパソコン 損害原因: Cause of Loss 事 故 (Accidents) 盗 難 (Theft) 電源異常 (Power Surge) 落 雷 (Lightning) 移 動 (Transit) 水塗れ/洪水 (Water/Flood) その他 (Others) 合 計 (Total) 2001年(台数) 1,387,000 591,000 59,000 43,000 30,000 166,000 32,000 2,308,000 2001年(%) 60 26 3 2 1 7 1 100 2000年(台数) 793,000 387,000 84,000 33,000 12,000 25,000 24,000 1,358,000 2000年(%) 58 28 6 2 1 2 2 100 前年対比(%) 75 53 −30 30 150 564 33 70 デスクトップ 事 故 (Accidents) 盗 難 (Theft) 電源異常 (Power Surge) 落 雷 (Lightning) 移 動 (Transit) 水塗れ/洪水 (Water/Flood) その他 (Others) 合 計 (Total) 28,000 15,000 30,000 8,000 3,000 3,000 5,000 92,000 30 16 33 9 3 3 5 100 38,000 16,000 35,000 11,000 3,000 3,000 7,000 113,000 34 14 31 10 3 3 6 100 −26 −6 −14 −27 0 0 −29 −19 43 ( Safeware社は、損害保険会社の代理店 推計値) http://www.safeware.com/ Katsuya Uchida uchidak@gol.com 22 情報セキュリティ研修 情報セキュリティ対策 1993年に当時の建設省が荒川下流地域で200 年に1回程度発生すると考えられる降雨量: 「3日 間に548mm」があった場合、荒川下流域で破堤 が発生すると想定した中の最悪のものが、荒川右 岸16.75Kmが破堤した時で、左図はその時の 浸水区域を示したもの 自然災害への対策 もし2m以上浸水したら・・ もし50cm以上浸水したら・・ まず家屋の1 階がすべて水につ かってしまい、家財道具などに重 大な被害が出ます。また、2 階も 水につかり、国民の社会・経済活 動が壊滅的なダメージを受けます。 家屋が床上浸水します。また、 自動車の走行が不可能となる ばかりか歩くことも困難になり、 市民生活に重大な影響がでま す。 浸水深 赤 : 2.0メートル以上 黄 : 0.5 ∼ 2.0メートル未満 青 : 0.5メートル以下 全被害状況 浸水面積 82.8 Km2 浸水区域内人口 阪神大震災の被害金額 10兆円の約4倍に相当 ページ 1,163,031 人 床下浸水戸数 18,085 戸 床上浸水戸数 456,052 戸 被害額 384,947 億円 Katsuya Uchida 44 情報セキュリティ研修 uchidak@gol.com 情報セキュリティ対策 2001年 2001年9月11日の同時多発テロからの教訓 11日の同時多発テロからの教訓 ・・・ 日本とは多少環境が異なるのかも? 米国の東海岸にあるNY等の大都市では地震等の大規模災害に遭遇することがない。 ビル内の電源設備の火災で、大手銀行のデータセンターの運用ができなくなり、外部のバックアップセンターを利用して危機 を乗り切った。(1980年代) z シカゴ川の改修工事中の作業ミスと市の判断ミスが重なり、シカゴのビジネス街であるダウンタウン地区の地下が浸水し、ビ ジネス機能が1週間以上麻痺した。(1992年4月) z 今まで米国東海岸で発生した事件・事故では既存のコンピュータの利用ができないことはあっても、業務を継続するために必 要な要員の多くが対応できない状況はなかった。 z しかし、今回の同時テロではオフィスビルが崩壊し、テナント企業では、そこに勤務していた多くの従業員が被害を受け、更に、 米国では重要な交通手段である航空機の運行が数日間止まり、再開後も大きな混乱が続いた。 ① 緊急時対応計画の必要性: 緊急時対応計画の策定を行い、最低でも年1回程度の訓練を行う。コンピュータの利用が 日常的になっており、大きな災害・事故等で通常の処理が不可能になった場合に、どの様な対応を行うかを事前に計 画・立案し、実際に訓練を行うことにより、対応計画が想定通りに行うことが可能か確認し、問題があれば、対応計画を 見直す必要がある。従来のホストコンピュータだけでなく、イントラネットを含めた緊急時対応計画が必要である。 ② 人の重要性の認識: 緊急時対応に携わる人間が重要であり、担当要員を複数設け、人的面からのバックアップの必要 性が明らかになった。今回の同時多発テロでは緊急時の対応要員が全て同一場所にいたため、それらの要員すべてが 犠牲者になってしまったケースもあり、同一業務に関して、複数の要員が必要であると同時に、それらの要員が別の場 所に勤務していることが望まれた。 ③ イントラネットへの配慮:イントラネットで扱うデータが次第に重要になってきましたが、それらのデータ管理システムが確 立されていませんでした。例えば、データのバックアップを行っていても、そのデータの保管は同一ビル内に保管して あったため、バックアップデータも同時に消滅してしまった。実際、ある日本企業が委託していた法律事務所で作成した 契約書が紛失したため、急遽、顧客である日本企業に連絡して、日本から契約書データを送ってもらったといった事も発 生している。 z z 東海大地震、東南海地震、東京直下型地震・・・・ ページ 45 PTSD(心的外傷後ストレス障害)が、対応要員に発生している。 今後、国内での大規模災害時には、非常に大きな問題になるかも Katsuya Uchida uchidak@gol.com 23 1.情報セキュリティの必要性 情報セキュリティ研修 質問 以下の質問についてどのように回答されるでしょうか? (考えられるものを選択して下さい。 この質問はパズルや引っかけ問題ではありません。 情報セキュリティを考える上で、大切なものだと思っています。) 見知らぬ所で、周りを見回して誰も近くにおりません。ふと見るとお金が落ちていました。 ざっと見るとXX円ありそうです。 この時、以下のどれをとる可能性があるでしょうか? 1. 拾って警察に届ける 2. 自分の懐に入れてしまう 3. 無視してそのままにする また、この時の金額によって、あなたのとる手段は1∼3で変化がありますか? 下の線の所に、上記1∼3までを実際の金額を入れて回答して下さい。 少額 私の場合 私の場合 ページ 落ちていた金額 500円以下だったら、 2、3 の可能性大 適当な金額であれば、 警察に届ける 高額 2億円以上だったら、「自分 の懐にいれてしまうかも・・・・ Katsuya Uchida 46 情報セキュリティ研修 uchidak@gol.com 1.情報セキュリティの必要性 コンピュータ犯罪者像 z コンピュータ犯罪者・・・・・ 15∼45歳の男性(女性も増えてきたが)。コンピュータの専門知識はさまざまで、過去の犯罪歴 はほとんどない。個人的な資質としては頭脳明晰,やる気があって企業にとって望ましい人間の ように思われてきた。 犯罪者のほとんどは、企業や政府機関内部で信頼される地位にあり、コンピュータシステムに簡 単に接近できる。 朝早くから、夜遅くまで仕事をし、休暇をとることも少ない。 上記の記述は、「1970年∼80年代始めの米国で起こった数百件のコンピュータ犯罪に基づ 上記の記述は、「1970年∼80年代始めの米国で起こった数百件のコンピュータ犯罪に基づ いた結果からみた犯罪者のプロフィール」で、当時を考えれば、大部分は いた結果からみた犯罪者のプロフィール」で、当時を考えれば、大部分は内部犯罪者 内部犯罪者で で あると考えられる。 あると考えられる。 企業・組織内において、内部犯行を行う可能性の高い人たちのプロ 企業・組織内において、内部犯行を行う可能性の高い人たちのプロ フィールと考えることもできる。 フィールと考えることもできる。 August Bequai著、堀部政男・堀田牧太郎 訳 August Bequai著、堀部政男・堀田牧太郎 訳 「情報犯罪:How 「情報犯罪:Howtotoprevent preventcomputer computercrime」 crime」啓学出版 啓学出版1986 1986 また、下の左右の人物の絵をみて、どちらが犯罪者であるか分かるだろうか また、下の左右の人物の絵をみて、どちらが犯罪者であるか分かるだろうか・・・・・・・・・・ ページ 47 Katsuya Uchida uchidak@gol.com 24 情報セキュリティ対策 情報セキュリティ研修 技術的対応 vs 管理・運用的な対応 情報セキュリティにおいて、パスワードの重要性は理解できる。 しかしながら、外出が多 いし、出張の間に重要情報が入ってくる事がある。緊急の情報を社内の人に確認して貰 わなければ、仕事ができない。 だから、パスワードを部内でオープンにしている。 解決 策があれば、教えて欲しい! どのような回答をしますか? 技術的な対応で考えると、多分、できないと回答せざるを得ないであろう。 ゼロ・イチ的な発想をすべきでないのが、管理・運用的な回答であろう。100%完璧なものでな くても、最も望ましいと思われる回答を探してそれを実行していくことが大切であろう。 z 最適解を求めることができないのであれば、「最善の方策」(Best Practice)を探すことが必 要になる。 z z あなたのユーザID、パスワードを書いた紙を封筒に入れて封印し、役席者に預けておく。 必要な場合は、その封筒から紙を取り出し、緊急処理を行う。 利用したユーザID、利用者、 利用時刻等は必ず記録しておきます。 z ただ、頻繁にこのようなことが発生するのであれば、仕組み自体に問題がある可能性もあり ます。 見直しを行うことも必要かも知れません。 z z ページ 48 Katsuya Uchida uchidak@gol.com 25
© Copyright 2024 Paperzz