2014/9/3 情報セ１情報セ１情報セキュリティとは • 個人や企業などの機密情報を悪用されないように守ること。情報セキュリティガイダンス • ハッカーやウイルスからコンピュータを守るイメージがあるが、機密情報を守り、安全に暮らすのに必要な手法はすべて含む。 2014年9月22日後保範 • 情報機器のメンテナンスを行い故障を予防することや、防犯対策をすることもセキュリティに含まれる。 1 2 情報セ１情報セ１十大ニュース(情報セキュリティ,2012) 十大ニュース(情報セキュリティ,2012) 1. 遠隔操作誤認逮捕(サイバー犯罪の難しさ): 10/21 2. スマートホンに迫る脅威(不正アプリ): 10/30 3. クラウド・サーバの障害とデータ消失: 6/20 1. 遠隔操作誤認逮捕(サイバー犯罪の難しさ): 10/21 2. スマートホンに迫る脅威(不正アプリ): 10/30 3. クラウド・サーバの障害とデータ消失: 6/20 4. 警察庁が「ネットバンキングの不正送金手口」に警鐘(セキュリティ対策に期待はもう限界？): 10/26 5. 広がる標的型攻撃(攻撃目的の深刻化とセキュリティ意識のギャップ): 11/30 4. 警察庁が「ネットバンキングの不正送金手口」に警鐘(セキュリティ対策に期待はもう限界？): 10/26 5. 広がる標的型攻撃(攻撃目的の深刻化とセキュリティ意識のギャップ): 11/30 6. 防衛省、サイバー攻撃に対処する初の指針を策定 (サイバー攻撃も自衛権発動の対象に): 9/7 6. 防衛省、サイバー攻撃に対処する初の指針を策定 (サイバー攻撃も自衛権発動の対象に): 9/7 http://www.jnsa.org/active/news10/より 3 http://www.jnsa.org/active/news10/より情報セ１ 4 情報セ１十大ニュース(情報セキュリティ,2013) 十大ニュース(情報セキュリティ,2013) 1. JR東日本のSuica履歴情報提供に疑問符！（ビッグデータの活用に疑問・不安の解消要） 2. 韓国へのサイバーテロ攻撃（日常生活に迫る脅威） 3. Windows XPサポート終了への対応に遅れ 4. 日本を狙いとした高度な標的型攻撃による被害確認（高度化する標的型攻撃、求められる不断の対策） 5. アカウントリスト型ハッキング（パスワード守れぬあなたの明日はどう？） 6. Webサイト改ざんの多発 7. 改善が求められるネット選挙（送信者の成りすまし対策） 8. スノーデンによる米NSA盗聴活動の暴露（暴露・訪露・放浪するサイバー空間ガバナンス） 9. 流行語大賞の候補に「バカッター」がノミネート（迷惑行為を自慢する若者に倍返し） 10. インターネットバンキング不正送金被害過去最大 http://www.jnsa.org/active/news10/より 5 http://www.jnsa.org/active/news10/より 6 1 2014/9/3 情報セ１情報セ１情報セキュリティ脅威トップ10(2014) • • • • • • • • • • 考え方１（情報セキュリティの６要素） • • • • • 標的型メールを用いた組織へのスパイ・諜報活動不正ログイン・不正利用 Webサイトの改竄 Webサービスからのユーザー情報の漏洩オンラインバンキングからの不正送金悪意あるスマートフォンアプリ SNSへの軽率な情報公開紛失や設定不備による情報漏洩ウイルスを使った詐欺・恐喝サービス妨害 2014/9/3 機密性(Confidentiality): アクセス制御、暗号化完全性(Integrity): ディジタル署名、改ざん防止可用性(Availability): 二重化、ホットスタンバイ責任追跡性(Accountability): アクセスログ記録真正性(authenticity): ディジタル署名、パスワード認証 • 信頼性(reliability): 二重化、負荷監視情報処理推進機構(IPA)より 8 情報セ１情報セ１考え方２（リスク管理）脅威１（不正アクセス） • 管理方法でみた考え方技術面、管理面、ポリシー面、外部委託 • リスクコントロールでみた考え方抑止、予防、検知、回復 • リスク管理で見た考え方許容、低減、移転、回避 • リスクと損失の考え方リスクの要因、実際の損失、リスクの大きさ • • • • • 不正アクセスと窃盗の手口の比較事前調査権限取得不正実行後処理 9 10 情報セ１脅威２（盗聴と不正利用）情報セ１脅威３（ウイルス他） • 盗聴の対象となる代表的データユーザーIDとパスワードメールの内容クレジットカード番号や銀行の口座番号住所や電話番号等の個人情報 • 盗聴を防ぐには暗号化(telnet  SSL, http  https) • ウイルスの脅威 1次感染(直接被害): データ破損、個人情報の漏洩 2次感染(間接被害):漏洩情報の悪用、信用失墜 • ウイルスの定義(下記の一つ以上に該当) 自己伝染機能、潜伏機能、発病機能 • ウイルスの感染経路メール、ホームページ閲覧、ファイル共用 11 12 2 2014/9/3 情報セ１情報セ１共通鍵暗号と公開鍵暗号公開鍵暗号の仕組み • 通信の安全を保障する暗号技術 • HTTPSのSは暗号化通信を示す • 暗号通信は、共通鍵暗号と公開鍵暗号の両方を使用した、ハイブリッド暗号を使用 • 公開鍵暗号で、共通鍵暗号の鍵を送り、本文は共通鍵暗号で送信 • 公開鍵暗号は、暗号鍵と復号鍵が異なるため、復号化鍵は送付不要 • 現在はRSA暗号を利用 • RSA暗号は多数桁(1024ビット～2048ビット)の合成数の因数分解の困難性を利用 • RSA暗号数学的な暗号で、オイラーの素数定理により成り立っている。 • 暗号鍵と復号鍵が異なるものを使用でき、暗号鍵の送付だけでよい。 • 電子署名（印鑑の役目）にも使用できる。 13 14 情報セ１情報セ１対策１（ファイアーウォール）対策２（ウイルス対策と認証） • ファイアーウォールの５つの機能 (1) 隘路（インターネットと接点を集中し防御） (2) スクリーン（内外を仕切るように分離） (3) 検問（許可された通信だけを通す） (4) 記録（通信ログを記録） (5) 代理（プロキシとして接続を代理で行い、社内のパソコンは外部の直接接続しない） • • • • • • • ウイルス対策の基本（利用者側）ウイルス対策の基本（システム管理者側）ウイルス対策ソフトの機能 Spamメール対策アクセス制御パスワードによる認証ワンタイムパスワード 15 16 情報セ１対策３（可用性対策）情報セ１脆弱性分析とリスク値の算出 • 可用性対策とはホットスタンバイウォームスタンバイコールドスタンバイ • 障害時の動作の考え方 • RAID • 脆弱性分析脆弱性レベル = 攻撃難易度×管理レベル • リスク値リスク値 = 情報資産の価値×脅威×脆弱性 17 18 3 2014/9/3 情報セ１情報セ１情報セキュリティポリシー • • • • 国際標準ISOの体系 • • • • 情報資産の考え方情報セキュリティマネジメントの必要性 ISMS(Information Security Management)とは情報セキュリティポリシーの構成基本方針実施基準（スタンダード）実施手順（プロシージャ） 19 情報セキュリティの国際標準組織国際標準の体系 ISO/IEC 27000シリーズ ISMS適合性評価制度 20 情報セ１個人情報保護法他の法律と制度 • • • • • 個人情報保護法プライバシーマーク制度コンピュータ犯罪に対する法律セキュリティに関連する法律情報セキュリティ監査制度 21 4