2014/9/3 情報セ1 情報セ1 情報セキュリティとは • 個人や企業などの機密情報を悪用されない ように守ること。 情報セキュリティガイダンス • ハッカーやウイルスからコンピュータを守るイ メージがあるが、機密情報を守り、安全に暮 らすのに必要な手法はすべて含む。 2014年9月22日 後 保範 • 情報機器のメンテナンスを行い故障を予防す ることや、防犯対策をすることもセキュリティ に含まれる。 1 2 情報セ1 情報セ1 十大ニュース(情報セキュリティ,2012) 十大ニュース(情報セキュリティ,2012) 1. 遠隔操作誤認逮捕(サイバー犯罪の難しさ): 10/21 2. スマートホンに迫る脅威(不正アプリ): 10/30 3. クラウド・サーバの障害とデータ消失: 6/20 1. 遠隔操作誤認逮捕(サイバー犯罪の難しさ): 10/21 2. スマートホンに迫る脅威(不正アプリ): 10/30 3. クラウド・サーバの障害とデータ消失: 6/20 4. 警察庁が「ネットバンキングの不正送金手口」に警 鐘(セキュリティ対策に期待はもう限界?): 10/26 5. 広がる標的型攻撃(攻撃目的の深刻化とセキュリ ティ意識のギャップ): 11/30 4. 警察庁が「ネットバンキングの不正送金手口」に警 鐘(セキュリティ対策に期待はもう限界?): 10/26 5. 広がる標的型攻撃(攻撃目的の深刻化とセキュリ ティ意識のギャップ): 11/30 6. 防衛省、サイバー攻撃に対処する初の指針を策定 (サイバー攻撃も自衛権発動の対象に): 9/7 6. 防衛省、サイバー攻撃に対処する初の指針を策定 (サイバー攻撃も自衛権発動の対象に): 9/7 http://www.jnsa.org/active/news10/より 3 http://www.jnsa.org/active/news10/より 情報セ1 4 情報セ1 十大ニュース(情報セキュリティ,2013) 十大ニュース(情報セキュリティ,2013) 1. JR東日本のSuica履歴情報提供に疑問符! (ビッグデータの活用に疑問・不安の解消要) 2. 韓国へのサイバーテロ攻撃 (日常生活に迫る脅威) 3. Windows XPサポート終了への対応に遅れ 4. 日本を狙いとした高度な標的型攻撃による被害確認 (高度化する標的型攻撃、求められる不断の対策) 5. アカウントリスト型ハッキング (パスワード 守れぬあなたの 明日はどう?) 6. Webサイト改ざんの多発 7. 改善が求められるネット選挙 (送信者の成りすまし対策) 8. スノーデンによる米NSA盗聴活動の暴露 (暴露・訪露・放浪するサイバー空間ガバナンス) 9. 流行語大賞の候補に「バカッター」がノミネート (迷惑行為を自慢する若者に倍返し) 10. インターネットバンキング不正送金被害過去最大 http://www.jnsa.org/active/news10/より 5 http://www.jnsa.org/active/news10/より 6 1 2014/9/3 情報セ1 情報セ1 情報セキュリティ脅威トップ10(2014) • • • • • • • • • • 考え方1(情報セキュリティの6要素) • • • • • 標的型メールを用いた組織への スパイ・諜報活動 不正ログイン・不正利用 Webサイトの改竄 Webサービスからのユーザー情報の漏洩 オンラインバンキングからの不正送金 悪意あるスマートフォンアプリ SNSへの軽率な情報公開 紛失や設定不備による情報漏洩 ウイルスを使った詐欺・恐喝 サービス妨害 2014/9/3 機密性(Confidentiality): アクセス制御、暗号化 完全性(Integrity): ディジタル署名、改ざん防止 可用性(Availability): 二重化、ホットスタンバイ 責任追跡性(Accountability): アクセスログ記録 真正性(authenticity): ディジタル署名、パスワー ド認証 • 信頼性(reliability): 二重化、負荷監視 情報処理推進機構(IPA)より 8 情報セ1 情報セ1 考え方2(リスク管理) 脅威1(不正アクセス) • 管理方法でみた考え方 技術面、管理面、ポリシー面、外部委託 • リスクコントロールでみた考え方 抑止、予防、検知、回復 • リスク管理で見た考え方 許容、低減、移転、回避 • リスクと損失の考え方 リスクの要因、実際の損失、リスクの大きさ • • • • • 不正アクセスと窃盗の手口の比較 事前調査 権限取得 不正実行 後処理 9 10 情報セ1 脅威2(盗聴と不正利用) 情報セ1 脅威3(ウイルス他) • 盗聴の対象となる代表的データ ユーザーIDとパスワード メールの内容 クレジットカード番号や銀行の口座番号 住所や電話番号等の個人情報 • 盗聴を防ぐには 暗号化(telnet SSL, http https) • ウイルスの脅威 1次感染(直接被害): データ破損、個人情報の漏洩 2次感染(間接被害):漏洩情報の悪用、信用失墜 • ウイルスの定義(下記の一つ以上に該当) 自己伝染機能、潜伏機能、発病機能 • ウイルスの感染経路 メール、ホームページ閲覧、ファイル共用 11 12 2 2014/9/3 情報セ1 情報セ1 共通鍵暗号と公開鍵暗号 公開鍵暗号の仕組み • 通信の安全を保障する暗号技術 • HTTPSのSは暗号化通信を示す • 暗号通信は、共通鍵暗号と公開鍵暗号の両 方を使用した、ハイブリッド暗号を使用 • 公開鍵暗号で、共通鍵暗号の鍵を送り、本文 は共通鍵暗号で送信 • 公開鍵暗号は、暗号鍵と復号鍵が異なるた め、復号化鍵は送付不要 • 現在はRSA暗号を利用 • RSA暗号は多数桁(1024ビット~2048ビット)の 合成数の因数分解の困難性を利用 • RSA暗号数学的な暗号で、オイラーの素数定 理により成り立っている。 • 暗号鍵と復号鍵が異なるものを使用でき、暗 号鍵の送付だけでよい。 • 電子署名(印鑑の役目)にも使用できる。 13 14 情報セ1 情報セ1 対策1(ファイアーウォール) 対策2(ウイルス対策と認証) • ファイアーウォールの5つの機能 (1) 隘路(インターネットと接点を集中し防御) (2) スクリーン(内外を仕切るように分離) (3) 検問(許可された通信だけを通す) (4) 記録(通信ログを記録) (5) 代理(プロキシとして接続を代理で行い、 社内のパソコンは外部の直接接続しない) • • • • • • • ウイルス対策の基本(利用者側) ウイルス対策の基本(システム管理者側) ウイルス対策ソフトの機能 Spamメール対策 アクセス制御 パスワードによる認証 ワンタイムパスワード 15 16 情報セ1 対策3(可用性対策) 情報セ1 脆弱性分析とリスク値の算出 • 可用性対策とは ホットスタンバイ ウォームスタンバイ コールドスタンバイ • 障害時の動作の考え方 • RAID • 脆弱性分析 脆弱性レベル = 攻撃難易度×管理レベル • リスク値 リスク値 = 情報資産の価値×脅威×脆弱性 17 18 3 2014/9/3 情報セ1 情報セ1 情報セキュリティポリシー • • • • 国際標準ISOの体系 • • • • 情報資産の考え方 情報セキュリティマネジメントの必要性 ISMS(Information Security Management)とは 情報セキュリティポリシーの構成 基本方針 実施基準(スタンダード) 実施手順(プロシージャ) 19 情報セキュリティの国際標準組織 国際標準の体系 ISO/IEC 27000シリーズ ISMS適合性評価制度 20 情報セ1 個人情報保護法他の法律と制度 • • • • • 個人情報保護法 プライバシーマーク制度 コンピュータ犯罪に対する法律 セキュリティに関連する法律 情報セキュリティ監査制度 21 4
© Copyright 2024 Paperzz