地方公共団体におけるセキュリティ対策について財団法人地方自治情報センター自治体セキュリティ支援室本日お話すること自治体セキュリティ支援室について  平成21年度情報セキュリティ事件・事故情報収集分析結果  自治体セキュリティ支援室事業紹介     2 ウェブ健康診断ウェブ感染型マルウェア能動的検知今後の方向性についてＬＡＳＤＥＣ自治体セキュリティ支援室の支援事業について地方公共団体の情報セキュリティレベルの向上を支援するための各種事業を実施。以下は今年度事業予定。 ●ウェブ健康診断の実施地方公共団体が運営するホームぺージの改ざん防止等に資するため、ウェブアプリケーションの脆弱性の有無を診断し、診断結果を提供（H21年度実績：530団体） ●ウェブ感染型マルウェアの能動的検知事業の実施地方公共団体のホームページを自動巡回し、Gumblar（ガンブラー）等のWeb感染型マルウェアの感染有無を検査し、マルウェアが検知した場合は当該団体へ連絡（H21年度実績：870団体） ●情報セキュリティ内部監査推進のためのアドバイザー派遣内部監査を初めて実施する市町村にアドバイザーを派遣し、円滑に実施できるよう支援するとともに、内部監査人の育成を行う（H21年度実績：19団体） ●ＩＣＴ部門のＢＣＰ（業務継続計画）策定のためのアドバイザー派遣ＩＣＴ部門の業務継続計画策定を支援するため、アドバイザー派遣等を実施（H21年度実績：5団体） ●ポータルサイトの運営、自治体セキュリティニュース・メールマガジンの発行セキュリティ関連の事故情報、セキュリティ情報機関から入手した注意喚起情報等をＬＧＷＡＮ−ＡＳＰを活用したポータルサイトにより提供するほか、最新のセキュリティニュースやセキュリティ対策取組事例などを内容とするメールマガジンを定期的にLGWANメールで地方公共団体に配信 ●自治体CEPTOAR（セプター）の業務内閣官房情報セキュリティセンター（ＮＩＳＣ）から提供される重要インフラ分野で共有すべきIT障害等（例えばサイバー攻撃の発生や災害による被害が予測される場合など）の情報をＬＧＷＡＮメールで地方公共団体に一斉通知（注）ＣＥＰＴＯＡＲ：Capability for Engineering of Protection, Technical Operation, Analysis and Responseの略。第１次情報セキュリティ基本計画（平成１８年２月２日）に基づき、IT障害の未然防止等のため政府等から提供される情報について関係重要インフラ分野で共有するため、各重要インフラ分野（情報通信、金融、航空、鉄道、政府・行政サービス（地方公共団体を含む）等の10分野）内で整備する「情報共有・分析機能」のこと。平成21年度情報セキュリティ事件・事故情報収集分析結果自治体セキュリティ支援室では、地方公共団体や国、公益法人等公的機関を対象に収集した情報セキュリティの事件・事故情報をとりまとめています。（調査データ：平成21年4月1日∼平成21年3月31日）情報漏えい事件・事故(主に個人情報漏えい)の原因内訳紛失が約4割 合計：466件（H20：386件） 依然多い情報漏えい事故 件数微増の不正ｱｸｾｽ・ｳｨﾙｽ関連 4 (注) 上記データは当センターが独自に収集した情報を基にして作成しておりますが、地方公共団体、国、公益法人等における、全ての情報セキュリティ事件・事故を集めた統計データではありません。平成21年度情報セキュリティ事件・事故情報収集分析結果情報漏えい原因の分類前年度比較 100 90 H20(左のグラフ) 86 80 80 H21(右のグラフ) 80 73 70 60 57 55 55 50 45 40 30 25 20 32 32 30 21 16 15 8 10 14 5 0 書類紛失 5 USBメモリ紛失 PC・FD等紛失 Winny等盗難誤送信委託先 HPへの誤記載その他 (注) 上記データは当センターが独自に収集した情報を基にして作成しておりますが、地方公共団体、国、公益法人等における、全ての情報セキュリティ事件・事故を集めた統計データではありません。近年の情報セキュリティ事件・事故（事例１/２）書類の紛失関連Ａ県は2009年11月17日、県立高校の教頭が生徒及び教職員の個人情報を記入した修学旅行マニュアルを紛失したと発表した。修学旅行から帰宅する際に紛失したもので、マニュアルには２年生の全生徒（314名）のクラス、氏名のほか、修学旅行自由行動時の班長・副班長生徒（123名）の氏名、携帯電話番号、修学旅行引率教職員（16名）の氏名、携帯電話番号が記載されていた。ＵＳＢメモリーの紛失関連Ｂ県は2009年９月30日、中央児童相談所において職員が障害児施設利用者の個人情報を含むＵＳＢメモリを紛失したと発表した。職員は業務終了後、ＵＳＢメモリをキャビネットに保管したと記憶しているが、後日使用しようとしたところ所在不明に気がついた。このＵＳＢメモリには相談記録に関する児童氏名、相談内容、家族の状況、本人（児童）の生育歴や障害児施設利用者の氏名・生年月日・利用施設、課税状況、施設利用負担額等、約50人分の個人情報が記録されていた。誤送付・誤送信関連Ｃ省は2009年10月27日、電子メールの誤送信により採用説明会参加者のメールアドレスが漏えいしたと発表した。Ｃ省の採用説明会参加者の一部に対し、今後の採用説明会の予定を案内するに際し、計385名分のメールアドレスが他の受信者に見える形で送信してしたもの。盗難関連 ①Ｄ市教育委員会は2010年１月７日、生徒の個人情報を含むノートパソコンが盗難に遭ったと発表した。市立中学校教員が年末に実家へ帰省している間に自宅が空き巣の被害に遭ったもので、パソコンには在籍生徒391名分の氏名、生年月日・住所・電話番号等の個人情報が含まれていた。 ②Ｅ県教育委員会は2009年９月14日、県立高校において生徒の個人情報を含むＵＳＢメモリが盗難に遭ったと発表した。このＵＳＢメモリは生徒会顧問室の鍵のかかっていない机の引き出しに保管されていたもので、在校生、卒業生の氏名、成績等、あわせて1042人分の個人情報が含まれていた。委託先総務省は３月24日、地方公共団体の業務を受託した事業者（Ｆ社）においてポータブルハードディスクの紛失事故があり、その中に個人情報が含まれていたことから、外部委託事業者に対する個人情報の管理について注意喚起する文書を都道府県あてに通知した。このハードディスクには約20万件の個人情報等が含まれており、Ｇ町以外の地方公共団体に関する個人情報や今年度同社と業務委託契約を締結していない地方公共団体の情報も含まれていた。 6 近年の情報セキュリティ事件・事故（事例２/２）Ｇｕｍｂｌａｒ（ガンブラー）ウイルス感染 ①Ｇ県は2010年１月28日、Ｇ県が提供している「某スポーツネット」のサイトが不正アクセスにより改ざんされ、当該サイトの閲覧者にウイルス感染の可能性があると発表した。現在、当該サイトは閉鎖している。改ざんされたウェブページを閲覧した場合、コンピューターウイルスの「Gumblar（ガンブラー）」亜種に感染する可能性があり、感染すると意図しないサイトへ誘導される可能性がある。なお、改ざんされた期間は不明とされているが、１月15日に不正アクセスがあったことは確認されている。 ②Ｈ区は2010年１月12日、区立中学校のホームページが改ざんの被害に遭い、閲覧者にウイルス感染に可能性があると発表した。現在同中学校のホームページは閉鎖されている。ウイルス感染したサイトは昨年12月26日21時から今年1月6日14時にかけて公開しており、この間に621件のアクセスがあったとされている。区は上記期間に同サイトを閲覧した人に対しウイルス駆除ソフトを最新の状態にして、ウイルススキャンを実施するよう、呼びかけている。ＳＱＬインジェクション等 ①Ｊ市は2008年２月19日、公共施設予約システムが外部からの不正アクセスを受け、システムを停止したと発表した。なお、これに伴う個人情報の漏えい及び予約内容への影響は認められていない。 ②Ｋ市は2008年３月13日、同市のホームページのコンテンツの一つとして提供している地図情報提供サービスがＳＱＬインジェクションの攻撃を受け、不正な文字列を書き込まれるなどの改ざんの被害を受けた。フィッシングサイト設置Ｌ市は2007年11月28日、同市ホームページ内の「教育ポータルサイト」に、某国のオークション等を業務とする会社の擬似ページが作成され、利用者情報を不正取得する「フィッシング行為」の踏み台とされる被害が確認されたと発表した。ホームページへの大量アクセスＭ県は2009年２月26日、同県のホームページが同日午後２時ごろから約20分間にわたり約650万回のアクセスが集中し、閲覧しにくい状態になったと発表した。県情報政策課によると、県ホームページを公開するサーバに対して、某国のプロバイダに割り当てられているIPアドレスから大量かつ不審な通信が行われていたため、ホームページの閲覧に支障を生じさせたものと考えられるという。同課は原因を確認後、直ちに大量アクセスを行っているIPアドレスからの通信を遮断する措置を実施した。ホームページの改変や業務への支障はなく、現在は通常どおり閲覧できるようになっている。 7 公的機関の情報セキュリティ事件・事故事情事件事故発生件数(総数)は増加（H20：386件⇒H21：466件） Winny等ファイル共有ソフトのウィルスに起因する情報漏えいはほとんど見られなくなった。（H20：30件⇒H21：8件）依然多い「情報(USBメモリ、PC、書類)の紛失」。「盗難」、「誤送信」「委託先からの漏えい」は増加している。（H20：57件/45件/15件⇒H21:80件/80件/21件）不正アクセス関連は、手法の変化と被害の増加（H20：21件⇒34件）        8 OS/アプリケーションの脆弱性（サーバ側の脆弱性） →Webアプリケーションの脆弱性（サーバ側の脆弱性） →Web管理者/コンテンツ管理者PCの脆弱性(クライアント側の脆弱性) 目立つ・愉快犯・手動・単独(少数) →目立たない・金銭目的・自動化・組織化 …がより一層強まった。 (注) 上記考察は当センターが独自に収集した情報を基に分析した結果を用いておりますが、地方公共団体、国、公益法人等における、事件事故発生傾向分析ではありません。 Webサイトを狙った攻撃の発生状況（例）解析対象のウェブサイト： JVN iPedia（脆弱性対策情報データベース）解析したウェブサーバのアクセスログの期間： 2009年1月∼12月  攻撃が成功した可能性の高い件数： 0件サイトの有名・  攻撃があったと思われる件数： 5,827件無名は関係ない   1日平均で16件近くの攻撃が来ているという計算になる。 9 出典：IPA Web Application Firewall読本 http://www.ipa.go.jp/security/vuln/documents/waf.pdf ウェブ健康診断事業について厳選１２項目 10 診断対象例：・電子申請・電子調達(入札) ・図書館蔵書検索、貸出予約システム・施設予約システム・議事録検索・自治体公式ホームページの検索機能・資料請求・問い合わせ等のフォーム・市町村長への手紙・イベントやメールマガジン等の申込みフォーム・地域SNS ・掲示板・粗大ごみ収集の申込み・GIS（Geographic Information System）・バナー広告等、外部サイトへの転送機能・シミュレーター（年金、健康管理等）・イベントカレンダーなど。 LASDEC ウェブ健康診断の特徴的な取組例     診断の仕様が決まっており、インターネットにも公開している。一定の技術力を持つ事業者であれば、健康診断仕様の脆弱性診断も可能。事業者選定時には、診断の技術力チェックのため、技術テスト（ペーパーと実技）を課している。選定された事業者の診断結果についても、一部ランダムに選択した団体の結果について正確な結果かどうか抜き打ちチェック(別の識者に再度診断してもらう）している。診断結果の傾向分析をし、各団体の情報セキュリティ担当課と情報共有をしている。 11 Web感染型マルウェア（例） Gumblar(ガンブラー)マルウェア感染までの動き被害団体のホームページ (感染サイト) アクセスした一般ユーザの PCにマルウェア感染これら一連の動きが “自動”で行われている ⑤Webページを書き換え、悪意あるコードを設置（なりすましのアクセス）攻撃者 ③FTP でコンテンツのアップロード（通常のアクセス） ④攻撃者へ、FTP のパスワードを勝手に送信感染したWebサーバー ②マルウェアに感染 ①感染したWebページを閲覧 12 コンテンツ作成者のPC (参考)某団体の被害事例（一般ユーザ） 13 （参考）Googleセーフブラウジング Firefoxの場合 Google Chromeの場合 14 ウェブ感染型マルウェア能動的検知申込時登録者（Webサーバ管理者等） (昨年度実施イメージ) 都道府県公式ホームページ Webサーバ ③緊急通知 JPCERT/CC ⑦対処方法等報告書及び専用マルウェア駆除ソフトの提供(試行) ④インシデントの届出（マルウェア検体の届出）市 ⑧緊急対処の実施ホームページでの広報等 ⑥マルウェア解析報告及び専用マルウェア駆除ソフトの提供(試行) 委託事業者 ②マルウェア検出通知 LASDEC ⑤マルウェア検体解析依頼（マルウェアそのものは、物理的に運搬） ⑨事業終了後、統計データ等の情報共有 (LGWANのみ) LGWAN 15 町 ①公式ホームページの巡回検査 Web感染型マルウェア検知サーバ（クローラー）村第２次情報セキュリティ基本計画が示すこれからの方向性第２次情報セキュリティ基本計画（平成２１年２月３日）は、第１次情報セキュリティ基本計画（平成１８年２月２日）の後継であり、平成２１年度から平成２３年度までの政府のセキュリティ施策の基本的な方向性を示した計画無謬（むびゅう）性の追求から事故前提社会へ  内部監査から外部監査、そして相互監査へ  より幅広い行政分野でセキュリティ浸透へ  ベストプラクティスの更なる相互活用へ  地域におけるセキュリティ人材育成へ  より合理的・自主的なセキュリティ対策へ  16 資料、メーリングリスト等のご紹介（自治体限定）  ICT部門のためのBCP策定支援アドバイザー派遣事業成果物派遣先5団体の策定したBCP(公開用)を参考提供中  神戸市、東京都北区、伊那市、小鹿野町、奈良市  情報セキュリティ内部監査アドバイザー派遣事業成果物内部監査マニュアルを参考提供中   ウェブ感染型マルウェア能動的検知、ウェブ健康診断両事業の傾向分析や、対策等の解説を含む事業結果報告を近日公開予定。これらの成果物は、自治体セキュリティニュース、メールマガジン（一部資料は、自治体セプターのメーリングリストのみの提供）でお知らせしています。  自治体セキュリティメールマガジンの購読は以下にてご登録ください。 http://lascww02.lg-lib.asp.lgwan.jp/magazine/index.html (LGWAN接続環境が必要です) 17 今後とも、よろしくお願いします。（財）地方自治情報センター自治体セキュリティ支援室（略称：LASC(ラスク）) メールアドレス（LGWAN）：[email protected] メールアドレス（Internet）：[email protected] 自治体セキュリティ支援室ポータルサイト（LGWAN-ASP）： http://lascww01.lg-lib.asp.lgwan.jp 18