200220LASDEC(HP用).ppt

Size: px

Start display at page:

Download "200220LASDEC(HP用).ppt"

としみひでやま
5 years ago
Views:

1 自治体の情報セキュリティ対策と情報の共有について重要インフラ情報セキュリティフォーラム2008 H ( 水 ) 秋葉原コンベンションホール石川家継 (ishikawa@lasdec.or.jp) ( 財 ) 地方自治情報センター LASDEC(Local Authorities Systems Development Center) 自治体セキュリティ支援室 (LASC: ラスク )Local Authorities Security Support Center 1

2 本日の説明項目自治体における情報セキュリティ対策の現状情報セキュリティ対策の実施状況情報セキュリティ関連事故 ( 上半期 ) セキュリティ支援事業の概要情報セキュリティ遠隔診断ウェブアプリケーション脆弱性診断情報セキュリティ内部監査を支援するアドバイザーの派遣 LGWAN-ASPを活用した情報セキュリティ支援事業 (IDSによる庁内 ~インターネット監視 ) 人材育成等事例紹介事故事例優良事例セキュリティ情報の共有 2

3 自治体における情報セキュリティ対策の現状 3

4 情報セキュリティ対策の実施状況 ( 都道府県 ) 情報セキュリティ対策の実施状況 ( 都道府県 ) 整備率 (%) 個人情報保護条例制定率情報セキュリティポリシーの整備率情報セキュリティ研修の実施率情報セキュリティ監査の実施率緊急時対応計画の整備率個人情報保護に関する管理体制の整備 ( 団体を統轄する責任者の指定 ) 個人情報保護に関する管理体制の整備 ( 各部署ごとの責任者の指定 ) 住民等への個人情報保護制度の周知 ( ホームページパンフレットによる周知 ) 住民等への個人情報保護制度の周知 ( 説明会等開催による周知 ) 住民等への個人情報保護制度の周知 ( 過剰反応に関する周知 ) 0.0 平成 15 平成 16 平成 17 平成 18 平成 19 (H 現在総務省調査 ) 4 4

5 情報セキュリティ対策の実施状況 ( 市区町村 ) 情報セキュリティ対策の実施状況 ( 市区町村 ) 整備率 (%) 個人情報保護条例制定率情報セキュリティポリシーの整備率情報セキュリティ研修の実施率情報セキュリティ監査の実施率緊急時対応計画の整備率個人情報保護に関する管理体制の整備 ( 団体を統轄する責任者の指定 ) 個人情報保護に関する管理体制の整備 ( 各部署ごとの責任者の指定 ) 住民等への個人情報保護制度の周知 ( ホームページパンフレットによる周知 ) 住民等への個人情報保護制度の周知 ( 説明会等開催による周知 ) 住民等への個人情報保護制度の周知 ( 過剰反応に関する周知 ) 0.0 平成 15 平成 16 平成 17 平成 18 平成 19 (H 現在総務省調査 ) 5 5

6 情報セキュリティ関連事故等 (19 年度上半期 ) 不正アクセス 2% 障害 3% その他 8% から 9.30 までの上半期に起きた情報セキュリティ事故 ( 公共部門 ) 合計は 93 件 ( 自治体セキュリティ支援室調 ) 事故の種類漏洩 87% 公社 2% 独立行政法人 1% 事故の団体大学 12% 医療 12% 警察 4% 金融 1% 郵便 2% 消防 2% その他 6% 行政 48% 国 17% 自治体 68% 教育 25% 事故の種別 6 6

7 セキュリティ支援事業の概要 7

8 情報セキュリティ遠隔診断対象 :Webサーバメールサーバ及びネットワーク機器等インターネットから対象機器を遠隔診断わかりやすい診断結果レポートの提供セキュリティホールの発見と是正策の提供遠隔診断結果レポート説明会の開催 ( 試行 ) 8

9 遠隔診断利用イメージデータセンター遠隔診断ポータル診断装置 3 診断結果閲覧レポートダウンロード 2 診断 Internet 1 遠隔診断ポータルへアクセスし診断を予約登録 (IP アドレス実施予定日時等 ) 各地方公共団体診断対象ファイアウォールルータ等ネットワーク機器庁内 LAN 各地方公共団体公開サーバ担当職員 4 各団体で対策 Web サーバメールサーバ DNS サーバなど 9

10 ウェブアプリケーション脆弱性診断ウェブアプリケーション全般の診断項目クロスサイトリクエストフォージェリーバックドアデバックオプションエラー処理状況エラーメッセージによるロジックの流出クライアント側コメントファイルアップロードファイルダウンロード通信に関する診断項目リファラ情報セッション管理に関する診断項目セッションID 利用状況セッションフィクセイション Cookieの濫用ログアウト機能認証に関する診断項目ユーザ認証処理アカウントロック機能アクセスコントロールに関する診断項目利用者が割り当てられている権限を超えた機能実行可否パラメータ操作に関する診断項目 HTTPヘッダインジェクションクロスサイトスクリプティング SQLインジェクション OSコマンドインジェクションパストラバーサル SSIコマンドインジェクションメールヘッダインジェクション Webサーバに関する診断項目バナーチェックディレクトリリスティング強制ブラウジング不要なファイルの公開 10

11 5診断結果レポート提出診断実施手動による診断ウェブアプリケーション脆弱性診断実施イメージ概要ウェブアプリケーション脆弱性診断委託業者 3 作業委託 LASDEC LASC が行う支援事業は 5 までの一連のサービスです LASC 事務局 INTERNET 診断作業者 6 診断報告書提示 4郵送 2 実施可否連絡 1 診断申込 LGWAN 経由のメールによる申込み地方公共団体若しくはツールによる診断ウェブサーバシステム管理責任者 7 対策システム管理担当者診断後の対策は各団体でご検討ください 11

12 情報セキュリティ内部監査を支援するアドバイザーの派遣情報セキュリティ内部監査を支援監査計画作りから実施改善報告でサポート JASA 公認情報セキュリティ監査人同等のレベル自治体の業務及びシステムに精通パイロット団体 8 団体で試行中来年度制度化予定 ( 監査未実施市町村を優先 ) 12

13 13 派遣市町村内部監査の準備監査計画の策定監査の実施ヒヤリング報告書作成改善計画策定今までに監査を実施したことがない不安監査の専門知識が不足セキュリティ関係の人材不足監査の必要性を理解している内部監査の流れ地方自治情報センター内部監査の各段階で同じ専門家をアドバイザーとして派遣(派遣に係る費用はセンター負担) 公認情報セキュリティ監査人資格自治体の業務システム等に精通パイロット自治体にアドバイザーを派遣派遣の有効性等を広報自治体に制度等を理解してもらい募集へ派遣事業実施の手順まとめ派遣のイメージ

14 LGWAN-ASP を活用した情報セキュリティ支援事業 (IDS による庁内 ~ インターネット監視 ) インターネット ~ 庁内 LAN 間不正アクセスやウイルス等 8 項目 IDS( 侵入検知装置 ) で常時モニター重要度 ( 高 ) のイベントは即通知 ( 電話 ) 今年度は 6 ヶ月監視 (19 年 8 月 ~20 年 1 月 ) 不正アクセスの試み不正アクセスのための各種スキャン行為攻撃コードの実行バックドア通信運用妨害コンピュータウィルスの活動 P2P ファイル共有ソフト (Winny 等 ) の利用 WebMail やメッセンジャーソフトの利用 Spyware 等のインストールや活動 14

15 LGWAN-ASP を活用した情報セキュリティ支援事業接続図自治体 ISAC との情報共有地方公共団体インターネット FW LGWAN-ASP 情報セキュリティサービス提供事業者のセキュリティオペレーションセンター SW 外部公開サーバホームページ等 IDS( 侵入検知装置 ) インターネット GW セグメントを監視 FW LGWAN LGWAN サービス提供設備庁内 LAN 15

16 人材育成 ( 研究開発部教育研修部との共催 ) e- ラーニング ( インターネットを利用 ) 基礎コース応用コース上級コース基礎コースを5 回に増加高度情報セキュリティ研修管理研修基礎技術研修応用技術研修内部監査研修 13 会場 ( 東京名古屋高松札幌広島仙台横浜鳥取静岡鹿児島さいたま大阪福岡 ) H20 年度の方向性内容の精査を図っている動画を取り入れた e- ラーニング学習へ 16

17 LASC( 自治体セキュリティ支援室 ) ポータルサイト 17

18 事例紹介 18

19 A 市ホームページへの不正侵入 ( 市ホームページの発表より ) 1. 概要平成 19 年 11 月 27 日市ホームページ内の教育ポータルサイトにアメリカのオークション等を業務とする会社の擬似ページ ( 英語 ) が作成され利用者情報を不正取得するフィッシング行為の踏み台とされる被害が確認された同日 18:30 頃に市ホームページを緊急閉鎖し現在のところ再開の目途が立たない状況 2. 経過 (11 月 27 日 ) 17:35 頃市が利用している通信事業者より市ホームページの不正利用の可能性があるとの連絡を受ける状況を調査し不正使用の状況を確認 18:30 頃市ホームページを緊急閉鎖する 3. これまで確認できた被害状況教育ポータル内への不正ページ ( フィッシング行為に使用されたと思われる ) の書込み上記のほか数箇所に不正ファイルの書込みが確認されたこのためサイト公開は当面不可能と判断 4. 個人情報等への影響 11 月 28 日現在個人情報流出の可能性は低い状況 5. 今後の対応侵入原因の調査代替市ホームページの臨時開設市ホームページの再構築 ( セキュリティチェックを徹底 ) 6. 1/31 ホームページ全復旧 19

20 ( 市ホームページの発表より) 20

21 職務に関係ないサイト閲覧しサーバをダウンさせた職員を処分〇〇市〇〇市は職務と無関係なサイトを閲覧しサーバをダウンさせた環境局の課長級職員に対し減給 2 カ月の懲戒処分を行った 7 月 5 日午後 4 時 37 分から 54 分の間業務用パソコンを使って職務とは無関係のサイトにアクセスその結果同サイトから大量のアクセスが同市サーバに対して発生その負荷で同市のインターネット接続用サーバが 7 分間ダウン庁舎内でインターネットが使用できなくなった 21 21

22 職務に関係ないサイト閲覧しウイルス感染未遂市ある管理職によるアダルトサイトの閲覧ウイルス侵入を Firewall で撃退職務専念義務違反で減給 1/10 1 ヶ月 22 22

23 市が課長を懲戒処分個人情報ネット流出でファイル交換ソフトウィニーを介し業務で扱った個人情報などをインターネット上に流出男性課長 (51) を減給 6カ月 (10 分の1) の懲戒処分監督責任で同部部長を訓告副市長を口頭での厳重注意とした無許可で業務上の情報を自宅のパソコンで扱う業務上のデータを持ち出す場合所属長の許可が必要課長はウイルス対策ソフトなどを導入していなかったウィニーなどのファイル交換ソフトの導入禁止データの持ち出しを原則禁止 23 23

24 外部監査から内部監査へ大阪府吹田市日経ガバメントテクノロジー (web 版 ) 情報セキュリティ監査の基本とトレンド第 4 回参照外部監査を先に実行監査人から監査のノウハウを学ぶ内部監査は相互監査方式岡山県津山市 LASDEC の住基ネット外部監査を積極的に活用埼玉県小鹿野町セキュリティポリシーを条例化教育委員会などの機関もシステムを一体整備 24

25 IT による市民との協働神奈川県藤沢市 : 情報セキュリティの日表彰内部外部監査の実施国際規格の情報セキュリティマネジメントシステム (ISMS) の認証を先行的に取得庁内情報ネットワークへのシンクライアント及び生体認証の導入事業の継続的な計画 (IT-BCP) の策定全職員を対象としたセキュリティ研修や訓練の実施インターネット安全教室ボランティアが講師 25

26 セキュリティ情報の共有 26

27 重大な IT 障害情報緊急度 ( 高 ) で72 時間以内の対応 NISC 発足後幸いにも今まで該当なし具体例セキュリティホール等を発見した場合やプログラムバグを発見した場合等であって他のインフラ事業者等に同じ問題が生じるおそれがあると認められる場合サイバー攻撃の発生又は攻撃の予告がある場合災害による被害が予測される場合等他の重要インフラ事業者等の重要システムが危険にさらされていると認められる場合情報共有レベル Aの場合関係する業務担当ラインの職員及び関係するシステムの保守業者等でかつ業務の関係者のみ Wの場合公共向けの情報でホームページ等での公表可 2/12 訓練自治体へは事前通告なし 27

28 その他のセキュリティ情報総務省から提供されるセキュリティに関する情報有限責任中間法人 JPCERT コーディネーションセンターからの脅威注意喚起情報独立行政法人情報処理推進機構 (IPA) 等情報セキュリティ関係機関から収集した情報地方公共団体から収集したセキュリティに関する各種情報 ASP 監視事業者から入手したセキュリティ監視に関する情報 ( 匿名の統計データを分析活用 ) 遠隔監視やウェブアプリ診断データ ( 匿名の統計データを分析活用 ) その他これらに付随する情報 28

29 緊急時のセキュリティ情報の流れ内閣官房情報セキュリティセンター( NIS市区町村総務省都重大なIT 障害個人情道重大なIT 障害報の漏洩など府県自治重大なIT 障害体CELGWANメールPTOC) AR個別の情報漏洩事故等個別の情報漏洩事故等個別の情報漏洩事故等個別の情報漏洩事故等重大な IT 障害個人情報の漏洩など重大な IT 障害総行情第 27 号平成 19 年 3 月 20 日総務省通知自治体 ISAC( 仮称 ) 実証実験の実施結果及び自治体 CEPTOAR の創設について 29

30 ご清聴ありがとうございました ( 財 ) 地方自治情報センター自治体セキュリティ支援室長石川家継 ishikawa@lasdec.or.jp

安全なウェブサイトの作り方 7 版の内容と資料活用例 2

安全なウェブサイトの作り方 7 版の内容と資料活用例 2 安全なウェブサイトの作り方と届出られたウェブサイトの脆弱性の実情独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター安全なウェブサイトの作り方 7 版の内容と資料活用例 2 2016 年のウェブサイトにまつわる事件時期報道 2016/1 セキュリティー会社不覚顧客情報が流出金銭要求届く ( 朝日新聞 ) 2016/1 厚労省サイト再び閲覧不能サイバー攻撃か ( 日経新聞