IPAX2007

Size: px

Start display at page:

Download "IPAX2007"

まさとしちづ
5 years ago
Views:

1 情報漏えいの現状と対策ー課題と事件事故防止対策年 6 月 28 日独立行政法人情報処理推進機構セキュリティセンターウイルス不正アクセス対策グループ研究員加賀谷伸一郎

2 目次 1. 情報漏えいの現状 2. 企業として意識すべき脅威 3. 情報漏えい事件の実例 4. 情報セキュリティ対策の指針 5. まとめ 2

3 1. 情報漏えいの現状 1.1 情報漏えい事件の現状 1.2 情報漏えい事件による影響 1.3 現状のまとめ 3

4 1.1 情報漏えい事件の現状情報漏えい事件数と漏えい人数の推移漏えい人数事件数出典 :NPO 日本ネットワークセキュリティ協会年度個人情報漏えいインシデントに関する調査報告速報 ver

5 情報漏えいの原因盗難 25.8% 2005 紛失置忘れ 29.2% 紛失置忘れ 42.1% ワームウイルス 12.2% 2006 盗難 19.0% 出典 :NPO 日本ネットワークセキュリティ協会年度個人情報漏えいインシデントに関する調査報告速報 ver

6 情報漏えいの経路紙媒体 49.9% FD 等可搬記録媒体 15.7% PC 本体 16.8% 2005 FD 等可搬記録媒体 8.2% PC 本体 10.7% 2006 紙媒体 43.8% Web Net 経由 22.0% 出典 :NPO 日本ネットワークセキュリティ協会年度個人情報漏えいインシデントに関する調査報告速報 ver

7 漏えい経路別の漏えい人数の比率 PC 本体 23.3% 2005 FD 等可搬記録媒体 51.1% 2006 FD 等可搬記録媒体 56.5% Web Net 経由 6.6% 出典 :NPO 日本ネットワークセキュリティ協会年度個人情報漏えいインシデントに関する調査報告速報 ver

8 1.2 情報漏えい事件による影響直接損失紛失や破壊などによる物的人的な直接的被害間接損失業務停止機会損失賠償被害社会的信用の失墜など顧客離れ解約入会保留など対応費用再発防止対策費用顧客対応費用 ( 金券送付窓口対応など ) マスコミ対応漏えい情報の回収費用 8

9 合計漏えい人数賠償額想定損害賠償額と漏えい人数の経年変化 1 件当り想定損害賠償額損害賠償額想定損害賠償額総額出典 :NPO 日本ネットワークセキュリティ協会年度個人情報漏えいインシデントに関する調査報告速報 ver 漏えい人数 3.4 億円 5.5 億円 13.9 億円 7.1 億円 4.8 億円 9

10 情報漏えい事件の舞台裏流出情報を探し求めるめるユーザユーザが存在存在する! 中でも特に悪質なユーザは金銭目的で行動漏れたれた情報情報の行く末は名簿は名簿業者に売られる個人情報は直接本人に削除と引き換えに金銭要求プライベートな猥褻写真は路上やネットで売られる 10

11 1.3 現状のまとめ些細なことでも公表されニュースになる紛失盗難件数は相変わらず多いコンピュータウイルスが原因原因の事件が増加ウェブやネットネット経由経由でのでの漏えいえいが増加情報漏えい事件の内容に変化が 11

12 2. 企業として意識すべき脅威 2.1 ファイル交換ソフトの仕組み 2.2 ウイルス感染と情報漏えいの関係 2.3 巧妙化するウイルス 2.4 ウェブサイトへの不正アクセス 12

13 2.1 ファイル交換ソフトの仕組み公開したいしたいフォルダフォルダを自分で設定設定するするそのフォルダフォルダ内のファファイルが共有共有されるされる 13

14 Winny による情報流出の脅威 Winny ユーザ数の推移 ( ネットエージェント社調べ ) 2005 年 12 月約 30 万ノード ( 台 ) 2006 年 3 月 10 日約 54 万ノード 2006 年 5 月 7 日 2006 年 7 月 2 日 2006 年 12 月 30 日約 52 万ノード約 48 万ノード約 45 万ノード 2007 年 4 月 30 日約 53 万ノード情報流出事件が相次いでいるにもかかわらずユーザ数は一向に減らない 14

15 Winny による情報流出の脅威 ( つづき ) 海自データの拡散状況 ( ネットエージェント社調査資料より ) 約 1200 人約 600 人 3 月 2 日までに 3433 人にダウンロードダウンロードされたここまで広く流布流布されるとされると回収は事実上不可能 2006 年 15

16 2.2 ウイルス感染と情報漏えいの関係ウイルスがファイルを勝手に操作 16

17 ウイルスによって流出した情報の実例氏名 Winny ネットワークからからダウンロードしたファイル (zip 圧縮ファイル ) 解凍するとすると氏名 17

18 Winny を使っていなくても山田ウイルス山田オルタナティブに感染するとあたかもホームページを見られるように感染パソコンの中身が覗かれる 18

19 2.3 巧妙化するウイルス圧縮ファイルと思って開いたら偽のメッセージを表示して注意をそらす! 19

20 ウイルスによって流出した情報の実例流出ファイル氏名新しいしいフォルダフォルダ??? 20

21 ウイルスによって流出した情報の実例 ( つづき ) 見方を変えるとえると氏名ウイルス! 21

22 2.4 ウェブサイトへの不正アクセス SQL インジェクション攻撃ぜい弱ぜい弱 22

23 コンピュータのぜい弱性ぜい弱性 (vulnerability) とは? システムアプリケーションなどのセキュリティを損なうような予定外の望まない事象を起こせる弱点のこと ( セキュリティホールともいう ) ぜい弱性弱性を放置放置すると? 容易に侵入される容易にウイルス感染させられる侵入者にとっては最適な獲物! 23

24 ウェブサイトのぜい弱性届出種類別 SQL インジェクション 25% クロスサイトスクリプティング 43% 届出受付開始からの累計 782 件の内訳出典 :IPA - ソフトウエア等の脆弱性関連情報に関する届出状況 [2007 年第 1 四半期 (1 月 ~3 月 )] 24

25 SQL インジェクションの攻撃傾向件数攻撃件数被害件数出典 : 株式会社ラック- 侵入傾向分析レポート Vol.8 より 25

26 3. 情報漏えい事件の実例 3.1 Winny を媒介とした情報漏えい 3.2 不正アクセスによる情報漏えい 26

27 3.1 Winny を媒介とした情報漏えい 27

28 MSN-Mainichi Mainichi INTERACTIVE サイトより引用 28

29 中日新聞サイトより引用 29

30 ~ ~ 途中文章割愛 ~ 以下文章割愛株式会社アラクスサイトより引用 30

31 自治体からの情報漏えい (2007 年 5 月 ) 同時多発!! 山口県山口市愛媛県愛南町長崎県対馬市秋田県北秋田市同一の外部委託先 1 台のパソコンから 31

32 ( 参考 ) ) サイトより引用 32

33 3.2 不正アクセスによる情報漏えい SQL インジェクション攻撃のメカニズム SQL インジェクションのぜい弱性がある場合悪意あるリクエストによりデータベースの不正利用をまねく可能性があります悪意のある人データベースへの命令文を構成する入力値を送信ウェブサイトデータベースへ命令を送信情報漏えいウェブアプリケーション SQL インジェクションのぜい弱性があるウェブアプリケーション改ざんデータベース消去 33

34 ITmedia サイトより引用 34

35 ~ 途中文章割愛 ~ ~ 以下文章割愛 ~ 株式会社好日山荘サイトより引用 35

36 ~ 以下文章割愛 ~ 株式会社再春館製薬所サイトより引用 36

37 4. 情報セキュリティ対策の指針 4.1 事件からの教訓 4.2 今後の対策指針 4.3 まずは現状を知ること 4.4 情報セキュリティマネジメントの基本 37

38 4.1 事件からの教訓委託先や自宅など組織外部から漏れている USB メモリ等の小型メディアでの情報持出し元従業員から漏れている管理不行き届きで持出された情報が漏れている! ぜい弱性対策に抜けが攻撃を受けていたことに気付かなかった対策漏れ不注意が命取りに! 38

39 4.2 今後の対策指針ウイルス対策不正アクセス対策 ( ぜい弱性解消 ) は最低限必要なものやってて当然情報漏えいを防止するのであれば情報管理体制を根本から見直す必要有り情報を持出持出させないのが基本人間の不注意行動や管理の限界を技術的対策でカバーする必要がある正当な権限無権限無き者にはにはファイルファイルを読ませないサイトへのへの不正不正アクセスアクセスの兆候兆候を見逃見逃さない 39

40 4.3 まずは現状を知ること情報セキュリティセキュリティ対策対策ベンチマークシステムこんなときに! 40

41 情報セキュリティベンチマークとは? セルフチェックにより自社の現状と望まれる水準との差を把握自社と同じタイプの企業群の取組状況に基づく指標と推奨される取り組みを提示 40 問のアンケートに答えるだけ設問のサンプル情報セキュリティポリシーや情報セキュリティ管理に関する規程を定めそれを実践していますか導入しているソフトウェアに対して適切なぜい弱性対策を実施していますか主要な業務に関わるプロセスのうちインターネットに依存している割合はどの程度ですか 41

42 ベンチマーク結果例診断結果がレーダーチャートで表示されます望まれる水準自社のスコア平均中心に近い程セキュリティレベルは低くなります 42

43 ベンチマーク結果例つづき回答結果より自社の位置が表示されますセキュリティ対策の取り組み状況など他社と比較した結果になりますこの例の場合平均よりも若干セキュリティレベルが低くなっています 43

44 4.4 情報セキュリティマネジメントの基本 PDCA サイクルによるセキュリティレベルの向上 Act 見直し改善分析見直しフェーズ点検監査継続的改善リスクアセスメント管理策の選定ポリシー作成計画フェーズ Plan Check ( 財 ) 日本情報処理開発協会の資料を基に作成 Do 導入運用構築運用フェーズ 44

45 情報セキュリティポリシーの構成手続き要件 What How 考え方 Why 情報セキュリティ基本方針ポリシー情報セキュリティ対策基準スタンダードセキュリティポリシー宣言文セキュリティポリシー宣言文目的目的 / 方針 / 方針 / 適用範囲 / 適用範囲 / 体制などの / 体制などの基本的事項を記載基本的事項を記載実施手順プロシージャ情報セキュリティ対策基準情報セキュリティ対策基準基準書基準書 / 標準書 / 標準書 / 規程書など / 規程書など要件遵守事項を記載要件遵守事項を記載情報セキュリティ実施手順情報セキュリティ実施手順アプリケーション利用手順書アプリケーション利用手順書メールメール / グループウェア / グループウェア /Web/ /Web/ ネットワーク利用手順書ネットワーク利用手順書などなど各種申請書各種申請書 / 届出用紙 / 届出用紙などなど Guide to How How ガイドライン実施手順プロシージャガイドラインを分ける考え方もあります 45

46 リスクアセスメント脅威脅威脅威守るべきるべき資産資産 ( 情報資産情報資産 ) 情報システム情報システムシステムネットワークシステムネットワークハードウェアハードウェア (PC (PC サーバサーバサーバサーバ通信機器ケーブル通信機器ケーブル )) ソフトウェアソフトウェア (( アプリアプリ OS OS 等 )) データデータ (( 財務情報人事情報財務情報人事情報人事情報人事情報顧客情報戦略情報顧客情報戦略情報戦略情報技術戦略情報技術情報情報等 )@ )@(( 紙電子媒体紙電子媒体電子媒体電子媒体ネットワーク上口述ネットワーク上口述口述会話口述会話 )) ノウハウ社会的信用ノウハウ社会的信用脅威脅威外部からのからの要因要因 ( 脅威脅威 ) コンピュータウイルス等コンピュータウイルス等不正アクセス不正アクセスサービス妨害サービス妨害等脅威内在するする要因要因 ( 脅威脅威 ) セキュリティ機能セキュリティ機能機能の欠如機能の欠如ソフトウェアの欠陥ソフトウェアの欠陥 (( ぜいぜいセキュリティモラルの欠如セキュリティモラルの欠如ぜい弱性弱性 )) 等 46

47 組織で規定されたポリシーに従うこと! The strength of the chain is in the weakest link. 鎖の丈夫丈夫さはさは最も弱い環で決まるまる一人でもポリシーに反する人が居ると?! 47

48 5. まとめそこに情報があるから漏れる! 持出してはいけないから持出持出せてはいけないせてはいけないへ漏れて他人の手に渡っても大丈夫な対策が有効暗号化規定の整備と厳格厳格な運用ウェブサイトのぜいぜい弱性解消過去の事例に学べば対策はおのずと見えてくる! 48

( 参考 ) 個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインの改正について http://www.meti.go.

49 ( 参考 ) 個人情報の保護に関する法律についての経済産業分野を対象とするガイドラインの改正について ( 改正要旨 ) ( ガイドライン本文 ) 49

50 セキュリティ対策を体系的に学ぶには IPA 主催の情報セキュリティセミナー基礎コースマネジメントコース技術コース標準編技術コース専門編 50

51 IPA の教材

52 IPA の教材

セキュリティセンター (IPA/ISEC) http://www.ipa.go.

13:30-17:00) 17:00) FAX 03(5978 5978)7518 7518 E-mail mail: virus@ipa.go.

53 セキュリティセンター (IPA/ISEC) 情報セキュリティセキュリティ関連相談窓口 : TEL 03( ) ( 平日 10:00-12:00 12:00 13:30-17:00) 17:00) FAX 03( ) mail: virus@ipa.go.jp ( ウイルス関連 ) crack@ipa.go.jp ( 不正アクセスアクセス関連 ) winny119@ipa.go.jp (Winny 関連 ) isec-info@ipa.go.jp info@ipa.go.jp ( その他セキュリティセキュリティ全般 ) 53

安全な Web サイトの作り方 7 版と Android アプリの脆弱性対策独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

安全な Web サイトの作り方 7 版と Android アプリの脆弱性対策独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構安全な Web サイトの作り方 7 版と Android アプリの脆弱性対策独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Android アプリの脆弱性体験学習ツール AnCoLe( アンコール ) の紹介 ~ AnCoLe で攻撃対策の体験を ~ Android アプリに関する届出状況毎年 Android アプリの脆弱性の届出が報告件数 300 250 200