初めての情報セキュリティ対策 IPA 技術本部セキュリティセンター Copyright 2014 独立行政法人情報処理推進機構

Size: px

Start display at page:

かずしすえがら
4 years ago
Views:

1 初めての情報セキュリティ対策 IPA 技術本部セキュリティセンター

2 新入社員の皆さん情報セキュリティ対策ってご存知ですか?

3 リテラシーリテラシーとは元々言語により読み書きできる能力をさす言葉でしたが最近では自分が身につけた知識や技術を使って事象を理解整理し活用する能力のことを指すようです情報リテラシーコピュータリテラシー

4 セキュリティ対策 : 技術的対策自分のコンピュータを守ることコンピュータウイルス対策脆弱性の解消情報の暗号化情報のバックアップ企業内ネットワークで言えばファイアウォール IDS( 侵入検知システム )/IPS( 侵入防止システム ) プロキシサーバにおけるネットワーク監視制御

5 セキュリティ対策の変化個人情報保護法の施行に伴い個人情報の漏えい問題が大きく取り沙汰されるようになっています個人情報や企業における企業情報や機密情報を守ることが重要なポイントとなってきました企業で取り扱う情報を守るためにはそれらの情報を管理するためのコンピュータやネットワークの技術的なセキュリティ対策も当然必要ですがそれだけではなく人のセキュリティ対策も重要になってきました

6 人のセキュリティ対策人のセキュリティ対策とはいわゆるセキュリティ対策ルールや体制を決めそれを守ることですシステムなどの技術的対策人の対策 ( 体制ルール ) 情報セキュリティ対策

7 情報セキュリティ対策

8 対策 1: 企業にとって重要な情報って企業にとってその情報が企業外に漏れると企業の事業運営上で重大な問題を引き起こす可能性のある情報が重要な情報ですお客様から預かっている個人情報企業で働く従業者の個人情報企業運営のための企業情報秘ノウハウ等の機密情報何が重要な情報か理解することが情報セキュリティ対策の第一歩と言えます

9 対策 2: 事務所の机の上は机の上に放置した情報は誰かに持ち去られる危険にさらされています関係者以外が見たり触れたりできないよう重要情報は放置せず管理および保護する必要があります

10 パソコン記憶媒体も机の上に放置したは誰かに持ち去られる危険にさらされています関係者以外が見たり触れたりできないよう重要は放置せず管理および保護する必要があります特に夜間は

11 対策 3: 知らない人が事務所に関係者以外の社内の立ち入りを制限しなければ情報を盗み取られる危険性があります特に重要な情報が格納されたサーバや書庫金庫などの近くには無許可の人が近づいたり操作できないように事務所で見知らぬ人を見かけたら声をかけるなどのように無許可の人の立ち入りがないように

12 こんな対策が効果的事務所で見知らぬ人を見かけたら誰をお探しですか? とか何か御用ですか? というような声をかけることが良いでしょう本当に仕事に来ている人であれば失礼のないように悪い人であれば大きな牽制になるはずです

13 対策 4: 重要な情報の処分は重要な資料などを廃棄する場合はシュレッダーで裁断するなどのように重要情報が読めなくなるような処分が必要重要情報の入ったパソコン記憶媒体を廃棄する場合は消去ソフトを利用したり業者に消去を依頼したりするなどのように電子データが読めなくなるような処分が必要

14 事例 : 一般家庭ゴミ? 会社で終わらない仕事を自宅に持ち帰りそのときに使用した重要な情報が記載されていた書類を不要になったので一般家庭ゴミの回収に出したその資料が地方自治体の住民情報だったので回収業者はビックリして自治体に報告し大騒ぎになった情報漏えいはしなかったけれど

15 事例 : びっくりな事例米国軍需メーカーの機密情報ガーナで販売されていた中古 HDD から発見廃棄 PC から取り出された? 国防情報局や NASA などとの契約文書が数万件

16 ゴミ箱あさりから始まる情報漏えいソーシャルエンジニアリング (Social Engineering) と呼ばれる情報を奪取する手法ではゴミ箱あさりが有名ですある会社から情報を盗み出そうとしている悪者はまず手始めにその会社のビルのゴミ置き場においてある廃棄書類を物色すると言われていますここから情報漏えいが始まるといっても過言ではありません

17 廃棄しない場合こんな事例も友人からデジタルカメラのメモリがいっぱいになったので予備のメモリを譲ってと言われたそこで以前利用していた予備のメモリをカメラでフォーマットして友人に譲ったのだが友人からお前の彼女綺麗だねって言われたけど確か紹介してないよなぁ? 友人は譲られたメモリを興味本位から復元ソフトでデータ復元したようで見せたくなかった写真まで見られてしまいました

さらに持ち出し記録を残す必要があります持ち出した情報は思わぬ盗難にあったりうっかり紛失したりすることがあります

18 対策 5: 重要な情報の持ち出し情報の社外への持ち出しにおいてはそもそもこの情報は持ち出していいのかを確認する必要があります重要な情報を会社の外へ持ち出す場合は上司の許可が必要さらに持ち出し記録を残す必要があります持ち出した情報は思わぬ盗難にあったりうっかり紛失したりすることがあります情報が格納された携帯電話やパソコンやデータファイルにパスワードを設定するなどの対策を事前に行っておけば盗難紛失時に情報を簡単に見られないようにすることもできます

19 持ち出しの物理的な対策暗号化大きなタグ鈴

20 のぞき見から始まる情報漏えいソーシャルエンジニアリング (Social Engineering) と呼ばれる情報を奪取する手法ではショルダーハッキングも有名です最近電車の中などでスマートフォンや携帯電話さらにはタブレットやパソコン等を利用している人が増えています情報を盗み出そうとしている悪者がそういった人たちの周りにいるかも知れません

21 と言うことで不必要な持ち出しはしない持ち出す情報について上司や管理者の許可を得てさらに持ち出し記録を残す持ち出す方法 (CD/DVD USB メモリパソコン等 ) について上司や管理者の確認 ( 暗号化やロックリモート操作等のセキュリティ対策がされているか ) を得る重要情報が格納されたスマートフォンやタブレットパソコンは第三者の多く集まる場所 ( 電車の中待合室喫煙所等 ) では利用しない書類のまま持ち出す場合はカバンに入れて肌身離さず持ち歩く ( 間違っても電車の網棚に放置しない等 ) 持ち出し先で安易に捨てない ( 廃棄しない )

22 対策 6: パソコンは脆弱性 ( ぜいじゃくせい ) の解消コンピュータウイルス対策業務に関係のないアプリケーションはインストールしない ( 使わない ) 私物パソコンは業務では使わない業務情報のバックアップ

23 (1) 脆弱性の解消 Microsoft 社 Windows の場合 Microsoft(Windows) Update の実施 ( 毎月定例 ) Apple 社の Mac の場合定期的なセキュリティ更新の適用パソコン上で利用するアプリケーション常に最新のバージョンあるいはセキュリティ更新を適用する

24 (2) コンピュータウイルス対策セキュリティ ( ウイルス ) 対策ソフトを利用するウイルス定義ファイル ( パターンファイル ) は常に最新にする ( 自動更新 ) 機能は安易に止めないウイルスを発見したら駆除して報告

25 最近話題? のウイルス情報を盗むスパイのようなウイルス脅しをかけ偽ソフトを売りつけるウイルス人質? を取り身代金を要求するウイルス会議や私生活を盗撮するウイルス

26 こんなウイルスもキーボードの操作を記録外部へ送信するスパイウェア

27 こんなウイルスもウイルスに感染してるよ!! って自作自演のウイルス感染の嘘をつき脅迫紛いに偽ウイルス対策ソフトを買わせるスケアウェア

28 こんなウイルスもおまえのファイルを暗号化した!! パスワードが知りたければお金を払え!! ってファイルやフォルダを人質にとるランサムウェアランサム = 身代金

29 こんなウイルスも感染した PC のウェブカメラで盗撮するウイルス

30 代表的なウイルスの感染経路メールからの感染ウェブサイトからの感染 USB メモリからの感染

31 メールからの感染メールの添付ファイルを開くことにより感染添付ファイルがウイルスに感染していたり添付ファイルがウイルスそのものであったりする

32 ウェブサイトからの感染ウイルスが仕掛けられたウェブサイトを閲覧することにより感染迷惑メール IM( インスタントメッセンジャー ) SNS( ソーシャルネットワーキングサービス ) やブログサイトアダルトサイト等に記載された不正なリンクから悪意のあるウェブサイトに誘導され感染インターネット

33 USB メモリからの感染

34 細かいことを言えば自動実行 (Autorun) による感染は Microsoft の脆弱性対策で解消されつつあります ( みんながパッチを適用していれば ) が USB 内に利用者が興味を引くようにアイコンやファイル名を偽装された実行ファイルやウイルスに感染したファイルを置くことで利用者自らに実行 ( 開かせる ) させる方法が増加しています ( これはファイル交換でのウイルス感染に悪用された方法ですが最近話題の標的型攻撃メールにも使われています ) 見た目は Word ファイル (.doc) なのに実は実行 (.exe) ファイルだったりします

35 (3) 業務に関係のないアプリケーションは使わないファイル交換ソフトに代表される利用すると情報漏えいする可能性のあるアプリケーションは企業内のパソコンでは使用してはいけません自宅からゲームソフトを持ち込むのも業務に関係ないのでNG 業務に関係ないサイトへの訪問も

36 ファイル交換ソフトを介した情報漏えい図ファイル交換ソフトから情報流出する仕組み

37 仕事で使うと危ない情報漏えいを起こし易いファイル交換ソフト仕事に無関係なソフト誰も保障してくれないフリーソフト私物ソフト脆弱性対策ができない ( サポートされていない ) 情報を盗んだり壊したりする不正なプログラムが入っているかもしれない ( 偽ウイルス対策ソフトなど )

38 (4) 私物パソコンは業務では使わない業務に関係のないアプリケーションは使わないと同じ理由で私物パソコンは業務で使わないことが望ましいどうしても必要な場合は上司の許可をとってから十分なセキュリティ対策を施してから利用することになりますが私物パソコンは企業として十分に管理できないので原則として業務には使わないことを推奨します

例えば情報持ち出しによる情報漏えいの危険性の増加 ) もありますいろいろなところで試行錯誤中?

39 最近の事情として言えば BYOD(Bring Your Own Device) 自分の端末を持って来いよの話自分勝手な BYOD はとても危険ですメリット ( 例えばコスト低減や効率の向上 ) もデメリット ( 例えば情報持ち出しによる情報漏えいの危険性の増加 ) もありますいろいろなところで試行錯誤中? 流れとしては IT の将来像まで変えそうな勢いですが今のところは状況に合わせて会社として確認し必要なら許可をといった話で考えられているようです

40 (5) 業務情報のバックアップ故障や誤操作などによりパソコンの中に保存したデータが消えてしまうことがあります定期的にバックアップを取得しておけばこのような不測の事態に備えることができます

41 対策 7: パスワードパソコンやスマートフォン携帯電話を利用する際のログインパスワードや暗証番号だけでなくインターネットを利用していると多くのパスワードが必要になってきています安易なパスワードやパスワードの使いまわしなどパスワードの運用管理上危険な取り扱いを多く見受けます

42 パスワードの掟 ( おきて ) 他人に推測されやすいパスワード ( ニックネームや誕生日等 ) は使わない大文字小文字数字記号の組み合わせ長いパスワード ( 推奨は 8 桁以上 ) 推測しづらく自分が忘れないパスワード他人の目に触れるような場所にパスワードを残さない定期的に変更する

43 パスワードの掟 2 パソコンのログインパスワードは他人に推測されないようなある程度の強度を持つパスワードを設定しようパソコンのログインパスワードは他人に知られた場合は速やかに変更しようインターネット上のサービスを利用するためのパスワードはある程度の強度を持たせ定期的に変更しようインターネット上のサービスを利用するためのパスワードはサービス提供側で漏えい事故が発生した場合は速やかに変更しようインターネット上のサービス毎に異なったパスワードを設定しよう忘れそうなら紙に書いて大事に保管

44 対策 7: 電子メール業務における電子メールの利用はやり取りする内容自体が重要な情報なので宛先を間違えるなどの誤送信は絶対にあってはなりません誤送信を防ぐためには以下のような対策が必要送信前に宛先と内容の再確認重要な情報はメール本文ではなく暗号化された添付ファイルに同時に多くの宛先に送信 ( 同報メール ) する場合は ToやCCでいいのかBCCにすべきなのか良く考えるましょう

45 対策 8: 守秘義務って何企業にとって重要な情報は従業者であれば対外的に秘密としなければなりませんそれが守秘義務です一般的には採用の際に守秘義務があることを知らせるなどのように企業は従業者に機密を守らせているはずです

46 3 つのかばんのお話啓発ビデオ放映

47 まとめ自分の身は自分で守る会社の身も自分が守るただし自分ひとりで解決報連相が大事

48 参考情報の紹介

49 IPA 対策のしおり 49

50 情報セキュリティ対策の基礎知識 (DVD-ROM)

51 情報セキュリティ対策の啓発ビデオ情報セキュリティ普及啓発映像コンテンツ YouTube : IPA チャンネル

52 ここからセキュリティ!

53 I スマホ生活

54 情報セキュリティ安心相談窓口電話 ( オペレータ対応は平日の10:00~12:00 および 13:30~17:00) anshin@ipa.go.jp このメールアドレスに特定電子メールを送信しないでください FAX 東京都文京区本駒込郵送文京グリーンコートセンターオフィス16 階 IPAセキュリティセンター安心相談窓口

56 ご清聴ありがとうございました独立行政法人情報処理推進機構技術本部セキュリティセンター (IPA/ISEC) 東京都文京区本駒込文京グリーンコートセンターオフィス 16 階 TEL 03(5978)7508 FAX 03(5978)7518 電子メール URL

セキュリティこぼれ話：初めての情報セキュリティ対策

セキュリティこぼれ話：初めての情報セキュリティ対策 (9) 初めての情報セキュリティ対策のしおり新入社員の皆さん情報セキュリティ対策って知っていますか? http://www.ipa.go.jp/security/ 0 2012 年 1 月 30 日第 1 版初めての情報セキュリティ対策リテラシーと言う言葉がありますリテラシーとは元々言語により読み書きできる能力をさす言葉でしたが最近では自分が身につけた知識や技術を使って事象を理解