映像で知る情報セキュリティ ~ 新入社員教育編 ~ セキュリティ教育や新人研修にお役立てください 独立行政法人情報処理推進機構 技術本部セキュリティセンター 小門寿明
映像で知る情報セキュリティ社内研修用教材 Information-technology Promotion Agency, Japan 主な対象主に組織内の情報セキュリティ教育担当者 P マークや ISMS の事務局担当者 コンプライアンス部門担当者 その他情報セキュリティの最新状況を入門的に理解したい方 概要 時間 IPA が制作した情報セキュリティ啓発映像とプレゼン資料を活用して組織内の情報セキュリティ教育を行う方法を学ぶ 各テーマについて 10 分程度の映像を上映し セキュリティ上の脅威と対策についてポイントを絞った解説を行う 受講者が組織に持ち帰り メンバーの情報セキュリティ意識と対策知識に向けた教育を行えることを目指した実践的コース 本コースでは下記テーマをとりあげる 映像 1 ウイルスはあなたのビジネスもプライベートも狙っている! 映像 2 あなたの組織が狙われている!- 標的型攻撃その脅威と対策 - 映像 3 大丈夫? あなたのスマートフォン - 安心 安全のためのセキュリティ - 映像 4 あなたのスマートフォン ウイルスが狙っている! 映像 5 今制御システムも狙われている! - 情報セキュリティの必要性 - 映像 6 3 つのかばん - 新入社員が知るべき情報漏えいの脅威 - 映像 7 あなたの書き込みは世界中から見られている - 適切な SNS 利用の心得 - 各コース 30 分程度 2
映像で知る情報セキュリティ社内研修構成 Information-technology Promotion Agency, Japan 社内研修講演の流れ (30 分 ) 2 分 11 分 12 分 5 分 社内研修講演要領の説明 ( 例示 ) 3 つのかばん - 新入社員が知るべき情報漏えいの脅威 - 映像の再生 講演資料 対象テーマ解説 Q & A 社内研修モデルケース (30 分 ) 講演内容説明 映像の再生 講演資料 対象テーマ解説 各社独自の解説 Q & A 1 分 11 分 12 分 3 分 3 分 映像資料 DVD YouTube IPA チャンネル 講演資料 IPA のウェブサイトからダウンロード (PDF) 3
目次 1. はじめに 2. 情報漏えいの3つの参考事例 3. 対策のポイント 4-1. キーロガーによるパスワード窃取 4-2. アイコンの偽装 怪しいファイルの見分け方 5. 参考資料 4
1. はじめに 3 つのかばん - 新入社員が知るべき情報漏えいの脅威 - 情報セキュリティ新人研修で机上に並べられた 3 つのカバン その一つ一つを開くたびに 主人公は組織には守るべき重要な情報があることをまざまざと知ることとなります ドラマ仕立ての本映像を通じて 情報漏えいが起きる要因と 起こさないための対策を理解していただきます 5
映像をご覧ください https://www.youtube.com/watch?v=fljlaqa-cru 6
2. 情報漏えいの 3 つの参考事例 Information-technology Promotion Agency, Japan 企業 組織では守るべき大事な情報があり それらの情報は十分注意して取り扱う必要があります 企業 組織で取り扱う重要な情報をうっかり漏えいしてしまわないように以下の 3 つのケースについて それぞれ対策のポイントを紹介しています ウイルス感染による 顧客情報 の漏えい SNS への公開による 業務上知りえた情報 の漏えい メールや FAX などの誤送信による 営業秘密 の漏えい 7
情報漏えいのケース 1 ウイルス感染による 顧客情報 の漏えい 届いた添付ファイル付きのメールの中には ウイルスファイルが混入している場合があります 8
情報漏えいのケース 2 SNS への公開による 業務上知りえた情報 の漏えい 業務上知りえた情報は 許可なく公開することを禁じられています 9
情報漏えいのケース 3 メールや FAX などの誤送信による 営業秘密 の漏えい 重要な情報を必要に応じて 関係者にメールなどで送信する場合に 宛先を間違えると 本来知られてはいけないところに情報が漏えいすることになります 10
3. 対策のポイント 情報漏えいのそれぞれのケースにおいて 以下のような対策のポイントがあります -1. ウイルス感染による 顧客情報 の漏えい ウイルス対策ソフトの適切な活用 -2.SNS への公開による 業務上知りえた情報 の漏えい セキュリティポリシーの遵守 -3. メールや FAX などの誤送信による 営業秘密 の漏えい アプリケーションの設定の確認 11
4.-1. キーロガー による ID/ パスワード窃取 Information-technology Promotion Agency, Japan Windows などの OS に入り込み キー入力やマウス操作などを監視 表向きは起動しているように見えない タスクマネージャのプロセス画面には表示される場合がある ( 表示されないものもある ) レジストリ を書き換えて 起動時に自動的に実行される 盗聴した情報はファイルに保存 しばらくの間 情報を収集した後にファイルを回収 あるいは ネットワーク経由で送信 悪意ある人がリモートで収集 12
キーロガー によるID/ パスワード窃取 ( 事例 ) ネット銀行での不正送金被害 ネット銀行の不正引き出し スパイウエアが原因 オンラインショップの経営者へ商品の返品交換を要求する苦情メールが届いた メールに添付されていた商品の写真を開いたが 写真は存在しなかった 添付ファイルをクリックした際 本人が気づかないうちに キーロガーと呼ばれるスパイウエアがインストールされた このキーロガーは ネット銀行などへのアクセスを監視し 口座番号や暗証番号を犯人に送信 犯人は 盗んだ情報を悪用して不正に引き出した ネットショッピングサイト運営者 悪意を持つ人 写真ではなく スパイウェアが添付されていた お宅で買った商品が壊れていたので交換してください 写真を添付したのでご確認ください! 13
4.-2.-1 アイコンの偽装 画像データファイルなどに見せかけてウイルスプログラムをメール添付で送り付け 実行させて被害に遭わせる手口などがあります また同様に 動画データなどに見せかけてウェブからダウンロードさせ 実は ウイルスプログラムであったというようなケースもあります これらの偽装は アイコンの改変だけでなく以下のような手法も併用しており 騙されないよう注意が必要です 1 ファイル名に. を入れ二重拡張子にする 例 ) Message.txt.exe 登録されている拡張子を表示しない設定になっていると 拡張子は.txt のように見えるため テキストファイルであると思ってしまう 2 二重拡張子の後ろの. の前にたくさんの 空白 を入れファイル名を最後まで表示させないようにする 例 ) お宝画像.zip たくさんの空白.exe 表示は お宝画像.zip... と紛らわしいものとなる 被害に遭わないために 不審なサイトには近づかない 安易なダウンロードはしないなどの他に 以下のような設定 操作を行う 1. フォルダオプションの 登録されている拡張子を表示しない ボックスのチェックを外す 2. ファイルのプロパティを参照しファイルの種類がアイコンの表示通りであるか確認する 3. ファイルは出来る限りダブルクリックで開かない ( プログラムから開くなどの操作メニューを使用する ) 14
4.-2.-2 怪しいファイルの見分け方 表示 タブをクリック チェックを外す! フォルダオプションを変更する 15
ファイルのプロパティの参照 テキストドキュメントを装っているが 二重拡張子指定で 実際はアプリケーションである ファイルのプロパティを参照する 16
ファイルの開き方 ファイルはできる限りダブルクリックで開かない 文書や表計算等のファイルを開く場合は 右クリックでメニューを表示させて プログラムから開く を選び その中からそのファイルを開きたいアプリケーションソフトを選択する 17
映像で知る情報セキュリティ (DVD-ROM) Information-technology Promotion Agency, Japan http://www.ipa.go.jp/security/keihatsu/videos/ 18
映像コンテンツの紹介 Information-technology Promotion Agency, Japan Copyright 2015 独立行政法人 情報処理推進機構 19
IPA 対策のしおり他 http://www.ipa.go.jp/security/antivirus/shiori.html 20
独立行政法人情報処理推進機構 技術本部セキュリティセンター 113-6591 東京都文京区本駒込 2-28-8 文京グリーンコートセンターオフィス 15 階 TEL03(5978)7508 普及啓発資料等のお問い合わせ 電子メール isec-info@ipa.go.jp URL http://www.ipa.go.jp/security/ FAX03(5978)7546 21