携帯情報端末の・・・ - PDF 無料ダウンロード

1/9/9 背景スマートフォン販売台数の増加ユーザによるセキュリティ対策のためのスマートフォン利用リスクの可視化販売台数 ( 千台 ) 6 4 スマートフォンの販売台数 ( 千台 ) 1 1 グループ演習 6 班最終報告会 164 大原和人 167 長谷川大輔 1667 角鹿誠真 169 木村正典アドバイザ教員古川宏 1 6 7 8 9 スマートフォン近年, 日本のの販売台数が頭打ち販売推奨金の廃止による端末料金の値上げ日本の保有率 96.%'9 年月 ( その一方, スマートフォンの販売台数が増えているスマートフォンとはスマートフォンの定義ソフト開発のための情報が提供されている OS を搭載した情報端末スマートフォンの魅力を感じる点 ' ケータイ白書 1 より ( パソコン用 Web サイトの閲覧無線 LAN タッチパネル Word Excel の閲覧編集 PC との同期機能アプリケーションやソフトのインストールスマートフォンセキュリティ被害例ウィルス被害 '1/4 韓国 ( ゲームのアプリダウンロードから感染使用者が気づかない内に国際電話に接続韓国国内で 1 件の被害例 iphone,ipad に危険な脆弱性 '1/8( 4 今後, 被害が増大していくことが予想されスマートフォンのセキュリティについて考慮する必要性スマートフォンのセキュリティ対策について本研究の目的多様な OS 画一的な対策が難しい PC の OS シェア率スマートフォンの OS シェア率ユーザはスマートフォンの利用におけるリスクを理解しリスクを回避するための適切な対策を知ることが重要 Windws Mac OS Linux Symbian RIM iphone Windows mobile オンライン機能サービスを利用する際のセキュリティリスクとその対策効果の可視化 '1 年 OS シェア米ネットアプリケーションズ ( CPU メモリの制限常駐プログラムの負担が大きい利便性とセキュリティ対策のトレードオフ Linux '1 年スマートフォン OS シェア米ガートナー ( スマートフォン, ならびに PC のオンライン機能サービスの利用におけるリスク対策を行うことによるリスクの軽減を表すセキュリティ対策マップの作成被害の件数が少ないセキュリティ対策に対する需要が少ないセキュリティ対策は PC ほど充実していない 6 スマートフォンにはどんなリスクがありどのような対策を行えばいいかを明示する 1

1/9/9 研究フロー 7 8 調査方法調査を行う端末 OS 1 文献インターネットを利用した調査スマートフォンセキュリティ対策セミナーへの参加協立共同通信 ' 株 ( スマートフォン & クラウド情報活用フェア日時 :7/9' 金 ( 14:4~1:4 スマートフォンのセキュリティ対策について把握現在日本で広く普及しているOSを採用 PC, はスマートフォンの比較対象として調査調査を行う端末 OS 9 情報処理推進機構 (IPA) へのヒアリング調査セキュリティ対策の専門的な意見を伺う協力 : 加賀谷様永安様山北様日時 :8/17' 火 ( 14:~1: オンライン機能サービス利用時に発生する被害発生する被害に対するセキュリティ対策携帯 OS によるセキュリティポリシーの違い 1 スマートフォン iphone,, Windows Mobile, BlackBerry PC Windows7 一般的な調査を行うオンライン機能サービスオンライン機能サービス利用時に発生する被害セキュリティ被害が発生する可能性がある機能サービスを調査調査を行うオンライン機能サービス電子メール機能 PC:Webメールスマートフォン :Webメール, キャリア回線を介すメール : キャリア回線を介すメール Web 閲覧機能 PC, スマートフォン :PC 用のWeb 閲覧 : 用 Web 閲覧 Webダウンロード機能 Web 上にアップロードされているアプリケーション等を端末にダウンロードインターネットショッピング ' バンキング ( サービス Web 閲覧機能に加え,Web 上で買い物やネットバンクを利用警察庁のデータを基に決定した. ウィルス被害は多岐にわたるため, 種類に分ける. 情報漏洩によって生じる, なりすまし等の次的被害は, 1 次的被害に含まれるものとする. セキュリティホールから生じる被害は, ユーザの行える対策が OS のアップデートしか存在しないため本研究では対象としない. オンライン機能サービス利用時の被害 : 偽造したサイトやメールによってID 等の情報を盗まれる : 身に覚えのない請求をされる : 迷惑メールを受信するウィルス1: ウィルスに感染してデータが削除されるウィルス: ウィルスに感染して情報漏えいしてしまうウィルス: ウィルスに感染して動作が妨害される : 通信データを盗聴される, 紛失によって端末内データを盗聴される : メール内容を改ざんされる 11 1

1/9/9 発生する被害に対するセキュリティ対策対策の評価を行うため, 対策レベルを4つに分ける. ユーザが支払うコストを考慮 OS 毎の比較を行うため, 同じOSでもキャリアや機種によって独自に行われている機能対策については対象としない. OS 側の対策は一般に公開されているものに限る. 対策レベル内容 OS 側の対策ユーザが使用の有無を選択出来ない機能サービスでの対策対策レベル1 端末購入時から標準搭載されている機能での対策対策レベル端末購入時には搭載されていないが, 無料で行える対策端末 OS によるセキュリティポリシーの違いヒアリング調査結果セキュリティポリシー : セキュリティを確保するための方針 PC(Windows7) オープンなシステムであり, システムの自由度もユーザは攻撃を受けやすく, 対策も行いやすいユーザに知識や対策意識が求められ, 自ら対策を行う必要性がクローズドなシステムであり, システムの自由度がユーザは攻撃を受けにくく, 対策も行いにくいユーザに知識や対策意識が求められず, 自ら対策を行う必要性がシステムの自由度 1 対策レベル端末購入時には搭載されていないが, 有料で行える対策 14 iphone BlackBerry Windows Mobile セキュリティ対策の必要性 PC(Windows7) 1 手法リスクの定量化評価手法リスク= 被害の大きさ発生確率被害の大きさ被害被害の対象被害の大きさの指標情報漏洩情報情報の価値金銭被害額スパム時間時間の価値全ての被害を同じ指標で定量評価できない発生確率スマートフォンは普及段階であるため, 十分なデータがない発生確率を求めることができない 16 本研究では定性的にリスクを求めた手法 17 定性的評価手法文献 [1] のリスク値算出式を参考に以下の式でリスク値を求めたリスク値 = 被害の大きさ発生頻度対策不備度被害の大きさ発生頻度対策不備度被害が発生した場合のダメージを表す段階で評価した被害が発生する頻度を表す段階で評価した被害に対して対策が為されていない度合いを表し, 対策が為されるほど小さい値をとる段階で評価した対策の効果を細かく評価するため, 対策不備度のみ段階で評価した [1] 日本情報処理開発協会 ;ISMS ユーザーズガイド -JIS Q 71 : 6 (ISO/IEC 71:) 対応 18 被害の大きさの評価情報に対する被害経済的損失レベル漏洩情報口座番号 & 暗証番号, クレジットカード番号 & カード有効期限などパスポート情報, 口座番号のみ, クレジットカード番号のみ, 資産, 所得など氏名, 住所, 生年月日, メールアドレス, 電話番号, メール 1 内容など情報以外に対する被害例 : 最悪の場合は金銭への被害損害賠償額算出式 [] の経済的損失レベルを用いて評価情報に対する被害の中で, 同等の被害の値口座番号 & 暗証番号と同等 [] 日本セキュリティネットワーク協会 ;6 年情報セキュリティインシデントに関する調査報告書

1 1 ベンダー側の対策対策レベル 1 対策レベル対策レベル 1/9/9 発生頻度の評価 PC, 年間の発生件数を基に評価発生頻度説明発生する可能性が '1 万件 ~( 発生する可能性が中程度 ' 百件 ~ 数千件程度 ( 1 発生する可能性が ' 数件 ~ 数十件程度 ( 対策不備度の評価セキュリティ対策評価モデル [] の技術的な要求についての対策コアに対する評価基準を参考に評価. 対策不備度説明対策が全く為されていない 4 対策が為されているが, 平均以下の対策である平均的な対策が為されている平均以上の対策が為されているが, まだ対策の余地もある 1 現状ではこれ以上の対策ができない一般的にユーザは PC に関して標準搭載の対策は行っているスマートフォン将来的には PC と同等の被害数になると考えられる PC 利用における発生頻度と同じ値平均的な対策が為されている PC における対策レベル 1 の対策が全て為されている 19 [] 電子商取引推進委員会 ; セキュリティ対策評価モデル 1 リスク評価結果の可視化機能サービス,OSごとに対策レベルごとのリスク値を表示したレーダーチャート 1 1 ウイルス: 動作の妨害ウイルス1: データ削除 OS 側の対策対策レベル対策レベル1 対策レベル対応する対策機能表対策内容アプリの動作区間を区切り, ウィルスサンドボックス化の被害を防ぐ. OS 側のコードの実行を制限し, ウィルスの被コード実行制限対策害を防ぐ. 全てのアプリに関してウィルスなどのアプリの検閲検査デバイスロック端末の使用を制限する. 対策フィッシングサイトへの接続時の警告レベル1 フィッシング警告表示を表示する. パスワードを一定回数連続して誤るとローカルワイプ対策端末内のデータを消去する. レベル悪意のあるサイト悪意のあるサイトへの接続時の警告を警告表示表示する. リモートワイプ遠隔でデータを削除する. 対策遠隔ロック遠隔操作で端末の使用を制限レベルデバイス探索紛失時に端末を発見するウィルス駆除端末内のウィルスを駆除ファイアウォール外部との通信を制御セキュリティ対策マップユーザが現状のリスクを知り, 適切な対策をとるセキュリティ対策マップの使用方法電子メール利用時のリスクとその軽減 1 使用する機能サービス及び端末 OSを選ぶ現在行っている対策から現在の対策レベルを決定する現在のリスクの大きさを確認する 4 対策の必要性を感じれば, 対策表を参照しセキュリティ対策を行う 1 1 OS 側の対策対策レベル対策レベル 1 対策レベル OS 側の対策対策レベル1 対策レベル対策レベル対策内容アプリの動作区間を区切り, ウィルスサンドボックス化の被害を防ぐ. コードの実行を制限し, ウィルスの被コード実行制限害を防ぐ. 全てのアプリに関してウィルスなどのアプリの検閲検査デバイスロック端末の使用を制限する. フィッシングサイトへの接続時の警告フィッシング警告表示を表示する. パスワードを一定回数連続して誤るとローカルワイプ端末内のデータを消去する. 悪意のあるサイト悪意のあるサイトへの接続時の警告を警告表示表示する. リモートワイプ遠隔でデータを削除する. 遠隔ロックデバイス探索ウィルス駆除ファイアウォール遠隔操作で端末の使用を制限紛失時に端末を発見する端末内のウィルスを駆除外部との通信を制御 4 1 1 1 1 フィッシング ID 窃盗ウイルス: 情報漏えいウイルス: 情報漏えいベンダー側の対策対策レベル1 対策レベル対策レベル iphone BlackBerry PC OS 側の対策対策レベル1 対策レベル対策レベル 1 1 1 1 システムの自由度 iphone BlackBerry Windows Mobile 1 1 Windows Mobile PC 4

1/9/9 オープンなシステム PC,Windows Mobile OS 側の対策の時点でリスクが大きいものがあるユーザが対策を行うことによってリスクが小さくなる対策レベル ' 有償 ( の対策まで行えば, 全ての被害のリスクを小さくできるクローズドなシステム,iPhone OS 側の対策の時点でリスクが小さいユーザが行える対策は少ないのリスクが大きいユーザ自身が気を付ける必要がある 1 1 1 1 1 1 1 1 PC の電子メール利用時のリスク Windows Mobile の電子メール利用時のリスクの電子メール利用時のリスク 6 iphone の電子メール利用時のリスクまとめ中間的なシステム, BlackBerry リスクも中間のような分布となっている 1 1 BlackBerry 通信情報がサーバを経由することにより, 安全性が保障される対策レベル1' 標準搭載 ( の対策を行えば十分といえる無償, 有償の対策はほぼ存在しない 1 1 作成したマップからリスクの大きさ, セキュリティ対策によりリスクが小さくなる様子が確認できるユーザが現状のリスクを理解し, 適切な対策行動をとるための支援材料作成したマップは, 調査によって得られた端末 OS によるセキュリティーポリシーの違いと一致した作成したマップの妥当性の電子メール利用時のリスク 7 ウイルス : 情報漏えいベンダー側の対策対策レベル 1 対策レベル対策レベル BlackBerry の電子メール利用時のリスク 8 今後の課題マップの有効性の確認スマートフォンユーザにリスクの理解度, セキュリティ意識についてのアンケートマップを見る前後でのユーザのリスク理解, セキュリティ意識の変化対策と利便性の考慮キャリア側の対策, アーキテクチャの違いについて完成したマップについて専門家の意見をいただくご清聴ありがとうございました 9