もくじ 1. 個 人 情 報 漏 えい 調 査 結 果 2. サイバー 攻 撃 事 情 3. 内 部 犯 罪 内 部 不 正 行 為 2/ 38

Network Security Forum 2015 A3 多 様 なリスク 時 代 の セキュリティ 対 策 の 考 え 方 セキュリティ 被 害 調 査 WG 大 谷 尚 通 ( 株 )NTTデータ 2015 年 1 月 20 日

もくじ 1. 個 人 情 報 漏 えい 調 査 結 果 2. サイバー 攻 撃 事 情 3. 内 部 犯 罪 内 部 不 正 行 為 2/ 38

1. 個 人 情 報 漏 えい 調 査 結 果 2013 年 /2014 年 上 半 期 情 報 セキュリティ インシデントに 関 する 調 査 結 果 ~ 個 人 情 報 漏 えい 編 ~ 3/ 38

1. 個 人 情 報 漏 えい 調 査 結 果 1. 2013 年 個 人 情 報 漏 えいインシデント 期 間 :2013 年 1 月 1~12 月 31 日 ( 12ヶ 月 分 ) インターネットニュースなどで 報 道 されたインシデントの 記 事 組 織 からリリースされたインシデントの 公 表 記 事 などをもとに 集 計 2013 年 データ 2012 年 データ 漏 えい 人 数 925 万 4513 人 972 万 65 人 漏 えい 件 数 1388 件 2357 件 想 定 損 害 賠 償 総 額 1438 億 7184 万 円 2132 億 6405 万 円 一 件 当 たりの 漏 えい 人 数 7027 人 4245 人 一 件 当 たり 平 均 想 定 損 害 賠 償 額 1 億 924 万 円 9313 万 円 一 人 当 たり 平 均 想 定 損 害 賠 償 額 2 万 7707 円 4 万 4628 円 4/ 38

1. 個 人 情 報 漏 えい 調 査 結 果 1. 2014 年 上 半 期 個 人 情 報 漏 えいインシデント 期 間 :2014 年 1 月 1~6 月 30 日 ( 6ヶ 月 分 ) インターネットニュースなどで 報 道 されたインシデントの 記 事 組 織 からリリースされたインシデントの 公 表 記 事 などをもとに 集 計 2014 年 上 半 期 2013 年 データ 漏 えい 人 数 74 万 4453 人 925 万 4513 人 漏 えい 件 数 944 件 1388 件 想 定 損 害 賠 償 総 額 245 億 8688 万 円 1438 億 7184 万 円 一 件 当 たりの 漏 えい 人 数 823 人 7027 人 一 件 当 たり 平 均 想 定 損 害 賠 償 額 2726 万 円 1 億 924 万 円 一 人 当 たり 平 均 想 定 損 害 賠 償 額 4 万 9715 円 2 万 7707 円 5/ 38

1. 個 人 情 報 漏 えい 調 査 結 果 1.1 漏 えい 人 数 と 件 数 ( 経 年 ) 3000 万 人 3,053 万 人 漏 えい 人 数 2,500 件 インシデント 件 数 2,357 件 2500 万 人 2,224 万 人 2,000 件 2000 万 人 1500 万 人 1000 万 人 500 万 人 0 万 人 1,032 件 881 万 人 993 件 864 件 1,373 件 723 万 人 1,539 件 1,679 件 572 万 人 558 万 人 1,551 件 628 万 人 1,388 件 972 万 人 925 万 人 2005 年 2006 年 2007 年 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 漏 えい 人 数 は ほぼ 横 ばい 漏 えい 人 数 インシデント 件 数 1,500 件 1,000 件 500 件 0 件 件 数 は も っ と も 多 い 公 表 さ れ た イ ン シ デ ン ト 6/ 38

1. 個 人 情 報 漏 えい 調 査 結 果 1.2 原 因 別 の 漏 えい 件 数 不 正 な 情 報 持 ち 出 し 21 件 1.5% 設 定 ミス 43 件 3.1% 不 正 アクセス 65 件 4.7% 盗 難 77 件 5.5% バグ セキュリティホール 内 部 犯 罪 内 部 不 正 行 為 7 件 14 件 0.5% 1.0% 紛 失 置 忘 れ 199 件 14.3% 目 的 外 使 用 10 件 0.7% 管 理 ミス 449 件 32.3% 誤 操 作 485 件 34.9% ワーム ウイルス 5 件 0.4% その 他 9 件 0.6% 不 明 5 件 0.4% 2012 年 2013 年 (N=2357 件 ) (N=1389 件 ) 管 理 ミス (1391 件 ) 誤 操 作 (474 件 ) 紛 失 置 忘 れ (189 件 ) 盗 難 (88 件 ) 誤 操 作 (485 件 ) 管 理 ミス (449 件 ) 紛 失 置 忘 れ (199 件 ) 盗 難 (77 件 ) 管 理 ミス(= 誤 廃 棄 ) 誤 操 作 (=ケアレスミス) による 漏 えいが 多 い 上 位 の 原 因 に 大 きな 変 化 はなし 7/ 38

1. 個 人 情 報 漏 えい 調 査 結 果 1.3 原 因 別 の 漏 えい 件 数 ( 経 年 ) 2,000 件 1,500 件 1,000 件 500 件 0 件 22 件 20 34 件 53 12 件 128 件 434 件 21 件 81 件 82 件 17 146 件 290 件 68 件 176 件 34 件 157 件 60 件 483 件 14 件 369 件 17 件 22 件 543 件 539 件 474 件 485 件 177 件 194 件 211 件 189 件 122 213 件 件 189 件 199 件 266 件 143 件 154 件 121 件 72 件 30 件 117 件 128 件 103 件 88 件 77 件 14 件 22 20 件 25 件 18 件 35 28 件 65 件 2005 年 (n=1032) 2006 年 (n=993) 2007 年 (n=864) 19 件 80 件 305 件 2008 年 (n=1373) 2012 年 は 管 理 ミス の 件 数 が 大 幅 増 加 53 件 784 件 2009 年 (n=1539) 19 件 73 件 609 件 2010 年 (n=1679) 26 件 77 件 497 件 2011 年 (n=1551) 30 件 60 件 1,391 件 23 件 2012 年 (n=2357) 21 件 449 件 43 件 2013 年 (n=1389) 不 明 その 他 内 部 犯 罪 内 部 不 正 行 為 目 的 外 使 用 不 正 な 情 報 持 ち 出 し 管 理 ミス 設 定 ミス 誤 操 作 紛 失 置 忘 れ 盗 難 不 正 アクセス ワーム ウイルス インシデントの3 大 要 因 は 人 為 的 ミス 管 理 ミス 誤 操 作 紛 失 置 忘 れ バグ セキュリティホール 8/ 38

1. 個 人 情 報 漏 えい 調 査 結 果 1.4 媒 体 別 の 漏 えい 件 数 USB 等 可 搬 記 録 媒 体 108 件 7.8% 携 帯 電 話 スマートフォン 13 件 0.9% PC 本 体 40 件 2.9% その 他 33 件 2.4% 不 明 9 件 0.6% 2012 年 2013 年 (N=2357 件 ) (N=1389 件 ) 紙 媒 体 (1384 件 ) USB 等 可 搬 記 録 媒 体 (610 件 ) 紙 媒 体 (941 件 ) インターネット (126 件 ) 電 子 メール 119 件 8.6% インターネット 126 件 9.1% 紙 媒 体 941 件 67.7% 電 子 メール (130 件 ) インターネット (118 件 ) 電 子 メール (119 件 ) USB 等 可 搬 記 録 媒 体 (108 件 ) 紙 媒 体 による 漏 えいが 多 い ( 例 年 通 り) USBが 大 幅 減 少 9/ 38

1. 個 人 情 報 漏 えい 調 査 結 果 1.5 媒 体 別 の 漏 えい 件 数 ( 経 年 ) 2,000 件 1,500 件 1,000 件 500 件 0 件 32 16 68 件 件 68 8 件 66 件 76 1 件 162 件 218 件 173 件 81 件 106 件 44 51 件 0 85 件 133 件 108 件 94 件 515 件 435 件 349 件 2005 年 (n=1032) 2006 年 (n=993) 2007 年 (n=864) 10 88 件 0 件 111 件 160 件 136 件 100 件 768 件 2008 年 (n=1373) 12 30 0 108 件 件 70 件 144 件 58 件 1,117 件 2009 年 (n=1539) 14 40 件 115 件 82 件 208 件 55 件 1,165 件 2010 年 (n=1679) 23 45 件 126 件 68 件 156 件 68 件 1,065 件 2011 年 (n=1551) 63 9 件 130 件 118 件 610 件 43 件 1,384 件 2012 年 (n=2357) 13 33 9 件 119 件 126 件 108 件 40 件 941 件 2013 年 (n=1389) 例 年 紙 媒 体 による 漏 えいが 多 い 次 に USBメモリ 電 子 メール が 多 い 不 明 その 他 携 帯 電 話 スマートフォン FTP 電 子 メール インターネット USB 等 可 搬 記 録 媒 体 PC 本 体 紙 媒 体 2013 年 は インターネット が 増 加 10 / 38

1. 個 人 情 報 漏 えい 調 査 結 果 1.6 全 組 織 の 共 通 問 題 人 為 的 ミス 管 理 ミス 誤 操 作 紛 失 置 き 忘 れの 人 為 的 ミスによる 情 報 セキュリ ティインシデントは 毎 年 件 数 が 多 く 高 い 割 合 を 占 める インシデントの3 大 要 因 は 人 為 的 ミス 管 理 ミス 誤 操 作 紛 失 置 き 忘 れ 人 為 的 ミス 2008 年 2009 年 2010 年 2011 年 2012 年 2013 年 インシデント 件 数 (%) インシデント 人 数 (%) 982 件 (71.5%) 516.7 万 人 (71.4%) 1275 件 (82.8%) 269.6 万 人 (47.1%) 1363 件 (81.2%) 149.5 万 人 (26.8%) 1249 件 (80.5%) 256.0 万 人 (40.7%) 人 為 的 ミスの 対 策 が 必 要! (ヒューマンエラー) 2054 件 (87.1%) 805.3 万 人 (82.8%) インシデント 人 数 のばらつきが 大 きい 1 件 あたりの 漏 えい 人 数 は 少 ない 1071 件 (80.3%) 157.3 万 人 (17.0%) 11 / 38

1. 個 人 情 報 漏 えい 調 査 結 果 1.7 人 為 的 ミス の 発 生 確 率 1 2012 年 1 年 間 で 携 帯 電 話 /パソコン/USBメモリの 紛 失 盗 難 電 子 メールの 誤 送 信 SNS 等 への 情 報 漏 えいや 不 適 切 書 き 込 みをしてしまった 経 験 がある 人 は? 母 数 は インシデント 対 象 を 持 っていない/ 使 ったことがない 人 も 含 む20,362 人 携 帯 電 話 パソコン USBメモリの 事 故 あり は 業 務 データを 保 存 した 会 社 貸 与 / 私 物 の 紛 失 盗 難 のみ 0% 20% 40% 60% 80% 100% 携 帯 電 話 事 故 パソコン 事 故 USBメモリ 事 故 293 243 290 1.4% 1.2% 1.4% 4,082 14,819 10,654 従 業 員 100 人 の 会 社 では 15,987 n=20,362 電 子 メール 誤 送 信 は 平 均 11 件 SNS 等 への 情 報 漏 えい 不 適 切 な 5,300 書 き 込 みは 平 均 1~2 件 n=20,362 の 事 故 が 毎 年 起 きている 9,418 n=20,362 電 子 メール 事 故 2,246 11.0% 18,116 n=20,362 SNS 事 故 317 1.6% 6,872 13,173 n=20,362 事 故 あり 事 故 なし 持 っていない/ 使 ったことがない 12 / 38

1. 個 人 情 報 漏 えい 調 査 結 果 1.7 人 為 的 ミス の 発 生 確 率 2 2012 年 1 年 間 で 携 帯 電 話 /パソコン/USBメモリの 紛 失 盗 難 電 子 メールの 誤 送 信 SNS 等 への 情 報 漏 えいや 不 適 切 書 き 込 みをしてしまった 経 験 がある 人 は? 各 %の 母 数 は インシデント 対 象 を 持 っていない/ 使 ったことがない 人 を 含 まない 携 帯 電 話 パソコン USBメモリの 事 故 あり は 業 務 データを 保 存 した 会 社 貸 与 / 私 物 の 紛 失 盗 難 のみ 0% 20% 40% 60% 80% 100% 携 帯 電 話 事 故 293 6.7% 4,082 n= 4,375 パソコン 事 故 243 1.6% 14,819 n=15,062 USBメモリ 事 故 電 子 メール 事 故 SNS 事 故 290 2,246 317 2.6% 11.0% 4.4% 業 務 に 使 用 する 携 帯 電 話 パソコン USBメモリは1 年 間 に 平 均 して10,654 携 帯 電 話 は100 台 中 の6~7 台 パソコンは100 台 中 の1~2 18,116 台 USBメモリは100 個 中 の2~3 個 が 紛 失 盗 難 にあっている 6,872 n=10,944 n=20,362 n= 7,189 事 故 あり 事 故 なし 13 / 38

1. 個 人 情 報 漏 えい 調 査 結 果 1.8 人 為 的 ミスの 対 策 案 被 害 の 大 きさと 投 資 対 効 果 を 考 慮 したセキュリティ 対 策 の 方 針 を 採 用 1 業 務 の 重 要 度 やインシデント 発 生 時 の 被 害 の 大 きさに 応 じて セキュリティ 対 策 を 差 異 化 全 社 統 一 のセキュリティ 対 策 の ため 現 場 から 不 満 が 続 出? 全 社 統 一 のセキュリティ 対 策 では 重 要 なシステムは 対 策 不 足? 2 一 般 的 な 対 策 ではこれ 以 上 の 削 減 が 期 待 できない 場 合 インシデントが 発 生 しても 被 害 を 最 小 限 に 留 める 対 策 を 実 施 インシデント 件 数 対 策 コスト 被 害 額 よりも 対 策 コストが 大 きい 失 敗 14/38

1. 個 人 情 報 漏 えい 調 査 結 果 1.9 人 為 的 ミスの 対 策 案 1 ~ 対 策 の 差 異 化 ~ 1 業 務 の 重 要 度 やインシデント 発 生 時 の 被 害 の 大 きさに 応 じて セキュリティ 対 策 を 差 異 化 たとえば BYODを 導 入 した 企 業 では スマホの 盗 難 や 紛 失 のインシデントが 毎 年 一 定 数 発 生 している! 営 業 社 員 外 出 が 多 い= 外 出 先 で 作 業 したい 移 動 時 間 を 効 率 的 に 使 いたい 機 密 性 の 高 い 情 報 は 扱 わない 求 める セキュリティ レベルが 異 なる スタッフ 社 員 外 出 しない 機 密 性 の 高 い 情 報 を 扱 う ( 財 務 知 的 財 産 等 ) 全 社 一 律 に 禁 止 ルールを 導 入 すると 業 務 効 率 の 低 下 など ビジネスへの 影 響 が 大 きい リスクを 認 識 し コントロールすれば 怖 くない ビジネス 拡 大 を 重 視 スマートフォン OK セキュリティ 担 保 とビジネス 拡 大 どちらを 選 択 するか? スマートフォン NG 固 定 PCのみOK 15 / 38

1. 個 人 情 報 漏 えい 調 査 結 果 1.9 人 為 的 ミスの 対 策 案 2 ~ 被 害 の 最 小 化 ~ 2 一 般 的 な 対 策 ではこれ 以 上 の 削 減 が 期 待 できない 場 合 インシデントが 発 生 しても 被 害 を 最 小 限 に 留 める 対 策 を 実 施 たとえば メールの 誤 送 信 やUSBメモリの 紛 失 のインシデント 発 生 件 数 は ゼロにできない! メール 送 信 紛 失 / 盗 難 誤 送 信 添 付 ファイル ( 平 文 ) 情 報 漏 えい 発 生 情 報 漏 えい 発 生 暗 号 化 メール 送 信 暗 号 化 紛 失 / 盗 難 指 紋 認 証 誤 送 信 添 付 ファイル ( 暗 号 化 ) 情 報 漏 えい なし 情 報 漏 えい なし インシデント 発 生 件 数 を 削 減 できないのであれば インシデントが 発 生 しても 被 害 を 最 小 限 に 留 める 対 策 へ! 16 / 38

2. サイバー 攻 撃 事 情 最 新 のサイバー 攻 撃 事 情 パスワードリスト 攻 撃 水 飲 み 場 型 攻 撃 クラウドサービスの 乗 っ 取 り 17 / 38

2. サイバー 攻 撃 事 情 2. 2013 年 インシデント トップ10 2013 年 は No. 漏 えい 人 数 業 種 原 不 因 正 アクセスが 急 増! 1 400 万 人 情 報 通 信 業 不 正 アクセス 情 報 通 信 業 2 169 万 2496 人 情 報 通 信 業 が 多 い 不 正 アクセス 3 47 万 人 卸 売 業, 小 売 業 不 正 アクセス 4 42 万 6000 人 公 務 ( 他 に 分 類 されるものを 除 く) 紛 失 置 忘 れ 5 24 万 3266 人 情 報 通 信 業 不 正 アクセス 6 17 万 5297 人 情 報 通 信 業 設 定 ミス 7 15 万 0165 人 卸 売 業, 小 売 業 不 正 アクセス 8 12 万 0616 人 金 融 業, 保 険 業 管 理 ミス 9 10 万 9112 人 情 報 通 信 業 不 正 アクセス 10 9 万 7438 人 情 報 通 信 業 不 正 アクセス パスワードリスト 攻 撃 18 / 38

2. サイバー 攻 撃 事 情 2.1 パスワードリスト 攻 撃 同 じID パスワードを 使 い 回 しているアカウントを 狙 った 不 正 ログイン 攻 撃 無 料 オンライン サービス オンライン ショッピング サイト オンライン ゲーム SNS クラウド サービス ID: PW: abc@mail.jp Hogeh0ge! 漏 洩 ID: abc@mail.jp PW: Hogeh0ge! ID=メールアドレスを 指 定! ID: abc PW: Hogeh0ge! パスワードの 使 い 回 し! ID: PW: abc Hogeh0ge! ID: PW: abc@mail.jp Hogeh0ge! 不 正 ログイン 攻 撃 者 ID: ID: abc@mail.jp ID: abc@mail.jp PW: abc@mail.jp PW: Hogeh0ge! PW: Hogeh0ge! Hogeh0ge! 大 規 模 なパスワードリスト 攻 撃 の 例 NTTコミュニケーションズ 400 万 人 (2013/7/24) LINE 169 万 人 (2013/7/19) UCC 上 島 珈 琲 47 万 人 (2013/1/7) サイバーエージェント 24 万 人 (2013/8/12) セブンネットショッピング 15 万 人 (2013/10/23) グリー 4 万 人 (2013/8/8) 19 / 38

2. サイバー 攻 撃 事 情 2.1 パスワードリスト 攻 撃 の 被 害 例 パスワードリスト 攻 撃 が 成 功 してアカウントへ 不 正 アクセス されてしまった 場 合 の 被 害 攻 撃 者 ID: ID: abc@mail.jp ID: abc@mail.jp PW: abc@mail.jp PW: Hogeh0ge! PW: Hogeh0ge! Hogeh0ge! 不 正 ログイン オンライン ショッピング サイト SNS クラウド サービス 乗 っ 取 ったアカウントを 使 って 換 金 性 の 高 い 商 品 を 不 正 購 入 乗 っ 取 ったアカウントの 友 人 から 電 子 マネーをだまし 取 る 乗 っ 取 ったアカウントを 使 ってCPUリソー スを 不 正 利 用 したり 攻 撃 の 踏 み 台 や 水 飲 み 場 型 攻 撃 用 のWebページやC&C サーバに 使 う(p.19) 20 / 38

2. サイバー 攻 撃 事 情 2.1 パスワードリスト 攻 撃 の 対 策 案 パスワードリスト 攻 撃 によって 不 正 ログインされないためには パスワードを 使 いまわさない 同 じパスワードを 使 わない 2 要 素 認 証 など 不 正 アクセス 対 策 がしっかりした サービスを 積 極 的 に 利 用 する 解 読 されやすい 秘 密 の 質 問 を 使 用 しない 例 ) 母 親 の 旧 姓 は? = 鈴 木 出 身 地 は? = 東 京 ログインできる 端 末 やIPアドレスを 限 定 する( 可 能 な 場 合 ) 設 定 ミスに 気 をつける(クラウドサービスの 場 合 P.22 参 照 ) 2 要 素 認 証 パスワードリスト 攻 撃 で1 段 階 目 の 認 証 を 突 破 されても 2 段 階 目 の 認 証 を 突 破 できない 21 / 38

2. サイバー 攻 撃 事 情 2.2 水 飲 み 場 型 攻 撃 ユーザがアクセスする 可 能 性 の 高 いWebページへ Drive-By-Download 攻 撃 を 仕 掛 ける 水 飲 み 場 型 攻 撃 が 大 量 発 生 正 規 の Web ページ 飲 み 場 型 攻 撃 の 仕 掛 け 正 規 の Webサーバ 攻 撃 者 Drive-By-Download 攻 撃 別 のWeb サーバ X 別 のWeb サーバ Y C&C サーバ ( ) 1 正 規 のWeb ページを 閲 覧 ( 飲 み 場 型 攻 撃 の 仕 掛 けあり) Web 閲 覧 者 正 規 の Webページ ( た は 異 常 なし) 2 動 的 に 別 Web ページへ 誘 導 して 悪 質 なコード/ファイルを ダウンロード 飲 み 場 型 攻 撃 の 仕 掛 け 悪 質 な JavaScript, PDF, Flash 3 悪 質 な コード/ファイル 実 5ウイルス 実 バックドア 作 成 内 部 動 作 ( 非 表 示 ) 4ウイルス 本 体 の ダウンロード 6 命 令 攻 撃 者 7 情 報 窃 取 スパムメール 送 信 DDoS 攻 撃 など 大 規 模 な 水 飲 み 場 型 攻 撃 の 例 日 産 自 動 車 のWebサイト 改 ざん (2014 年 8 月 26 日 ) パロアルトネットワークスのWebサイト 改 ざん(2014 年 9 月 11 日 ) GMOのブログサービス JUGEMのWeb サイト 改 ざん(2014 年 5 月 28 日 ) HISのWebサイト 改 ざん (2014 年 5 月 28 日 ) 22 / 38

2. サイバー 攻 撃 事 情 2.2 水 飲 み 場 型 攻 撃 の 対 策 案 水 飲 み 場 型 攻 撃 によってウイルスに 感 染 しないためには 最 新 のセキュリティパッチを 適 用 する Java/ActiveX/Flash/Silverlightの 不 必 要 な 実 行 を 許 可 しない ネットワーク 対 策 / 感 染 防 止 (URLフィルタの 導 入 ) ネットワーク 対 策 / 早 期 検 知 ( 通 信 ログの 監 査 サンドボックス 検 知 ) ユ ー ザ 対 策 の シ ス テ ム 側 の 対 策 ウイルス 対 策 ソフトはほとんど 検 知 しない! 23 / 38

2. サイバー 攻 撃 事 情 2.3 クラウドサービスの 乗 っ 取 り ユーザが 利 用 しているSalesforce Amazon EC2やWindows Azureな どのクラウドサービス( 仮 想 サーバ)へ 不 正 ログインして 不 正 に 利 用 する 乗 っ 取 ったアカウントを 使 って CPUリソースの 不 正 利 用 攻 撃 の 踏 み 台 (DoS 攻 撃 Spam 送 信 ) 水 飲 み 場 型 攻 撃 (Webページ C&Cサーバ(p.19)) 例 えば 乗 っ 取 ったクラウドサービスを 不 正 に 使 用 して ビットコインのマイニング を 実 行 (ビットコインの 取 引 時 の 認 証 の 計 算 を 行 い 報 酬 をビットコインで 得 る) 24 / 38

2. サイバー 攻 撃 事 情 2.3 クラウドサービスの 乗 っ 取 りの 原 因 クラウドサービスは サーバ 構 築 や 運 用 の 知 識 がない 人 でもサーバを 構 築 / 運 用 できるため さまざまなセキュリティの 問 題 が 発 生 セキュリティ 対 策 が 不 十 分 ( 使 いやすい 設 定 を 適 用 ) ( 脆 弱 性 を 放 置 ) セキュリティ 設 定 より 使 いやすい 設 定 を 優 先 Webサーバなどのセキュリティパッチを 適 用 したり バージョンアップしたりできない セキュリティ 設 定 ミス( 不 要 なサービスを 起 動 ) 簡 単 なパスワードを 設 定 初 期 パスワードのままで 運 用 サービスの 構 成 を 把 握 せず セキュリティ 設 定 が 不 十 分 なサービスをそのまま 運 用 そ のサービスから 不 正 侵 入 される 25 / 38

2. サイバー 攻 撃 事 情 2.3 クラウドサービスの 乗 っ 取 りの 対 策 案 クラウドサービスが 乗 っ 取 られないためには 複 雑 なパスワードを 設 定 する パスワードを 使 いまわさない 同 じパスワードを 使 わない ログインできる 端 末 やIPアドレスを 限 定 する( 可 能 な 場 合 ) 設 定 ミスに 気 をつける サーバ 構 築 や 運 用 の 知 識 がない 人 では 難 しい セキュリティ 対 策 が 強 化 されたクラウドサービスを 利 用 する サーバ 構 築 や 運 用 の 知 識 がない 人 がサーバを 構 築 / 運 用 するので 安 心 できるクラウドサー ビスを 推 奨 したり 利 用 するクラウドサービスを 限 定 してIT 部 門 がサポートするほうがよい 26 / 38

2. サイバー 攻 撃 事 情 2.4 最 新 のサイバー 攻 撃 の 対 策 案 まとめ 2.1 パスワードリスト 攻 撃 2.2 水 飲 み 場 型 攻 撃 2.3 クラウドサービスの 乗 っ 取 り これからも 新 しい 攻 撃 は 増 える! 定 期 的 に 新 しい 脅 威 攻 撃 を 調 査 して セキュリティ 対 策 を 追 加 27 / 38

3. 内 部 犯 罪 内 部 不 正 行 為 内 部 犯 罪 内 部 不 正 行 為 28 / 38

3. 内 部 犯 罪 内 部 不 正 行 為 3. 過 去 の 内 部 犯 罪 による 個 人 情 報 漏 洩 Yahoo!BB (2004 年 2 月 27 日 ) ヤフーBB 代 理 店 社 員 が 恐 喝 目 的 で 約 450 万 人 分 の 個 人 情 報 を 持 ち 出 す Yahoo! BB 会 員 に500 円 相 当 の 金 券 送 付 裁 判 の 結 果 1 人 あたり6,000 円 5 名 の 損 害 賠 償 三 菱 UFJ 証 券 (2009 年 1 月 26 日 ) システム 部 の 部 長 代 理 が 顧 客 データベースから 約 149 万 人 分 の 個 人 情 報 を 不 正 に 引 き 出 して 名 簿 業 者 4 社 へ 転 売 動 機 は 借 金 500 万 円 の 返 済 5 万 人 に 商 品 券 1 万 円 を 配 布 ベネッセ (2014 年 7 月 9 日 ) グループ 企 業 から 再 委 託 した 外 部 業 者 のSEが3504 万 人 分 の 個 人 情 報 を 不 正 に 引 き 出 して 複 数 の 名 簿 業 者 へ 転 売 動 機 は 借 金 300 万 円 の 返 済 760 万 件 の 対 象 者 へ 金 券 500 円 分 を 配 布 ( 特 別 損 失 約 260 億 円 計 上 ) 29 / 38

3. 内 部 犯 罪 内 部 不 正 行 為 3.1 内 部 不 正 対 策 の 誤 解 と 限 界 内 部 不 正 は 一 般 的 な 対 策 だけでは 通 用 しない 情 報 セキュリティ 教 育 不 正 行 為 を 認 識 して 実 行 怨 恨 の 場 合 は 会 社 を 止 めるつもりで 実 行 情 報 セキュリティルール 金 銭 目 的 の 場 合 は 見 つからないように 実 行 見 つからなければ 罰 則 されない アクセス 制 限 管 理 者 権 限 を 持 っていて 無 制 限 の 場 合 が 多 い 特 別 なアクセス 権 限 をもった 人 の 内 部 不 正 ほど 被 害 が 大 きくなる セキュリティ 対 策 セキュリティ 対 策 のしくみを 知 っているので 対 策 を 迂 回 する 技 術 力 があるため 脆 弱 性 を 攻 撃 して 権 限 を 奪 取 する ルールや 教 育 による 対 策 は 間 違 い 管 理 者 が 少 ないので 一 人 でいくつもの システムの 管 理 者 を 兼 任 利 便 性 を 犠 牲 にしたり 監 視 運 用 体 制 やシステムによる 対 策 を 強 化 しなければ 内 部 不 正 には 対 抗 できない! 30 / 38

3. 内 部 犯 罪 内 部 不 正 行 為 3.2 内 部 犯 罪 による 個 人 情 報 漏 洩 の 原 因 ベネッセの 場 合 に 問 題 だったと 思 われる 点 顧 客 情 報 DBの 全 顧 客 情 報 にアクセス 可 能 な 権 限 を 付 与 顧 客 情 報 DBの 開 発 と 運 用 の 両 方 に 関 わっていた 顧 客 情 報 DBに 備 わっていた 流 出 防 止 プログラムを 解 除 していた 顧 客 情 報 DB 等 のアクセスログの 監 査 が 不 十 分 PCに 接 続 されたスマートフォンへのデータコピーを 制 限 していな かった 顧 客 情 報 DBに 忍 び 込 ませていたダミーデータが 名 簿 業 者 に 見 抜 かれて 機 能 しなかった 31 / 38

3. 内 部 犯 罪 内 部 不 正 行 為 3.3 内 部 犯 罪 ( 情 報 漏 えい)の 対 策 案 ベネッセの 場 合 の 対 策 案 顧 客 情 報 DBの 全 顧 客 情 報 にアクセス 可 能 な 権 限 を 付 与 不 要 な 権 限 を 与 えない DBのメンテナンスに 必 要 な 権 限 の みを 与 える OSの 管 理 者 権 限 やデータアクセス 権 限 は 与 え ない 顧 客 情 報 DB 等 のアクセスログの 監 査 が 不 十 分 アクセスログを 自 動 監 査 し 異 常 を 早 期 検 知 全 ログの 目 視 監 視 は 不 可 能 委 託 しない という 対 策 はどうなのか? 新 しい 技 術 が 開 発 される と 新 しいリスクが 出 現 する 定 期 的 なリスク 分 析 と 対 策 見 直 し! PCに 接 続 されたスマートフォンへのデータコピーを 制 限 していな かった USBメモリだけでなく スマホに 使 われている 新 しい 方 式 メ ディア 転 送 プロトコル(Media Transfer Protocol:MTP), 画 像 転 送 プロトコル(Picture Transfer Protocol:PTP)も 制 限 する 32 / 38

3. 内 部 犯 罪 内 部 不 正 行 為 3.4 内 部 不 正 の 対 策 のポイント1 内 部 不 正 に 有 効 な 対 策 細 かなアクセス 制 限 や 権 限 分 離 不 正 行 為 の 検 知 / 防 止 システム 導 入 などのシステム 対 策 重 要 な 操 作 の 実 施 時 の 立 会 い 操 作 記 録 やログ 取 得 とその 監 査 定 期 的 なリスク 分 析 と 対 策 見 直 し 内 部 不 正 の 対 策 はコストが 高 い 顧 客 DBなどの 重 要 なシステムを 優 先 して 対 策 する 33 / 38

3. 内 部 犯 罪 内 部 不 正 行 為 3.4 内 部 不 正 の 対 策 のポイント2 一 般 的 な 対 策 が 通 用 しない 人 による 内 部 不 正 に 対 抗 するには ( 特 別 な 権 限 あり 技 術 力 あり セキュリティ 対 策 を 迂 回 可 能 ) 内 部 不 正 も 完 全 に 防 ぐことがほぼ 不 可 能 早 期 検 知 / 早 期 対 応 と 被 害 最 小 化 操 作 記 録 やログ 取 得 とその 監 査 定 期 的 なリスク 分 析 と 対 策 見 直 し 細 かなアクセス 制 限 や 権 限 分 離 不 正 行 為 の 検 知 / 防 止 システム 導 入 迅 速 な 初 動 対 応 34 / 38

まとめ 35 / 38

多 様 なセキュリティリスクの 対 応 へ 発 生 の 頻 度 と 被 害 の 大 きさ セキュリティ 対 策 の 費 用 対 効 果 を 考 慮 し 対 策 の 優 先 順 位 を 決 定 人 為 的 ミスによる 機 密 情 報 漏 えい サイバー 攻 撃 内 部 犯 罪 内 部 不 正 行 為 36 / 38

合 理 的 なセキュリティ 対 策 の 方 針 被 害 の 大 きさと 対 策 費 用 を 考 慮 した 合 理 的 なセキュリティ 対 策 の 方 針 人 為 的 ミスによる 個 人 情 報 漏 えい 発 生 確 率 が 高 い 被 害 が 小 さい 効 果 の 高 い 予 防 策 とする 被 害 の 最 小 化 対 策 を 組 み 合 わせる サイバー 攻 撃 発 生 確 率 は 企 業 組 織 / 環 境 で 異 なる 被 害 が 大 きい 定 期 的 に 新 しい 脅 威 攻 撃 を 調 査 してセキュリティ 対 策 を 追 加 内 部 犯 罪 内 部 不 正 行 為 発 生 確 率 が 低 い 被 害 額 が 大 きい 重 要 なシステムを 優 先 して 対 策 37 / 38

38 / 38