本プレゼンのポイント 脅威を知ることが対策への近道 2

Similar documents
安全な Web サイトの作り方 7 版 と Android アプリの脆弱性対策 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

内部不正を防止するために企業は何を行うべきなのか

目次 1. はじめに 2. 内部不正による情報漏えいの危険性 3. 情報漏えい対策ポイント 4. 情報漏えい発生時の対応ポイント 5. 参考資料の紹介 ( 講師用 ) Copyright 2015 独立行政法人情報処理推進機構 2

これだけは知ってほしいVoIPセキュリティの基礎

ネットワーク機器の利用における セキュリティ対策 独立行政法人情報処理推進機構技術本部セキュリティセンター大道晶平

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2018 独立行政法人情報処理推進機構 2

PowerPoint プレゼンテーション

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とは フィッシング詐欺とは インターネットバンキング ショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) や クレジットカードの情報等を騙し取る攻撃です 典型的な手口としては 攻撃者が本物のウェブサイトと似た偽のウェブ

中小企業向け サイバーセキュリティ対策の極意

安全なウェブサイトの作り方 7 版 の内容と資料活用例 2

目次 情報セキュリティ10 大脅威について 1 章. 10 大脅威の10 年史 2 章. 情報セキュリティ10 大脅威 章. 注目すべき脅威や懸念 Copyright 2016 独立行政法人情報処理推進機構 2

映像で知る情報セキュリティ社内研修用教材 Information-technology Promotion Agency, Japan 主な対象主に組織内の情報セキュリティ教育担当者 P マークや ISMS の事務局担当者 コンプライアンス部門担当者 その他情報セキュリティの最新状況を入門的に理解し

マルウェアレポート 2017年12月度版

情報セキュリティ 10 大脅威 2018 ~2 章情報セキュリティ 10 大脅威組織編 ~ ~ 引き続き行われるサイバー攻撃 あなたは守りきれますか?~ Copyright 2018 独立行政法人情報処理推進機構 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 2018 年

2 実施件数 (2017 年 7 月 ~9 月 ) 2017 年 7 月 ~9 月に J-CSIP 参加組織から IPA に対し サイバー攻撃に関する情報 ( 不審メール 不正 通信 インシデント等 ) の情報提供が行われた件数と それらの情報をもとに IPA から J-CSIP 参加組織へ 情報共

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

マルウェアレポート 2018年2月度版

第 号 2013 年 6 月 4 日独立行政法人情報処理推進機構 今月の呼びかけ ウェブサイトが改ざんされないように対策を! ~ サーバーやパソコンのみならず システム全体での対策が必要です ~ IPA セキュリティセンターではコンピュータウイルスや不正アクセスに関する届出を受け

PowerPoint プレゼンテーション

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

情報セキュリティ 10 大脅威 2019 ~IT は 便利 の裏に 危険 あり ~ ( 独 ) 情報処理推進機構 (IPA) セキュリティセンターセキュリティ対策推進部土屋正 Copyright 2019 独立行政法人情報処理推進機構 1

個人情報を盗み出す感染したウイルスにより コンピュータ上に保存されている情報 ( データ ) が勝手に送信されたり キーボード入力を盗み見されたりすること等をいいます 最近のネットバンキングの不正送金もこのカテゴリーに含まれます これ以外にも 以下のような被害を受ける可能性があります 盗まれたクレジ

Microsoft PowerPoint _A4_予稿(最終)

<4D F736F F F696E74202D CC8D558C828EE88CFB82C691CE899E8DF481698E8497A791E58A778FEE95F18BB388E78BA689EF816A205B8CDD8AB B83685D>

中小企業向け サイバーセキュリティ対策の極意

<4D F736F F F696E74202D CC8D558C828EE88CFB82C691CE899E8DF481698E8497A791E58A778FEE95F18BB388E78BA689EF816A8

目次 年版 10 大脅威 2. 標的型サイバー攻撃の仕組みと対策 3. ネットバンキングの不正送金 Copyright 2014 独立行政法人情報処理推進機構 2

オンラインバンキングの脅威 注目されている 最近の報道で オンラインバンキング 1 の不正被害額は 2013 年に過去最悪の 14 億 600 万円に達したが 2014 年 5 月 9 日の時点で昨年を上回る約 14 億 1,700 万円の被害金額となっている ( 2014 年 5 月 15 日の警

セキュリティテスト手法 ファジング による脆弱性低減を! ~ 外部からの脅威に対し 製品出荷前に対策強化するために ~ 2016 年 5 月 12 日独立行政法人情報処理推進機構技術本部セキュリティセンター情報セキュリティ技術ラボラトリー鹿野一人 1

第 号 2014 年 4 月 1 日独立行政法人情報処理推進機構 今月の呼びかけ あなたのパソコンは 4 月 9 日以降 大丈夫? ~ 使用中パソコンの判別方法 乗り換えプランを紹介 ~ マイクロソフト社 Windows XP と Office 2003 のサポートが 2014

E 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン

図 2: パスワードリスト攻撃の概要 インターネットサービスの安全な利用は 利用者が適切にパスワードを管理することを前提に成り立っており 利用者はパスワードを使い回さず 適切に管理する責任があります 以下はパスワードリスト攻撃を受けたことを 2013 年 4 月以降に発表した企業のうち 試行件数 と

サイバー攻撃の現状

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

マルウェアレポート 2018年1月度版

あなたも狙われている! インターネットバンキングを狙った不正送金が急増しています! 警察庁の発表 1 によれば インターネットバンキング利用者の情報を盗み取り 利用者の口座から不正送金する事案の被害が急増しています 平成 24 年にはわずか 64 件 約 4,800 万円だった被害額が 平成 27

中小企業のための Security by Design WG 活動紹介 NPO 日本ネットワークセキュリティ協会西日本支部株式会社インターネットイニシアティブ大室光正

1. 標的型サイバー攻撃への取り組み 2. 標的型攻撃メールの見分け方 3. 添付ファイルの見分け方 4. 標的型攻撃メールを見つけたら Copyright 2015 独立行政法人情報処理推進機構 1

目次 Information-technology Promotion Agency, Japan 1. はじめに 2.SNS 利用時のリスク 3.SNS 利用時に気をつけるべき点 4. まとめ 2

Logstorage for VISUACT 標的型サイバー攻撃 対策レポートテンプレート

マルウェアレポート 2018年3月度版

本日 お話しすること 第一部多様化する IoT のセキュリティ脅威 IoT 機器に感染するウイルスの多様化 脆弱性を有する IoT 機器の散在 国内に広がる感染被害 第二部開発者 製造者の対策 IoT 開発におけるセキュリティ設計の手引き 開発段階からセキュリティを考慮 ( セキュリティ バイ デザ

OSI(Open Systems Interconnection)参照モデル

脆弱性を狙った脅威の分析と対策について Vol 年 7 月 21 日独立行政法人情報処理推進機構セキュリティセンター (IPA/ISEC) 独立行政法人情報処理推進機構 ( 略称 IPA 理事長 : 西垣浩司 ) は 2008 年度におけ る脆弱性を狙った脅威の一例を分析し 対策をまと

Webアプリケーションを守るための対策

第 号 2014 年 1 月 7 日独立行政法人情報処理推進機構 今月の呼びかけ おもいこみ僕は安全それ危険 昨年発生した情報セキュリティに関する様々な事案の中で 金銭被害につながる可能性が高いという 点で 特に一般利用者に影響が高いと考えられるものは以下の 4 つです 1. イ

情報セキュリティ白書 2016 今そこにある脅威 : 意識を高め実践的な取り組みを 2015 年度に情報セキュリティの分野で起きた注目すべき 10 の出来事を分かりやすく解説 2016 年 7 月 15 日発売 国内外における情報セキュリティインシデントの状況や事例 攻撃の手口や脆弱性の動向 企業や

スライド 1

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

Microsoft Word Aプレスリリース案_METI修正_.doc

講演内容 情報セキュリティ 情 情報セキュリティを取り巻く情勢 インターネット上の脅威を知ろう 個人にかかる脅威 対策 企業にかかる脅威 対策 2

ソフトウェアの品質とは? 2

問 3 全員の方にお伺いします 日頃 サイバー犯罪 ( インターネットを利用した犯罪等 ) の被害に遭いそうで 不安に感じることがありますか この中から1つだけお答えください よくある % たまにある % ほとんどない % 全くない 全

PowerPoint プレゼンテーション

ウイルス 不正アクセスの被害状況と対策の動向 ~IPA への届出を踏まえて ~ 2014 年 5 月独立行政法人情報処理推進機構技術本部セキュリティセンター 岡野裕樹 Copyright 2013 独立行政法人情報処理推進機構

基本編_個人情報管理の重要性(本編)

<4D F736F F F696E74202D208FEE95F B8C5B94AD835A837E B696E88A E95D38E81208D E9197BF2E D20208CDD8AB B8368>

事故前提社会における           企業を支えるシステム操作統制とは

マイナンバー対策マニュアル(技術的安全管理措置)

目次 フィッシング対策協議会について フィッシングの動向 フィッシング事例 地方銀行 LINE 大学 フィッシング対策 まとめ 2

October 2014 日本システム監査人協会会報 第 193 回月例研究会 (2014 年 7 月開催 ) 会員番号 野嶽俊一 ( 情報セキュリティ監査研究会 ) 講演テーマ 最近のサイバー攻撃と対策の解説 講師 独立行政法人情報処理推進機構 (IPA) 技術本部セキ

今月の呼びかけ 添付資料 ファイル名に細工を施されたウイルスに注意! ~ 見た目でパソコン利用者をだます手口 ~ 2011 年 9 月 IPA に RLTrap というウイルスの大量の検出報告 ( 約 5 万件 ) が寄せられました このウイルスには パソコン利用者がファイルの見た目 ( 主に拡張子

2 Copyright(C) MISEC

1. SQL インジェクションの問題と脅威 2

学校の個人情報漏えい事故の発生状況について 本資料は 平成 25 年度 ( 平成 25 年 4 月 1 日 ~ 平成 26 年 3 月 31 日 ) に学校 教育機関 関連組織で発生した 児童 生徒 保護者らの個人情報を含む情報の漏えい事故についての公開情報を調査し 集計したものです 学校や自治体が

PowerPoint プレゼンテーション

不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム について 中ノ郷信用組合では インターネットバンキングのセキュリティを高めるため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム をご提供しております ( ご利用は

映像で知る情報セキュリティ 情報セキュリティに関する様々な脅威と対策を10 分程度のドラマで分かりやすく解説した映像コンテンツ12タイトルをDVDで提供中です YouTube IPAチャンネル では19タイトルをいつでも試聴できます

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

重大な経営課題となる 制御システム のセキュリティリスク ~ 制御システムを運用する企業が実施すべきポイント ~ 2015 年 5 月 14 日 15 日独立行政法人情報処理推進機構技術本部セキュリティセンター主任研究員渡辺貴仁 1

目次 IPA の御紹介 脅威の現状 標的型サイバー攻撃への対応 p.3-4 p.5-6 p.7-12 新国家資格 情報処理安全確保支援士 p.13 中小企業向けのアウトリーチ活動 中小企業におけるクラウドの活用 p p.21-2

Microsoft Word - 農業者年金記録管理システム(2018年8月改訂版)

PowerPoint プレゼンテーション

(平成26年度)「個人情報の取扱いにおける事故報告にみる傾向と注意点」

シニアネット福山 ICT 講演会 インターネット安心 安全講座 ~ シニアの安心 便利なネット活用 ~ 2015 年 12 月 4 日 シニアネットひろしま理事長福田卓夫

OSI(Open Systems Interconnection)参照モデル

OSI(Open Systems Interconnection)参照モデル

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

目次 はじめに... 2 本書の対象読者 ランサムウェアの脅威 ランサムウェアのタイプ ランサムウェアの種別 ランサムウェアによるファイル暗号化 ファイル暗号化型のランサムウェア感染時の影響範囲... 5

96. ウイルスや不正アクセス等の被害状況 図表 96は 昨年 1 年間に自宅のパソコンでコンピュータウイルスや不正アクセスなどの障害や被害にあったかどうかを尋ねた結果を日米韓で比較したものである コンピュータウイルスを発見した人の割合とコンピュータウイルスに感染した人の割合は いずれも韓国が一番高

サイバー空間をめぐる 脅威の情勢について

べきでない悪意のあるSQL 文が攻撃者から入力された場合 データベースで実行される前にSQL 文として処理されないよう無効化する必要がありますが ( 図 1 1) 無効化されずにデータベースで実行された場合 データベースの操作が可能となります ( 図 1 2) 本脆弱性を悪用するとデータベース接続ユ

SiteLock操作マニュアル

1.indd

2. 留意事項セキュリティ対策を行う場合 次のことに留意してください 不正侵入対策の設定を行う場合 お使いのソフトウェアによっては今までのように正常に動作しなくなる可能性があります 正常に動作しない場合は 必要に応じて例外処理の追加を行ってください ここで行うセキュリティ対策は 通信内容の安全性を高

Microsoft PowerPoint 高専フォーラム_改訂0.6版.pptx

スライド 1

感染条件感染経路タイプウイルス概要 前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

おことわり 本講演のうち意見にわたる部分は私見です マルウェア ( 不正プログラム ) は ウイルス と表現しています 2

ログを活用したActive Directoryに対する攻撃の検知と対策

ACTIVEプロジェクトの取り組み

スライドタイトル/TakaoPGothic

1) サイバーセキュリティ月間 建設現場における情報セキュリティについて 1) サイバーセキュリティ月間 2) 建設現場における スマートデバイス利用に関するセキュリティガイドライン 3) 教育用ツール 02/27

NOSiDEパンフレット

フィッシング対策協議会(じ)

不正送金対策 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム のご案内 広島県信用組合では インターネットバンキングを安心してご利用いただくため 不正送金 フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアム を導入しました 無料でご利用

マルウェアレポート 2017年10月度版

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

PowerPoint Presentation

Transcription:

情報セキュリティ 10 大脅威 2015 ~ 被害に遭わないために実施すべき対策は?~ 2015 年 5 月 独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター 中西基裕

本プレゼンのポイント 脅威を知ることが対策への近道 2

防犯の例 近所のマンションで空き巣被害 平日昼間の犯行 サムターン回しの手口玄関から侵入 自宅は大丈夫か? マンションはオートロック 玄関ドアは鍵 2つ ( ピッキング対応 ) タンスにヘソクリ500 万円 貯金しておこう 3

情報セキュリティの例 東京三菱 UFJ 銀行の利用者がフィッシング被害 偽のお知らせメールが届く 偽メール記載のリンクから偽サイトに誘導される 偽サイトにログイン情報を入力してしまう 自分は大丈夫か? 他行のインターネットバンキングを利用 ワンタイムパスワードは未使用 まず偽メールに気をつけよう 参考 : 東京三菱 UFJ 銀行パスワード等を入力させる偽メールが届いても 絶対に入力しないでください! http://www.bk.mufg.jp/info/phishing/20131118.html 4

IT も防犯と同じ IT においても脅威を知り 対策について考え 必要に応じて追加の対策を行っていくことが重要 5

資料 情報セキュリティ 10 大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 10 大脅威とは? IPA が毎年発行している啓発資料 10 大脅威執筆者会 約 100 名が投票した脅威を解説 6

資料 情報セキュリティ 10 大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 資料の構成 1 章. 情報セキュリティ対策の基本 被害に遭わないための基本の対策を解説 2 章. 情報セキュリティ10 大脅威 2015 10の脅威の概要と対策について解説 3 章. 注目すべき課題や懸念 知っておくべき課題や懸念を解説 本プレゼンでは 資料 10 大脅威 より厳選した内容をお話しします 7

1 章 : 情報セキュリティ対策の基本 基本の対策ソフトウェアの更新ウイルス対策ソフトの導入パスワード 認証の強化設定の見直し脅威 手口を知る えっ! 対策してないんですか?! 必ず実施すべき対策は長年変わっていない いま これら対策の 自発的な実施 が求められている 8

設定の見直し 脅威 手口を知る 9

2 章 : 情報セキュリティ 10 大脅威 2015 順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 本プレゼンでは 3 脅威を解説 10

2 章 : 情報セキュリティ 10 大脅威 2015 順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 11

1 位 インターネットバンキングやクレジットカード情報の不正利用 ~ 個人口座だけではなく法人口座もターゲットに ~ ウイルスやフィッシング詐欺により認証情報が窃取され 不正送金される 12

1 位 インターネットバンキングやクレジットカード情報の不正利用 ~ 個人口座だけではなく法人口座もターゲットに ~ 手口や影響 パソコンにウイルスを感染させて認証情報を悪用する フィッシング詐欺により入力させて認証情報を悪用する 2014 年の事例 / 統計 不正送金被害が急増 日本のインターネットバンキングを狙うウイルスが横行! 2014 年の被害額は 29 億円 2013 年の約 2 倍に! 法人口座の被害が急増! 13

参考 : インターネットバンキング被害額 警察庁 : 平成 26 年中のインターネットバンキングに係る不正送金事犯の発生状況等 http://www.npa.go.jp/cyber/pdf/h270212_banking.pdf 2014 年は前年の 2 倍の被害額 2014 年 :1,876 件 29 億 1,000 万円 1 件あたりの被害額が増加 法人 地銀の被害が急増 法人口座からの被害は高額に! 14

参考 : バンキングマルウェア 不正送金被害の原因の多くはウイルス感染! 出典 :IPA:2012 年 12 月の呼びかけ ネット銀行を狙った不正なポップアップに注意! https://www.ipa.go.jp/security/txt/2012/12outline.html 15

参考 : バンキングマルウェア 合言葉をすべて入力させるケース 出典 :IPA:2012 年 12 月の呼びかけ ネット銀行を狙った不正なポップアップに注意! https://www.ipa.go.jp/security/txt/2012/12outline.html 16

1 位 インターネットバンキングやクレジットカード情報の不正利用 ~ 個人口座だけではなく法人口座もターゲットに ~ 対策一覧 利用者 ソフトウェアの更新 ウイルス対策ソフトの導入 脅威や手口を知る 二要素認証等の強い認証方式の利用 銀行 / カード運営会社 利用者への事例や手口の情報提供 二要素認証等の強い認証方式の提供 ウイルスに感染しないことと 騙しの手口に引っかからないことが大切 17

1 位 インターネットバンキングやクレジットカード情報の不正利用 今すぐできる具体的な対策例 ( 個人向け ) PC のソフトウェアの更新 Windows Update Adobe 製品 Oracle Java 銀行などの注意喚起の確認 おすすめの対策 ( 企業向け ) インターネットバンキング専用 PC を導入 ネットやメールをしない 利用前にソフトウエア更新 ソフトウェアの更新の強制 ネットワーク検疫によるウイルス対策の強制 資産管理 パッチ管理製品の導入 18

2 章 : 情報セキュリティ 10 大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 19

2 位 内部不正による情報漏えい ~ 内部不正が事業に多大な悪影響を及ぼす ~ 従業員 職員が故意に内部情報を持ち出し私的に利用 企業 組織の信用が失墜し 補償 賠償が求められる 20

2 位 内部不正による情報漏えい ~ 内部不正が事業に多大な悪影響を及ぼす ~ 発生要因 動機 : 処遇の不満 借金による生活苦 機会 : 不正行為ができる環境 正当化 : 自分勝手な理由づけ 2014 年の事例 / 統計 通信教育大手から膨大な個人情報が漏えい 委託先企業の社員が 3,504 万件の個人情報を持ち出し 被害企業は顧客に総額 200 億円の補償を発表 21

2 位 内部不正による情報漏えい ~ 内部不正が事業に多大な悪影響を及ぼす ~ 対策一覧 経営者層 就業規則およびセキュリティポリシーの整備 職員や委託先との秘密保持誓約の徹底 対策を推進するための体制の構築 システム管理者 資産の把握と重要度による分類 アカウントや権限の管理 ( 設定 抹消 ) システム操作の記録と監視 入退室の監視や持込み物等の確認 守るべき 情報資産 は厳重かつ多様な対策を 22

2 位 内部不正による情報漏えい 今すぐできる具体的な対策例 ルールや手順の見直し ( 承認も大事 ) 情報資産の再確認 フォルダのアクセス権限設定 おすすめの対策 ( 管理者向け ) ネットワークの分離 メールの添付ファイル送信ブロック ウェブフィルタリング ( クラウドサービスの利用を制限 ) IPA 組織における内部不正防止ガイドライン の活用 23

資料 組織における内部不正防止ガイドライン https://www.ipa.go.jp/security/fy24/reports/insider/ 10 観点 ( 分類 ) の 30 対策を網羅 チェックシートで現状確認し 4 章から対策を検討 目次 1 章背景 2 章概要 3 章用語の定義と関連する法律 4 章内部不正のための管理の在り方付録 Ⅰ 内部不正事例集付録 Ⅱ チェックシート付録 Ⅲ Q&A 集付録 Ⅳ 他のガイドライン等との関係付録 Ⅴ 基本方針の記述例 24

2 章 : 情報セキュリティ 10 大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 順位脅威 1 位インターネットバンキングやクレジットカード情報の不正利用 2 位内部不正による情報漏えい 3 位標的型攻撃による諜報活動 4 位ウェブサービスへの不正ログイン 5 位ウェブサービスからの顧客情報の窃取 6 位ハッカー集団によるサイバーテロ 7 位ウェブサイトの改ざん 8 位インターネット基盤技術を悪用した攻撃 9 位脆弱性公表に伴う攻撃 10 位悪意のあるスマートフォンアプリ 25

3 位 標的型攻撃による諜報活動 ~ 標的組織への侵入手口が巧妙化 ~ ネット経由のスパイ活動により企業 組織の情報が流出 取引先や関連会社を踏み台にして本丸を狙う傾向あり 26

3 位 標的型攻撃による諜報活動 ~ 標的組織への侵入手口が巧妙化 ~ 侵入手口 メールからウイルス感染 バラマキ型 やりとり型 ウェブからウイルス感染 水飲み場型 標的組織の関連会社が踏み台に 2014 年の事例 / 統計 やり取り型 の顕在化 問い合わせ窓口が狙われる メールのやり取りの後 ウイルス入りのメールを送る手口 27

3 位 標的型攻撃による諜報活動 ~ 標的組織への侵入手口が巧妙化 ~ 対策一覧 経営者層 問題に迅速に対応できる体制の構築 セキュリティ担当部署 セキュリティ教育の実施 システム管理者 システム設計対策 アクセス制限 ネットワークの監視 内部へ侵入されることを想定した 多層防御 を 28

3 位 標的型攻撃による諜報活動 今すぐできる具体的な対策例 PC のソフトウェアの更新 Windows Update Adobe 製品 Oracle Java フォルダのアクセス権限設定 おすすめの対策 ( 管理者向け ) ネットワークの分離 メールの添付ファイル受信のブロック ソフトウェアの更新の強制 ネットワーク検疫によるウイルス対策の強制 資産管理 パッチ管理製品の導入 29

参考 : ネットワークの分離 引用 : 高度標的型攻撃 対策に向けたシステム設計ガイド P.73 https://www.ipa.go.jp/security/vuln/newattack.html 30

紹介 : 標的型攻撃対策の参考資料 サイバー情報共有イニシアティブ (J-CSIP) 運用状況 [2014 年 10 月 ~12 月 ] https://www.ipa.go.jp/security/j-csip/index.html 標的型攻撃メールの傾向分析 31

最後に 本プレゼンのポイント 脅威を知ることが対策への近道 ( 防犯や事故防止と同じ ) 資料 10 大脅威 をご活用ください 32

10 大脅威 に関する内容は 本プレゼンの内容 4 位以降の脅威 3 章は 配布の冊子 または IPA のウェブページから PDF でご参照いただけます 情報セキュリティ 10 大脅威 2015 https://www.ipa.go.jp/security/vuln/10threats2015.html 33

Windows Server 2003 のサポート終了に伴う注意喚起 Windows Server 2003 のサポートが 2015 年 7 月 15 日に終了します サポート終了後は修正プログラムが提供されなくなり 脆弱性を悪用した攻撃が成功する可能性が高まります サポートが継続している OS への移行検討と OS 移行に伴う周辺ソフトウェアの影響調査や改修等について計画的に迅速な対応をお願いします 業務システム サービスの停止 破壊 重要な情報の漏えい データ消去 脆弱性を悪用した攻撃 脆弱性が未解決なサーバ ホームページの改ざん 他のシステムへの攻撃に悪用 会社の事業に悪影響を及ぼす被害を受ける可能性があります 詳しくは IPA win2003 検索 また WindowsXP を利用されている方はサポートが継続している OS への移行検討をお願いします 34

IT パスポート公式キャラクター上峰亜衣 ( うえみねあい ) プロフィール : マンガ https://www3.jitec.ipa.go.jp/jitescbt/html/uemine/profile.html i パス は IT を利活用するすべての社会人 学生が備えておくべき IT に関する基礎的な知識が証明できる国家試験です

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック