情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -

Slides:



Advertisements
Similar presentations
情報セキュリティ読本 情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料 (第 1 章 IT (情報技術)に潜む危険)
Advertisements

不正アクセス禁止法 他人のパスワードを不正に入手して使用 することや、セキュリティホールを悪用 してパスワードなしにアクセスを行うこ とがあげられる。 他人のパスワードを本人の許可なく第三 者に知らせることも不正アクセス行為に なる。 違反すると 1 年以下の懲役と 50 万円以下 の罰金が科せられる。
Information-technology Promotion Agency, Japan Copyright © 2004 独立行政法人 情報処理推進機構 独立行政法人 情報処理推進機構 セキュリティセンター 日本国内における コンピュータウイルスの発見届出状況について 2004 年 11 月 25.
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
情報セキュリティ読本 - IT時代の危機管理入門 -
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
情報セキュリティ読本 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
コンピュータウイルスと脆弱性 情報社会と情報倫理 第12回.
Android と iPhone (仮題) 情報社会とコンピュータ 第13回
受動的攻撃について Eiji James Yoshida penetration technique research site
情報モラル.
Zeusの動作解析 S08a1053 橋本 寛史.
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
「コンピュータと情報システム」 07章 インターネットとセキュリティ
情報セキュリティ読本 - IT時代の危機管理入門 -
中学校「総合的な学習の時間」 基礎講座 本庄市立本庄南中学校 第一学年.
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
コンピュータウィルスと脆弱性 情報社会と情報倫理 第13回.
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
インターネット社会を生きるための 情報倫理
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
セキュリティ・チェックリスト解説 【5~10分】
18.ファイル共有ソフトは 要注意 プレゼンテーション資料
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
情報セキュリティ読本 - IT時代の危機管理入門 -
コンピュータウィルスと脆弱性 情報社会と情報倫理 第13回.
映像で知る情報セキュリティ あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
情報セキュリティ - IT時代の危機管理入門 -
経営情報論B ⑬ 情報技術と社会(第11章).
情報モラル学習(教職員) これだけは知っておいてほしい情報モラル.
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
情報セキュリティ - IT時代の危機管理入門 -
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
「コンピュータと情報システム」 10章 システムの運用と管理
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
DNSトラフィックに着目したボット検出手法の検討
ウイルスについて I98N044 久野耕介 I98N114 藤田和久
サイバーセキュリティ バッファオーバフロー
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
セキュリティ(2) 05A2013 大川内 斉.
VIRUS.
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
セキュリティ・チェックリスト 【5分】 セキュリティ全般について USBメモリ等でデータを持ち出す際について
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
A18 スパムサーバの調査 ~ボットを見抜けるか?~
情報セキュリティ - IT時代の危機管理入門 -
コンピュータ リテラシー 担当教官  河中.
社会と情報 情報社会の課題と情報モラル 情報化が社会に及ぼす影響と課題
コミュニケーションと ネットワークを探索する
第一回 情報セキュリティ 05A1027 後藤航太.
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報スキル入門 第8週 情報倫理.
copyright © Shogo Matsumoto
情報モラル06 情報 セキュリティ.
Presentation transcript:

情報セキュリティ読本 四訂版 - IT時代の危機管理入門 - (第2章 情報セキュリティの基礎)

第2章 情報セキュリティの基礎 情報セキュリティとは 外部のリスク要因 内部のリスク要因 情報リテラシーと情報倫理

1. 情報セキュリティとは 1) 情報セキュリティの基本概念 2) 情報資産とリスク、インシデント 機密性 完全性 可用性 情報資産 第2章 1. 情報セキュリティとは 1) 情報セキュリティの基本概念 機密性 完全性 可用性 2) 情報資産とリスク、インシデント 情報資産 リスクとインシデント リスクの要因

1) 情報セキュリティの基本概念 正当な権利をもつ個人や組織が、情報やシステムを意図通りに制御できること 第2章 > 1. 情報セキュリティとは 1) 情報セキュリティの基本概念 正当な権利をもつ個人や組織が、情報やシステムを意図通りに制御できること 情報の機密性、完全性及び可用性を維持すること (情報セキュリティマネジメントシステムの国際標準であるISO/IEC27002の定義) ◆機密性:アクセスを認可された者だけが、情報にアクセス         できるようにすること ◆完全性:情報や情報の処理方法が正確で完全であるように         すること ◆可用性:許可された者が、必要な時に、情報や情報資産に         アクセスできることを確実にすること

2) 情報資産とリスク、インシデント 情報資産 リスク インシデント 財務情報、顧客情報、技術情報 等 第2章 > 1. 情報セキュリティとは 2) 情報資産とリスク、インシデント 情報資産 財務情報、顧客情報、技術情報 等 システム(ハードウェア、ソフトウェア)、ネットワーク、データ、ノウハウなどさまざまな形 リスク 情報資産が損なわれる可能性(内的、外的な要因がある) インシデント 実際に、情報資産が損なわれてしまった状態

リスクの要因 守るべきもの ◆ 情報 ◆ 情報システム ◆ 社会的信用 (紙、電子媒体、ネットワーク上) 財務情報、人事情報、顧客情報、 第2章 > 1. 情報セキュリティとは > 2) 情報資産とリスク・インシデント リスクの要因 (脅威) ・ハードウェア 守るべきもの ◆ 情報   (紙、電子媒体、ネットワーク上)   財務情報、人事情報、顧客情報、   戦略情報、技術情報 等 ◆ 情報システム   コンピュータ(パソコン、サーバ、   汎用機)、 ネットワーク、通信設備 ◆ 社会的信用

2. 外部のリスク要因 1) マルウェア 2) 外部からの侵入(不正アクセス) 3) サーバへの攻撃(サービス妨害) 攻撃用ツール 第2章 2. 外部のリスク要因 1) マルウェア 2) 外部からの侵入(不正アクセス) 攻撃用ツール 不正行為の種類 3) サーバへの攻撃(サービス妨害) DDoS攻撃 メール攻撃

1) マルウェア ウイルス、スパイウェア、ボットなどの不正プログラムを総称して「マルウェア」という 第2章 > 2. 外部のリスク要因 1) マルウェア ウイルス、スパイウェア、ボットなどの不正プログラムを総称して「マルウェア」という ウイルスは1997年頃から増加し、2005年にピークを迎え、それ以降は減少傾向 感染の兆候が見えにくいのが最近の特徴 ウイルスの届出状況は、IPAセキュリティセンターのWebページに毎月掲載  コンピュータウイルスの届出状況    http://www.ipa.go.jp/security/txt/list.html

2) 外部からの侵入(不正アクセス) 攻撃用ツール 侵入は次の4段階で行われる スニファツール(ネットワークを盗聴) 第2章 > 2. 外部のリスク要因 2) 外部からの侵入(不正アクセス) インターネット上の不正アクセスは、 攻撃用ツールやマルウェアにより行われるのが一般的 攻撃用ツール スニファツール(ネットワークを盗聴) ポートスキャンツール(ポートの状態を調査) パスワードクラッキングツール(パスワードを破る) 侵入は次の4段階で行われる 事前調査 権限取得 不正実行 後処理 ⇔侵入の詳細は、第5章 p.84-85参照

2) 外部からの侵入(不正アクセス) 不正行為の種類(1) 第2章 > 2. 外部のリスク要因 不正行為 内 容 盗聴  不正行為の種類(1) 不正行為 内 容 盗聴 ネットワーク上のデータや保存データを不正に入手。 (例)・パスワードの盗用      ・個人データ(メール、日記など)の盗み見    ・企業データの漏えい 改ざん データを書き換え。 (例)・Webページの改ざん    ・設定の書き換え なりすまし 別の個人を装い、さまざまな行為を行う。 (例)・ID、パスワードを盗み出し、正当なユーザに見せかけ侵入    ・他人のクレジットカードでショッピング 破壊   データやプログラムの削除、ハードディスクの初期化など。

2) 外部からの侵入(不正アクセス) 不正行為の種類(2) 第2章 > 2. 外部のリスク要因 不正行為 内 容 コンピュータ不正使用  不正行為の種類(2) 不正行為 内 容 コンピュータ不正使用 コンピュータを不正に使用する。 (例)・コンピュータを遠隔地から操作 不正プログラムの埋め込み 不正プログラムには、ユーザの知らない間に情報を入手して   外部へ送信したり、ファイルを破壊するなどのさまざまな 悪さをするものがある。これらの不正プログラムを埋め込む。 踏み台 不正アクセスを行う際の中継地点として他人のパソコンを使用。 踏み台にされたパソコンは、本人の知らない間に攻撃に 荷担させられる。 (例)・DoS攻撃やDDoS攻撃に利用される    ・スパムメール(spam mail)の中継

3) サーバへの攻撃(サービス妨害) DDoS攻撃(分散DoS攻撃) メール攻撃 DDoS: Distributed DoS 第2章 > 2. 外部のリスク要因 3) サーバへの攻撃(サービス妨害) DDoS攻撃(分散DoS攻撃) DDoS: Distributed DoS メール攻撃 DoS攻撃(Denial of Services:サービス妨害攻撃) サーバに大量のデータを送って過大な負荷をかけ,サーバのパフォーマンスを極端に低下させたり,サーバを機能停止に追い込んだりする攻撃 DDoS攻撃 分散したコンピュータから大量のパケットを特定のコンピュータに送る攻撃。関係のない多数のコンピュータに攻撃プログラムを仕込んでおき,これらのコンピュータから標的とするコンピュータにいっせいにパケットを送信して攻撃する。

DDoS攻撃 攻撃者 ターゲット 踏み台 DoS攻撃を多くのコンピュータから一斉に行うとDDoS攻撃 第2章 > 2. 外部のリスク要因 > 3)サーバへの攻撃(サービス妨害) DDoS攻撃 DoS攻撃を多くのコンピュータから一斉に行うとDDoS攻撃 攻撃プログラムを埋め込まれて気づかずにDDoS攻撃に加担することがある 攻撃者 踏み台 ターゲット 攻撃プログラム埋め込み (ツール、ワームなど) 大量データを一斉送信 (DDoS攻撃)によりダウン 攻撃プログラム埋め込み (ツール、ワームなど)

メール攻撃 メールサーバに大量のメールを送り付ける 第三者中継機能を悪用 メールサーバのパフォーマンス低下や機能停止 第2章 > 2. 外部のリスク要因 > 3)サーバへの攻撃(サービス妨害) メール攻撃 メールサーバに大量のメールを送り付ける メールサーバのパフォーマンス低下や機能停止 第三者中継機能を悪用 スパムメールの踏み台として利用される i) メールは自分のネットワーク宛のもののみ受信 ii)第三者中継は禁止 第三者中継 : 外部から来たメールを別の外部へ転送する機能

第2章 3. 内部のリスク要因 1)情報システムの脆弱性 2)組織に内在する脆弱性

1) 情報システムの脆弱性 セキュリティ上の弱点(脆弱性) OSの脆弱性 Webブラウザやメールソフトの脆弱性 第2章 > 3. 内部のリスク要因 1) 情報システムの脆弱性 セキュリティ上の弱点(脆弱性) OSの脆弱性 Webブラウザやメールソフトの脆弱性 Webアプリケーションの脆弱性 脆弱性を悪用する攻撃

セキュリティ上の弱点(脆弱性) 脆弱性=「ソフトウェアやシステムにおけるセキュリティ上の欠陥」 セキュリティホールと呼ぶこともある 第2章 > 3. 内部のリスク要因 > 1) 情報システムの脆弱性 セキュリティ上の弱点(脆弱性) 脆弱性=「ソフトウェアやシステムにおけるセキュリティ上の欠陥」 セキュリティホールと呼ぶこともある 広義の脆弱性 サイト構成やシステム的なセキュリティ上の弱点⇒システム的な脆弱性 管理面や人の行動としての問題⇒人為的な脆弱性                      ⇔用語集p.128 (脆弱性、セキュリティホール) 参照

OSの脆弱性 オペレーティングシステム(OS)=コンピュータシステムを管理する最も基本的なソフトウェア 第2章 > 3. 内部のリスク要因 > 1) 情報システムの脆弱性 OSの脆弱性 オペレーティングシステム(OS)=コンピュータシステムを管理する最も基本的なソフトウェア Windows, Mac OS, UNIX, Linux など様々なOS このオペレーティングシステムに見つかったセキュリティ上の欠陥=OSの脆弱性 メーカーから提供されているセキュリティパッチ(修正プログラム)を適用することが重要        ⇔用語集p.127 (修正プログラム) 参照

Webブラウザやメールソフトの脆弱性 インターネットを介してデータをやり取りするので、脆弱性があると影響を受けやすい 第2章 > 3. 内部のリスク要因 > 1) 情報システムの脆弱性 Webブラウザやメールソフトの脆弱性 インターネットを介してデータをやり取りするので、脆弱性があると影響を受けやすい 脆弱性を悪用するウイルスが増加しているので、 セキュリティパッチを適用することが重要

第2章 > 3. 内部のリスク要因 > 1) 情報システムの脆弱性 Webアプリケーションの脆弱性 Webアプリケーションに脆弱性があると,そこを攻撃され,サーバ上のファイルを読まれたり,悪意のあるプログラムを実行されたりするなどの被害を受けてしまいます。

脆弱性を悪用する攻撃など クロスサイトスクリプティング攻撃 SQLインジェクション攻撃 DNSキャッシュポイズニング攻撃 第2章 > 3. 内部のリスク要因 > 1) 情報システムの脆弱性 脆弱性を悪用する攻撃など クロスサイトスクリプティング攻撃 SQLインジェクション攻撃 DNSキャッシュポイズニング攻撃 ⇔これらの攻撃の詳細については、第5章 p.85-89参照

2) 組織に内在する脆弱性 情報漏えいの原因は内部が8割 組織の情報セキュリティ対策には、経営者のコミットと関与が必要 第2章 > 3. 内部のリスク要因 2) 組織に内在する脆弱性 情報漏えいの原因は内部が8割 紛失・盗難 P2Pファイル交換ソフト経由の漏えい 誤公開、誤送信 内部犯行 組織の情報セキュリティ対策には、経営者のコミットと関与が必要 従業員の理解と協力も不可欠 守りやすいルールであるよう工夫する

4. 情報リテラシーと情報倫理 情報リテラシー:情報機器やネットワークを活用する基本的な能力 第2章 4. 情報リテラシーと情報倫理 情報リテラシー:情報機器やネットワークを活用する基本的な能力 情報倫理:情報通信社会で必要とされる道徳やモラル インターネットの匿名性により、倫理観を欠如した行為になりがちなので、次の点に注意する 誹謗・中傷をしない プライバシー侵害をしない 著作権侵害をしない 個々のユーザーが情報倫理を自覚して行動することが大切

本資料の利用条件 著作権は独立行政法人情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。   上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。 なお、参考までに、 isec-info@ipa.go.jp 宛に以下をお知らせ下さい。   ・使用する方もしくは組織の名称   ・使用目的   ・教育への参加人数 ご質問、ご要望等は、 isec-info@ipa.go.jp 宛にお知らせ下さい。