情報セキュリティ - IT時代の危機管理入門 -

Slides:



Advertisements
Similar presentations
情報セキュリティ読本 情報セキュリティ読本 – プレゼンテーション資料 - 1 情報セキュリティ読本 - IT 時代の危機管理入門 - プレゼンテーション資料 (第 1 章 IT (情報技術)に潜む危険)
Advertisements

不正アクセス禁止法 他人のパスワードを不正に入手して使用 することや、セキュリティホールを悪用 してパスワードなしにアクセスを行うこ とがあげられる。 他人のパスワードを本人の許可なく第三 者に知らせることも不正アクセス行為に なる。 違反すると 1 年以下の懲役と 50 万円以下 の罰金が科せられる。
Information-technology Promotion Agency, Japan Copyright © 2004 独立行政法人 情報処理推進機構 独立行政法人 情報処理推進機構 セキュリティセンター 日本国内における コンピュータウイルスの発見届出状況について 2004 年 11 月 25.
情報倫理と メディアリテラシー 第 1 章 ネットワーク社会と情報化社 会. ネットワーク社会 携帯電話 コンピュー タ テレビ 家電 カーナビ など ネットワーク 新たなコミュニケーションの場.
安全なログオン手順 2004/08/26 Port139 伊原 秀明.
情報セキュリティ読本 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
コンピュータウィルスと脆弱性 メディアコミュニケーション論Ⅲ 7/18/08.
コンピュータウイルスと脆弱性 情報社会と情報倫理 第12回.
Android と iPhone (仮題) 情報社会とコンピュータ 第13回
受動的攻撃について Eiji James Yoshida penetration technique research site
Zeusの動作解析 S08a1053 橋本 寛史.
第14回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
ネット時代のセキュリティ2(脅威の例) 2SK 情報機器工学.
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
CGI Programming and Web Security
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
「コンピュータと情報システム」 07章 インターネットとセキュリティ
情報セキュリティ読本 - IT時代の危機管理入門 -
Webサイト運営 09fi118 橋倉伶奈 09fi131 本間昂 09fi137 三上早紀.
[オンライン学習に登録] [情報ネットワークを安全に利用しよう]
コンピュータウィルスと脆弱性 情報社会と情報倫理 第13回.
ネット時代のセキュリティ1(概要) 2SK 情報機器工学.
インターネット社会を生きるための 情報倫理
於:県立中村高等学校 同朋学園本部事務局 河邊憲二
インターネット社会の脅威 (インターネット社会のセキュリティ) 開始 再生時間:5分20秒.
第5章 情報セキュリティ(前半) [近代科学社刊]
岡村耕二 情報ネットワーク 岡村耕二 情報ネットワーク.
セキュリティ・チェックリスト解説 【5~10分】
第13回 今日の目標 §4.3 情報セキュリティー 情報化社会の特徴を社会的な面から概観する 情報に関わる危険の要因を示す
第3章 ネットワーク犯罪(後半) [近代科学社刊]
コンピュータウィルスと脆弱性 情報社会と情報倫理 第13回.
映像で知る情報セキュリティ あなたの会社のセキュリティドクター ~中小企業向け情報セキュリティ対策の基本~
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 三訂版 - IT時代の危機管理入門 -
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報セキュリティ - IT時代の危機管理入門 -
経営情報論B ⑬ 情報技術と社会(第11章).
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
情報セキュリティ - IT時代の危機管理入門 -
情報基盤センター 分散システムセキュリティ支援掛 2000年4月18日
総合講義B:インターネット社会の安全性 第9回 セキュリティとコスト
情報の収集と共有 第3章 3節  ネットワーク社会のルールとマナー 2 情報の安全性確保 p68~p71.
「コンピュータと情報システム」 10章 システムの運用と管理
DNSトラフィックに着目したボット検出手法の検討
ウイルスについて I98N044 久野耕介 I98N114 藤田和久
サイバーセキュリティ バッファオーバフロー
セキュリティ 05A2013 大川内 斉.
Cisco Umbrella のご紹介 2018 年 1 月.
セキュリティ(2) 05A2013 大川内 斉.
VIRUS.
個人情報保護法案整備の背景 情報処理の普及 (インターネットの普及) プライバシーの権利 個人情報の保護の必要 脅威 事故
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
A18 スパムサーバの調査 ~ボットを見抜けるか?~
セキュリティリスク 思わぬところに潜む 教職員の基礎知識シリーズ
情報セキュリティ - IT時代の危機管理入門 -
コンピュータ リテラシー 担当教官  河中.
後藤滋樹研究室の紹介 現在のインターネットの課題 敵を知り、己を知れば、百戦危うからず(孫子) 1
社会と情報 情報社会の課題と情報モラル 情報化が社会に及ぼす影響と課題
コミュニケーションと ネットワークを探索する
第一回 情報セキュリティ 05A1027 後藤航太.
VMリダイレクト攻撃を防ぐための 安全なリモート管理機構
情報セキュリティ読本 四訂版 - IT時代の危機管理入門 -
情報スキル入門 第8週 情報倫理.
copyright © Shogo Matsumoto
中等情報科教育Ⅱ 情報セキュリティの確保.
情報モラル06 情報 セキュリティ.
牧之内研勉強会資料 2002年9月17日 牧之内研D3 尾下真樹
Presentation transcript:

情報セキュリティ - IT時代の危機管理入門 - (第2章 情報セキュリティの基礎) 株式会社エージェント BPO通信事業本部 井上 龍児

第2章 情報セキュリティの基礎 情報セキュリティとは 外部のリスク要因 内部のリスク要因 情報リテラシーと情報倫理

1. 情報セキュリティとは 1) 情報セキュリティの基本概念 機密性 完全性 可用性 2) 情報資産とリスク、インシデント 情報資産 リスクとインシデント リスクの要因

1) 情報セキュリティの基本概念 正当な権利をもつ個人や組織が、情報やシステムを意図通りに制御できること 情報の機密性、完全性及び可用性を維持すること (情報セキュリティマネジメントシステムの国際標準であるISO/IEC27002の定義) ◆機密性:アクセスを認可された者だけが、情報にアクセス         できるようにすること ◆完全性:情報や情報の処理方法が正確で完全であるように         すること ◆可用性:許可された者が、必要な時に、情報や情報資産に         アクセスできることを確実にすること

2) 情報資産とリスク、インシデント 情報資産 財務情報、顧客情報、技術情報 等 システム(ハードウェア、ソフトウェア)、ネットワーク、 データ、ノウハウなどさまざまな形 リスク 情報資産が損なわれる可能性  (内的、外的な要因がある) インシデント 実際に、情報資産が損なわれてしまった状態

リスクの要因 守るべきもの ◆ 情報 (紙、電子媒体、ネットワーク上) 財務情報、人事情報、顧客情報、 戦略情報、技術情報 等 (脅威) ・ハードウェア 守るべきもの ◆ 情報   (紙、電子媒体、ネットワーク上)   財務情報、人事情報、顧客情報、   戦略情報、技術情報 等 ◆ 情報システム   コンピュータ(パソコン、サーバ、   汎用機)、 ネットワーク、通信設備 ◆ 社会的信用

2. 外部のリスク要因 1) マルウェア 2) 外部からの侵入(不正アクセス) 攻撃用ツール 不正行為の種類 3) サーバへの攻撃(サービス妨害) DDoS攻撃 メール攻撃

1) マルウェア ウイルス、スパイウェア、ボットなどの不正プログラム を総称して「マルウェア」という ウイルスは1997年頃から増加し、2005年にピークを迎 え、それ以降は減少傾向 感染の兆候が見えにくいのが最近の特徴 ウイルスの届出状況は、IPAセキュリティセンターの Webページに毎月掲載  コンピュータウイルスの届出状況    http://www.ipa.go.jp/security/txt/list.html

2) 外部からの侵入(不正アクセス) インターネット上の不正アクセスは、 攻撃用ツールやマルウェアにより行われるのが一般的 攻撃用ツール スニファツール(ネットワークを盗聴) ポートスキャンツール(ポートの状態を調査) パスワードクラッキングツール(パスワードを破る) 侵入は次の4段階で行われる 事前調査 権限取得 不正実行 後処理 ⇔侵入の詳細は、第5章 p.84-85参照

2) 外部からの侵入(不正アクセス) 不正行為の種類(1) 不正行為 内 容 盗聴 ネットワーク上のデータや保存データを不正に入手。  不正行為の種類(1) 不正行為 内 容 盗聴 ネットワーク上のデータや保存データを不正に入手。 (例)・パスワードの盗用      ・個人データ(メール、日記など)の盗み見    ・企業データの漏えい 改ざん データを書き換え。 (例)・Webページの改ざん    ・設定の書き換え なりすまし ・別の個人を装い、さまざまな行為を行う。 (例)・ID、パスワードを盗み出し、 正当なユーザに見せかけ侵入 ・他人のクレジットカードでショッピング 破壊   データやプログラムの削除、ハードディスクの初期化など。

2) 外部からの侵入(不正アクセス) 不正行為の種類(2) 不正行為 内 容 コンピュータ不正使用 コンピュータを不正に使用する。  不正行為の種類(2) 不正行為 内 容 コンピュータ不正使用 コンピュータを不正に使用する。 (例)・コンピュータを遠隔地から操作 不正プログラムの埋め込み 不正プログラムには、ユーザの知らない間に情報を入手して   外部へ送信したり、ファイルを破壊するなどのさまざまな 悪さをするものがある。これらの不正プログラムを埋め込む。 踏み台 不正アクセスを行う際の中継地点として他人のパソコンを使用。 踏み台にされたパソコンは、本人の知らない間に攻撃に 荷担させられる。 (例)・DoS攻撃やDDoS攻撃に利用される    ・スパムメール(spam mail)の中継

3) サーバへの攻撃(サービス妨害) ・DDoS攻撃(分散DoS攻撃) DDoS: Distributed DoS ・メール攻撃 DoS攻撃(Denial of Services:サービス妨害攻撃) サーバに大量のデータを送って過大な負荷をかけ,サーバのパフォーマンスを極端に低下させたり,サーバを機能停止に追い込んだりする攻撃 DDoS攻撃 分散したコンピュータから大量のパケットを特定のコンピュータに送る攻撃。関係のない多数のコンピュータに攻撃プログラムを仕込んでおき,これらのコンピュータから標的とするコンピュータにいっせいにパケットを送信して攻撃する。

DDOS攻撃 DoS攻撃を多くのコンピュータから一斉に行うとDDoS攻撃 攻撃者 ターゲット 踏み台 攻撃プログラム埋め込み (ツール、ワームなど) 大量データを一斉送信 (DDoS攻撃)によりダウン 攻撃プログラム埋め込み (ツール、ワームなど)

メール攻撃 メールサーバに大量のメールを送り付ける 第三者中継機能を悪用 メールサーバのパフォーマンス低下や機能停止 スパムメールの踏み台として利用される i) メールは自分のネットワーク宛のもののみ受信 ii)第三者中継は禁止 第三者中継 : 外部から来たメールを別の外部へ転送する機能

3. 内部のリスク要因 1)情報システムの脆弱性 2)組織に内在する脆弱性

1) 情報システムの脆弱性 セキュリティ上の弱点(脆弱性) OSの脆弱性 Webブラウザやメールソフトの脆弱性 脆弱性を悪用する攻撃

セキュリティ上の弱点(脆弱性) 脆弱性=「ソフトウェアやシステムにおけるセキュリティ上の欠陥」 セキュリティホールと呼ぶこともある 広義の脆弱性 サイト構成やシステム的なセキュリティ上の弱点 ⇒システム的な脆弱性 管理面や人の行動としての問題 ⇒人為的な脆弱性 ⇔用語集p.128 (脆弱性、セキュリティホール) 参照

OSの脆弱性 オペレーティングシステム(OS)=コンピュータシステ ムを管理する最も基本的なソフトウェア Windows, Mac OS, UNIX, Linux など様々なOS このオペレーティングシステムに見つかったセキュリ ティ上の欠陥=OSの脆弱性 メーカーから提供されているセキュリティパッチ(修正 プログラム)を適用することが重要 ⇔用語集p.127 (修正プログラム) 参照

WEBブラウザやメールソフトの脆弱性 インターネットを介してデータをやり取りするので、脆弱 性があると影響を受けやすい 脆弱性を悪用するウイルスが増加しているので、 セキュリティパッチを適用することが重要

WEBアプリケーションの脆弱性 Webアプリケーションに脆弱性があると,そこを攻撃され,サーバ上のファイルを読まれたり,悪意のあるプログラムを実行されたりするなどの被害を受けてしまいます。

脆弱性を悪用する攻撃など クロスサイトスクリプティング攻撃 SQLインジェクション攻撃 DNSキャッシュポイズニング攻撃 ⇔これらの攻撃の詳細については、第5章 p.85-89参照

2) 組織に内在する脆弱性 情報漏えいの原因は内部が8割 紛失・盗難 P2Pファイル交換ソフト経由の漏えい 誤公開、誤送信 内部犯行 組織の情報セキュリティ対策には、経営者のコミット と関与が必要 従業員の理解と協力も不可欠 守りやすいルールであるよう工夫する

4. 情報リテラシーと情報倫理 情報リテラシー:情報機器やネットワークを活用する 基本的な能力 情報リテラシー:情報機器やネットワークを活用する 基本的な能力 情報倫理:情報通信社会で必要とされる道徳やモラル インターネットの匿名性により、倫理観を欠如した行為にな りがちなので、次の点に注意する 誹謗 中傷をしない プライバシー侵害をしない 著作権侵害をしない 個々のユーザーが情報倫理を自覚して行動することが大 切