その3(佐藤)(PowerPoint)

Download Report

Transcript その3(佐藤)(PowerPoint) 

10/06/03 r.0
2009年度 講義資料(抜粋版)
講義番号 097047
情報セキュリティ特論
(第4回~第6回)資料
2009年06月19日
NECネクサソリューションズ
佐藤 隆哉
講師略歴
氏名
所属
佐藤 隆哉
NECネクサソリューションズ株式会社
第一マーケット事業本部 第一システム事業部
業務内容
官庁・金融マーケットのシステム開発・構築・サポート
業務略歴

主にオフィスコンピュータを利用した業務アプリケーション
システムの開発サポートを担当 (約12年)

財務会計パッケージソフトの開発 (約2年)

企業ネットワークシステムの設計・構築(5年)

グループウェア、メールシステムの設計構築(約5年)

インターネット関連ビジネスの調査研究 (約2年)

プラットフォーム&セキュリティ製品のプロダクト
マーケティング (約4年)
2
はじめに
今日、産業や政府活動、国民生活の多くがコンピュータやコン
ピュータネットワークに依存し、ITは企業の競争力を高めるため
に必要不可欠な要素となっています。
同時にITに活動基盤を置く企業への脅威は、情報システム上
で金銭や個人情報などを狙う手法、コンピュータウイルス、スパ
イウェアなどの不正なプログラムは常に新たなものが生まれて
います。 企業は危機を認識しているのか?実態はどうか?ま
た、対策はどうあるべきかを考察する。
講義概要
1. ビジネスにおける情報セキュリティリスクと
セキュリティマネジメント
2.高まるセキュリティマネジメントの重要性
・情報セキュリティガバナンスの取り組み
3.情報セキュリティガバナンスの有効な施策等
4. 情報セキュリティ対策の変化
5.企業のとるべきセキュリティ技術的対策事例
付録:ISMS認証の実際(CISOの立場で)
1.ビジネスにおける情報セキュリティ
リスクとマネジメント
情報セキュリティ上の脅威が事業に与える影響
経営における意義 3つの側面
1.社会的責任
BtoB、BtoC、BtoG 形態は様々であるが多くの繋がりの
チェーンの一部であり、個の脅威は周囲に関係する。
2.企業価値の向上と競争の優位性
事業の情報技術依存度が高まるなか、自社のセキュリティレベルの高
さを対外的にアピールすることで、顧客からの支持を得て、企業価値の
向上、競争優位の確保を狙えます。
3. 情報システムが経営のリスク要因に
事業の情報技術依存度が高まり、情報システム関連の事故が、事業
の存続すら脅かすリスクとなりつつあります。実際、最近の情報流出事
故や、ホームページへの不正侵入事件などでは、対策が講じられるま
でインターネットを利用する事業が休止に追い込まれた事例が見られ、
これらの損失は大変大きなものになっています。
6
先ずは、適切なリスク分析・評価
詳細リスク分析
ステップ1 情報資産の識別(洗い出し)
ステップ2 ①情報資産価値の評価
②資産間の依存関係の確認
③脅威の評価
④脆弱性の評価
⑤既存及び計画中の管理策の識別
ステップ3 リスクの評価
リスク値=資産価値×脅威×脆弱性
ステップ4 管理策の選択と制約事項の識別
ステップ5 リスク許容の判断
7
資産価値の設定例
レベル
機
密
性
完
全
性
可
用
性
説明
3
秘密
: 社内でも特定の者にのみ開示可
2
社外秘 : 第三者への開示不可
1
公開
3
完全性が損なわれた場合、業務への影響が大きい
2
完全性が損なわれた場合、業務への影響はある
1
完全性が損なわれた場合でも、業務への影響はほとんどない
: 第三者への開示可
3
利用できない場合、業務への影響が大きい
2
利用できない場合、業務への影響がある
1
利用できない場合でも、業務への影響はほとんどない
8
機密性、完全性、
可用性の評価結果
を基に、総合的な
資産価値を判定
(リスク分析を簡略
化するため)
脅威の発生可能性の設定例
説明
レ
ベ
ル
発生する可能性は高い(1ヶ月に1
回以上)
一般者の不注意等で発生する
実施による利益がある
4

3

2

1

レ
ベ
ル
3
2
1
ぜい弱性の設定例

発生する可能性は中程度(半年に
0~1回)
専門能力のある者の不注意等で発
生する
実施による利益が多少ある

発生する可能性は低い(1年に0~
1回)
通常ではほとんど発生しない
実施による利益はほとんどない

9
説明
いつでもリスクが顕在化する恐れがあ
る
対策が講じられていない。
一般者の不注意等によって、リスクが
顕在化する恐れがある
基本的な予防対策(1つ)または発見
/回復対策が講じられている。
専門能力のある者の不注意等によっ
て、リスクが顕在化する 恐れがある
十分(複数等)な予防対策が講じられ
ている。
通常の利用では、リスクが顕在化する
恐れはない
十分(複数等)な予防対策と発見/回
復対策が講じられている。
リスク受容基準の設定
リスク値を“0”にすることは、現実的には不可能
リスクを受容する基準を定め、それを超えるリスクには対策
を講じる。
(例)
リスク値 = 資産価値 × 発生可能性 × ぜい弱性
36
=
3
×
3
× 4
<
リスク受容基準:18
※ あくまで「目標値」
として設定します。
10
リスク値:36
リスク対応(追加対策等)
2.高まるセキュリティマネジメントの重要性
情報セキュリティガバナンスの取り組み
情報セキュリティガバナンス
インターネットの黎明期では、情報セキュリティ対策の主流
は、不正アクセス対策のためのファイアウォールやIDSの
導入、ウイルス対策などの技術的対策でした。
しかし、情報セキュリティ対策は、情報システム部門だけに
任せておけば良いのではなく、組織全体で取り組むもので
あり、人的、物理的、組織的、技術的な多方面からの対策
が必要であること、また、経営者の関与が重要であること
が認識されはじめました。
そして情報セキュリテマネジメントの考え方の浸透、情報セ
キュリティガバナンスの取り組みが求められています。
情報セキュリティは、技術部門だけの
課題では無くなった
12
情報セキュリティガバナンスとは
13
情報セキュリティガバナンス確立の取り組み
前提
1.情報セキュリティに絶対はなく、事故は起こりうるもの
2.対症療法的対応から、自立的・継続的に改善・向上する
仕組みへ
3.リスクに応じた合理的な対策を実施し、維持する
4.ステークホルダーに適切に情報開示し支持を得る
14
情報セキュリティガバナンスの確立には
1.経営意思の明確化
何を守るか ・・・ 重要情報資産、法令順守、社会的責任
どこまで守るか ・・・ 保有可能な残存リスクレベル
2.内部統制の確立
責任配置の設計
セキュリティ施策の設計実施・・・リスクに応じた合理的設計
事件・事故、災害への対応・・・事業継続計画
情報セキュリティ監査による検証
3.ビジネスのEnd-to-Endのセキュリティ確保
4.多様化するステークホルダーへの説明責任
15
3.情報セキュリティガバナンスの
有効な施策等
17
情報セキュリティ評価について
18
情報セキュリティ対策ベンチマークのコンセプト
19
業種別の傾向
20
証明-ISMS適合性評価制度
 日本版BS7799
 JIS X 5080をベースとした国内の制度
 ISMS認証基準に対する準拠性を評価
 2001年4月からパイロット運用、2002年4月から本番運用開始
 安対制度に代わる第三者認証制度
 情報処理サービス業電子計算機システム安全対策実施事業所認
定制度は2001年3月に廃止
 2001年度にパイロット運用の後、2002年度より本格実施
 審査登録機関の連携が加速
-ISMS認定取得の促進-
・3年以内の実現
→公開企業、個人情報取扱事業者
・3年以内に着手、実行に移す →中小企業
21
各種施策ツールやISMS認証等の関係
22
講義番号 097047
情報セキュリティ特論
企業のとるべきセキュリティ
技術的対策事例
2009年06月19日
NECネクサソリューションズ
佐藤 隆哉
目次
第1章 IT基盤セキュリティ
1-1.IT基盤セキュリティとは
1-2.ウイルス対策
1-3.IT資産管理
1-4.検疫ネットワーク
1-5.スパム対策
1-6.Webアプリケーションファイアウォール
第2章 情報漏えい対策
2-1.情報漏えい対策とは
2-2.持ち出し制御/暗号化
2-3.操作ログ収集
2-4.URLフィルタリング
2-5.Mailフィルタリング/アーカイブ
第3章 IT統制
3-1.IT統制とは
3-2.ユーザ認証
3-3.アクセスコントロール
3-4.統合ID管理
3-5.シングルサインオン
24
1-2.ウイルス対策 – インシデント事例 インシデント事例
【メールの添付ファイルからのウイルス感染】
AさんはソフトウエアベンダーのY社で顧客の窓口対応を担当しています。
ある日、Aさんは英語のクレームメールが送られてきたため、慌てて添付ファイルを開
こうとしました。
すると、「The file could not be opened!」と書かれたダイアログが表示され、ドキュメント
を開けることはできませんでした。Aさんは不思議に思いましたが、その後、特に異変
は無かったため、気にせずに業務を継続しました。
数時間後、取引先のN社から、「ウイルスの添付されたメールがAさんから送られてき
た」との連絡が入りました。
Aさんのメール送信の履歴を確認したところ、N社以外にもAさんのメーラーのアドレス
帳に登録されているアドレスに対して、ウイルスの添付されたメールが送信されていま
した・・・
25
1-3.IT資産管理 – インシデント事例 インシデント事例
【脆弱性からのウイルス感染】
製造業のA社は、海外にも進出する中堅企業です。ある日の午前、海外
部門のいくつかのパソコンで、「操作が遅くなる」「ネットワークに繋がらな
い」「起動しなくなる」など、複数の症状が現れ、正午過ぎには、症状は他
の部門まで広まりました。しかし、同じ部門内でも問題が起きていないPC
や、1台も問題が出ていない部門など、症状は様々です。
全てのクライアントPCのウイルスを駆除した後に、ネットワークに接続して
いると、数時間もするとまた別のウイルスに感染するという悪循環が発生
しました。ウイルスの発生源を特定すると、プリンタサーバとして動いてい
る古いPCが浮上しました。
海外部門がWebサイトを閲覧した事によりもたらされたウイルスが、この
古いPCを苗床に、インターネット上から次々とウイルスをダウンロードして
は、他のPCの脆弱性を突いてウイルス感染を引き起こしていたようです。
脆弱性の有無により、ウイルス感染は左右されていたのです。
26
1-5.スパムメール対策 – インシデント事例 フィッシング詐欺の事例
【Yahoo!JAPAN】
ヤフーオークションのカスタマーサービスに成りすましたHTMLメールを送信し、偽の
「Yahoo! JAPAN ID検索/パスワード再発行」画面を表示するフィッシング詐欺。クレジットカード番号や
暗証番号の入力も要求している。
【VISA】
「VISA認証サービス」を偽装した日本語メールを送信し、ユーザーIDやパスワード、クレジットカード番号
を入力させるフィッシング詐欺。この偽サイトはJavaScriptを使ってアドレス・バーに正規のURLを表示さ
せていた。
【イーバンク銀行】
「イーバンク銀行からのお知らせ[入金がありました]」というメールを送信し、ログインパスワードや暗証
番号を入力させるフィッシング詐欺。
スパムメールの処理に掛かるコスト
従業員1,000名の企業で1日当たり一人20通のスパムを受信し、1通の処理に15秒を要するものとし、従
業員の年収を600万円と仮定すると、この企業では年間720万通のスパムを受信し、従業員はトータル
で30,500時間をそのメールの処理に費やすことになります。
週40時間の就業時間で計算すると約14名分の生産性を浪費することになり、年収で換算すれば、その
価値は、8400万円にもなります。
メールサーバの処理コストやストレージのコスト、情報システムスタッフの時間消費なども含めれば、そ
のコストはさらに大きなものになってしまいます。
27
1-6.Webアプリケーションファイアウォール – インシデント事例
実際に起きたインシデント
【顧客情報の漏洩(化粧品・医薬品メーカーS社)】
自社のウェブサイトに大量の不正アクセスがあり、14万人分の顧客情報が流出した可能
性があると発表し、ウェブサイトの公開を中止しました。
流出した可能性のある個人情報:
- メールアドレス、氏名、電話番号、ユーザーID、パスワード
(クレジットカード番号など決済情報は含まれない)
外部からの不正アクセスで顧客情報を大量に盗まれたということから、「SQLインジェク
ション」が行われたのではないかと推測されています。
【ホームページの改ざん(九州地方 H市)】
市の公式ホームページが21回にわたり不正アクセスを受け、トップページが改ざんされて、
不正なコードを埋め込まれました。ページが改ざんされていた期間に同ホームページへ
アクセスしていた場合、パソコンがウイルスに感染したおそれがあります。
用語説明
- SQLインジェクション
アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を
実行させることにより、データベースシステムを不正に操作する攻撃方法のこと
28
2-1. 情報漏えい対策とは
ファイル交換ソフト(Winnyなど)の利用によるネット流出、ノートPC、USBメモ
リの盗難・紛失などによる、情報漏えい事件は後を絶ちません。
たとえ一度の情報漏えいであっても、謝罪費用、調査費用といったコスト面
だけではなく、企業としての信頼やブランドイメージの低下など、企業への
影響は計り知れません
実際の漏洩原因の80%は内部の人間による盗難・流出などの内部要因が
占めており、こうした内部の人間に情報漏えいを起こさせないための対策
が必要です。
本章では情報漏えい対策の中の「持ち出し制御/暗号化」、「ログ収集」、
「Mailフィルタリング」、 「URLフィルタリング」について説明します。
29
2-2.持ち出し制御/暗号化 – インシデント事例 インシデント事例
【持ち出しPCの置き忘れ】
18:30 S社に勤めるMさんは客先でのプレゼンを終了
19時から友人と飲み屋に行く約束をしていたMさんは、PCを持ったまま
客先から飲み屋に行きました。
すっかりアルコールの入ったMさんは、いい気分で帰宅しました。翌朝、
PCがないことに気づいたMさんは、慌てて捜索しましたが、結局、紛失
したPCを発見することが出来ませんでした。
後日、MさんのPCに保存されていた顧客リストがインターネットに流出
しているとの報告を受け、S社は顧客情報の漏洩を公表・謝罪しました。
顧客リスト
30
2-3.操作ログ収集 – インシデント事例 USBメモリで
もちだされていた
ファイルサーバ
Winny暴露ウイルスに感染
Bさん
Bさん
Winnyネットワーク
USBメモリ
USBメモリ
公開フォルダ
ファイルサーバ上に
顧客リストが存在
Winnyネットワークに
顧客リストが漏えい
インシデント事例
【ファイル交換ソフトの利用による情報漏えい】
ある日、「A社の顧客情報が流出しているようだ」との問い合わせがA社に殺到しました。顧客台帳と照
らし合わせると、過去のある時点でのお客様情報と一致したため、お客様にお詫びするとともに社内調
査を開始しました。
すると、顧客情報を管理するお客様センターでの管理がずさんであったことが判明しました。顧客管理
システムを運用する管理者のログイン履歴や変更履歴が残されておらず、担当者側ではメールやイン
ターネット、USBメモリの利用などが日常的に行われていました。
調査の結果、流出したファイルを業務で使用していたBさんが、USBメモリにデータを入れて持ち帰り、
自宅のパソコンで編集作業をしたことを認めました。以前、ファイル交換ソフト「Winny」を使用しており、
その際、ウイルスに感染したために顧客情報一覧のデータがインターネット上に流出してしまったので
す。
31
2-3.操作ログ収集 – お客様の抱える問題 悪意あるユーザ
誰がアクセスしたのか
わからない
ファイルサーバ
プリントアウト
どうやって持ち出したのか
わからない
CD/DVD
USBメモリ
お客様の抱える問題
データ持ち出しによる情報漏えい
- 会社からデータを勝手に持ち出したことで、USBメモリなどの外部メディアの紛失や、ファイル交換
ソフト(WinnyやShare等)でのネット流出などの情報漏えい事件が絶えません
ファイルへの不正アクセス、端末の不正使用
- 重要データに対して、いつ・誰が・どの端末から・何をしたかを把握できていないために、システム管
理者の知らないうちに情報が外部に流出しているリスクがあります
特権ユーザ(Administrator、root等)による内部犯行
- システム管理者が利用する「特権ユーザ」は、制限なく重要データにアクセスすることができます。
この「特権ユーザ」を悪用した大規模情報漏えい事件は毎年発生おり、内部統制でも職務分掌と
特権ユーザ管理の対策が求められています
32
FD
33
3-1. IT統制とは
IT統制は内部統制の中で、財務報告にかかわる業務プロセスおよびアプリケー
ションに対して、さらにその土台となるITインフラへの統制を行うものとして位置
づけられています。
日本版SOX法の施行に向け、企業には内部統制の強化が義務づけられるなか
、 巨大なITインフラを所有する企業・組織を中心に、 ITインフラの統制は重要な経
営課題の1つとなっています。
本章では、 IT統制の中の、「ユーザ認証」、「アクセスコントロール」、「統合ID管理」、
「シングルサインオン」についてご説明します。
34
3-2.ユーザ認証 – インシデント事例 インシデント事例
【共有アカウントの使用】
アパレル業T社は全国に18店舗を展開しています。
各店舗には販売管理システム用にPCが設置してあり、PCのアカウントは各店舗の
店長が管理しています。しかし実際は、店長以外の社員がPCを扱うことも頻繁にあ
り、アカウントは店長、各社員が共通のものを使用していました。
ある日、取引先であるクレジットカード会社のY社から、T社の顧客のカード番号が不
正に利用されている可能性があるとの指摘を受けました。
情報システム部門が調査したところ、A支店の顧客情報のみが漏えいしていることま
では分かりましたが、共有のアカウントを使用していたために、いつ、誰が、どうよう
にして情報を流出させたのか特定することができませんでした・・・
35
3-2.ユーザ認証
– お客様の抱える問題 -
Aさんになりすまし
正規ユー
ザ (Aさ
ID :
Pass : @@@@@@
ん)
ID :
Pass : @@@@@@
悪意あるユーザ
手帳・付箋の盗み見
肩越しからの盗み見
長期間同じパスワード
パスワードクラッキング
お客様の抱える問題
「ID&パスワード」認証の脆弱性
-
ID&パスワードを手帳/付箋に記載しPCと一緒に保管
長期間同じパスワードを利用する、推測されやすいパスワードを利用する
共有ID利用によるユーザ特定不能
クラッキングツールの一般化
(ツール類をパックした製品がインターネットで購入可能。フリーソフトやクラッキング手引きサイト
も存在。)
離席時のセキュリティ対策
- PCにログインした状態のままで打ち合わせ等で座席を離れている隙に、別の人間にPCを勝手に操
作される危険性があります
36
3-2.ユーザ認証
– 問題の解決策 -
問題の解決策
(「ID&パスワード入力」より) 強固で正確なユーザ認証
- “特定の人間にしかできない操作”をPCログイン時やアプリケーション利用時に要求することでユーザを特定します
(例) 個人に付与したICカードをかざす、指紋が一致する、PCとは別の専用端末が表示するパスワードを入力する
簡易で確実なPCロック
(例) かざしていたICカードを外すだけでスクリーンセーバーロックがかかる など
ユーザ権限に基づいたPCのアクセス制御/利用制限
(例) アルバイトは閲覧のみ可能、社員は印刷も可能 など
ICカード
指紋
ユーザ操作ログの保存/解析
推奨製品
製品名をクリックするとベンダーの製品紹介ページを表示します
SmartOnシリーズ (ソリトンシステムズ)
- ユーザ入力の情報にUSBキーやICカードなどのデバイス認証を加え、セキュリティ認証強度を高めるソリューション
SecureFinger (NEC)
- 指紋認証ユニット利用時に、OSログオン、スクリーンセーバーロック解除、アプリケーションパスワード代替の機能を
実現し、セキュリティ認証強度を高めるソリューション
SecureMatrix (シー・エス・イー)
- 人が頭の中に想い描くイメージとワンタイムパスワードを融合した、認証方式〔マトリクス認証〕を採用した本人認証
システム
37
3-3.アクセスコントロール – インシデント事例 アカウント:Administrator
特権ユーザになれ
ば、やりたい放題
だ!
アクセスログを改
ざんしてしまえば、
証拠隠滅になるぞ。
悪意のあるユーザ
インシデント事例
【特権ユーザの濫用】
NさんはS社で業務システムの運用管理を担当して3年になります。S社の業務システムは
メンテナンス、バックアップ等の運用管理を開発会社の社員を含め、数名の担当者で行
なっています。各担当者は作業の利便性が良いことから、
特権ユーザ(Administrator)を使用して、作業を行なっていました。
ある日、S社に「S社で取り扱っている顧客情報がインターネットに流出している」という
連絡がありました。慌てて、Nさんは他の担当者に連絡を取り、顧客情報の流出経路と内
容の特定のため、業務システムへのアクセスログの調査に取り組みました。
しかし、顧客情報への不正アクセスログは記録されていなかったため、流出経路と内容を
特定できませんでした。どうやら、犯人は特権ユーザを不正に取得しており、自らのアクセ
スログを消去したようです。
顧客情報の流出経路と内容を開示することができなかったS社は、さらに社会的信用を失
うことになりました・・・
38
3-4.統合ID管理 – インシデント事例 悪意のあるユーザ
グループウエア
不正アクセス
ID・パスワード
ID・パスワード
ID・パスワード
ID・パスワード
ID・パスワード
ID・パスワード
退職者ID・パスワード
退職者ID・パスワード
ID・パスワード
…
インシデント事例
【残存IDを使用した不正アクセス】
SさんはO社でグループウエアの運用管理を担当して5年になります。
ある日、Sさん宛てに「グループウエアの掲示板に、ある社員を誹謗中傷する内容の
書き込みがされている」という連絡が入りました。
Sさんが、書き込みをした人物の調査をおこなったところ、去年の3月末に退職したYさんで
あることが判明しました。
去年の3月末は新入社員、異動者、退職者など多くの人事異動があったため、オペ
レーションミスから、グループウエアのYさんのアカウントを削除し忘れていました。
どうやら、誰かが、削除し忘れたYさんのアカウントを不正に使用したようです・・・・
39
3-5.シングルサインオン(SSO) – インシデント事例 インシデント事例
【付箋紙からのパスワード漏えい】
O社では、勤怠管理システム、交通費精算システム、グループウエアなど複数の
システムを個別のサーバで運用をしています。
ある日のO社内での会話です。
Bさん「ファイルサーバに保存していた、今期の業績に関する機密文書がなくなってい
るんだけど、心当たりはないか?」
Aさん「たしかここに・・・見当たりませんね。念のため、アクセスログを調べてみます。」
Aさん「Mさんのアカウントで削除が行われているようです。誤って削除したのですかね?」
Bさん「Mさん、今期の業績に関する機密文書のファイルを削除しただろう!」
Mさん「いいえ、機密文書にはアクセスしていないですよ。」
Bさん「ていうか、付箋紙にファイルサーバのID、パスワード書いて、PCに貼り付けてる
じゃないか!これじゃあ、誰でも君のアカウントでアクセスできてしまうよ!!」
Mさん「だって、ID、パスワードが多すぎて覚えきれないんですよ・・・」
40
◆おわりに
- 情報セキュリティ対策マップ -
41