Transcript ppt, 7.94MB
情報セキュリティ・ポリシー の策定と運用管理の事例報告 Case Study on How to Draw up and Operate your Info. Security Policies 2003.01.31(FRI) 富山大学総合情報処理センター Computing and Network Services Toyama University 高井正三(Shoso Takai) Toyama International Conference Center 緊急事態操作(Emergency Operation) 2003.01.31 Computing and Network Services, Toyama-U 2 緊急事態操作(Emergency Operation) Open Fire on your Enemy: Attacker, Cracker, Virus, Worm, Terrorist!! 2003.01.31 Computing and Network Services, Toyama-U 3 目 1. 2. 3. 4. 5. 6. 7. 8. 2003.01.31 次 今まで多かったトラブル 不正利用への対処法 キャンパス情報システムの運用 セキュリティ・システムの運用 緊急事態とその対処法 リスク分析 セキュリティ・ポリシーの策定 情報セキュリティ管理の方法 Computing and Network Services, Toyama-U 4 1 今日まで多かったトラブル 一番多い故障 → 空調機の故障 一番多い障害 → Web Serverのダウン 一番多い攻撃 → PortScan 一番多い脅威 → ウィルス/ワーム感染 一番多い盗難 → 傘の間違え 一番多い犯罪 → 靴の窃盗 一番多い忘れ物→ 3.5inch Diskette 一番多い問い合わせ→パスワード 2003.01.31 Computing and Network Services, Toyama-U 5 コンピュータ・ウィルス感染(1) 平成13年度のウィルス被害(報告された分) MTX SIRCAM CODE RED Ⅱ Nimda HAPTIME W32.Magistr 2件 Aliz BADTRANS NAVIDAD MyParty 2003.01.31 1件 2件 13件 7件 1件 4件 5件(H14.1急増) 1件(H14.1) 1件 Computing and Network Services, Toyama-U 6 コンピュータ・ウィルス感染(2) 2002年7月~12月:6719件(内部から発信された) KLEZ BUGBEAR FRETHEM BADTRANS CIH MAGISTR BRID HYBRIS FUNLOVE REDLOF SPACES TRISTATE 2003.01.31 : 6618 : 60 : 16 : 8 : 4 : 4 : 3 : 2 : 1 : 1 : 1 : 1 Computing and Network Services, Toyama-U 7 2002年7月~12月のウィルス検出件数 (内部発信で検出されたもの) ○2002年07月:3064 件 KLEZ:3040 FRETHEM:16 BADTRANS:7 REDLOF:1 ○2002年08月:569件 KLEZ:567 MAGISTR:1 HYBRIS:1 ○2002年09月:281件 KLEZ:278 CIH:1 FUNLOVE:1 HYBRIS:1 2003.01.31 ○2002年10月:172件 KLEZ:125 BUGBEAR:42 CIH:3 SPACES:1 TRISTATE:1 ○2002年11月:176件 KLEZ:157 BUGBEAR:12 BRID:3 MAGISTR:3 BADTRANS:1 ○2002年12月:2457件 ○2003年1月1~27 日: 569件 KLEZ.H:437 SOBIG.A:87 YAHA.L:35 LIRVA.C:4 BADTRANS.B:4 BUGBEAR.A:1 YAHA.K:1 1月9日 KLEZ.H:43件 1月14日,15日 SOBIG.A:78件 1月16日,17日 KLEZ.H:326件 KLEZ:2451 BUGBEAR:6 Computing and Network Services, Toyama-U 8 MS-SQLのportを利用したWorm (記録時間) 回数 送信元 宛先 200301270006: 12 160.26.16.116.1434 > 211.14.11.74.443: 200301270007: 14 160.26.30.9.1434 > 133.194.163.61.80: 200301270007: 5 160.26.73.166.1434 > 10.136.232.250.80: 200301270008: 5 160.26.141.38.1434 > 66.35.247.104.80: 200301270012: 19 160.26.30.9.1434 > 61.121.100.105.80: 200301270013: 7 160.26.63.173.1434 > 219.179.16.78.7743: 200301270014: 6 160.26.118.95.1434 > 210.131.77.60.80: 200301270018: 15 160.26.30.9.1434 > 210.155.138.75.80: 200301270018: 26 160.26.30.9.1434 > 211.13.211.2.80: 200301270019: 1 160.26.2.3.1434 > 160.26.1.1.53: 200301270019: 4 160.26.30.9.1434 > 210.155.138.75.80: 200301270020: 5 160.26.156.77.1434 > 210.136.232.249.80: ・・・・・・・・・ 200301270442: 1 217.29.230.42.1434 > 160.26.32.13.1433: 200301270443: 1 217.29.230.42.1434 > 160.26.32.13.1433: 200301270449: 3 217.29.230.42.1434 > 160.26.47.55.1433: ・・・・・・・・・ 200301270924: 6 160.26.150.126.1434 > 133.194.163.61.80: 200301270924: 101 160.26.63.17.1434 > 210.166.77.250.80: 200301270926: 1 160.26.150.126.1434 > 133.194.163.61.80: 200301270926: 5 160.26.182.60.1434 > 202.239.178.240.80: 200301270927: 5 160.26.182.57.1434 > 202.248.141.232.80: 200301270941: 3 160.26.73.170.1434 > 213.248.25.12.80: 200301270942: 7 160.26.164.87.1434 > 210.81.226.9.80: 200301270942: 371 160.26.180.128.1434 > 211.13.208.217.80: 200301270945: 5 210.253.184.227.1434 > 160.26.7.119.80: 200301270946: 6 160.26.111.161.1434 > 210.88.57.100.80: 200301270949: 1 160.26.1.3.1434 > 209.236.57.19.25: 200301270954: 199 160.26.112.222.1434 > 193.108.154.51.80: 200301270954: 65 160.26.142.14.1434 > 210.80.197.158.80: 200301270954: 5 160.26.182.33.1434 > 64.124.76.13.80: 2003.01.31 Computing and Network Services, Toyama-U 9 今日まで実際に発生した被害 外部からの不正アクセス SPAM mail, Third-party Relay phf-CGIによる不正アクセスとHomePageの改 ざん 電子掲示板の書き換え OSのSecurity Holeによるリモートからのrootの 取得 2003.01.31 Computing and Network Services, Toyama-U 10 今日まで実際に発生した不正利用 内部からの不正アクセス 電子掲示板上でのflame warによる内輪喧嘩 Proxy Serverの不正利用 電子掲示板への投稿違反 ファイル・サーバの不正使用 mp3ファイルの大量Down Load 猥褻画像の大量Down Load 電子メール 脅迫メールの送りつけ 2003.01.31 Computing and Network Services, Toyama-U 11 2 不正利用への対処法 不正利用情報の収集 TAからの報告/TcAからの報告,作業報告 教官・学生利用者からの連絡,メール 防犯カメラ記録,使用ログの分析から異常検出 不正利用事実・内容の確認 ビデオ記録,入退室記録,サーバ・ログによる確認 本人を呼び出し,不正使用を確認する. 法令違反行為,ルール違反行為,利用遵守事項違反 行為,公序良俗に反する行為,本学の教育・研究目 的に反する行為,など不正行為の確認 2003.01.31 Computing and Network Services, Toyama-U 12 不正利用への対処法(2) 不正利用者の同定(Identify) 状況証拠,記録の確認 本人の呼び出し,事実の確認 罰則の設定(処分方法の決定) 不正利用内容と処分基準の適用 本人の反省調査 通知文書の作成,発送 当該学部長への通知文書の作成 本人宛通知文書の作成 迷惑をかけた相手への謝罪と処分内容の通知 2003.01.31 Computing and Network Services, Toyama-U 13 不正利用への対処法(3) 処分の執行 処分の執行と執行解除,復帰の通知 再発防止の手続き 学部長等の不正行為禁止文書の掲示 ホームページでの不正行為駆逐の喚起 富山大学生の誇りを持つように学生に喚起・鼓舞 損害,被害額の掲示による不正行為のリスク通知 講習会等で教育研修 記録の保存 防犯カメラ記録,使用ログの保存と事件事実の記録 2003.01.31 Computing and Network Services, Toyama-U 14 不正の確認と処分の適用 2003.01.31 Computing and Network Services, Toyama-U 15 2003.01.31 Computing and Network Services, Toyama-U 16 2003.01.31 Computing and Network Services, Toyama-U 17 処分の通知 2003.01.31 Computing and Network Services, Toyama-U 18 脅迫メール(会社からの不採用に対して送りつけた) 2003.01.31 Computing and Network Services, Toyama-U 19 電子掲示板上でのFlame War 2003.01.31 Computing and Network Services, Toyama-U 20 2003.01.31 Computing and Network Services, Toyama-U 21 2003.01.31 Computing and Network Services, Toyama-U 22 2003.01.31 Computing and Network Services, Toyama-U 23 2003.01.31 Computing and Network Services, Toyama-U 24 PC機器の窃盗に対する処分(3か月停止) 2003.01.31 Computing and Network Services, Toyama-U 25 猥褻画像 のダウン ロード 2003.01.31 Computing and Network Services, Toyama-U 26 2003.01.31 Computing and Network Services, Toyama-U 27 24時間開館サービスに伴う事件等 怪しいデータのダウンロード いつも同じ端末を使用して,頻繁にDisketteを出し入れ 趣味としてのPCの使用 ゲームをしている 端末室利用遵守事項に違反 端末室へのペットボトルの持ち込み、飲食 リフレッシュ室で飲食後,弁当殻・空き缶などの放置 空き缶の飲み残しと場所をわきまえない放置 靴や傘の盗難 靴やサンダルの窃盗行為の増加(衝動的) 施設の不正使用 男子学生の女子便所荒らし 館内,トイレなどでの喫煙 2003.01.31 Computing and Network Services, Toyama-U 28 不正利用の防止と衛生的にするための対応 貼り紙による不正利用防止の注意を喚起 館内見回り,放送による正しい利用法の指導 リフレッシュ室水場への洗剤,雑巾などの用意 防犯カメラによる記録の採取の強化 入退室管理システムのIDカードによる 「端末室ドアの解錠」記録の採取 入退館のIDカードによる「玄関扉開錠」記録採取 入退室/入退館ビデオ記録の定期的な解析 マナー違反者への入退室/入退館停止措置, 違反者の掲示によるマナー違反への予防措置 2003.01.31 Computing and Network Services, Toyama-U 29 3 キャンパス情報システムの運用 各サーバの定時動作確認(ping応答) ネットワーク機器の定時動作確認(ping応答) VirusWallからの異常検出メールのチェック エラー・メール情報のチェック サーバの定時バックアップ完了メール確認 ネットワーク・トラフィック定期的チェック, 異常トラフィックの検出と原因の究明 2003.01.31 Computing and Network Services, Toyama-U 30 キャンパス情報システムの運用(2) ウィルス情報のMLによる収集と通知,対応策実行 OS, アプリケーション・プログラムのセキュリティ・ ホール情報の収集,パッチの適用 OS, アプリケーション・プログラムのバージョン管理 サーバの設置と各サーバの適時バージョン・アップ 各サーバのログの定時退避と確認 利用者アカウントの発行管理 利用者パスワードの管理(初期化サービス) ログの解析,警告,処分の実施 2003.01.31 Computing and Network Services, Toyama-U 31 3.1 アカウント管理 利用者IDは1個/人とし,組織IDは可能な限り発行しない 総合情報処理センターが発行する総ての利用者IDは, 40台以上のサーバで重複しないように発行する 学生用利用者IDは学生通番(8桁)のうち,中央6桁に, s,m,dをつけていて,学籍番号とは関連が無く発行し, その利用者IDから利用者を同定できないようにする 利用者IDは入学時に登録され,卒業後1か月で削除する 過年度生については,毎年登録し直し,ホーム・ディレクト リを過年度生専用ディレクトリに移すこと。だたし.ファイ ルの移行はしない 職員につては,転出後速やかに削除する 教官については,転出後の一定の期間を経て,削除する 2003.01.31 Computing and Network Services, Toyama-U 32 3.2 パスワードの管理 パスワードは,アルファベットの大文字,小文字,数字, 特殊文字など,複数の文字種を用いて組み合わせ, 最低8文字以上で構成すること パスワードは英数字記号を最低1文字以上含めること パスワードには特に,利用者ID,名前,地名,英単語など の絶対使用禁止 パスワードを変更するときは,それまで使用していたパス ワードと異なるパスワードを設定すること パスワードの変更は1日1回までとすること ログオン時のパスワードを5回数以上間違えると, 1日(24時間)ロックアウトすること 2003.01.31 Computing and Network Services, Toyama-U 33 パスワードの管理(2) 自分が使用しているパスワードを,第三者に知らせては ならない。もし,第三者に知らせた場合は,最低1週間以 上利用者IDを停止すること 自分が使用しているパスワードが第三者に知られた場合 は,速やかに変更すること パスワードを絶対メモに残さないこと パスワードの有効期限は90日間(約3ヶ月間)とすること 万が一パスワードの有効期限がきれた場合は,新しいパ スワードを入力して,再接続手順を採ること Windows 2000で変更すると,Domain Controller,ファイ ル・サーバのパスワードも変更されるように設定 2003.01.31 Computing and Network Services, Toyama-U 34 パスワードの管理(3) パスワードを忘れた場合は,速やかに総合情報処理セン ターに報告し,新しい初期パスワードを入手すること パスワードを盗まれたことが発覚した場合は,速やかに 情報セキュリティ委員会(総合情報処理センター)に報告 し,利用者IDの使用停止措置を採ること 辞書攻撃やブルート・フォース攻撃の禁止 辞書攻撃やブルート・フォース攻撃を行って,パスワード 破りをしている利用者を見つけた場合には,本学構成員 相互でその行為を中止するよう注意を促すこと 上記によっても,違反行為が改善されないときには,情 報セキュリティ委員会に報告すること 赤色部分は未実施 2003.01.31 Computing and Network Services, Toyama-U 35 3.3 ログの管理,解析,注意/警告,処分の実施 FireWall , Cisco Secure IDS,その他のログの収集 1日当たりの容量をみて,バックアップ時刻を設定 その他のネットワーク・サーバーのログ収集 ログ解析専用サーバーの設置 定期的なログ解析の実行と不正アッタクの実状調査 不正使用者への呼び出し,注意 現場のデータを採取=証拠として残す ファイル容量違反 公序良俗に反するもの多し 1回目は注意 2回目以降は罰則の適用 違反者への処分(IDの利用停止) 例年3人程度, ID停止は1週間程度 2003.01.31 Computing and Network Services, Toyama-U 36 3.4 セキュリティ・ホールなど最新情報の 収集と障害対策の実施 最新情報の収集と通知 セキュリティ・ホールとその対策情報の常時調査 (MLの活用) 不正アクセス情報の収集,影響範囲,対策情報 コンピュータ・ウィルス情報,ウィルス駆除定義テーブルの 入手,感染時の対応策 (MLの活用) ユーザへの警告,被害状況の通知(緊急連絡網) サーバへの対策の実施 セキュリティ・ホールに対するパッチの適用 システムのバージョン・アップ(バージョン管理サーバ) 2003.01.31 Computing and Network Services, Toyama-U 37 3.5 作業分担と技術の習得 既存の組織で,限られたスタッフで作業を分 担,各自の職務の遂行 定期的なログ解析や最新技術の勉強会 雑誌やセキュリティ管理関係論文の輪読会 セミナーや研修会への出席と勉強 技術の共有を図るシステムを確保し, 必ず2名以上が担当できるようにする 2003.01.31 Computing and Network Services, Toyama-U 38 4 セキュリティ・システムの運用 外部ルータによるパケットの遮断 DMZ(非武装地帯) ファイア・ウォール IDS(不正侵入検知システム) VirusWall(ウィルス・ウォール) DHCP情報コンセント,無線LANのNAT化 ネットワーク構成管理 入退館,入退室管理システム 防犯カメラと記録 2003.01.31 Computing and Network Services, Toyama-U 39 2003.01.31 Computing and Network Services, Toyama-U 40 4.2 ファイア・ウォール・システムとポリシー FireWall System Cyber Guard 2台 Watch Guard FireBoxⅡ 20台 + Micro FireWall 20台 DHCPコンセント用 事務系 1台 学務情報システム 1台 工学部知能情報 システム工学科 1台 2003.01.31 Computing and Network Services, Toyama-U 41 FireWall Security Policy ファイア・ウォール(FireWall=Cyber Guard)ポリシー 最後は「疑わしきは通さない(ALL DENY)」と設定 既に解っているものについては,明示的に穴を開ける 申請ベースで,個々のプロトコル/IPアドレス/アプリ ケーション・ポート(実験で使用するもの)に対して許可 (PERMIT)する telnet(sshのみ)は指定のtelnet gateway経由とする 2003.01.31 Computing and Network Services, Toyama-U 42 FireWall Security Policy(2) rlogin等のr系コマンド(rlogin, rexec, rsh.)は許 可しない ftpは外部からのやり取りは禁止し,内部から のやり取りのみをサービスする httpはProxy(内→外)経由とする 外からは特定のWEBサーバーのIPアドレス指 定でPERMITし,サービスする(予定) smtp,nntpはIPアドレス指定(1対1)でPERMIT する 2003.01.31 Computing and Network Services, Toyama-U 43 from to port コメント permit 内部 外部 all outgoing permit(内部から外部は全許可) permit any any 24032/udp CU-SeeMe h323 7648/udp permit 内部 DMZ all 内部 to DMZ permit 外部 DMZ all 外部 to DMZ permit 外部 内部 25/tcp smtp(方針が決まるまでとりあえず) 内部 80/tcp http DMZ 443/tcp https DMZ permit 外部 permit 外部 内部 110/tcp pop(方針が決まるまでとりあえず) permit any any 22/tcp ssh permit 外部 DMZ 119/tcp nntp(NewsServer) permit DMZ 外部 119/tcp nntp(NewsServer) permit DMZ 内部 119/tcp nntp(NewsServer) permit 内部 DMZ 119/tcp nntp(NewsServer) permit any any 123/tcp ntp 123/udp permit DMZ 内部 1645/udp radius permit 内部 DMZ 1645/udp radius 2003.01.31 Computing and Network Services, Toyama-U 44 permit any any 7070/RealAudio RealAudio permit any any 1558/StreamWorks StreamWorks permit any any 7000/VDOLive VDOLive permit any any 53/tcp DNS(方針が決まるまでとりあえず) 53/udp permit DMZ 内部 514/udp syslog permit 内部 DMZ 514/udp syslog permit any any 43/tcp whois(方針が決まるまでとりあえず) permit 999.99.999.999 any 41/ip TCP6/IP 999.99.99.99 /255.255.255.0 999.99.99.99 /255.255.255.0 999.99.99.99 /255.255.255.0 permit any 999.99.99.99 41/ip TCP6/IP 999.99.99.99 /255.255.255.0 999.99.99.99 /255.255.255.0 999.99.99.99 /255.255.255.0 2003.01.31 Computing and Network Services, Toyama-U 45 permit 999.99.99.99 any any SCS 999.99.99.99 any SCS 999.99.99.99 999.99.99.99 permit any 999.99.99.99 999.99.99.99 permit 999.99.999.99 999.99.99.99 any jpntyavm(大型計算機が残存中) permit any any edc.toyama-u.ac.jp(方針が決まるまでとりあえず) permit 999.99.99.0 /255.255.255.0 any any edc.toyama-u.ac.jp(方針が決まるまでとりあえず) permit any permit 999.99.999.0/255.255.252.0 any permit any permit 999.99.999.0/255.255.255.0 any 999.99.99.0/255.255.255.0 999.99.999.0 /255.255.252.0 any any 999.99.999.0/255.255.255.0 any any fuzoku.toyama-u.ac.jp(方針が決まるまでとりあえず) fuzoku.toyama-u.ac.jp(方針が決まるまでとりあえず) math.toyama-u.ac.jp(方針が決まるまでとりあえず) math.toyama-u.ac.jp(方針が決まるまでとりあえず) ・・・ deny other 2003.01.31 Computing and Network Services, Toyama-U 46 4.3 IDSとその目的 IDS(Intrusion Detection System) 不正アクセス行為を発見する機構 IDSの目的 不正アクセスの特徴を抽出したSignature/Footprint と呼ばれるパターンに合致するアクセスを発見する. 最近は,異常状態を発見することを目的としたAID (Anomaly based Intrusion Detection)を実現する. ネットワークのパケット・トラフィックを検査するセン サー機器を配置し,ソフトウェアによって分析・監視を 行い,ファイア・ウォールやルーターに対して防衛指示 を行うシステムで,必要な場合はルーター/コネクショ ン・セッションを遮断する . 2003.01.31 Computing and Network Services, Toyama-U 47 IDSの運用 アラーム発生時のアタックの確認 定期的なログ解析,アラームの種類,不正 アクセスの分析 対策の考案,検討 システム設定の更新 更新したシステム設定による運用 2003.01.31 Computing and Network Services, Toyama-U 48 IDS不正アクセス記録 NetRanger Log Analysis Report No.1 H13.6.15-7.14 Alarm Level 2003.01.31 SigID Alarm Name Count 5 1103 IP fragments overlap 1005 5 1104 IP Localhost Source Spoof 624 5 1201 Fragment data overlaps 60 5 2152 ICMP flood 932 5 2153 ICMP smurf attack 202 Computing and Network Services, Toyama-U 49 5 3040 TCP NULL packet 31 5 3041 TCP SYN/FIN packet 4 5 3108 MIME overflow bug 5 5 3201 WWW general cgi-bin attack 6 5 3202 WWW .url file requested 30 5 3203 WWW .lnk file requested 21 5 3204 WWW .bat file requested 24 5 3215 IIS .. execute bug 992 5 3216 IIS .. denial bug 590 2003.01.31 Computing and Network Services, Toyama-U 50 5 3992 BackOrifice BO2K TCP Stealth 2 128 3 1100 IP fragment attack 2706 3 3212 WWW NPH-TEST-CGI bug 1 3 3213 WWW TEST-CGI bug 1 3 6054 DNS Version Request 94926 1 6053 DNS request for all records 19440 SigID 1103, 3040, 3041, 3992 =>Shun(遮断) その他 TCP-Reset, IP Log のアクション 2003.01.31 Computing and Network Services, Toyama-U 51 アラームの分類とアクション フィルタリングにて許可された通信で, Sensor#11 Sensor#12 Sensor#13 故意に行った場合に限り攻撃として検知し得るアラー ム(当攻撃は対策済) TCP-Reset IP-Log Shun TCP-Reset IP-Log 故意に行った場合に限り攻撃として検知し得るアラー ム(当攻撃は未策済) TCP-Reset IP-Log Shun TCP-Reset IP-Log 正常な通信においても攻撃として検知し得るアラーム (当攻撃は対策済) TCP-Reset IP-Log Shun TCP-Reset IP-Log 正常な通信においても攻撃として検知し得るアラーム (当攻撃は未対策) TCP-Reset IP-Log Shun TCP-Reset IP-Log フィルタリングにて拒否された通信で, Sensor#11 Sensor#12 Sensor#13 故意に行った場合に限り攻撃として検知し得るアラー ム(当攻撃は対策済) TCP-Reset IP-Log Shun TCP-Reset IP-Log 故意に行った場合に限り攻撃として検知し得るアラー ム(当攻撃は未策済) TCP-Reset IP-Log Shun TCP-Reset IP-Log 正常な通信においても攻撃として検知し得るアラーム (当攻撃は対策済) TCP-Reset IP-Log Shun TCP-Reset IP-Log 正常な通信においても攻撃として検知し得るアラーム (当攻撃は未対策) TCP-Reset IP-Log Shun TCP-Reset IP-Log 2003.01.31 Computing and Network Services, Toyama-U 52 4.4 バイラス・ウォールとウィル ス被害,今後の対策 Mail ServerとVirusWall VirusWallの現状と問題点 平成13年度,14年度のウィルス被害 VirusWallの今後の対策 PCウィルス駆除の今後の対策 Web,FTPからダウンロードするファイルの ウィルス・チェック 2003.01.31 Computing and Network Services, Toyama-U 53 Mail ServerとVirusWall 富山大学におけるメールの送受信の現状 受信メール インターネット 送信メール SINET 内部送信メール 対外メール・サーバー 内部メール・サーバー Sun Ultra 1 ファイル・サーバ InterScan VirusWall 学生用Mailサーバ ラップトップ コンピュータ 2003.01.31 Computing and Network Services, Toyama-U 54 VirusWallの現状と問題点 現在は内部から外部へ出るとき,内部から内部へ送る時 にこのサーバーを経由するので,Virusを検出できる 外部からのメールに対しては何も効力がない 外部から内部へのメールは量が多すぎて,現在のサー バーのパワーでは対応が不可能である Virus検出用のウィルス・パターン・ファイル(テーブル)は 毎日更新している Code Red ⅡやSircamは検出できた(内部→外部の時検出) 外部から直接メール・サーバーにメールが届くので危険 が大きく,早急の対策が必要 2003.01.31 Computing and Network Services, Toyama-U 55 4.5 ネットワーク構成管理システム (What’s Up Gold) 2003.01.31 Computing and Network Services, Toyama-U 56 2003.01.31 Computing and Network Services, Toyama-U 57 4.6 端末室の入退室管理シス テムと記録の採取 2003.01.31 Computing and Network Services, Toyama-U 58 2003.01.31 Computing and Network Services, Toyama-U 59 2003.01.31 Computing and Network Services, Toyama-U 60 2003.01.31 Computing and Network Services, Toyama-U 61 4.7 端末室の防犯カメラと記録, ネットワーク監視 防犯カメラの設置 2003.01.31 Computing and Network Services, Toyama-U 62 2003.01.31 Computing and Network Services, Toyama-U 63 このディジタル ビデオ・システム の背後に カメラ・サーバー を設置して LANに接続して いる 2003.01.31 Computing and Network Services, Toyama-U 64 人文学部1F情報処理教育室 2003.01.31 Computing and Network Services, Toyama-U 65 附属図書館6F マルチメディア研修室 2003.01.31 Computing and Network Services, Toyama-U 66 5 緊急事態とその対応 緊急事態とは何か? そして,その緊急事態にどのように対処するか. 緊急対応計画(緊急対応マニュアル) バックアップ計画(同マニュアル) 復旧計画(同マニュアル) 不測事態計画の文書化(同マニュアル) 緊急時の連絡体制(同マニュアル) 2003.01.31 Computing and Network Services, Toyama-U 67 緊急事態とは何か?そして,その緊急事態に どのように対処するか(実務経験から) 計算機室用空調機の異常停止,水漏れ ネットワークの異常停止 情報システムの異常停止 停電 盗難 不正アクセス(緊急連絡体制) ウィルス被害(緊急連絡体制) 自然災害 火災,不法侵入 2003.01.31 Computing and Network Services, Toyama-U 68 緊急時の連絡体制 2003.01.31 Computing and Network Services, Toyama-U 69 6 リスク分析 (1)セキュリティ・リスク (2)情報資産とは (3)セキュリティ・レベル (4)情報資産の調査 (5)リスク評価 (6)リスクに対する対策 (7)リスク分析のプロセス 2003.01.31 Computing and Network Services, Toyama-U 70 (1)セキュリティ・リスク セキュリティ・リスク(Security Risk)とは,情報化 に伴うビジネス・リスクで,インターネットから受 ける様々な攻撃,脅威が現実化したときに,営 業損失や社会的信用失墜というビジネス損失を 被るなどのリスクを指す. 大学では,情報資産の漏洩,窃盗,改ざん等に より社会的信用の失墜やプライバシー侵害,行 政事務の執行妨害を及ぼすような脅威さらされ るリスクを指す. 2003.01.31 Computing and Network Services, Toyama-U 71 (2)情報資産とは 1)情報資産・・・ ホームページ,メール,事務文書,学生・教職員の個人 情報 データベース(研究,教育,事務,サービス業務情報) 記録媒体:MT,HDD,FD,CD-R,等も含む 2)情報システムの情報資産 ハードウェア(コンピューター,ネットワーク・システム) ソフトウェア(OS,アプリケーション・ソフトウェア) 格納しているデータ・情報 情報システムの管理情報(各種設定値) 2003.01.31 Computing and Network Services, Toyama-U 72 (3)セキュリティ・レベル 重要性Ⅰ:セキュリティ侵害が,国民の生命,財産, プライバシー等へ重大な影響を及ぼす (研究・教育 活動が麻痺するほどの影響を及ぼす) 重要性Ⅱ:セキュリティ侵害が,行政事務の執行 に重大な影響を及ぼす. (研究・教育環境への重大な影響を及ぼす) 重要性Ⅲ:セキュリティ侵害が,行政事務の執行 に軽微な影響を及ぼす. (研究・教育環境への軽微な影響を及ぼす) 重要性Ⅳ:セキュリティ侵害が,行政事務の執行 に殆ど影響を及ぼさない. (研究・教育環境への殆ど影響を及ぼさない) 2003.01.31 Computing and Network Services, Toyama-U 73 (4)情報資産の調査 情報がどこにあり,だれが管理し,どのよう な状況で扱われているか調査する. 情報資産の重要性は,機密性,完全性, 可用性に基づき,セキュリティ・レベルを設 定する. 大学は純粋なリスク 2003.01.31 Computing and Network Services, Toyama-U 74 (5)リスク評価 情報資産を取り巻く物理的,技術的,人的 環境における脅威を調べる 情報資産が直面する脅威の発生頻度,発 生時の被害の大きさを調べる A.かなりの頻度で発生する B.時々発生する C.偶発的に発生する D.殆ど発生しない 2003.01.31 Computing and Network Services, Toyama-U 75 2003.01.31 Computing and Network Services, Toyama-U 76 2003.01.31 Computing and Network Services, Toyama-U 77 2003.01.31 Computing and Network Services, Toyama-U 78 2003.01.31 Computing and Network Services, Toyama-U 79 2003.01.31 Computing and Network Services, Toyama-U 80 2003.01.31 Computing and Network Services, Toyama-U 81 2003.01.31 Computing and Network Services, Toyama-U 82 2003.01.31 Computing and Network Services, Toyama-U 83 2003.01.31 Computing and Network Services, Toyama-U 84 7 セキュリティ・ポリシーの策定 セキュリティ・ポリシーの構成 1)基本ポリシー (Elementary Policy) ・・・方針 2)スタンダード (Standard:標準) ・・・規約 3)プロシージャー (Procedure:手順) ・・・具体的な 操作マニュアル 2003.01.31 Computing and Network Services, Toyama-U 85 基本ポリシー/スタンダードの策定手順 現在使用しているマニュアルからセキュリティ関連項 目を抽出する マニュアルから「しなければならない」を抽出する 基本ポリシーからトップダウンで,スタンダードに記述 すべきセキュリティ項目をすべて書き出す マニュアルから抽出した項目とスタンダードに記述す べきセキュリティ項目を対比しながら,各項目の遵守 事項を書き出す セキュリティ項目毎に,想定される問題点と脅威,適 用範囲,対象者,整理した遵守事項,罰則,更新情報 を追加する 全体のスタンダードと整合性を採る 2003.01.31 Computing and Network Services, Toyama-U 86 基本ポリシーの構成 経営者の情報セキュリティ管理に 関する基本方針を宣言したもの 規定と言うよりは宣言書,声明書 の形式で記載する 2003.01.31 Computing and Network Services, Toyama-U 87 基本ポリシーの記載項目例 1. 2. 3. 4. 5. 6. 基本方針(目的) セキュリティ・ポリシーの定義と役割 セキュリティ・ポリシーの適用範囲 セキュリティ・ポリシーの構成 セキュリティ・ポリシーの管理体制と責任 セキュリティ・ポリシーの教育管理体制 2003.01.31 Computing and Network Services, Toyama-U 88 基本ポリシーの記載項目例 7. 業務継続計画 8. 遵守義務と罰則 1. セキュリティ・ポリシーの遵守事項や履行す べき義務を明確化 2. セキュリティ・ポリシー違反に対して罰則規 定を設けることを宣言する 9. 例外事項 2003.01.31 Computing and Network Services, Toyama-U 89 スタンダード(Standard:標準) スタンダードは,基本ポリシーに記載され た情報セキュリティ管理方針に基づき,セ キュリティ管理責任を具体的に割り当てる ものであり,遵守すべきセキュリティ規定 項目について具体的に記載するもの. 2003.01.31 Computing and Network Services, Toyama-U 90 スタンダードの記載項目例 1.スタンダードの目的 2.スタンダードの適用範囲 3.セキュリティ管理責任 4.基本ポリシー及びプロシージャー の関係 5.セキュリティ項目の規定 6.関連ドキュメント 7.変更履歴 2003.01.31 Computing and Network Services, Toyama-U と 91 プロシージャprocedure 組織の特性や業務特性に応じた 部門や業務個別の規定書 プロシージャ(手順書) プロダクト・ポリシー 運用規定 =>詳細に記述したマニュアル 2003.01.31 Computing and Network Services, Toyama-U 92 8 情報セキュリティ・ポリシーの運用方法 (1)運用管理者は担当職務を遂行すること (2)不正アタックの監視,危険の予測,事前防衛策 (3)インターネット利用ガイドの発行と周知徹底 (4)ネットワーク利用誓約書の提出義務 (5)不正利用者への的確な処分の実施 (6)サーバ・ログの収集と退避,解析と対応 (7)隘路の発見と形骸化した規則・組織の排除 (8)教育・研修の徹底と意識の向上 (9)模範職員・学生の表彰 2003.01.31 Computing and Network Services, Toyama-U 93 情報システム概要 ネットワーク・サーバー 約40台 接続PCサーバ/クライアント数 約4,500台(IP数) アカウント発行数約8,300+Subnet3個 教育用端末室(12部屋,551台+NotePC17台) ネットワーク管理者数(CNS7人Subnet3箇所?) 年間運用経費 約2億円 情報コンセント設置数 約3,300カ所 不正利用処分者数 累計13人(?)以上 2003.01.31 Computing and Network Services, Toyama-U 94 緊急事態とその対応 不測事態計画 非常事態対応 緊急連絡体制 バックアップ計画 復旧計画 不測事態計画の文書化 2003.01.31 Computing and Network Services, Toyama-U 95 TOYAMA University General Information Technology Center Establishment Schedule On April 1, 2003 2003.01.31 Computing and Network Services, Toyama-U 96 ご静聴ありがとうございました Thank you for your attention! セキュリティ・ポリシーの策定と運用管理の事例報告 2003.01.31(FRI) 富山大学総合情報処理センター Computing and Network Services Toyama University 高井正三(Shoso Takai) Toyama International Conference Center