組織的取り組みと 情報セキュリティマネジメントシステム -...
Transcript of 組織的取り組みと 情報セキュリティマネジメントシステム -...
Copyright © 2004 独立行政法人 情報処理推進機構
情報セキュリティセミナー 2004
情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
組織的取り組みと情報セキュリティマネジメントシステム
1. リスクアセスメント
2. 情報セキュリティポリシー
3. 従業員の教育、委託先との関係
2Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
1.リスクアセスメント
- リスクアセスメントはなぜ必要か?
- リスクアセスメントとは
- リスク分析手法(リスクの識別と評価)
ベースラインアプローチ
詳細リスク分析
組み合わせアプローチ
- リスク対応(対策方法の検討)
3Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
リスクアセスメントはなぜ必要か?
リスクアセスメントをしないと…….・事が起こってから慌てて対策する。・場当たり的な対策に終止してしまう。・組織のどこにリスクが潜み、
何を優先的に対策してよいかわからない。・限られた対策予算を効果的に使えない・全体を見通した対策ができない。
組織の危機管理に問題が生じる
4Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
リスクアセスメントの効果
リスクアセスメントを行うと…….・組織のどこにどんな脅威が存在するか把握できる。・組織の中に潜む脆弱性が把握できる。・組織に対するリスクの全容が理解できる。・組織にとって影響度の高い脅威が何かを把握でき、
何を優先的に対策してよいかわかる。・限られた対策予算を効果的に使える。・全体を見通した対策ができる。
敵を知り(脅威の把握)、己を知らば(脆弱性の把握)百戦危うからず(効果的な対策)
5Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
リスクアセスメントとは
リスク分析からリスク評価までのプロセス
リスク因子=脅威と脆弱性をリスク因子と呼ぶリスクは様々なリスク因子の関係により発生する例:設定不備(脆弱性)を突かれて不正アクセス(脅威)される
リスクアセスメント
リスク分析
リスク因子を特定する
リスクを算定する
リスク評価
脅威 : システム又は組織に危害を与える事故の潜在的原因
脆弱性:脅威によって影響を受ける内在する弱さリスク : ある脅威が脆弱性を利用して損害を与える可能性
6Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
リスク分析手法
(1)ベースラインアプローチベースライン(自組織の対策基準)を策定し、適用する。
(2)非形式的アプローチコンサルタント又は組織や担当者の経験、判断により評価
(3)詳細リスク分析詳細なリスクアセスメントを実施。情報資産に対し「資産価値」「脅威」「脆弱性」「セキュリティ要件」を識別、評価
(4)組合せアプローチ複数のアプローチの併用
よく用いられるのは、(1)ベースラインアプローチと
(2)詳細リスク分析の組合せ
7Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ベースラインアプローチ
既存の標準や基準をもとにチェックしていく・情報資産毎にリスクを評価しない。・情報セキュリティに関する基準やガイドラインを
利用し、自組織で実現可能な管理策を採用する。
【参照する標準やガイドラインの例】ISO/IEC17799の管理策(127項目より取捨選択)
セキュリティ対策セルフチェックシートhttp://www.ipa.go.jp/security/ciadr/checksheet.html
ウイルス対策チェックシートhttp://www.ipa.go.jp/security/virus/beginner/check/check.html
JRMS (Jipdec Risk Management System)
http://www.jipdec.jp/chosa/jrms/top.html
8Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ベースラインアプローチ
ベースラインアプローチの手順・ベースラインの決定
基準などを参照して自組織の管理策を決定・ギャップ分析の実施
採用した管理策への準拠状況を把握する
【長所と短所】長所:チェックリストやアンケートにより、手軽にリスク分析ができる
アンケート形式で進めると、手軽に規定を浸透させられる例:パスワードは定期的に変更していますか?(○ ×)
短所:既存の基準を参照しているため自組織にあわないことがある→ 過度の対策を実施したり、対策に不足が生じることがある
9Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
詳細リスク分析
組織内の情報資産の綿密なリスク分析を行う・情報資産を洗い出し、資産毎にリスクを評価する・資産毎の脅威と脆弱性を識別し、リスクを定量化する
資産が攻撃者にとってどの程度魅力的か、資産が失われた場合の被害額なども想定(重要度・発生確率)
【長所と短所】長所:全ての情報資産に対し、適切な管理策を採用できる
リスク分析の精度も高く、数値化するためリスクを定量的に量れる(但し、数値だけに頼るのは危険)
短所:リスク分析の結果を得るまで、手間と工数がかかる全体の情報資産の綿密な分析を行うため、セキュリティ対策を実施するまでに時間がかかる。(対策の遅れ)
10Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
詳細リスク分析のプロセス
リスクアセスメント リスク分析
1.リスク因子を特定する 情報資産の洗い出し
脅威・脆弱性の明確化
2.リスクを算定する 事業上の損害の評価(CIAの観点からの評価)
脅威・脆弱性の評価(高・中・低のレベル付け)
リスク値の算出
リスク評価
リスク因子=脅威と脆弱性をリスク因子と呼ぶCIA:機密性(C)、完全性(I)、可用性(A)
詳細リスク分析
11Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
(1)資産目録の作成管理責任者、資産の形態、保管場所・期間、用途等
(2)情報資産の例(JIS X 5080:2000による)
– 情報資産(DBおよびデータファイル等)
– ソフトウェア資産(業務用ソフト、システムソフト等)
– 物理的資産(コンピュータ、通信装置等)
– サービス
(3)情報資産のグループ化
分析作業の負担軽減、効率化が目的
– 情報資産価値や属性が一致するものをまとめる等
情報資産の洗い出し
12Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
脅威・脆弱性の明確化
(1)脅威の識別(a)人為的脅威
• 意図的脅威:盗難、盗聴、通信への侵入、ソフトの不正使用等
• 偶発的脅威:操作ミス、ソフトの故障、回線の損傷等
(b)環境的脅威:地震、洪水、落雷、停電、静電気等
(2)脆弱性の識別分類例(a)環境、施設:不安定な電源設備等、災害を受けやすい立地条件等
(b)ハードウェア:記録媒体のメンテナンス不足等
(c)ソフトウェア:不適切なパスワード、パッチ未適用等
両者を関連付けた整理が必要
13Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
リスクアセスメントの実施
(1)事業上の損害の評価情報資産の機密性、完全性、可用性が損なわれた時の事
業上の影響を評価
(2)脅威および脆弱性の評価3段階評価が多い
(3)リスク値の算出(リスク算定)計算例:リスク値=情報資産の価値×脅威×脆弱性
(4)リスク評価リスク値とリスク評価基準(受容可能なリスク水準)を比較
14Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
3624122416812844
27189181269633
1812612846422
9636423211
321321321資産価値
ぜい弱性
321
脅威
リスク値の算出:リスク早見表例
計算例:リスク値=情報資産の価値×脅威×脆弱性ある資産に関し機密性・完全性・可用性それぞれのリスク値を算出
出典: (財)日本情報処理開発協会 ISMSユーザーズガイド ISMS認証基準(ver2.0)対応 – リスクマネジメント編 -
計算した値だけに頼らず、人間の経験値や判断を加味して、リスク値を見直すことも必要
15Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
GMITS(ISO/IEC TR13335)にあるプラ
イオリティ付けの方法論
8767656544
7656545433
6545434322
5434323211
4323212100
資産の価値
高中低高中低高中低脆弱性の程度
高中低脅威の程度
リスクの程度
「資源の価値」とは、保護対象の資源に対するセキュリティ問題発生時の影響度合いであり、言い換えるとビジネスインパクトとでも言うべきものである。数値が4になると顧客情報や企業
秘密情報などが対象となり、漏洩や破壊などされた場合には企業活動そのものに影響を及ぼすものである。「脆弱性の程度」とは、資源に対するセキュリティ問題発生の可能性であり、どの程度保護対策がなされている状態であるか評価する。「脅威の程度」とは脅威が発生する度合いで評価するもので、年に数回以下の場合は低いが月に数回以上発生する場合は高くなる。
16Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
組合せアプローチ
ベースラインアプローチと詳細リスク分析を併用
・最初に上位レベルリスク分析(概要レベルの分析)を行い、各資産についてどのアプローチを行うか決める。
・上位レベルリスク分析の結果、重要度・リスクが高いと判断された情報資産にのみ詳細分析を適用する。
【長所と短所】長所:作業や工数の適正化が行われる(詳細な分析が必要なもの
には工数・時間をかけ、それ以外はベースラインで行う)効果的な分析が行える。
短所:上位リスク分析を誤ると、詳細分析が必要な情報資産にペースラインアプローチが適用されてしまう。
17Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
リスク対応
(1)適切な管理策の採用・リスクの発生の可能性を低減させる
・リスクが顕在化した場合の影響度を低減させる
例:ファイアウォールの設置、暗号化装置の採用、社員への教育等々
(2)リスクを保有する・識別され受容されるリスク:リスク保有の対象となるリスク
→ リスクの度合いが低いため、対策をしなくてよいと判断したリスク
・識別されず組織内に内在するリスク(未知のため対象外)
(3)リスクを回避する業務の廃止、情報資産の破棄等リスクを生じさせる原因を排除する
(4)リスクを移転する契約等によりリスクを他者(他社)に移転
→ アウトソーシング(外部委託)、保険(リスクファイナンス)
18Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
2.情報セキュリティポリシー
- 情報セキュリティポリシーのモデル
- 情報セキュリティポリシー文書構成例
- 情報セキュリティポリシー策定の留意点
- 「情報セキュリティ基本方針」項目例
- 「対策基準」の項目例
- 「実施手順」
- 情報セキュリティポリシー運用の留意点
- 監査
19Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
組織が所有する情報資産の情報セキュリティ対策について、総合的,体系的,具体的にまとめたもの。組織としての基本的考え方や情報セキュリティを確保するための体制,組織,運用を含めた規定。
◆情報セキュリティを守るためには、・単なる技術的対策だけでは、不十分。・人の問題、環境の問題など管理面の対策も重要・組織として意思統一され、明文化された文書
が必要
情報セキュリティポリシー
20Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティポリシーのモデル
情報セキュリティを確保するために遵守すべき規定
基本方針(基本ポリシー)
対策基準を実施するための詳細な手順書(マニュアル等)
情報セキュリティ対策に対する基本的な考え方
(組織の情報セキュリティに対する取り組み姿勢を示す)
セキュリティポリシー
対策基準(スタンダード)
実施手順(プロシージャ)
21Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティポリシー文書構成例
階 層 規 定 文 書
基本方針 情報セキュリティ基本方針
対策基準
情報セキュリティ組織運営基準電子化情報管理基準情報システム運用基準情報システム開発基準物理的セキュリティ基準外部委託基準情報セキュリティ監査及び点検基準情報セキュリティ緊急時対応基準情報セキュリティ倫理基準
実施手順ファイアウォール設定データベースアクセス設定ID・パスワード利用マニュアル
http://www.ipa.go.jp/security/fy12/contents/crack/policy/policy_model.pdf
22Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティポリシー策定の留意点
• リスク分析
– 情報資産の整理
– 想定される脅威の整理、重要度付け
– 保護対策の選定
• 策定チームの体制
– 経営層代表者、主要な各部門の担当者、作成者
◆何をどこまで守るのか(対象範囲の明確化)◆誰が責任者か
23Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティポリシー策定の留意点
• 文書化
– 網羅性を確保する
– 既存の管理規約、就業規則等との整合
– 物理的な状況(組織の地理的な配置等)
• バランス
– 使いやすさとセキュリティ
24Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 総則– 目的、定義、関連規約、経営者の声明(方針)
• 情報資産の管理– 情報資産の分類及び管理、情報資産へのアクセス
• 組織内情報システム– 基本方針の遵守、外部委託
• 運用管理体制– 担当役員、担当部署、部門担当者
• 社員等の義務、違反に対する処分
情報セキュリティポリシー策定の留意点「情報セキュリティ基本方針」の項目例
25Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 目的
– 当該対策基準の目的
• 対象者、対象組織、体制
– 当該対策基準を遵守する対象者
– 当該対策基準を行うのに必要な体制
• 対象業務、対象システム
• 遵守事項、禁止事項、推奨事項
情報セキュリティポリシー策定の留意点「対策基準」の項目例
26Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• セキュリティポリシーの策定体制
• セキュリティポリシーの運用体制
• セキュリティポリシーの見直し
• セキュリティポリシーの啓発・教育
情報セキュリティポリシー策定の留意点情報セキュリティ組織運営基準
27Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• アクセス権限
• 保管、持ち出し
• 廃棄– 委託の場合、特に注意
• 複製– 必要以上の複製を禁止
– 消失対策としてのバックアップ作成は義務
• 紛失は起こりえるという前提での対策– 暗号化
情報セキュリティポリシー策定の留意点電子化情報管理基準
28Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• ネットワーク接続機器(サーバー・端末)
• ユーザ管理、ユーザ認証(ログイン)
• 離席時対策(スクリーンセーバ)
• パソコン持ち出し
• ネットワーク構成管理
• 外部ネットワーク接続
• 脆弱性検査、ウイルス対策
• 監視、記録
情報セキュリティポリシー策定の留意点情報システム運用基準
29Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 情報システムの企画・設計
– セキュリティターゲット
• 開発、導入
• 調達
– 製品評価認証(ISO/IEC 15408)• 検査
情報セキュリティポリシー策定の留意点情報システム開発基準
30Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 地震、火災、水害など災害対策
• 停電対策
• 盗難防止のための入退室管理
• 無線LAN等のネットワーク接続
• 電磁波漏洩対策(テンペスト対策)
• データセンター等外部委託先も対象
情報セキュリティポリシー策定の留意点物理的セキュリティ基準
31Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 業者選定
• 契約
• 再委託
• 監査・検査
情報セキュリティポリシー策定の留意点外部委託基準
32Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 内部監査
– 組織の独立性
– 権限
• 外部監査
• 計画、実施、報告、改善
情報セキュリティポリシー策定の留意点情報セキュリティ監査及び点検基準
33Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 組織・体制
– インシデント対応組織
– 責任者
– 連絡体制
• 被害の拡大防止
• 原因究明と再発防止
情報セキュリティポリシー策定の留意点情報セキュリティ緊急時対応基準
34Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 守秘義務
• パスワード管理
• ID共用
• 私的利用(メール、wwwなど)
• 著作権侵害
• 法令等の遵守
情報セキュリティポリシー策定の留意点情報セキュリティ倫理基準
35Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 不要な個人情報収集の禁止
• 目的外使用の禁止
• 保有個人情報の把握
• 漏洩対策
• 廃棄
• 開示要求・訂正要求
• 委託先も対象
情報セキュリティポリシー策定の留意点個人情報保護基準
36Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 部署毎に作成
• 具体的な手続き、用紙
• 承認権限
• チェックリスト活用
• 業務やシステム変更時の見直し
情報セキュリティポリシー策定の留意点「実施手順」
37Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• 運用の体制
– 周知徹底
– 実施状況について情報収集
• 情報収集の自動化• 例えば、パスワード定期更新状況
• ソフト更新の集中管理
• 定期的な見直し
– 実施状況や監査結果により検討
– 適用範囲の対象はどこまでか
情報セキュリティポリシー運用の留意点
38Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティポリシー運用体制例
…
監査部門・運用状況の評価・見直しの提言
監査部門・運用状況の評価・見直しの提言セキュリティ管理部門
・全社セキュリティ管理の統括・セキュリティポリシーの運用・管理
セキュリティ管理部門・全社セキュリティ管理の統括・セキュリティポリシーの運用・管理
経営者(セキュリティ担当役員)・ポリシーの承認
経営者(セキュリティ担当役員)・ポリシーの承認
システム部部長
AAAシステム課システム課長BBBシステム課システム課長ネットワーク管理課ネットワーク課長…
システム部部長
AAAシステム課システム課長BBBシステム課システム課長ネットワーク管理課ネットワーク課長…
XYZ部部長
セキュリティ
システム…
情報資産…
XYZ部部長
セキュリティ
システム…
情報資産…
ABC部(ユーザ部門)部長
セキュリティ担当者・部門のセキュリティ管理システム担当者・部門のシステム運用管理情報資産管理者・部門の情報資産管理
ABC部(ユーザ部門)部長
セキュリティ担当者・部門のセキュリティ管理システム担当者・部門のシステム運用管理情報資産管理者・部門の情報資産管理
39Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
監査
• 内部監査
– 組織内部の監査部門
– 被監査部門との独立性
• 外部監査
– 専門の監査会社
– 情報セキュリティ監査• どのレベルか評価
– ISMS認証
• 水準達成の第三者認証
• セキュリティポリシーが遵守されているか
• ヒアリング、システムログ調査
• 脆弱性検査
• 指摘、改善、報告
• 委託先企業の監査
40Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
3.従業員の教育、委託先との関係
- 従業員の教育
- 委託先との関係
41Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
従業員の教育
• 全ての従業員が対象
– 派遣社員、アルバイト、管理職、役員も対象
• 教育のタイミング– 新人研修(中途採用も)、OJT– 異動時研修(業務が変わった場合)
– 再教育(守ってないことが発覚時)
– ルールの変更時
• セキュリティポリシーと実施手順は、いつでも見れるように(職場に配布/イントラネット)
42Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
従業員の教育
• 意識改革が難しい
• 守らなくても大したことはないと考える人
– 過失:自分は大丈夫
– 故意:不正をしても、見つからない
• 守らなかった場合の最悪の結果を示す
– 組織の被害(信用失墜、売上減少、損害賠償)
– 従業員の給料カット、個人の評定ダウン
• 監視していることを伝える(手段は非開示)
43Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
従業員の教育
• 守る風土つくり
– 互いに注意し合う
– 上司が率先して守る
– 軽微な不正/小さなルール違反でも注意
– 管理部門からではなく、上司から注意
• 守らない人が多いと上司の監督不足
• 守らない原因を分析する– (例)守ると成果が出ず自分の評価が悪くなる?
• ⇒ルールの見直し または 成果目標の見直し
44Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
従業員の教育
• 守らせるには、意識の向上と共に、関連する知識の向上も重要
– 「情報セキュリティ読本」を活用
– 資格制度の活用
• ウイルス情報や脆弱性情報などのうち、緊急に対処すべき事項をメールなどで周知徹底
• 繰り返すことで、当たり前になる
45Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
委託先との関係
• 脅威の整理
– アウトソーシング業務のリスクアセスメント
– セキュリティターゲット
• 委託先業者の選定基準
– プライバシーマーク取得
– 技術水準
– 経営状況
– 管理体制
– セキュリティ教育
46Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
委託先との関係
• 委託契約に盛り込む内容– セキュリティポリシーの準用
– 守秘義務
– 運用状況の検査に応ずる義務
– 損害賠償責任
– 情報セキュリティの意識の啓発および教育
– 個人情報保護の意識の啓発および教育
– 再委託の禁止又は制限
• 同意書– 守秘義務及び情報セキュリティ遵守
(委託業務に従事する者全て)
47Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
委託先との関係
• 連絡体制(特に障害時や緊急時)
• 情報管理責任者
• 内部統制
– ルール
– 教育
– 体制
• 報告
48Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
委託先との関係
• 派遣者への権限を必要最小限に
• 開示/提供する情報資産は必要最小限に
• 開示/提供の事前承認、記録(日時、担当
者)、返却時の記録
• 監査
49Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
Do
PDCAPDCAサイクルによるサイクルによる スパイラルアップスパイラルアップ
継続的改善継続的改善
Plan
Check
Actポリシー
作成
計画
実装及び運用
監視・監査
代表者による見直し
リスク評価→リスクマネジメント→業務継続管理
ISMS:情報セキュリティマネジメントシステム
出典:(財)日本情報処理開発協会
50Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
まとめ
• 情報セキュリティマネージメントは、リスクアセスメントで、何をどこまで守るか決め、
• セキュリティポリシーで対策を明文化し、
• それを教育で従業員に周知徹底し、
• 委託先にも契約で準用を義務づけ、
• 監査・点検し、
• 問題があれば原因を調査し改善する
• PDCAを回していくことが重要です。
Copyright © 2004 独立行政法人 情報処理推進機構
情報セキュリティセミナー 2004
情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
企業の体験談から学ぶ:対策の現状や被害事例など
注:会場により、「企業の体験談」もしくは「情報漏洩事件・事例検証」のいずれかの講演を行います。
本資料は、会場配布資料のみに含まれます
Copyright © 2004 独立行政法人 情報処理推進機構
情報セキュリティセミナー 2004
情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報漏洩事件・事例検証
注:会場により、「企業の体験談」もしくは「情報漏洩事件・事例検証」のいずれかの講演を行います。
本資料は、会場配布資料のみに含まれます
Copyright © 2004 独立行政法人 情報処理推進機構
情報セキュリティセミナー 2004
情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
コンプライアンス:個人情報保護法等の法令・標準・制度への対応
1. 個人情報保護法2. 不正アクセス禁止法3. 不正競争防止法4. ISO/IEC17799とISMS適合性評価制度5. ISO/IEC15408と情報セキュリティ評価・認証制度
2Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
法的なリスク
• 負けるとお金を払わなければならないことがある(民事訴訟)
• 警察に逮捕されることがある(刑事事件)
– 不起訴になったりもしますが
• 罰金になることもある(刑事事件)
3Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
法的なリスクも変化している
• 能動的な犯罪行為が処罰される対象だったが・・・
• 管理責任を怠っていると処罰されてしまう
– 個人情報保護法
• 管理責任を怠っていると助けてもらえない
– 不正アクセス禁止法
• 管理責任のハードルがけっこう高い
– 不正競争防止法
4Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
個人情報保護法
• 個人情報取扱事業者の管理責任範囲を規定した法律• 2005年4月から本格施行• 個人情報取扱事業者は個人情報を5000件以上持っている
と誰でもそうみなされる可能性がある(6ヶ月保有)• 「個人情報データベース等を事業の用に供しているもの」
(第2条)• ここで言う個人情報とは、「氏名、住所、電話番号、画像や
音声データ、メールアドレス」を最小限とするもの• 「事業の用」というのは社会的事業に反復して使っている、と
いうことを指す• メーリングリスト管理者も個人情報取扱事業者とみなされる
可能性がある(メールアドレスについてはさまざま議論があるが)– http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/030307h
ouan.html
5Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
個人情報保護法の要求
• 適切な取得方法– 利用目的を偽るのはダメ
– 情報の持ち主が知らないうちに勝手に取得してはダメ
• 利用範囲の明示– 違う目的で利用してはダメ(上と同じ)
• 第三者利用についての方針明示– 勝手に誰かに渡してはダメ
• 持ち主要望への対応方針の明示– 持ち主の開示、利用停止の要求には応じなければダメ
– 手数料を法外にしてもダメ
6Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
個人情報保護法の要求2
• 安全管理措置
– いわゆる情報セキュリティ対策
– データベースサーバの保護
– 紙の書類の保護
• スタッフの管理
– セキュリティポリシーなどの整備
• 委託先の管理
7Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
関係条文
• (1)利用目的の特定、利用目的による制限(15条、16条)
• (2)適正な取得、取得に際しての利用目的の通知等(17条、18条)
• (3)データ内容の正確性の確保(19条)
• (4)安全管理措置、従業者・委託先の監督(20条~22条)
• (5)第三者提供の制限(23条)
• (6)公表等、開示、訂正等、利用停止等(24条~27条)
• (7)苦情の処理(31条)
• 漏洩させたら責任を問われる
8Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報を管理する側とのかかわり
• 個人情報取扱事業者として、要求されるスペックに応える管理を行う責任が生じる
– 個人情報取扱事業者に、管理を委託される側としても同様
• 個人情報取扱事業者として、運用委託先を管理する責任が生じる
9Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
法律の要求に応える
• オーソドックスなセキュリティ対策(技術的なもの)
– 情報が存在するコンピュータ、通信路の防護
– 情報の操作記録を取る
• 人の管理
– セキュリティポリシー、ルール、ワークフロー
– 契約
10Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
オーソドックスなものが最も難しい
• 社員はいろいろな仕事場所で、いろいろな立場のスタッフと協力して、いろいろなコンピュータ、装置を使いながら仕事をする
• 管理者は多様化するリスクを管理しなければならない
– これはもはや「セキュリティの管理者」だけの問題ではありえない
11Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
委託先の管理
• 委託先の業務にどこまで干渉するのか?
– 契約(秘密保持契約、一般的な業務委託契約)
– 監査(業務の監査、成果物の監査など)• 認証制度の利用による監査の省略(ISMSなど)
– 口頭試問?
12Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報の持ち主の要求に応える
• 情報の持ち主は、個人情報取扱事業者に対して以下の要求をすることができる
– 開示
– 誤りの訂正
– 使用停止
– 利用形態、範囲の訂正
• システム上、こうした要求に応じる「機能」が必要
• 持ち主は外部の利用者にとどまらない。社員も個人情報を会社に預けていたりする
13Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不正アクセス禁止法
• 2000年2月から施行
• 不正アクセスを禁じている
• 不正アクセスの幇助も禁じている
• 基本はIDとパスワード、バッファオーバーフロー攻
撃
• 条文:http://www.ipa.go.jp/security/ciadr/law199908.html
• 逐条解説:http://www.tohoku.ac.jp/TAINS/news/st-news-21/2640.html
14Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
「不正アクセス」とはどういうものか?
• アクセス制御機能のあるコンピュータに対し,他人の識別符号を入力して,制限されている利用を可能にする行為(3条2項1号)。
• アクセス制御機能のあるコンピュータに対し,特殊な情報又は指令を入力して,制限されている利用を可能にする行為(3条2項2号)。
• ネットワークで接続された他のコンピュータのアクセス制御機能によって利用が制限されているコンピュータに対し,特殊な情報又は指令を入力して,制限されている利用を可能にする行為(3条2項3号)。
• http://www.tohoku.ac.jp/TAINS/news/st-news-21/2640.htmlより引用
15Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不正アクセス禁止法に保護してもらうためには
• アクセス制御機能で防護されている必要がある– ネットワークに接続されていて、IDとパスワードで防護さ
れている状態のこと(2条3項)
– しかし、IDとパスワードがあまりにも簡単だと、保護しても
らえない可能性もある
• 管理者アカウントIDとパスワードがしっかり付与されたWebサーバーに置かれた特定のファイルを見
ることは、不正アクセスにあたるのか?– 見方に拠るが・・・。CGI経由のアクセスなどは、「アクセ
ス制御機能を回避した」と言えるのか?
16Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不正アクセス禁止法に保護してもらうためには2
• そもそも不正アクセスされたのかどうか、検知できなければ話にならない
• 不正アクセスを検知するには
– 複数のログ取得が基本• 侵入検知システム(IDS)、ファイアウォールなど、シス
テムのログに頼らない仕組みが不可欠
– 細工できないログ取得
– ハニーポット系技術、セキュアOS系技術の援用
17Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不正アクセス禁止法違反にならないためには
• 不正アクセス禁止法違反というのは「形式犯」
– 形式が成立した時点で違反となる
• 違反とされる可能性が高い事例– 他人のIDとパスワードを管理者以外から聞いてログイン
– 他人のIDとパスワードを探ろうとした、探り当てた
– バッファオーバーフロー攻撃
• 違反とされるかどうか微妙な事例– WebサーバーCGIの弱点の利用
– WebのURLに出てくるパラメタの操作
18Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不正競争防止法
• 平成15年5月23日に交付、平成16年1月1日から施行された改正部分で、不正アクセス行為による情報窃盗がカバーされた
• 第14条 次の各号のいずれかに該当する者は、3年以下の懲役又は300万円以下の罰金に処する。
• 3.詐欺等行為(人を欺き、人に暴行を加え、又は人を脅迫する行為をいう。以下同じ。)により、又は管理侵害行為(営業秘密が記載され、又は記録された書面又は記録媒体(以下「営業秘密記録媒体等」という。)の窃取、営業秘密が管理されている施設への侵入、不正アクセス行為(不正アクセス行為の禁止等に関する法律(平成11年法律第128号)第3条に規定する不正アクセス行為をいう。)その他の保有者の管理を害する行為をいう。以下同じ。)により取得した営業秘密を、不正の競争の目的で、使用し、又は開示した者
• http://www.houko.com/00/01/H05/047.HTM
19Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不正競争防止法に保護してもらうためには
• 「営業秘密」の要件– ①秘密管理性(秘密として管理されていること)
• 当該情報にアクセスできる者を制限する(アクセス制限)とともに、同情報にアクセスした者にそれが秘密であることが認識できることが必要である(客観的認識可能性)。
– ②有用性(事業活動に有用な情報であること)• 例えば、保有することにより経済活動の中で優位な地位を占め
ることができるような情報であること。(なお、失敗に関する情報など潜在的な価値のある情報や、将来の事業に活用できる情報も含む。)
– ③非公知性(公然と知られていないこと)• 既存の書物・学会発表等から容易に引き出せない情報であるこ
と。
20Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
不正競争防止法の「営業秘密」と認められるためには• (1)アクセス制限
– ①アクセス権者の限定• 情報毎の秘密レベルに応じて
アクセス権者を限定。
– ②アクセス権者の使用・開示の範囲の限定
• 特定の場所からの持出禁止等。
– ③アクセスの履歴の記録• 電磁的記録へのアクセス記録
のモニター等。
• (2)情報の形態ごとの管理– ①記録媒体の管理
• 【保管時】特定の管理者が施錠等をして保管。
• 【廃棄時】焼却、シュレッダーによる処理、溶解、破壊。
– ②情報自体(無体物)の管理• 【保管時】パスワード管理
の徹底等。• 【廃棄時】コンピュータ廃
棄時に電磁的記録を消去。
• (3)施設等の管理– ①建物・事務所・研究所のセ
キュリティ• 警備員の配置、ICカードや
指紋による本人確認等。
– ②部門の設置等• 社内に独立した営業秘密管
理専門部署を設置等。
営業秘密管理指針の概要(平成15年1月経済産業省による)より引用(一部)
21Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティに関する標準化動向
• BS7799(1995 英国)• ISO/IEC 17799(2000/11)• JIS X 5080(2002/2)• 情報セキュリティポリシーに関するガイドライン(2000/7)
• ISMS認証基準(2002/4 日本情報処理開発協会)
• 情報セキュリティ監査基準(2003/4)
• ISO/IEC 15408(1999/12)• JIS X 5070(2000/7)
ISO/IEC17799とISMS適合性評価制度
22Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
BS7799:1995
1998年に2部構成化(第1部:規範、第2部:仕様)
ISO/IEC 17799
1995年英国規格
JIS X 5080 2002年にJISとして制定
BS7799-2:1998BS7799-1:1998
2000年に国際規格化
ISMS認証基準
2002年に改訂ISO/IECの規格として
現在標準化作業中
現在改訂作業中
2002年にJIPDEC(日本情報処理開発協会)制定
BS7799-2:2002
BS7799、JIS X 5080、ISMS認証基準
ISO/IEC17799とISMS適合性評価制度
23Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
相互承認(CCRA)
ITSEC :Information Technology Security Evaluation CriteriaTCSEC :Trusted Computer System Evaluation Criteria
CCの成立ち
1999:6月に国際規格(IS)として承認。12月発行。
ISO/IEC 15408
日本での規格名は、JIS X 5070通称 CC と呼ばれている
V1.0:1994V2.0:1998/V2.1:1999
CC(Common Criteria)米加英仏独蘭
国際的な市場↓
評価基準統一の必要性
商用への適用の広がり
(ISO/IEC JTC 1/SC 27/WG 3へ提案)
TCSEC(Orange Book)
1985
ITSEC 1991
欧州各国ごとの評価基準
CTCPEC (Canada)
1988
ISO/IEC15408と情報セキュリティ評価・認証制度
24Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
独立行政法人 情報処理推進機構独立行政法人 情報処理推進機構
認証書
(Certification)
申請者ベンダー、
システム・インテグレーター
申請者ベンダー、
システム・インテグレーター
NITE独立行政法人 製品評価技術基盤機構
NITE独立行政法人 製品評価技術基盤機構
② 評価依頼
③ 評価
評価機関の認定(Accreditation)
(Evaluation)
評価基準
ISO/IEC15408
CCRA
評価機関
情報セキュリティ評価・認証制度(JISEC)
認証機関*
認定機関
評価報告④ 認証
① 認証申請
ハードウェア ソフトウェア
デジタル複合機 ICカードOS,アプリケーションソフトウェア システム
対象製品
①申請者は、評価機関に製品の評価を依頼します。同時に、認証機関(IPA)に対して「認証」の申請書を提出します。②評価機関は、申請者から依頼された製品やシステムの評価を行います。
評価機関は、評価が終了すると認証機関に「評価報告書」を提出します。③認証機関は、評価報告書の検証を行い、評価内容が妥当であると判断されれば、認証書を発行します
25Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
CCRA(Common Criteria Recognition Arrangement)とは、各国の政策実施機関が IT製品等の安全性を客観的に評価した結果を国際的に相互承認するための枠組み。1998年にISO/IEC15408(別名:Common Criteria)に基づく評価を開始して、米英仏独加5か国の政策実施機関により設立された。我が国は19番目の加盟国。現時点(2004年9月)での認証取得済製品は約180品目(うち20品目が我が国の製品)。
CCRACCRA加盟国(加盟国(20042004年年99月現在)月現在)
カナダカナダ フランスフランス ドイツドイツ イギリスイギリス 米国米国
市場市場 市場市場 市場市場市場市場市場市場
オーストラリアオーストラリア
市場市場 市場市場
ニュージーランドニュージーランド
認証認証((ValidationValidation//Certification)Certification)
評価評価
(Evaluation)(Evaluation)
認定認定
(Accreditation)(Accreditation)CCRACCRA
認証書認証書認証書認証書認証書認証書認証書認証書
ギリシャギリシャ
フィンランドフィンランド
イタリアイタリア
オランダオランダ
ノルウェーノルウェー
スペインスペイン
認証書認証書
認証書認証書認証書認証書認証書認証書 認証書認証書認証書認証書認証書認証書 認証書認証書
イスラエルイスラエル
スウェーデンスウェーデン
オーストリアオーストリア注1:認証発行国:自国の認証制度において認証された製品がCCRA加盟国において認証製品として認められる国
注2:認証受入国:認証発行国において認証された製品を認証製品として認める国
認証発行国※注1
ハンガリーハンガリー
トルコトルコ
認証受入国※注2
CCRA (Common Criteria Recognition Arrangement)
ISO/IEC15408と情報セキュリティ評価・認証制度
26Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
各省庁は、セキュリティに関する信頼度の高い情報システムの構築を図る観点から、今後の情報システムの構築に当たっては、可能な限り、次のような方法等により、ISO/IEC15408に基づいて評価又は認証された製品等の利用を推進するものとする。
各省庁は、セキュリティに関する信頼度の高い情報システムの構各省庁は、セキュリティに関する信頼度の高い情報システムの構
築を図る観点から、今後の情報システムの構築に当たっては、可築を図る観点から、今後の情報システムの構築に当たっては、可能な限り、次のような方法等により、能な限り、次のような方法等により、ISO/IEC15408ISO/IEC15408に基づいて評に基づいて評価又は認証された製品等の利用を推進するものとする。価又は認証された製品等の利用を推進するものとする。
政府調達の際には、可能な限り認証された製品を調達するか、政府調達の際には、可能な限り認証された製品を調達するか、システムに関するSTの評価を受けることとシステムに関するSTの評価を受けることとすする。る。
平成平成1313年年33月月2929日日 行政情報化推進各省庁連絡会議了承行政情報化推進各省庁連絡会議了承
ISO/IEC15408と情報セキュリティ評価・認証制度
政府調達における位置づけ
ISO15408に関する問合せ先(独)情報処理推進機構 セキュリティセンター
http://www.ipa.go.jp/security/情報セキュリティ認証室 http://www.ipa.go.jp/security/jisec/お問い合わせ:[email protected]
◆Common Criteria http://www.commoncriteriaportal.org/
Copyright © 2004 独立行政法人 情報処理推進機構
情報セキュリティセミナー 2004
情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
インシデント対応
1.インシデント対応とは2.平時におけるインシデント対応の準備3.情報セキュリティ侵害を検出する4.インシデントに対応する5.インシデント後6.インシデント対応の作業手順(まとめと補足)
2Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
インシデント対応とは
• インシデント情報セキュリティ分野においては(Security incident)、情報セキュリティリスクが発現,現実化した事象
• サービス妨害(DoS)攻撃
• システムへの侵入
• サーバの不正中継 等
• インシデント対応インシデントの発生に際して、それを検知し、関係組織と連絡をとり、被害の拡大を防ぐと共に、再発を防止するための原因究明と改善を行う、一連の組織的活動
3Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
• セキュリティポリシー等の中で手順を明記インシデント発生時の体制、責任者、連絡先等
• 平時に行われていなければならないこと
– 定期的バックアップ
– システムの通常状態の把握
– 外部情報収集と修正プログラムの適用
– 予行演習
• 技術的手段の準備
– 情報セキュリティ侵害の検知を支援するツール
– バックアップ資源
平時におけるインシデント対応の準備
4Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティ侵害を検出する(1)
• 検出・認識の方法– 既知の侵害(パターン)を検出する:シグネチャ認識
– 異常な状態を認識する
– 他者からの連絡
• ツールの利用
• 次に何をすべきか?
5Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティ侵害を検出する(2)ー 異常な状態を認識する
システム異常の例(1) レスポンスの異常な低下
(2) システムエラーの発生
(3) システムの異常停止
(4) ファイルの改ざん
(5) 存在すべきファイルの抹消や不明なファイルの存在
(6) ファイル利用量の急激な増減
(7) 本来稼動しているはずのサービスの停止
(8) 不明なプロセスの実行
(9) 本来利用できないはずのシステムユーザの利用
6Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティ侵害を検出する(3)ー ツールの利用
異常検出を極力自動化
例:Tripwireによる各種設定ファイルの改ざんチェック
当該ファイルのハッシュ値の比較(正常時と異常時)
平時の準備が必要
7Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティ侵害を検出する(4)ー 次に何をすべきか?
• インシデントの状態の保存
– 各種設定ファイル
– ネットワークの接続状況
– ログインユーザ
– すべてのプロセス 等
• 該当インシデントの公開情報の調査
IPA/ISEC、JPCERT/CC等の利用
• 本当にインシデントかどうかの確認
• 時系列の記録の開始
8Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
インシデントに対応する
• インシデント対応手順の確認
• 報告する– 組織体内部のコミュニケーション
あらかじめ定められた手順
– 関連組織とのコミュニケーション参考資料:JPCERT/CC 技術メモ 関係サイトとの情報交換http://www.jpcert.or.jp/ed/2002/ed020001.txt
9Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
インシデントに対応する(2)
• 暫定的対応と本格的対応– 暫定的対応(被害の拡大防止):
• ネットワークの遮断/システムの停止
– 本格的対応(再発防止):• 原因の特定
• クリーンなシステムの再構築
(攻撃者にシステム特権を奪われたとき)• 修正プログラムの適用
• データの復旧
10Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
インシデント後
• 報告書– 時系列記録の整理・報告– 今回対応のよかった点/悪かった点
• 改善する– 改善点をセキュリティポリシーや手順書に反映・
集約– 技術的な改善– 組織間コミュニケーションの改善
11Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
インシデント対応の作業手順
• 1.手順の確認• 2.作業記録の作成• 3.責任者、担当者への連絡• 4.事実の確認• 5.スナップショットの保存• 6.ネットワーク接続やシステムの遮断もしくは停止• 7.影響範囲の特定• 8.渉外、関係サイトへの連絡• 9.要因の特定• 10.システムの復旧• 11.再発防止策の実施• 12.監視体制の強化• 13.作業結果の報告• 14.作業の評価、ポリシー・運用体制・運用手順の見直し
出典 技術メモ - コンピュータセキュリティインシデントへの対応http://www.jpcert.or.jp/ed/2002/ed020002.txt
12Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:不審なアクセスを検出した場合の対応
• 可能性(a)攻撃対象の探索を意図したアクセス、または、アタックその
もの
(b)設定ミス、操作ミスによるアクセス
(c)システムの予想外の挙動によるアクセス
• 対応(a)すべてのアタックについて防御に成功したと判断できない場
合には、念のためシステムの稼働状況を調査し、不審な点がないか確認
出典 技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
13Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:外部からインシデントについての連絡を
受けた場合
(1)サイト内での調整広報、渉外、法務などからの対応が望まれる場合は、該当部署と調整
(2)事実関係の確認・連絡元の主張する内容を落ち付いて確認(対象サイト、アクセスの内容、日時等)
・自サイトの場合システムログ等による事実関係の確認(事実の場合、影響度によってはネットワーク接続やシステムの遮断、停止を優先するほうがよい場合も)
(3)連絡元への対応・善意の連絡:事情説明、謝罪など礼を逸しない対応・悪意の連絡:回答を避ける等の特別の対応も検討要
出典: 技術メモ - コンピュータセキュリティインシデントへの対応http://www.jpcert.or.jp/ed/2002/ed020002.txt
14Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:侵入への対応
(1) ネットワークの遮断、システムの停止
(2) スナップショットの保存
(3) 被侵入システムにおける調査
(4) 他のシステムに対する影響の調査
(5) 侵入経路の特定
出典 技術メモ - コンピュータセキュリティインシデントへの対応
http://www.jpcert.or.jp/ed/2002/ed020002.txt
15Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:侵入への対応-(1)
(1) ネットワークの遮断、システムの停止
システム侵入→・ログ改ざんのおそれ
・他システムへの攻撃元として悪用・パケット盗聴プログラムの設置・情報の持ち出し など
ネットワークの遮断やシステムの停止について優先的に検討要
出典 技術メモ - コンピュータセキュリティインシデントへの対応http://www.jpcert.or.jp/ed/2002/ed020002.txt
16Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:侵入への対応-(2)
(2)スナップショットの保存
・プロセスの稼働状況
・ネットワークの利用状況
・ファイルシステムの状況
(ファイルの最終参照時刻、 最終更新時刻、所有者、
アクセス権など)
出典 技術メモ - コンピュータセキュリティインシデントへの対応http://www.jpcert.or.jp/ed/2002/ed020002.txt
17Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:侵入への対応-(3)
(3)被侵入システムにおける調査正常な状態と比較し、 相違の有無を確認
改ざんの例:・アカウント情報の追加、変更・ユーザ認証機構の改ざん・プログラムのインストール、起動・セキュリティ上の弱点を含むソフトウェアへのダウングレード
・侵入者に関する情報を出力から除外するコマンドへの置換
改ざんされていないコマンドによる調査が重要
出典 技術メモ - コンピュータセキュリティインシデントへの対応http://www.jpcert.or.jp/ed/2002/ed020002.txt
18Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:侵入への対応-(4)
(4)他のシステムに対する影響の調査・攻撃用ツールの出力を保存したファイル
・侵入者による他システムへのTCP接続の痕跡
・ルータやファイアウォールのログ
出典 技術メモ - コンピュータセキュリティインシデントへの対応http://www.jpcert.or.jp/ed/2002/ed020002.txt
19Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:侵入への対応-(5)
(5)侵入経路の特定
弱点のチェック・放置していたセキュリティ上の問題、弱点はなかったか・パスワードファイルや設定ファイル類が盗まれた形跡はないか・見破られやすいパスワードがなかったか・HTTP や FTP など、公開しているサービスに設定の誤りが
なかったか などをチェック
出典 技術メモ - コンピュータセキュリティインシデントへの対応http://www.jpcert.or.jp/ed/2002/ed020002.txt
20Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:証拠保全-(1)
• 刑事事件を視野に入れる場合は「証拠保全」
– 「証拠」となるデータを、可能な限りそのままの状態で捜査機関にわたす
– 証拠保全=現場保全であり、不用意なログインを含めてできるだけ操作をしないことが重要
– ただし、被害拡大を防ぐための最低限の処置は行う
• ルーティング変更
• DNS変更、ファイアウォールのフィルタ等による通信遮断
– 物理的に遮断するのは得策ではない
• 「物理的な遮断」を行うことでシステム内部の情報が変化するおそれがあるため、「通信」の隔離の方が望ましい
21Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:証拠保全-(2)標的だけを隔離する例
• 標的サーバーへの通信、標的サーバーからの通信だけを遮断し、標的の状態を保全する
• ただし、標的ではないサーバーも注意が必要
– 踏み台(標的サーバー)からの2次攻撃の可能性有り
ルーター、ファイアウォール
標的サーバー
標的ではないサーバー
22Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
補足:証拠保全-(3)刑事と民事
• 刑事事件は捜査機関に任せる– 不正アクセス禁止法などは刑事なので、捜査機関が起
訴可能と判断すれば逮捕等に発展することが可能– 捜査主体は当然捜査機関であり、被害者といえども口出
しできない– 刑事事件の証拠は「原本(オリジナル)」である必要があ
るため、データが必要ならば手元に自分でコピーして置いておく必要がある
• 民事は自分で証拠を集めて立証する– 損害賠償を求める場合などは、損害程度、損害をうけた
証拠、相手を特定できる証拠などを集める必要がある– したがって、自分で証拠となりそうなものを解析する必要
がある(もちろん、業者への依頼という手もある)
23Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
参考:侵入検知に関する資料
[1] Intruder Detection Checklist http://www.cert.org/tech_tips/intruder_detection_checklist.html
[2] Steps for Recovering from a UNIX or NT System Compromise http://www.cert.org/tech_tips/win-UNIX-system_compromise.htmlhttp://www.auscert.org.au/Information/Auscert_info/Papers/win-UNIX-system_compromise.html
[3] CIAC-2305 Unix Incident Guide: How to Detect an Intrusion ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.pdf ftp://ciac.llnl.gov/pub/ciac/ciacdocs/ciac2305.txt
[4] Windows NT Intruder Detection Checklist http://www.auscert.org.au/Information/Auscert_info/Papers/win_intruder_detection_checklist.html
Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
情報セキュリティセミナー 2004
セキュリティ情報収集方法の紹介
2Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(1)メールによる情報収集 [1/2]
• 企業内で利用しているハードウェアや市販のソフトウェアについては、ユーザ登録を行うことで、脆弱性やパッチ(アップデート)の情報がメール配信される場合があります。このようなユーザ登録は行っておくべきでしょう。
• また、これから紹介するようなメーリングリストに登録しておくことで、最新のセキュリティ情報をいち早く得ることが出来ます。
3Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(1)メールによる情報収集 [2/2]• Microsoftのメーリングリスト
マイクロソフト プロダクト セキュリティ 警告サービス
http://www.microsoft.com/japan/technet/security/bulletin/notify.asp
• IPAのメーリングリスト
情報処理推進機構 新着情報メール配信
http://www.ipa.go.jp/about/mail/index.html• JPCERT/CCのメーリングリスト
http://www.jpcert.or.jp/announce.html
4Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(2)Webからの脆弱性やパッチの情報収集 [1/4]
• 脆弱性情報を提供するサイトを定期的に参照することで、それらの最新情報を収集することが出来ます。
• また、ハードウェアやソフトウェアのメーカーサイトを定期的に参照することで、それらの最新情報を収集することが出来ます。
• 経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準(*)」を受けて、日本国内の製品開発者の脆弱性対応状況を公開するサイトとして、JVNがあります。
5Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(2)Webからの脆弱性やパッチの情報収集 [2/4]• IPA/ISEC
http://www.ipa.go.jp/security/• JPCERT/CC
http://www.jpcert.or.jp• @police (警察庁/NPA)
http://www.cyberpolice.go.jp/• CIAC
http://www.ciac.org/ciac/index.html• CERT/CC
http://www.cert.org/• Security Focus
http://www.securityfocus.com/
6Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(2)Webからの脆弱性やパッチの情報収集 [3/4]
• Microsofthttp://www.microsoft.com/japan/technet/security/(日本語版)
• SUNhttp://sunsolve.sun.com/search/search.do?Search=pageName&search=type&language=ja&collection=SUNALERT
• Ciscohttp://www.cisco.com/en/US/products/products_security_advisories_listing.html
7Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(2)Webからの脆弱性やパッチの情報収集 [4/4]
• CheckPointhttp://www.checkpoint.co.jp/securitycenter/advisories/index.html(日本語版)
• Oraclehttp://otn.oracle.co.jp/security/ (日本語版)
• IBMhttp://www-6.ibm.com/jp/domino07/lotus/home.nsf/Content/support
• Apachehttp://www.apache.jp/ (日本語版)
• HPhttp://h50120.www5.hp.com/upassist/itrc_japan/assist2/secbltn/index.html
8Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(2)Webからの脆弱性やパッチの情報収集
• JVNJVN は、"JP Vendor Status Notes" の略です。経済産業省告示「ソフトウエア等脆弱性関連情報取扱基準(*)」を受けて、日本国内の製品開発者の脆弱性対応状況を公開するサイトとして、有限責任中間法人 JPCERT コーディネーションセンター (JPCERT/CC) と独立行政法人情報処理推進機構 (IPA) が共同で運営しています。JVN では、JPCERT/CC が取り扱った脆弱性情報を公開しています。これらの脆弱性情報には、この枠組みに参加している日本国内の製品開発者の対応状況も含まれております。対応状況には、脆弱性に該当する製品の有無、回避策(ワークアラウンド) や対策情報(パッチなど)も含まれます。http://jvn.jp/
9Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
10Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(3)Webからのコンピュータウイルス関連の情報収集 [1/2]
• 通常は、ウイルス対策ソフトを導入してあり、かつ常に最新版のウイルス定義ファイルに更新されていれば、かなりの確率でウイルスを防ぐことが出来ますが、万が一感染してしまった場合あるいは詳細の情報が必要な場合には、ワクチンベンダーのサイトを参照することで、それらの最新情報を収集することが出来ます。
11Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(3)Webからのコンピュータウイルス関連の情報収集 [2/2]
• トレンドマイクロhttp://www.trendmicro.co.jp/vinfo/ (日本語)http://www.trendmicro.com/map/(Virus Map)
• シマンテックhttp://securityresponse.symantec.com/http://www.symantec.com/region/jp/sarcj/index.html(日本語)
• McAfeehttp://vil.nai.com/VIL/newly-discovered-viruses.asphttp://www.nai.com/japan/security/latest.asp (日本語)
• Sophoshttp://www.sophos.co.jp/ (日本語)
• F-Securehttp://www.f-secure.co.jp/v-descs/index.html (日本語)
12Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(4)Webからの新種ワーム発生状況やインターネット事情の情報収集 [1/2]
• 昨年のW32/MSBlasterおよびW32/Welchiaの記
憶は残っていると思いますが、最近はインターネットからの脆弱性を狙った攻撃が増加しています。
このような、インターネットの状況を定期的に情報
公開しているサイトがあります。
これらのサイトを定期的に参照することで、最新状
況の情報収集をすることが出来ます。
13Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(4)Webからの新種ワーム発生状況やインターネット事情の情報収集 [2/2]
• InternetStormCenterhttp://isc.sans.org/
• dshield.orghttp://www.dshield.org/
• X-Force Internet Threat Intelligencehttps://gtoc.iss.net/
• IPA/ISEChttp://www.ipa.go.jp/security/ (2004年10月以降公開予定)
• JPCERT/CChttp://www.jpcert.or.jp/isdas/
• @police (警察庁/NPA)http://www.cyberpolice.go.jp/detect/observation.html
14Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(5)Webからのインシデント事情の情報収集 [1/3]
• セキュリティ情報となるか微妙ではありますが、最近発生しているインシデント事故等のニュース報道は、それらを知ることで自分達のセキュリティ対策が有効であるかの検証にもなります。したがって、いろいろなWebニュースを定期的に参照し、必要ならそれらの情報を企業内で共有することで企業内要員への啓蒙活動になると思われます。
15Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(5)Webからのインシデント事情の情報収集 [2/3]
• ITmediahttp://www.itmedia.co.jp/enterprise/security/index.htmlhttp://www.itmedia.co.jp/news/
• CNET Japan Tech Newshttp://japan.cnet.com/
• Mainichihttp://www.mainichi-msn.co.jp/it/
• Impresshttp://internet.watch.impress.co.jp/
• Japan.Internet.Comhttp://japan.internet.com/index.html
16Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(5)Webからのインシデント事情の情報収集 [3/3]
• Net Securityhttps://www.netsecurity.ne.jp/
• 日経IT Prohttp://itpro.nikkeibp.co.jp/
• IDG Japanhttp://www.idg.co.jp/headline/
• MYCOM PCWEBhttp://pcweb.mycom.co.jp/
• Business Computer Newshttp://www.computernews.com/
17Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
セキュリティ情報収集(6)その他 [セキュリティ情報ポータルサービス]
• セキュリティ情報を利用者の情報ポータルとして提供するセキュリティ情報ポータルサービスと呼ばれる有償サービスがあります。各種の脆弱性情報やセキュリティに関する情報を提供するものです。このようなサービスを受けることで、情報収集を行うこともできます。
18Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
ウイルス対策
不正アクセス対策
NEWS
緊急対策情報
対策実践情報
暗号技術
セキュリティ評価・認証
脆弱性情報
・ウイルス対策・不正アクセス対策・脆弱性対策
【読者層別】・情報シス責任者向け
情報セキュリティ読本・システム管理者向け・エンドユーザー向け・ホームユーザ向け・SOHO向け・ネットワーク
サービス事業者向け・ベンダー向け
URL http://www.ipa.go.jp/security/
IPA/ISECのホームページ
19Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
IPAからの最新情報をメールで配信http://www.ipa.go.jp/about/mail/index.html
20Copyright © 2004 独立行政法人 情報処理推進機構 情報セキュリティセミナー - Advanced IT Security Seminar 2004 -
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)
〒113-6591
東京都文京区本駒込2-28-8
文京グリーンコートセンターオフィス16階
TEL 03(5978)7508 FAX 03(5978)7518
電子メール [email protected]
URL http://www.ipa.go.jp/security/