情報セキュリティ読本 三訂版 情報セキュリティ読本 三訂版 - IT時代の危機管理入門 - (第1章 今日のセキュリティリスク) 出典: 情報セキュリティ読本 三訂版 1 第1章 今日のセキュリティリスク 1. 今日のセキュリティリスク 2. 危険の認識と対策 出典: 情報セキュリティ読本 三訂版 2 第1章 1. 今日のセキュリティリスク 実例1: 狙われるWebサイト 実例2: 巧妙化するフィッシング詐欺 実例3: 増加する金融取引被害 実例4: P2Pファイル交換ソフトを介した 情報漏えい 5. 実例5: 犯罪に使われるインターネット 1. 2. 3. 4. 出典: 情報セキュリティ読本 三訂版 3 第1章 > 1. 今日のセキュリティリスク 実例1: 狙われるWebサイト ■正規のWebサイトでも要注意 • 2008年、Webサイトが攻撃を受け、改ざんされて罠 が埋め込まれる被害が世界各国で発生 • サイトの規模に関わらず攻撃を受けるおそれがある • SQLインジェクション攻撃が原因とみられる • Webサイトにアクセスしたユーザが、不正プログラム をダウンロードさせられるなどの被害に遭う(セキュリ ティ対策が不十分な場合) • 正規のサイトで外観が正常でも、安心できない ⇔ SQLインジェクションについては、第5章 p.87参照 出典: 情報セキュリティ読本 三訂版 4 第1章 > 1. 今日のセキュリティリスク 実例2: 巧妙化するフィッシング詐欺 ■うっかりしてると騙される? • 正規の金融機関などを装った偽のWebサイトに ユーザを誘導し、個人情報や機密情報(クレジット カード番号や暗証番号など)を盗み取る不正行為 • 米国では2003年頃、日本では2004年頃から発生 • 最近の特徴 – 金銭的な被害に直結 – ユーザを騙す手口が巧妙化 出典: 情報セキュリティ読本 三訂版 5 第1章 > 1. 今日のセキュリティリスク 実例2: 巧妙化するフィッシング詐欺 イーバンク銀行をかたる 偽りのサイト。 ユーザID・ログインパス ワード・暗証番号を盗み出 そうとしている。 出典: 情報セキュリティ読本 三訂版 6 第1章 > 1. 今日のセキュリティリスク 実例3: 増加する金融取引被害 ■便利と危険は隣り合わせ • 2007年度のインターネットバンキングの被 害は231件、総額1億9,000万円(金融庁) (例)2008年7月、ゆうちょ銀行とイーバンク銀 行のフィッシング詐欺で、21名が約1,300万 円の被害を受ける ⇔フィッシング詐欺への対策は、第3章 p.53-56参照 出典: 情報セキュリティ読本 三訂版 7 第1章 > 1. 今日のセキュリティリスク 実例4: P2Pファイル交換ソフトを介した情報漏えい ■知らない間に情報漏えい • 2004年頃から、機密情報や個人情報がP2Pネット ワークに漏えいする事件が多発 – 原発の検査情報、自衛隊の資料、病院の診療記録、 警察の捜査資料、刑務所の受刑者情報など • 原因は、個人のパソコンでファイル交換ソフトを利 用し、これを悪用するウイルスに感染したため – ファイル交換ソフト: Winny、Shareなど 出典: 情報セキュリティ読本 三訂版 8 P2Pによる情報漏えいの仕組み 出典: 情報セキュリティ読本 三訂版 9 第1章 > 1. 今日のセキュリティリスク 実例5: 犯罪に使われるインターネット ■共犯者をインターネットで募集 • 2006年6月、フィッシング詐欺(被害者: 約850人、 被害総額: 約1億2,000万)の犯人グループが逮捕 – メンバーをインターネットの掲示板で募集 • 2008年6月、秋葉原無差別殺傷事件 – 携帯電話サイトの掲示板を使用して、犯人が犯行予告 • 有用であるべきインターネットの不正利用が目立つ 出典: 情報セキュリティ読本 三訂版 10 第1章 2. 危険の認識と対策 1)インターネットに潜む危険 2)メールに潜む危険 3)日常業務に潜む危険 4)危険への対処法 出典: 情報セキュリティ読本 三訂版 11 第1章 > 2. 危険の認識と対策 1)インターネットに潜む危険 • Webページを閲覧しただけで不正プログラム に感染してしまう • リンクをクリックしただけで不正な請求をされ たり、個人情報を盗まれるなどの被害に遭う ことがある • 不正なプログラムを誤ってダウンロードしてし まう 出典: 情報セキュリティ読本 三訂版 12 第1章 > 2. 危険の認識と対策 2)メールに潜む危険 • スパムメール(迷惑メール) ※ • マルウェア に感染 • フィッシングメール マルウェア:コンピュータウイルス、スパイウェア、ボットなどの不正なプログラムのこと 出典: 情報セキュリティ読本 三訂版 13 第1章 > 2. 危険の認識と対策 3)日常業務に潜む危険 • 外出や出張時に資料を持ち出す、不要に なった書類を廃棄する、歓談時に仕事の話 をする、といった何気ない行為が、情報漏え いの原因となることがある。 ⇔情報漏えいを防ぐための心得は、第4章 p.73-75参照 出典: 情報セキュリティ読本 三訂版 14 第1章 > 2. 危険の認識と対策 4)危険への対処法 • 情報セキュリティの基本を知ろう⇔第2章 • ウイルスなどの不正プログラム(マルウェア) について理解しよう ⇔第3章 • 実際のセキュリティ対策を施そう⇔第3、4章 • 情報セキュリティに使われている技術を理解 しよう ⇔第5章 • 法律について認識しよう ⇔第6章 出典: 情報セキュリティ読本 三訂版 15 本資料の利用条件 1. 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい ただいても結構です。 3. 営利目的の使用はご遠慮下さい。 4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは 行っていただいて結構です。 5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は ありません。 なお、参考までに、 [email protected] まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。 出典: 情報セキュリティ読本 三訂版 16
© Copyright 2024 ExpyDoc