情報セキュリティ読本 情報セキュリティ読本 - IT時代の危機管理入門 - プレゼンテーション資料 (第2章 今日のセキュリティリスク) 情報セキュリティ読本 – プレゼンテーション資料 - 1 第2章 今日のセキュリティリスク 1. 2. 3. 4. 5. 情報セキュリティ 高水準で推移するウイルス被害 外部からの侵入(不正アクセス) サーバへの攻撃(サービス妨害) 情報システムのセキュリティホール 情報セキュリティ読本 – プレゼンテーション資料 - 2 第2章 1. 情報セキュリティ 1) 情報セキュリティの基本概念 – 機密性 – 完全性 – 可用性 2) 情報資産とリスク・インシデント – 情報資産 – リスクとインシデント – リスクの要因 情報セキュリティ読本 – プレゼンテーション資料 - 3 第2章 > 1. 情報セキュリティ 1) 情報セキュリティの基本概念 正当な権利をもつ個人や組織が、情報やシステ ムを意図通りに制御できること 情報の機密性、完全性及び可用性の維持 (情報セキュリティマネジメントシステムの国際標準であるISO/IEC17799の定義) ◆機密性:アクセスを認可された者だけが、情報にアクセス できることを確実にすること ◆完全性:情報および処理方法が正確であること及び完全 であることを保護すること ◆可用性:認可された利用者が、必要なときに、情報及び関連 する資産にアクセスできることを確実にすること 情報セキュリティ読本 – プレゼンテーション資料 - 4 第2章 > 1. 情報セキュリティ 2) 情報資産とリスク・インシデント • 情報資産 – 財務情報、顧客情報、技術情報 等 – システム(ハードウェア、ソフトウェア)、ネットワー ク、データ、ノウハウなどさまざまな形 • リスク – 情報資産が損なわれる可能性(内的、外的な要 因がある) • インシデント – 実際に、情報資産が損なわれてしまった状態 情報セキュリティ読本 – プレゼンテーション資料 - 5 第2章 > 1. 情報セキュリティ > 2. 情報資産とリスク・インシデント リスクの要因 (脅威) 守るべきもの ◆ 情報 (紙、電子媒体、ネットワーク上) 財務情報、人事情報、顧客情報、 戦略情報、技術情報 等 ◆ 情報システム コンピュータ(パソコン、サーバ、 汎用機)、 ネットワーク、通信設備 ◆ 社会的信用 情報セキュリティ読本 – プレゼンテーション資料 - 6 第2章 2. 高水準で推移するウイルス被害 • ウイルス届出件数は1999年より急増 • 2002年、2003年と減少したが、2004年から 再び増加に転じる • 巧妙化・凶悪化が最近の特徴 • ウイルス届出は、IPAセキュリティセンターの Webページに毎月掲載 コンピュータウイルスの届出状況 http://www.ipa.go.jp/security/txt/list.html 情報セキュリティ読本 – プレゼンテーション資料 - 7 第2章 3. 外部からの侵入(不正アクセス) 1)侵入の手口 2)事前調査 3)権限取得 4)不正実行 5)後処理 情報セキュリティ読本 – プレゼンテーション資料 - 8 第2章 > 3. 外部からの侵入(不正アクセス) 1) 侵入の手口 • 一般的な侵入は次の4つの段階を経て行われる 事前調査 権限取得 ポートスキャン 様々な 攻撃 特権ユー ザ獲得 システムの 情報収集 アカウント名の 調査 (結果) 不正実行 ファイル 奪取 後処理 裏口作成 証拠の隠滅 資源利用 不正プログ ラム埋込 パスワード 推測 一般ユーザ 権限獲得 踏み台 情報セキュリティ読本 – プレゼンテーション資料 - 9 第2章 > 3. 外部からの侵入(不正アクセス) 2) 事前調査 • システム情報の収集 – – – – – – IPアドレス サーバ名 サーバソフトウェア OSの種類、バージョン 提供されているサービス 侵入検知システム • Webサイトの調査やポートスキャンを実行 ポートスキャンとは?(用語集より) 攻撃・侵入の前段階として、標的のコンピュータの各ポートにおけるサービスの 状態を調査すること。(ポートと脆弱性については、読本 p.83-84 参照) 情報セキュリティ読本 – プレゼンテーション資料 - 10 第2章 > 3. 外部からの侵入(不正アクセス) 3) 権限取得 • ツールなどを使用し、パスワードを強引に 解読して権限を取得 = パスワードクラッキング • パスワードクラッキングの手法 i) ブルートフォース攻撃 ⇔用語集p.130 参照 • 総当り的に調べる ii)辞書攻撃 ⇔用語集p.125 参照 • 特殊な辞書を使用して照合 情報セキュリティ読本 – プレゼンテーション資料 - 11 第2章 > 3. 外部からの侵入(不正アクセス) 4) 不正実行 不正行為 内 容 盗聴 ネットワーク上のデータや保存データを不正に入手。情報窃盗。 (例)・パスワードの盗用 ・企業データの漏えい ・個人データ(メール、日記など)の盗み見 改ざん データを書き換え。(例)・Webページの改ざん、設定書換え なりすまし 別の個人を装い、さまざまな行為を行う。 (例)・ID、パスワードを盗み出し、正当なユーザーに見せかけて 侵入 ・他人のクレジットカードでショッピング 破壊 データやプログラムの削除、ハードディスクの初期化など。 コンピュータ不正 使用 コンピュータを不正に使用する。 (例)・コンピュータを遠隔地から操作 不正プログラム の埋め込み 不正プログラムには、ユーザの知らない間に情報を入手して 外部へ送信したり、ファイルを破壊するなど様々な悪さを働くもの がある。これらのプログラムを埋め込む。 踏み台 不正アクセスを行う際の中継地点として使用する。 (例)・アカウントを不正使用し他のサイト攻撃の拠点とする ・スパムメール(spam mail)の中継 情報セキュリティ読本 – プレゼンテーション資料 - 12 第2章 > 3. 外部からの侵入(不正アクセス) 5) 後処理 • 証拠隠滅 ログの消去などにより侵入の形跡を消す • バックドアの作成 次回の侵入を容易にするための裏口を設置 情報セキュリティ読本 – プレゼンテーション資料 - 13 第2章 4. サーバへの攻撃(サービス妨害) 1)DoS攻撃(サービス妨害攻撃) – DoS: Denial of Services 2)DDoS攻撃(分散DoS攻撃) – DDoS: Distributed DoS 3)メール攻撃 情報セキュリティ読本 – プレゼンテーション資料 - 14 第2章 > 4. サーバへの攻撃(サービス妨害) 1) DoS攻撃 • サーバに過大な負荷をかけ、パフォーマンスの低 下やサービス停止に追い込む攻撃 • Pingの悪用など、さまざまな攻撃手法がある • DoS攻撃を行うコードを仕込むウイルスも登場して いる 情報セキュリティ読本 – プレゼンテーション資料 - 15 第2章 > 4. サーバへの攻撃(サービス妨害) 2) DDoS攻撃 DoS攻撃を多くのコンピュータから一斉に行うとDDoS攻撃 攻撃プログラムを埋め込まれて気づかずにDoS攻撃に加担することがある 攻撃プログラム埋め込み (ツール、ワーム等) 攻撃者 ターゲット 踏み台 攻撃プログラム埋め込み (ツール、ワーム等) 踏み台 大量データを一斉送信 (DDoS攻撃)によりダウン 情報セキュリティ読本 – プレゼンテーション資料 - 16 第2章 > 4. サーバへの攻撃(サービス妨害) 3) メール攻撃 • メールサーバに大量のメールを送り付ける – メールサーバのパフォーマンス低下や機能停止 • 第三者中継機能を悪用 – スパムメールの踏み台として利用される i) メールは自分のネットワーク宛のもののみ受信 ii)第三者中継は禁止 第三者中継 : 外部から来たメールを別の外部へ転送する機能 情報セキュリティ読本 – プレゼンテーション資料 - 17 第2章 5. 情報システムのセキュリティホール 1)セキュリティ上の弱点(脆弱性) 2)OSの脆弱性 3)Webブラウザやメールソフトの脆弱性 4)Webアプリケーションの脆弱性 5)脆弱性を悪用する攻撃 – バッファオーバーフロー攻撃 – クロスサイトスクリプティング攻撃 – SQLインジェクション攻撃 情報セキュリティ読本 – プレゼンテーション資料 - 18 第2章 > 5. 情報システムのセキュリティホール 1) セキュリティ上の弱点(脆弱性) • 脆弱性=「情報システムのセキュリティ上の欠陥」 • セキュリティホールと呼ぶこともある • 一般的な用語の使い分け – ソフトウェアの設計もしくは実装上のエラーが原 因⇒脆弱性 – 弱いパスワードや設定ミスなども含め広い意味 ⇒セキュリティホール ⇔用語集p.126 (脆弱性、セキュリティホール) 参照 情報セキュリティ読本 – プレゼンテーション資料 - 19 第2章 > 5. 情報システムのセキュリティホール 2) OSの脆弱性 • オペレーティングシステム(OS)=コンピュータシス テムを管理する最も基本的なソフトウェア – Windows, Mac OS, UNIX, Linux など様々なOS • このオペレーティングシステムに見つかったセキュ リティ上の欠陥=OSの脆弱性 • メーカーから提供されているセキュリティパッチ(修 正プログラム)を適用することが重要 ⇔用語集p.125 (修正プログラム) 参照 情報セキュリティ読本 – プレゼンテーション資料 - 20 第2章 > 5. 情報システムのセキュリティホール 3) Webブラウザやメールソフトの脆弱性 • インターネットを介してデータをやり取りするので、 脆弱性があると影響を受けやすい • 例: 不適切なMIMEヘッダが原因で、IEが電子メー ルの添付ファイルを実行する(MS01-020) ⇔用語集p.127 (添付ファイル)、p.121(MSxx-xxx) 参照 • 脆弱性を悪用するウイルスが増加しているので、 セキュリティパッチを適用することが重要 情報セキュリティ読本 – プレゼンテーション資料 - 21 第2章 > 5. 情報システムのセキュリティホール 4) Webアプリケーションの脆弱性 Webサーバ aaa ①入力 Xxx xxx xx xxx xxxxx xxx xx Webブラウザ ユーザ CGI PHP ・ ・ ・ ③表示 Webアプリ ケーション ②処理 脆弱性があると ・サーバ上のファイルを盗まれる ・悪意のあるプログラムを実行されるなど 情報セキュリティ読本 – プレゼンテーション資料 - 22 第2章 > 5. 情報システムのセキュリティホール 5) 脆弱性を悪用する攻撃 • バッファオーバーフロー攻撃 • クロスサイトスクリプティング攻撃 • SQLインジェクション攻撃 情報セキュリティ読本 – プレゼンテーション資料 - 23 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 バッファオーバーフロー攻撃 • 大量のデータを送り込んでバッファをあふれさせ、プログラ ムの誤作動を招く。 • これにより、不正なコードを実行させたり、権限を不正に取 得する。 情報セキュリティ読本 – プレゼンテーション資料 - 24 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 クロスサイトスクリプティング攻撃 • スクリプトと呼ばれるプログラムを悪用。 (1) • 罠が仕掛けられたサイトで、ユーザがリンクをクリックすると 発生。 (2) • 別サイトに飛ばされて、スクリプトが実行される。 (3,4) • 個人情報の漏えい、不正な買い物などの被害にあう。 (5) 情報セキュリティ読本 – プレゼンテーション資料 - 25 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 SQLインジェクション攻撃 ①正しい入力 ②SQL文でデータ照会 ID Pass 情報 データベース Webサーバ 一般利用者 + Webアプリケーション ④結果表示 ③結果(データ)を返却 WebアプリケーションにSQLインジェクションの脆弱性があると • データベースに問い合わせをするSQL文に不正なコマンドを 埋め込むことにより、レコードを不正に操作 • 情報の改ざん、消去、漏えいなどの被害 情報セキュリティ読本 – プレゼンテーション資料 - 26 第2章 > 5. 情報システムのセキュリティホール > 脆弱性を悪用する攻撃 SQLインジェクション攻撃 Web アプリケーションにSQLインジェクションの脆弱性があると、 SQLインジェクション攻撃を受けることがある ②不正なコマンドが埋 め込まれたSQL文 ①不正な入力 データベース 情報 悪意を持つ人 情報の閲覧 (漏えい) Webサーバ + Webアプリケーション 情報の改ざん、 消去 脆弱性があると。。。。 SQLインジェクションとは?(用語集より) データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を 基にデータベースへの命令文を組み立てている。この命令文の組み立て方法に問 題がある場合、攻撃によってデータベースの不正利用をまねく可能性がある。 この問題を悪用した攻撃手法は、一般に「SQL インジェクション」と呼ばれている。 情報セキュリティ読本 – プレゼンテーション資料 - 27 本資料の利用条件 1. 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい ただいても結構です。 3. 営利目的の使用はご遠慮下さい。 4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは 行っていただいて結構です。 5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は ありません。 なお、参考までに、 [email protected] まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。 情報セキュリティ読本 – プレゼンテーション資料 - 28
© Copyright 2024 ExpyDoc
