情報セキュリティ読本 情報セキュリティ読本 - IT時代の危機管理入門 - プレゼンテーション資料 (第4章 実際のセキュリティ対策) 情報セキュリティ読本 – プレゼンテーション資料 - 1 第4章 実際のセキュリティ対策 1. 個人レベルのセキュリティ対策 2. 企業レベルのセキュリティ対策 情報セキュリティ読本 – プレゼンテーション資料 - 2 第4章 1. 個人レベルのセキュリティ対策 1)セキュリティホールの解消 2)Webブラウザのセキュリティ設定 3)ネットサーフィンの危険性とその対策 4)メールソフトのセキュリティ設定 5)メールの暗号化とディジタル署名の利用 6)不審な添付ファイル、迷惑メールの取り扱いに対する注意 7)常時接続の危険性とその対策 8)無線LANの危険性とその対策 9)フィッシング詐欺への対策 10)ワンクリック不正請求への対策 情報セキュリティ読本 – プレゼンテーション資料 - 3 第4章 > 1. 個人レベルのセキュリティ対策 1) セキュリティホールの解消 • • • セキュリティホールは、ウイルス感染や他の 攻撃を受ける原因となる セキュリティホールの解消は、情報セキュリ ティ対策の第一歩 Windowsの場合は Windows Update を活 用する – [スタート]→[すべてのプログラム]→[Windows Update] 情報セキュリティ読本 – プレゼンテーション資料 - 4 第4章 > 1. 個人レベルのセキュリティ対策 2) Webブラウザのセキュリティ設定(1) ブラウザのセキュリティ設定=「中」以上 インターネット ゾーンでは インターネットエクスプローラで 「ツール」→「インターネットオプション」 →「セキュリティ」タブ セキュリティ レベル=中以上 情報セキュリティ読本 – プレゼンテーション資料 - 5 第4章 > 1. 個人レベルのセキュリティ対策 2) Webブラウザのセキュリティ設定(2) 信頼済みサイトの利用設定 インターネットエクスプローラで 「ツール」 → 「インターネットオプショ ン」→ 「セキュリティ」タブ→「信頼済み サイト」→ 「サイト」 ベンダの公式サイトなどを登録 情報セキュリティ読本 – プレゼンテーション資料 - 6 第4章 > 1. 個人レベルのセキュリティ対策 2) Webブラウザのセキュリティ設定(3) ブラウザの設定=アクティブスクリプトを無効に 但し、アクティブスクリプトを 無効にすると、動的な画像など 楽しめなくなる場合があります。 情報セキュリティ読本 – プレゼンテーション資料 - 7 第4章 > 1. 個人レベルのセキュリティ対策 2 )Webブラウザのセキュリティ設定(4) Firefox の設定例 「ツール」→「オプション」→ 「コンテンツ」 Java を無効に 情報セキュリティ読本 – プレゼンテーション資料 - 8 第4章 > 1. 個人レベルのセキュリティ対策 3)ネットサーフィンの危険性とその対策(1) • 安易なダウンロードはしない – 誤ってトロイの木馬やキーロガーをダウンロー ドしてしまう可能性がある • 不審なサイトには近づかない – さまざまな手法で罠が仕掛けられているので、 セキュリティホールがあると被害を受ける • 個人情報をむやみに入力しない – フィッシングを避けるために、クレジットカード番 号などの入力は必要最小限に – SSLが使用されているか確認する 情報セキュリティ読本 – プレゼンテーション資料 - 9 第4章 > 1. 個人レベルのセキュリティ対策 3)ネットサーフィンの危険性とその対策(2) SSL方式の利用 Internet Explorer Firefox http:// → https:// 鍵のつながったアイコンが現れる 情報セキュリティ読本 – プレゼンテーション資料 - 10 第4章 > 1. 個人レベルのセキュリティ対策 4) メールソフトのセキュリティレベルを設定する(1) セキュリティゾーンの設定 Outlook Express等で、「ツール」→「オプション」→「セキュリティ」 セキュリティゾーン を制限付きに 情報セキュリティ読本 – プレゼンテーション資料 - 11 第4章 > 1. 個人レベルのセキュリティ対策 4)メールソフトのセキュリティレベルを設定する(2) 不要な機能や サービスは 積極的にオフに (Thunderbird)「ツール」→「オプション」 →「プライバシー」 その他のメーラの場合も確認が必要 例)Thunderbirdのセキュリティ設定画面 情報セキュリティ読本 – プレゼンテーション資料 - 12 第4章 > 1. 個人レベルのセキュリティ対策 5) メールの暗号化とディジタル署名の利用 • メールの暗号化とディジタル署名で不正 行為を封じる – なりすまし – 改ざん – 盗聴 • 詳細→第5章「4. 暗号とディジタル署名」 情報セキュリティ読本 – プレゼンテーション資料 - 13 第4章 > 1. 個人レベルのセキュリティ対策 6) 不審な添付ファイル、迷惑メールの取り扱いの注意 • 不審なメールの添付ファイル 基本的に開かない • 迷惑メール そのまま捨てる • 身に覚えのない請求メール等 基本は無視 悪質な場合は専門家に相談、警察に届出 • デマメール、チェーンメール 無視して、転送しない 情報セキュリティ読本 – プレゼンテーション資料 - 14 第4章 > 1. 個人レベルのセキュリティ対策 7) 常時接続の危険性とその対策 • • • 常時接続環境では、外部からの不正アクセ ス対策が必要 P2Pアプリケーションを使う場合は、送り込 まれるファイルに注意 対策 – ブロードバンドルーター、ADSLモデムに付属す るパケットフィルタリングを使用する – パーソナルファイアウォール製品(ホームユー ザ向けの安価な製品もある)を活用する 情報セキュリティ読本 – プレゼンテーション資料 - 15 第4章 > 1. 個人レベルのセキュリティ対策 8) 無線LANの危険性とその対策 • 無線LANの危険性 – 危険性を認識した上で使用することが重要 • 無線LANのセキュリティ対策 – ESS-IDの設定 – 暗号化の設定 – MACアドレスフィルタリングの設定 • 無線LANのセキュリティ設定は難しい? – ガイドラインの制定により、設定が容易な製品 も登場している 情報セキュリティ読本 – プレゼンテーション資料 - 16 第4章 > 1. 個人レベルのセキュリティ対策 > 8)無線LANの危険性とその対策 無線LANの危険性 • 無線LANの電波は屋外やビル外に達する ことがある – セキュリティ設定を怠ると大きな弱点となる – 次のような被害を受ける • • アクセスポイントの無断使用 社内ネットワークへの不正アクセス、盗聴 – ウォードライビングで簡単に検出できる 無線LANのアクセス ポイントを求めて 走り回る 情報セキュリティ読本 – プレゼンテーション資料 - 17 第4章 > 1. 個人レベルのセキュリティ対策 > 8)無線LANの危険性とその対策 無線LANのセキュリティ対策(1) • ESS-IDの設定 – クライアントグループを識別する識別子 – デフォルト設定をそのまま使用しない – ANYまたは空白に設定しない • • ANYまたは空白の場合はクライアントからの接続を 自動的に許可 ANYを拒否する設定が必要 – データの暗号化およびMACアドレスフィルタリ ングと併用する(ESS-IDだけでは不十分) (ESS-ID: Extended Service Set ID) 情報セキュリティ読本 – プレゼンテーション資料 - 18 第4章 > 1. 個人レベルのセキュリティ対策 > 8)無線LANの危険性とその対策 無線LANのセキュリティ対策(2) • 暗号化の設定 – 無線LANの電波は傍受されやすいので、通信 の暗号化が不可欠 – 暗号化にはWEPがよく用いられる – できるだけ長い鍵を使用する – 可能であれば、より強固な暗号方式(WPA、 WPA2など)を利用したい ⇔用語集p.122(WEP)、p123 (WPA)参照 (WEP: Wired Equivalent Privacy WPA: Wi-Fi Protected Access) 情報セキュリティ読本 – プレゼンテーション資料 - 19 第4章 > 1. 個人レベルのセキュリティ対策 > 8)無線LANの危険性とその対策 無線LANのセキュリティ対策(3) • MACアドレスフィルタリングの設定 – MACアドレスに基づいて、アクセスポイントに接 続できる機器を制限する • MACアドレス=ネットワーク機器に割り当てられた 固有の番号 – 無線LANの不正利用を防ぐために、 MACアド レスフィルタリングはできるだけ使用する – 公衆無線LANを利用する場合は、偽のアクセ スポイントに注意 情報セキュリティ読本 – プレゼンテーション資料 - 20 第4章 > 1. 個人レベルのセキュリティ対策 9) フィッシング詐欺への対策 • • • • • フィッシング詐欺とは 巧妙な手口 どのような被害に遭うのか フィッシング詐欺への対策 巧妙化するフィッシング 情報セキュリティ読本 – プレゼンテーション資料 - 21 第4章 > 1. 個人レベルのセキュリティ対策 > 9)フィッシング詐欺への対策 フィッシング詐欺とは 金融機関(銀行やクレジットカード会社)などを装った電子メールを送り、住所、 氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為 フィッシング詐欺 xx.xx.30.51 xx.xx.30.51 偽のサイト 正規のサイト メール 正規のサイトだと思って利用者ID とパスワードを入力してしまう 正規のサイトにみせかけ、偽のサイトに誘 導することで、利用者はだまされてしまい、 重要な情報が漏えいしてしまいます。 悪意を持つ人 利用者 情報セキュリティ読本 – プレゼンテーション資料 - カード情報などの 重要な情報を得る 22 第4章 > 1. 個人レベルのセキュリティ対策 > 9)フィッシング詐欺への対策 フィッシング詐欺 – 巧妙な手口 • ユーザーを錯誤させる騙しメール – 実在する企業のアドレスに酷似 – 真実味のある本文 • 本物に見間違えるような偽のWebサイト – 実在の企業名やロゴを使用 – 実在のサイトとまったく同じデザイン • 個人情報の入力を求める – クレジットカード番号、銀行の口座番号、ユー ザーID、パスワードなどを盗むことが目的 情報セキュリティ読本 – プレゼンテーション資料 - 23 第4章 > 1. 個人レベルのセキュリティ対策 > 9)フィッシング詐欺への対策 フィッシング詐欺 – どのような被害に遭うのか • • • • クレジットカードの不正使用 オンラインバンクでの不正送金 ECサイトでの不正注文 個人情報が漏えいし、振り込め詐欺に悪用 される恐れもある 情報セキュリティ読本 – プレゼンテーション資料 - 24 第4章 > 1. 個人レベルのセキュリティ対策 > 9)フィッシング詐欺への対策 フィッシング詐欺 – 実例1 • • 送信元が [email protected]の送信元詐称 メール。 文中のリンク https://www.visa.co.jp/verified/ は、VISAの 正規のURLに見えるが、HTTPのソースでは http://xxx.xxx.xxx.74/verified/ を指していた。 クリックするとフィッシング サイトへジャンプし、 カード番号やID番号の入力を促す。 情報セキュリティ読本 – プレゼンテーション資料 - 25 第4章 > 1. 個人レベルのセキュリティ対策 > 9)フィッシング詐欺への対策 フィッシング詐欺 – 実例2 「評価が上がった」という内容の 偽メールを送り、オークションの ログイン・ページに見せかけた 偽ページに誘導 出典:フィッシング対策ワーキンググループ http://no.phishing.jp/ 情報セキュリティ読本 – プレゼンテーション資料 - 26 第4章 > 1. 個人レベルのセキュリティ対策 > 9)フィッシング詐欺への対策 フィッシング詐欺への対策 • • • • • • • メールの送信元(差出人)を安易に信用しない メールの内容を安易に信用しない リンクを安易にクリックしない 入力前に本物のサイトかどうか確認する アドレスバーに正しいURLが表示されているか確 認する SSL接続を示す鍵アイコンがつながっていない Webサイトでは個人情報を入力しない フィッシング対策用のソフトウェアを使用する 情報セキュリティ読本 – プレゼンテーション資料 - 27 第4章 > 1. 個人レベルのセキュリティ対策 > 9)フィッシング詐欺への対策 巧妙化するフィッシング • • 特定の個人を狙った攻撃(スピアフィッシン グ)の増加 ファーミングの登場 – Hostsファイルの書き換えやDNSレコードの改 ざんにより、ユーザーが正規のアドレスを入力 しても自動的に偽のサイトへ誘導 情報セキュリティ読本 – プレゼンテーション資料 - 28 第4章 > 1. 個人レベルのセキュリティ対策 10) ワンクリック不正請求への対策 • • • ワンクリック不正請求とは ワンクリック不正請求への対策 スパイウェアによる不正請求 情報セキュリティ読本 – プレゼンテーション資料 - 29 第4章 > 1. 個人レベルのセキュリティ対策 > 10)ワンクリック不正請求への対策 ワンクリック不正請求とは • • • 出会い系サイト、アダルトサイト、投資系サ イト、ダウンロードサイトなどを装いユー ザーが訪れるのを待つ ユーザーが画像などを単にクリックしただけ で、入会金や登録料などの名目で、料金の 支払いを求める不正請求 ユーザーの個人情報を知っているかのよう にふるまい、ユーザーの不安をあおる 情報セキュリティ読本 – プレゼンテーション資料 - 30 第4章 > 1. 個人レベルのセキュリティ対策 > 10)ワンクリック不正請求への対策 ワンクリック不正請求への対策 • • • 信頼できないWebサイトには近づかない 興味本位でクリックやダウンロードをしない もし請求されても基本的に無視すればよい – 契約は成立していない – 個人情報は取得されていない(ネットワークに 関する情報はある程度わかるが、個人は特定 できない) – 相手への問い合わせは絶対にしないこと • 不安な場合は、消費生活センターや国民生 活センターに相談する 情報セキュリティ読本 – プレゼンテーション資料 - 31 第4章 > 1. 個人レベルのセキュリティ対策 > 10)ワンクリック不正請求への対策 スパイウェアによる不正請求 • • • メールアドレスを知らせていないはずなのに、 料金請求のメールが届く いつの間にか、デスクトップに「請求書」など のアイコンが貼り付いている インターネットに接続していなくても、定期的 に料金請求画面が表示される 原因は・・・スパイウェア! 情報セキュリティ読本 – プレゼンテーション資料 - 32 第4章 2. 企業レベルのセキュリティ対策 • • 従業員が組織の情報セキュリティポリシーを 理解し、遵守することが基本 情報セキュリティ対策の手順 – セキュリティマネジメントのサイクル(計画、導入と 運用、監視と評価、見直しと改善)により行う • 情報漏えいを防ぐために – 情報漏えいの原因と漏えい経路 – 企業や組織の一員としての情報セキュリティ心得 • 終わりのないプロセス 情報セキュリティ読本 – プレゼンテーション資料 - 33 第4章 > 2. 企業レベルのセキュリティ対策 1) 計画(Plan) • • セキュリティポリシーの策定 対策事項の立案と手順書の整備 情報セキュリティ読本 – プレゼンテーション資料 - 34 第4章 > 2. 企業レベルのセキュリティ対策 > 1. 計画(Plan) セキュリティポリシーの策定 (1) • セキュリティポリシーとは – 組織として一貫したセキュリティ対策を行うため に、組織のセキュリティ方針と対策の基準を示 したもの • セキュリティポリシーの階層 – 基本方針 – 対策基準 – 対策実施手順 情報セキュリティ読本 – プレゼンテーション資料 - 35 第4章 > 2. 企業レベルのセキュリティ対策 > 1. 計画(Plan) 情報セキュリティポリシーの階層 セ キ ュ リ テ ィ ポ リ シ ー 情報セキュリティ対策に対す る基本的な考え方 基本方針(基本ポリシー) (組織の情報セキュリティに 対する取り組み姿勢を示す) 対策基準(スタンダード) 情報セキュリティを確保する ために遵守すべき規定 実施手順(プロシージャ) 対策基準を実施するための 詳細な手順書(マニュアル 等) 情報セキュリティ読本 – プレゼンテーション資料 - 36 第4章 > 2. 企業レベルのセキュリティ対策 > 1. 計画(Plan) セキュリティポリシーの策定 (2) • 策定前の準備 – 情報資産の「何を守るのか」を決定する – 「どのようなリスクがあるのか」を分析する • 責任者と担当者を明確にする – 組織体の長=情報セキュリティの最高責任者 情報セキュリティ読本 – プレゼンテーション資料 - 37 第4章 > 2. 企業レベルのセキュリティ対策 > 1. 計画(Plan) 対策事項の立案と手順書の整備 • 対策基準とは – 情報資産を脅威から守る方法を具体的に定め たもの • 実施手順とは – 対策基準を実際の行動に移す際の手順書(マ ニュアルのようなもの) – 最初に設定する内容とその手順 – 定期的に実施する対策の手順 – インシデント発生時の対策と手順 情報セキュリティ読本 – プレゼンテーション資料 - 38 第4章 > 2. 企業レベルのセキュリティ対策 2) 導入と運用(Do) • • 導入フェーズ 運用フェーズ 情報セキュリティ読本 – プレゼンテーション資料 - 39 第4章 > 2. 企業レベルのセキュリティ対策 > 2. 導入と運用(Do) 導入フェーズ(1) • 構築と設定 – ウイルス対策ソフトやファイアウォールなどの セキュリティ装置の導入、暗号機能の導入 – OS、アプリケーションのセキュリティ設定 • 設定における注意点 – デフォルト設定は使用しない – 不要なサービスの停止 デフォルト設定とは?(用語集より) 出荷時またはインストール後の初期状態の設定のこと。特に指定しないときは、 この設定値が適用される。 情報セキュリティ読本 – プレゼンテーション資料 - 40 第4章 > 2. 企業レベルのセキュリティ対策 > 2. 導入と運用(Do) 導入フェーズ(2) • 脆弱性の解消 – 最新の修正プログラムを適用 • レベルに応じたアクセス制御 – 組織のメンバーごとにアクセスレベルを設定 – アクセスできる範囲と操作権限を制限する 情報セキュリティ読本 – プレゼンテーション資料 - 41 第4章 > 2. 企業レベルのセキュリティ対策> 2. 導入と運用(Do) 運用フェーズ • セキュリティポリシーの周知徹底とセキュリ ティ教育 – 役割と責任、セキュリティ対策上のルールを周知 – 被害に遭わないために脅威と対策を教える • 脆弱性対策 – 定期的な情報収集とパッチの適用 • 異動/退職社員のフォロー – 退職者のアカウントは確実に削除(セキュリティ ホールになりうる) 情報セキュリティ読本 – プレゼンテーション資料 - 42 第4章 > 2. 企業レベルのセキュリティ対策 3) 監視と評価(Check) • 監視と評価 – ネットワークを監視し、異常や不正アクセスを検 出する – ポリシーが守られているか自己または第三者 による評価を行う • セキュリティ事故への対処 – セキュリティポリシーに則ったインシデント対応 ⇔用語集p.123 (インシデント対応) 参照 情報セキュリティ読本 – プレゼンテーション資料 - 43 第4章 > 2. 企業レベルのセキュリティ対策> 3. 監視と評価(Check) 監視と評価 • ネットワークを監視し、異常や不正アクセス を検出する – 通信、不正アクセスの監視 – 異常検知、不正アクセス検知、脆弱性検査 • ポリシーが守られているか自己または第三 者による評価を行う – 自己点検 – 情報セキュリティ監査 情報セキュリティ読本 – プレゼンテーション資料 - 44 第4章 > 2. 企業レベルのセキュリティ対策> 3. 監視と評価(Check) セキュリティ事故への対処 • • セキュリティポリシーに則ったインシデント 対応 特に注意すべき点 – – – – 被害状況を調査し、二次災害を防ぐ 原因を特定し、再発防止策を徹底する 実施した対応の記録、各種届出(必要な場合) 対応窓口を設置し、正確な情報を提供する 情報セキュリティ読本 – プレゼンテーション資料 - 45 第4章 > 2. 企業レベルのセキュリティ対策 4) 見直しと改善 • • セキュリティポリシーを見直し、改善点を検 討する セキュリティマネジメントサイクルの実施に ともない、情報セキュリティ対策を高めるこ とが重要 情報セキュリティ読本 – プレゼンテーション資料 - 46 第4章 > 2. 企業レベルのセキュリティ対策 5) 情報漏えいを防ぐために • 情報漏えいの原因と漏えい経路 – 情報漏えいを防止するには、どのような経路と 原因で情報が漏えいするのかを把握すること が重要 • 企業や組織の一員としての情報セキュリ ティ心得 – セキュリティポリシーを遵守するとともに、常に セキュリティを意識した行動が求められる 情報セキュリティ読本 – プレゼンテーション資料 - 47 第4章 > 2. 企業レベルのセキュリティ対策> 3. 情報漏えいを防ぐために 情報漏えいの原因と漏えい経路(1) • 情報漏えいの原因 – – – – – 盗難、紛失・置き忘れ 内部の不正行為 操作ミス、設定不良、不十分な管理 不正アクセス、ウイルス 特に多いのは盗難(27%)、紛失・置き忘れ (43%)* * NPO日本ネットワークセキュリティ協会(JNSA)の2005年度の調査による 情報セキュリティ読本 – プレゼンテーション資料 - 48 第4章 > 2. 企業レベルのセキュリティ対策> 3. 情報漏えいを防ぐために 情報漏えいの原因と漏えい経路(2) • 情報漏えいの経路 – – – – – – – 外部からの不正アクセス Webサイト、電子メール P2Pファイル交換ソフト PC本体 可搬記憶媒体(FD、CD、DVD、USBメモリ等) 紙媒体 PCの画面、ユーザのデスクトップ 情報セキュリティ読本 – プレゼンテーション資料 - 49 第4章 > 2. 企業レベルのセキュリティ対策> 3. 情報漏えいを防ぐために 企業や組織の一員としての情報セキュリティ心得(1) • • • • 企業や組織の情報や機器を、許可なく持ち 出さない 私物のノートパソコンやプログラムなどを、 許可なく、企業や組織に持ち込まない 企業や組織の情報や機器を未対策のまま 放置しない 企業や組織の情報や機器を未対策のまま 廃棄しない 情報セキュリティ読本 – プレゼンテーション資料 - 50 第4章 > 2. 企業レベルのセキュリティ対策> 3. 情報漏えいを防ぐために 企業や組織の一員としての情報セキュリティ心得(2) • • • 個人に割り当てられた権限を他の人に貸与 または譲渡しない 業務上知り得た情報を公言しない 情報漏えいを起こした場合は速やかに報告 する 情報セキュリティ読本 – プレゼンテーション資料 - 51 第4章 > 2. 企業レベルのセキュリティ対策 6) 終わりのないプロセス • • • • 一度、導入・設定すればそれで終わり、とい うものではない。 運用、見直し、フィードバックを繰り返すプロ セスが必要。 技術面だけでなく、管理面も強化する 技術的対策と管理的対策はクルマの両輪 の関係 情報セキュリティ読本 – プレゼンテーション資料 - 52 第4章 > 2. 企業レベルのセキュリティ対策 > 6. 終わりのないプロセス 情報セキュリティにおけるさまざまな対策 参考) 参考) IPAセキュリティセンター「情報セキュリティマネジメントについて」 http://www.ipa.go.jp/security/manager/protect/management.html 参考)読者層別:情報セキュリティ対策実践情報: http://www.ipa.go.jp/security/awareness/awareness.html 情報セキュリティ読本 – プレゼンテーション資料 - 53 本資料の利用条件 1. 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい ただいても結構です。 3. 営利目的の使用はご遠慮下さい。 4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは 行っていただいて結構です。 5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は ありません。 なお、参考までに、 [email protected] まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。 情報セキュリティ読本 – プレゼンテーション資料 - 54
© Copyright 2024 ExpyDoc
