SEから見た情報セキュリティの課題
•
1 gefällt mir•2,219 views
「情報の安全と安心」発表資料 マイクロエレクトロニクス開発研究機構 慶応大学 日吉キャンパス 2008-07-25
![これから話すこと ,[object Object],[object Object],[object Object],お客様の業績向上に貢献するSE の視点から見た情報セキュリティの課題](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (19)
Andere mochten auch
Andere mochten auch (12)
Ähnlich wie SEから見た情報セキュリティの課題
Ähnlich wie SEから見た情報セキュリティの課題 (20)
Mehr von Katsuhide Hirai
SEから見た情報セキュリティの課題
- 1. SE から見た 情報セキュリティの課題 「情報の安全と安心」発表資料 マイクロエレクトロニクス開発研究機構 200 8年7月25日 平井克秀
- 8. 第 1 位 高まる「誘導型」攻撃の脅威 〔出典〕情報セキュリティ白書 2008
- 23. 〔参考〕ISMS概要 〔出所〕 ISMS の概要、JIPDEC
- 39. 講師 紹介 平井克秀 日本: hiraik@ elmblog.com 米国: [email_address] ■ 出身: 奈良県 ( 2 月 1 日生まれ) ■ 学歴: 大阪大学 ( 制御工学)卒業 奈良県立 畝傍高校卒業 ■ 職歴: 米国富士通ソフトウェア㈱ 代表取締役社長 米国富士通ネットワークインダストリ㈱ 代表取締役社長 米国富士通コンサルティング㈱ 取締役副社長 米国富士通アメリカ㈱ 副社長 (情報システム部門担当) 米国 InWorlds.com および avaterra.com 取締役 ( 兼務) 富士通㈱システム企画部長(ソフトサービス事業の企画推進) 米国富士通アメリカ㈱駐在(事業提携・ソフト開発・販売に従事) 富士通株式会社(主に技術系・ CAD/CAM ソフト開発に従事) http://www.elmblog.com/ http://sns.agorian.com ■ 専門分野 ●日米企業の事業戦略の企画立案(構想立案・市場競合分析・事業計画策定) ●海外企業との戦略提携・折衝・事業投資評価 ●情報通信技術・産業動向調査と政策立案(ITソフト・サービス分野) ■ 経歴 富士通 ( 株 ) に入社後、主として科学技術系および CAD/CAM システムの開発に従事。設計・開発を担当したICAD製品は、米GM社や独OPEL社などで採用。 1983 年より米国シリコンバレーを拠点に、米国の先進技術・産業動向の調査、提携ビジネス推進、ソフト開発・販売に従事する。 90 年代前半にソフト・サービス事業の企画・事業推進の施策立案を担当した後、再度渡米。米国現地企業の経営全般と事業再編、提携事業、 Internet サービス事業、ベンチャー投資、 NASDAQ 上場などを担当。実地のビジネス体験で得たノウハウと人脈を活用したグローバルな視点での事業戦略企画、海外企業との提携・買収、事業再編の立案・実行を専門とする。 ∇ 主としてソフト開発・販売と海外ビジネスに従事 1983 ~ 1990 米国シリコンバレー拠点に開発・販売、 1994 ~ 2001 欧米企業の事業再編と経営に従事
- 40. 06/06/10 THINK GLOBAL Copyright ©2001-2005 ElmBlog Company ∑ SNS 互助互楽倶楽部 sns.agorian.com ACT LOCAL
Hinweis der Redaktion
- 情報システムを取り巻く脅威 不正アクセスの手口 個人情報保護法と日本版SOX法 情報セキュリティポリシー 情報セキュリティ対策 情報セキュリティと情報の有効活用 情報セキュリティ対策の視点(CIA) 三つの施策 人的・組織的 物理的 技術的 システムセキュリティ対策 データセキュリティ対策 膨大なデータの影響 ストレージのセキュリティ対策 ネットワークセキュリティ対策 パスワード認証 ネットワークの暗号化 ウィルス対策 ウィルス情報 情報セキュリティの課題
- 企業の資産を侵された場合の損害は経営に大きな影響を与え、 企業の信頼性を損なうなど、会社の存続にも係わってくる。 物理的・技術的問題よりも、人的・組織的問題が多い!
- 情報の有効活用と防御の両立が課題 ウィルスチェックが対応できなくなっている。 パソコンの感染に終わらず、経済的損失が大きくなっている。 フィッシング・ファーミング詐欺、ID・パスワード盗難
- Sophos Security Threat Report, Q1 2008 http://www.sophos.com/sophos/docs/eng/marketing_material/sophos-threat-report-Q108.pdf One new infected webpage found every five seconds, reveals latest Sophos ( 21 April 2008 ) http://www.vnunet.com/vnunet/news/2214843/malware-infected-site-found 汚染を食い止める国境はない 犯罪が増加
- 2005 年検挙件数 3161件 9割がネットワーク利用犯罪
- 1.効果的な技術の導入 アンチ・ウイルス・ソフト,ファイアウォール,スパム・メール対策 2.インターネットの脅威をユーザーが正しく理解して,適切に行動することだ。何をすると危ないのかを知り、自らを守る。 人々は道を歩くとき,どうすれば危ないかを知っている。信号が赤だと立ち止まるし,青だと渡る。インターネットのルールに関しても同じように教育していかなければならない。こうしたルールを覚えることは,東京の地下鉄の路線を覚えるよりも簡単なのではないか。 ※個人情報漏洩の原因のほとんどが2に起因する。ワーム・ウィルスによるものは8.3%に過ぎない。
- 前年より 800 万人増えた 2006 年 ? 4570 億円 過去最大級の漏洩事件-大日本印刷 大日印、個人情報863万件流出と発表 -NIKKEI NET- 大手企業43社の個人情報863万件が流出、カード情報も含まれる -ITPro-
- 日本ネットワークセキュリティ協会( JNSA ) 2008 年 6 月 19 日 http://www.jnsa.org/result/2007/pol/incident/index.html 前年より 800 万人増えた (2006 年 4570 億円 ) パソコンや携帯電話、書類などの紛失が 31.9 %でトップ。 メールの誤送信 17.7% 個人情報漏洩事件一覧 http://www.security-next.com/cat_cat25.html ・個人情報を含む書類 1443 万件の誤廃棄が判明 - 日本郵政公社 (2007-9) ・過去最大級の漏洩事件 - 大日本印刷 -(2007-3) 大手企業 43 社の個人情報 863 万件が流出、カード情報も含まれる 元委託業務先の社員が MO ディスクにデータをコピーし持ち帰り、詐欺グループへ売り渡していた。
- 個人間の経済取引の機会増大 ブログによる情報発信の急速な拡大 これまで以上に「個」に依存する経済社会 従来の旧来型ネットワークのもとでの「予定調和」を同様に期待する ことを困難にしている
- 「不正アクセス行為の禁止等に関する法律」 システム管理者が防御措置を講じる努力義務が明記されている。 経営者が加害者として、社会的責任を問われるケースもある。 「個人情報の保護に関する法律」 ( 平成 17 年4月施行) 「日本版SOX法」 相次ぐ会計不祥事や コンプライアンス の欠如などを防止するため、米国の サーベンス・オクスリー法 ( SOX 法)に倣って整備された日本の法規制のこと。上場企業およびその連結子会社に、会計監査制度の充実と企業の 内部統制 強化を求めている。 金融商品取引法(実際には「証券取引法等の一部を改正する法律」およびその整備法)は 2006 年 3 月に国会へ提出され、 6 月に成立した。同法は緊急性の 高い条項からの順次、段階的に施行され、 2007 年 9 月 30 日に完全施行となった。内部統制報告書の提出・監査に関しては、附則第 15 条で「平成 20 年 4 月 1 日以後に開始する事業年度から適用する」と定めており、 2009 年(平成 21 年) 3 月期の本決算から上場企業およびその連結子会社を対象に適用とな る。 COSO フレームワーク 1992 年に米国のトレッドウェイ委員会組織委員会( COSO : the Committee of Sponsoring Organization of the Treadway Commission )が公表した 内部統制 のフレームワーク。今日、事実上の世界標準として知られている。 COSO では内部統制フレームワークを拡張する形で、 2004 年に「エンタープライズリスクマネジメント・フレームワーク」( ERM フレームワーク )を公表、さらに 2005 年になってスモールビジネス向けの内部統制フレームワークの策定にも取り掛かっている。 COBIT (情報システム監査人) ( Control Objectives for Information and related Technology ) インターネット上の違法・有害情報への対応に関する検討会 http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/internet_illegal/index.html 有害サイト規制法 18歳未満の子供をインターネットの有害サイトから守る青少年への有害インターネット情報規制法 (有害サイト規制法)案が11日午前の参院本会議で賛成多数で可決、成立した。出会い系サイトなど有害サイトで子供が事件に巻き込まれるケースが多発して いるため、携帯電話会社に子供が有害情報を閲覧できないようにするフィルタリング(閲覧制限)サービスの提供、パソコンメーカーにフィルタリングソフトの 組み込みを義務づける。ただし、罰則は設けない。 ・アダルトサイト(ポルノ画像や風俗情報) ・出会い系サイト ・暴力残虐画像を集めたサイト ・他人の悪口や誹謗中傷を載せたサイト ・犯罪を助長するようなサイト ・毒物や麻薬情報を載せたサイト ⇒ 規制反対 http://news.goo.ne.jp/hatake/20080611/kiji1928.html?type=select&sort=asc
- 守るべき対象や何から守ればよいかが明確でないと適切な情報セキュリティ対策を行えない。 情報の価値や、脅威の頻度や影響度によって、どこまで情報セキュリティ対策を行うかを判断する。
- リスクの検討 外部・内部からの不正アクセス対策 パソコンお持ち出し、鍵付きロッカー、資産管理、入退出管理 秘密情報の管理方法、管理責任者、サーバのアクセス権設定、入退出管理
- 情報セキュリティと情報の有効活用 情報を脅威から守ることだけを優先した取り組みは、適切な情報セキュリティ対策とはいえない。 情報を守るのと同時に、活用すべき企業の情報(新製品情報、新技術、適用事例、ノウハウなど)を適切に活用していくことが重要である。 業務で蓄積・参照されるさまざまな情報を、対策を施しながら有効活用することが目的である。
- 情報セキュリティとITセキュリティの違い 「 1992 OECD 情報システムのセキュリティのためのガイドライン」 が原点 ISMS とは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより 必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。 組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが 情報セキュリティマネジメントシステム (ISMS) の基本コンセプトである。 (ISO/IEC 13335-1:2004 より引用) ・機密性:認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。 ・完全性:資産の正確さ及び完全さを保護する特性。 ・可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。 セキュリティ上の関心事( Security Concern ) 否認防止性( Non-Repudiation ) 説明可能性( Accountability ) 真正性( Authenticity ) 脅威( Threat ) IT セキュリティに関して、様々な 脅威 が 考えられます。データやシステムには、権限を持たない者によって、読まれること・改ざんされること・消去されることなどの脅威が一般的に存在しています。 ネットワークシステムの場合、盗聴される脅威なども存在しています。さらにシステムへのアクセスにおいて、本人でない者がアクセスを試みる脅威が一般的に 存在しています。これらの脅威は、データやシステムの機密性・可用性・完全性を侵害する可能性があるものです。 脆弱性( Vulnerability ) 保有している情報システムが、セキュリティ上の 脆弱性 を持つ可能性があります。オペレーティングシステムの脆弱性である場合もありますし、アプリケーションシステムの脆弱性である可能性もあります。また、ソフトウェアの脆弱性である場合と、セキュリティ上の設定が不備である場合があります。俗に、 セキュリティホール( Security hole ) と呼ばれることもあります。 リスク( Risk ) 様々な脅威が想定される環境において、自らのシステムに脆弱性がある場合、 リスク が発生している状況にあるといえます。
- 我が国では情報処理サービス業のコンピュータシステムが十分な安全対策を実施しているかどうかを認定する制度として、昭和 56 年 7 月 20 日通商産業省告 示 342 号による「情報システム安全対策実施事業所認定制度」(安対制度)があった。安対制度では、集中管理されていた情報システムの施設・ 設備等の物理的な対策に比較的重点がおかれていたが、技術的対策だけでなく人的セキュリティ対策を含む組織全体のマネジメントを確立する必要性がでてき た。 こうした状況を受けて、経済産業省では「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事 業所認定制度の改革(平成 12 年 7 月 31 日)」を公表するとともに、従来の安対制度を平成 13 年 3 月 31 日をもって廃止することを決定した。 この安対制度の廃止に伴い、技術的なセキュリティのほかに、人間系の運用・管理面をバランス良く取り込み、時代のニーズに合わせた新しい制度として、情 報セキュリティマネジメントシステム( Information Security Management System :以下、 ISMS という)適合性評価制度を創設することとなった。
- ISMS 適合性評価制度は、国際的に整合性のとれた情報セキュリティマネジメントに対する第三者適合性評価制度であり、本制度は、わが国の情報セキュリ ティ全体の向上に貢献するとともに、諸外国からも信頼を得られる情報セキュリティレベルを達成することを目的としたものである。 http://www.isms.jipdec.jp/about/index.html http://www.isms.jipdec.jp/isms.html 認証基準 JIS Q 27001 : 2006 ( ISO/IEC 27001 : 2005 ) ISO/IEC 27001:2005 ( Information technology - Security techniques - Information security management systems - Requirements :情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)は、組織が ISMS を構築す るための要求事項をまとめた国際規格である。
- ISMS とは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより 必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用することである。 組織が保護すべき情報資産について、機密性、完全性、可用性をバランス良く維持し改善することが 情報セキュリティマネジメントシステム (ISMS) の基本コンセプトである。 (ISO/IEC 13335-1:2004 より引用) ●機密性:認可されていない個人、エンティティ(団体等)又はプロセスに対して、情報を使用不可又は非公開にする特性。 ●完全性:資産の正確さ及び完全さを保護する特性。 ●可用性:認可されたエンティティ(団体等)が要求したときに、アクセス及び使用が可能である特性。
- 昭和 56 年 7 月 20 日通商産業省告 示 342 号による「情報システム安全対策実施事業所認定制度」(安対制度)があった。安対制度では、集中管理されていた情報システムの施設・ 設備等の物理的な対策に比較的重点がおかれていた。 経済産業省では「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事 業所認定制度の改革(平成 12 年 7 月 31 日)」を公表するとともに、従来の安対制度を平成 13 年 3 月 31 日をもって廃止することを決定した。 現在は、ISMSで対応している。
- BCP ( business continuity plan ) 事業継続計画 / ビジネスコンティニュイティ・プラン 企業が ビジネスコンティニュイティ に取り組むうえで基本となる計画のこと。災害や事故などの予期せぬ出来事の発生により、限られた経営資源で最低限の事業活動を継続、ないし目標復旧時間以内に再開できるようにするために、事前に策定される行動計画である。 英国規格協会による定義 BCP ( Business Continuity Plan : 事業継続計画 ) 潜在的損失によるインパクトの認識を行い実行可能な継続戦略の策定と実施、事故発生時の事業継続を確実にする継続計画。事故発生時に備えて開発、編成、維持されている手順および情報を文書化した事業継続の成果物 BCM ( Business Continuity Management : 事業継続管理) 組織を脅かす潜在的なインパクトを認識し、利害関係者の利益、名声、ブランドおよび価値創造活動を守るため、復旧力および対応力を構築するための有効な対応を行うフレームワーク、包括的なマネジメントプロセス
- 1976 年 Data Encryption Standard (64bit) 2001 年 Advanced Encryption Standard (128, 192, 256bit) RSA Rivest Shamir Adleman 処理速度が遅い
- 大容量化で深刻化するセキュリティ対策 http://jp.fujitsu.com/about/journal/technology/20080602/ ソフト暗号化のハード化(安全、高速) 暗号化5倍 消去320 GB 5時間⇒1秒 ギガバイト、テラバイト、ペタバイト、エクサは 10 18
- AES は、アメリカ政府標準技術局( NIST ) ( 注2 ) が「 DES 」 ( 注3 ) に代わる次世代の暗号方式として公募から選定し、 2001 年に公表した米国政府の標準暗号方式。 事実上、 AES が暗号方式の世界標準となっており、無線 LAN や IPSec( 注4 ) の暗号処理にも使用されている。 セキュリティ関連技術の標準化団体「 TCG (Trusted Computing Group) 信頼できるコンピュータプラットフォームを構築するための、ハードウェア、ソフトウェアの業界標準仕様の策定、普及を目的とした国際的な業界団体。
- 二つの対策 1.効果的な技術の導入 アンチ・ウイルス・ソフト,ファイアウォール,スパム・メール対策 2.インターネットの脅威をユーザーが正しく理解して,適切に行動する。 何をすると危ないのかを知り、自らを守る。 人々は道を歩くとき,どうすれば危ないかを知っている。信号が赤だと立ち止まるし,青だと渡る。インターネットのルールに関しても同じように教育していかなければならない。こうしたルールを覚えることは,東京の地下鉄の路線を覚えるよりも簡単なのではないか。 ※個人情報漏洩の原因のほとんどが2に起因する。ワーム・ウィルスによるものは8.3%に過ぎない。
- フィッシング、ファーミング、メール詐欺、有害サイト規制 SNSの健全な普及
- グローバルビジネスに携わる人たちへ 大局観(グローバルな視点でものごとを捉え考える)を大切に 行動を起こし着実に実現(一粒百行)していく Let Us Have Faith !