科目名:情報セキュリティ 実践的教育コンテンツ - ipa · 2020. 1. 10. ·...
TRANSCRIPT
Copyright@2013 IPA All Right Reserved
科目名:情報セキュリティ実践的教育コンテンツ
講義用スライド
第15回 情報セキュリティにおけるリスクアセスメントとリスク対応(総合演習)
Copyright © 2013 独立行政法人 情報処理推進機構
第15回
情報セキュリティにおけるリスク
アセスメントとリスク対応(総合演習)
授業目標
第15回では、情報セキュリティにおけるリスクアセスメントとリスク対応(総合演習)
について学習します。
• 情報セキュリティにおける情報資産の特定および分類とその価値を理解する。
• 情報資産に対するさまざまな脅威の特定と対策の有効性を理解する。
• 情報活用の効率性と情報セキュリティ対策のバランスを理解する。
Copyright © 2013 独立行政法人 情報処理推進機構
目次
1. 演習概要
2. 演習全体の流れ
3. 演習シナリオ
4. 演習問題
付録1~4. 情報セキュリティの概要
付録5. ビデオ視聴
Copyright © 2013 独立行政法人 情報処理推進機構
学生生活の情報利活用において身近な価値ある情報資産とリスクを
特定し、総合的な情報セキュリティ対策の取り組みをチーム討議演習
を通して理解します。
演習
目的
演習
の
進め方
2.グループ演習 3.発表1. 個人演習
1. 演習概要1.1 演習目的と演習の進め方
某大学のゼミ展示における情報セキュリティ対策を検討する演習
テーマ
Copyright © 2013 独立行政法人 情報処理推進機構
チーム内で役割を決めて、演習を円滑に進めて
ください。
個人情報は、ご本人の判断で提供してください
1.2 演習の役割決め
自己
紹介
役割
決め主な役割
・チームリーダー
(ファシリテート、時間管理、発表)
・書記(板書)
Copyright © 2013 独立行政法人 情報処理推進機構
<アウトプットを作成するにあたって>
・演習シナリオに書かれていない状況については、各グループごとに設定してください。
また、その設定した内容は、グループとしてメモに残してください。
・回答の粒度は、チーム内で共有して、進めてください。
1.3 演習の特記事項
チームで力を合わせて取り組みましょう!!
<討議にあたって>
・討議中は他人任せの傍観者にならないで、一人必ず3つ以上の案(意見)を出してください。
案(意見)は多ければ多いほど良いです。
・他のメンバーの意見に触発されたアイデアも大歓迎です(便乗OKです)。
・全く別の分野であっても、「これと似た課題をうまく解決している例(ベストプラクティス)はないか?」
という類推を働かせることも有効です。
考え方が手法に則しているかを評価することはできますが、皆さんで考えた結論に対して「これが唯一
正しい」という「模範解答」は存在しません。また、解が複数あることもあります。この機会にその点も学ん
でください。
Copyright © 2013 独立行政法人 情報処理推進機構
演習1脅威の特定と対策を検討します。
2. 演習全体の流れ
グループ
演習
の流れ
(50分)
インプット
プロセス
アウトプット
演習シナリオ某大学のゼミ展示における情報セキュリティ対策を検討します。
② チーム討議(20分)①の結果を脅威ととらえ、対策を検討します。
チームごとに発表します。
① 個人演習(10分)ゼミ展示会場にある情報資産の脅威を洗い出します。
演習2対策を導入します。
チーム討議(20分)演習1②の結果から対策を導入した環境図を作成します。
Copyright © 2013 独立行政法人 情報処理推進機構
3. 演習シナリオ3.1 想定大学におけるゼミの活動概要
ゼミ名称 ソーシャルサービスコンテンツゼミナール(○×教授 研究室)
専門領域ソーシャルメディア、Webアプリケーション、データベース、モバイルコンピューティン
グ、ヒューマンマシンインターフェース、コミュニケーションデザイン、情報セキュリティ
研究テーマ
・テーマ1:ソーシャルメディア・コミュニケーション技術研究
・テーマ2:リアルタイムアンケート集計システム研究
・テーマ3:ソーシャルサービスにおける情報セキュリティ研究
ゼミ紹介
ソーシャルサービスやスマートフォン、タブレットPCなどのモバイル機器といったトレ
ンド技術を活用しながら、どのような技術が人の生活やコミュニケーションの活性化に
作用するのかを研究します。
研究体制
教授
テーマ2
テーマ1
テーマ3
学生
学生
学生
学生
学生
学生
学生
学生
学生
教授: 1名学生:30名
演習上の役割
○×教授
Copyright © 2013 独立行政法人 情報処理推進機構
◇ シナリオ:
学園祭においてゼミの展示発表『キャンパス周辺 オススメ店舗 口コミランキング』を行うことになりまし
た。その展示環境のネットワークとサーバ、フロア環境の情報セキュリティ対策を検討します。
◇ ゼミ展示内容:
大学の模擬店と周辺にある店舗(飲食、衣類、雑貨など)を、学生がランキングとコメントしたオリジナ
ルサイトを構築し、展示会場や学外からサイトへの閲覧とコメントの書き込み・アンケートの収集が可
能なシステムを展示します。また、アンケートで個人情報(氏名やメールアドレス)を収集し、模擬店の
割引クーポンを配信します。
◇ シナリオ条件:
・取り扱う情報資産:発表用システム(Web/DBサーバ、タブレットPC、
管理用ノートPCなど)、学園祭来場者兼利用者のアンケート(個人情報を含む)
・展示会場のネットワーク環境:インターネット、有線/無線LAN
・システムの利用場所:展示会場(貸出用タブレットを利用)、学外(個人所有の
スマートフォンやタブレットPC、ノートPCなど)
3.2 ゼミの今年度の発表テーマ
情報セキュリティ、任せたよ!!
Copyright © 2013 独立行政法人 情報処理推進機構
3.3 学園祭におけるゼミの展示内容イメージ
「キャンパス周辺おすすめ店舗口コミランキング」サービス
地図サービス
学生 一般
学園祭 ゼミ展示会場
店舗口コミ
店舗地図
アンケート
おすすめ店舗口コミランキング
展示用Web/DBサーバ
店舗地図の取り込み
口コミサイトの公開
店舗口コミの参照・投稿、アンケート入力
店舗口コミの参照・投稿店舗口コミの参照・投稿
演習対象
Copyright © 2013 独立行政法人 情報処理推進機構
3.4 展示レイアウト
グラウンド
施設内通路
窓
扉
ハブ
モバイル/無線ルータ
Web/DBサーバ
管理者ノートPC
デモ用タブレットPC
テーブル
テーブル
来場者への体験型タブレットPC・市場価格:5万円・開発した口コミアプリ、インストール済み・口コミ参照・投稿、アンケート入力
モバイル/無線ルータ・インターネットへのモバイル接続(LTEやWiMAX)・タブレットPCへ無線LANを提供・有線LANによるサーバの公開
Web/DBサーバ・市場価格:10万円・開発したWebコンテンツサービスを提供・アンケート情報(個人情報)、店舗情報を格納
管理者用ノートPC・市場価格:7万円・開発ツール、ソースコードを格納・分析用のアンケート情報(サーバと同じ)
※現時点では、セキュリティを考慮していません。
インターネット
Copyright © 2013 独立行政法人 情報処理推進機構
4. 演習問題4.1 演習シナリオ上の特記事項
取り扱う情報資産は、Web/DBサーバとクライアントPC(タブレットPCと管理者用ノートPC)です。
情報資産そのものの価値と、データ(個人情報やソースコード)の価値を考慮してください。
リスクは、情報漏えいや損失、信用失墜、損害賠償などにつながる要因を想定してください。
機密性のみの観点で、脅威や対策を進めてください。
脆弱性および対策は、人的、技術的、物理的の観点で検討してください。
演習シナリオに書かれていない状況や仕様は、
各グループごとに設定しよう!!
対策は、展示そのものを阻害しないよう考慮して検討してください。
◆ 情報資産に関する特記事項
◆ 脅威や対策の検討に関する特記事項
Copyright © 2013 独立行政法人 情報処理推進機構
4.2 演習1 脅威の特定と対策の検討(1)
プロセス
① 個人演習
展示システムにおけるWeb/DBサーバとクライアントPCの機器とその中にあ
る情報(データ)に対して、機密性を阻害する脅威(情報漏えいの可能性があ
るもの)を洗い出してください。
ノートPC、タブレットPCに対する脅威Web/DBサーバに対する脅威
記入例: 夜間、窓から侵入して、クライアントPCを盗み出す。(物理的手法)
※ 脅威については、脆弱性がある(例:施錠管理されていない など)前提として検討してください。
Copyright © 2013 独立行政法人 情報処理推進機構
4.3 演習1 脅威の特定と対策の検討(2)
プロセス
② チーム討議
「①個人演習」の結果から特に発生の可能性が高く、大きな損害や影響を及
ぼす脅威を5つ選択し、その対策を脅威と紐付けて検討してください。
機密性の脅威 対策
チーム作業
A
B
C
例)夜間、窓から侵入して、クライアントPCを盗む。 A 例)クライアントPCを鍵付きロッカーに収納する。 A,C
対応脅威
D
E
F
Web/DBサーバ
ノートPC/タブレットPC
Copyright © 2013 独立行政法人 情報処理推進機構
記入方法
デモシステム必須構成要素
(必ず配置すべき情報資産)
回答の作成方法
・対策で必要な機材を図で追加する
・対策の内容は、図に吹き出しをつけて記入する
・有線接続するものはネットワーク機器と線で結ぶ
・配置場所は自由に考える
4.4 演習2 対策の導入
プロセス
チーム討議
演習1 ②の対策結果をもとに、情報セキュリティ対策を導入した展示フロア
の環境を検討し、気付きを共有してください。
図でロッカーやファイルを追加する
・クライアントPCを保管
・ロッカー施錠
・施錠管理ルールの策定
・メンバーへの周知
サーバやクライアントPC、ネットワーク機器は、線で結ぶ
Web/DBサーバ 管理者ノートPC デモ用タブレットPC モバイル/無線ルータ ハブ
・デモに必要な機器は必ず展示フロアに配置する
・人的ルールは、紙ファイルを追加し、吹き出し内に
対策を記入する
・テーブルやカーテンなどのフロア設備を記入する
Copyright © 2013 独立行政法人 情報処理推進機構
付録1 ネットワーク社会に必要な情報セキュリティ
人的脅威盗難・紛失、誤送信、誤廃棄など
物理的脅威火災・地震、故障、破壊など
技術的脅威ウイルス感染、不正アクセス、
バグなど
情報
人 モノ
サービス
×
安心安全なネットワーク社会 情報セキュリティに取組み、
情報をリスクから守る
リスク リスク
脆弱性を減らす
情報セキュリティの活動は、リスクを引き起こす脅威から価値ある情報を守る(脆弱性を減らす)ことです。安心安全なネットワーク社会を実現するには、情報セキュリティが必要不可欠です。
Copyright © 2013 独立行政法人 情報処理推進機構
付録2 情報セキュリティの定義
情報資産
人 モノ
サービス
可用性完全性
機密性
有用性 保障
脅威脅威
脅威
価値
価値
価値
情報セキュリティとは、情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。
(出典:「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項(JIS Q 27001:2006)」)
Copyright © 2013 独立行政法人 情報処理推進機構
付録3 情報セキュリティ対策の定義
脅威 脆弱性 リスク
技術的対策人的対策
物理的対策
情報セキュリティ対策
予防処置 事後対応
情報セキュリティ対策とは、情報セキュリティ上のリスクが発生している場合、対策(Countermeasures)によってリスクを解消したり、軽減することを試みます。技術的な対策が必要であるとともに、継続的な管理による対策も必要です。
→
情報資産
人 モノ
サービス機密性、完全性、可用性の脆弱性
人的脅威
物理的脅威
技術的脅威
情報漏えいによる信用失墜、風評被害、ブランドイメージの低下、プライバシーの侵害 など
(引用:「読者層別: 情報セキュリティ対策 実践情報」 独立行政法人 情報処理推進機構(IPA))
Copyright © 2013 独立行政法人 情報処理推進機構
代表的な脅威 解説
紛失自宅や出先、移動中などで書類や情報端末を不用意になくしてしまうこ
と
置き忘れ事務所内の会議机、コピー機、移動中の電車やタクシー、飲食店で書類
や情報端末を忘れてきてしまうこと
誤操作メールやファクシミリの送信時や入力時に誤って第三者に送信や参照さ
れてしまうこと
誤廃棄 必要な書類や外部媒体などを誤って捨ててしまい、消失してしまうこと
盗難・破壊機密書類やデータ、金銭的価値があるものなどが悪意ある第三者に盗ま
れたり、壊されたりすること
盗聴 会話や通信など悪意ある第三者に密かに聴取、あるいは録音されること
不正行為金銭を目的とした不正な情報の持ち出しや、便宜上の不正な持ち込みな
どのルールにそぐわない行為のこと
不用意な発言・投稿SNS、掲示板、ブログなどへ不適切な書き込みを行い、意図せず機密情
報が流布してしまうこと
ソーシャル
エンジニアリング
人間の誤認や誤断など心理的・行動的な隙を巧みに利用し、話術や盗聴、
偽サイトへの誘導などの社会的な手段を用いて機密情報を搾取すること
付録4 主な脅威付録4.1 人的脅威の種類
Copyright © 2013 独立行政法人 情報処理推進機構
付録4.2 物理的脅威の種類
代表的な脅威 解説
不法侵入権限のない者が不法に施設内や設備内に鍵や窓を破るなどして侵入する
こと
盗難・破壊機密書類やデータ、金銭的価値があるものなどが悪意ある第三者に盗ま
れたり、壊されたりすること
ハードウェア障害コンピュータや通信機器などに物理的な障害が発生し、修理や代替機器
を調達するまで、利用ができない状況に陥ってしまうこと
災害火災、地震、津波、暴風、豪雨、洪水、噴火などによって、情報資産に
被害が及んでしまうこと
Copyright © 2013 独立行政法人 情報処理推進機構
付録4.3(1) 技術的脅威の種類(1/3)
代表的な脅威 解説
不正アクセス/不正侵入
システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うこと
(引用:「コンピュータ不正アクセス対策基準」経済産業省)
ウイルス
広義/狭義の定義がある。
広義: 「コンピュータウイルス対策基準」においては、広義の定義を採用しており、自己伝染機能・潜伏機能・発病機能のいずれかをもつ加害プログラムをウイルスとしている。自己伝染機能については、他のファイルやシステムに寄生・感染するか、単体で存在するかを問わない定義になっているので「worm(ワーム)」も含むことになる。他のファイルやシステムへの寄生・感染機能を持たないがユーザが意図しない発病機能をもつ「Trojan(トロイの木馬)」も、この広義の定義ではウイルスに含まれる。
狭義: PC環境におけるコンピュータウイルスを念頭においた狭義の定義においては、他のファイルやシステムに寄生・感染(自己複製)する機能をもつプログラムをいう。この場合、システム中に単体として存在し、ネットワークを伝わって移動する「worm(ワーム)」は、ウイルスとは区別される。また、潜伏機能・発病機能しか持たない「Trojan(トロイの木馬)」も、ウイルスと区別される。(引用:「ネットワークセキュリティ関連用語集」独立行政法人 情報処理推進機構(IPA))
参考)ウイルスやスパイウェアなど、悪意あるソフトウェアの総称として、「マルウェア」や「不正プログラム」と呼ばれることもある。
○○○○○○○○
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
Copyright © 2013 独立行政法人 情報処理推進機構
付録4.3(2) 技術的脅威の種類(2/3)
代表的な脅威 解説
改ざん
データやホームページの内容を書き換えてしまったり、システムの設定や内容を不正に変更したりする行為のこと。
(引用:「SOHO・家庭向けの情報セキュリティ対策マニュアル(Ver1.20)」独立行政法人 情報処理推進機構(IPA))
なりすまし
他人の ID とパスワードを利用して、文字通りその人物になりすまし、ネットワークの権限を勝手に使用する行為のこと。
(引用:「SOHO・家庭向けの情報セキュリティ対策マニュアル(Ver1.20)」独立行政法人 情報処理推進機構(IPA))
否認改ざんなどの脅威を理由にして、当事者が過去の自分の行動を否定すること。
(引用:「PKI 関連技術解説」独立行政法人 情報処理推進機構(IPA))
サービス妨害攻撃
コンピュータ資源やネットワーク資源を利用できない状態に陥れる攻撃のこと。
たとえば、インターネットサーバによって提供されている各種サービスを標的として妨害する攻撃が、一般に入手可能なツールを利用して行われている。(参考:「ネットワークセキュリティ関連用語集」独立行政法人 情報処理推進機構(IPA))
盗聴
「データを盗み見る行為」または「データを抜き取る行為」のこと。たとえば、ネットワーク上を流れる情報が盗聴され、重要情報が不正に取得される可能性があります。(参考:「安全なWebサイトの作り方」(改訂第5版)、「小規模サイト管理者向けセキュリティ対策マニュアル」独立行政法人 情報処理推進機構(IPA))
実装攻撃ICカードに搭載されているIC(Integrated Circuit=集積回路)チップの内部構造や動作を解析し、暗号化するための秘密鍵や暗号化する前のデータなどを盗む攻撃のこと。
○○○○○○○○
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
Copyright © 2013 独立行政法人 情報処理推進機構
付録4.3(3) 技術的脅威の種類(3/3)
代表的な脅威 解説
迷惑メール(UBE)
英語ではUBE(Unsolicited Bulk Email)と呼ばれている。宣伝や嫌がらせなどの目的で不特定多数に大量に送信されるメールのこと。俗に「スパム(spam)メール」とも呼ばれている。UBEは、UCE(Unsolicited Commercial Email:予期しない商業宣伝電子メール)と同意である。(参考:「ネットワークセキュリティ関連用語集」独立行政法人 情報処理推進機構(IPA))
不正中継
メールの発信者が、第三者中継可能なメールサーバを探し、迷惑メール(UBE)の中継に利用すること。メールサーバが中継に利用されてしまうと、サーバへの影響(処理遅延、サーバダウン)の他、送信元と疑われるなどの弊害が発生します。
(参考:「UBE(迷惑メール)中継対策」独立行政法人 情報処理推進機構(IPA))
フィッシング
正規のサービス提供企業を装ったメールを送り、IDやパスワードなどのログイン情報や、さらに住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を不正に窃取する行為のこと。
(引用:「コンピュータウイルス・不正アクセスの届出状況[6月分および上半期]について」(2012年 7月 4日)独立行政法人 情報処理推進機構(IPA))
スパイウェア利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラムなどのこと。(引用:「スパイウェア対策のしおり」(第10版)独立行政法人 情報処理推進機構(IPA))
標的型攻撃
主に電子メールを用いて特定の組織や個人を狙う手法のこと。典型的な例として、メール受信者の仕事に関係しそうなニセの話題などを含む本文や件名で騙し、添付ファイル(ウイルス)のクリックを促す場合が確認されています。
(引用:「標的型攻撃メール <危険回避> 対策のしおり」(第1版)独立行政法人 情報処理推進機構(IPA))
○○○○○○○○
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■
Copyright © 2013 独立行政法人 情報処理推進機構
付録5 ビデオ視聴
情報セキュリティ 普及啓発 映像コンテンツ
「7分で気づく身近にある情報漏えいの脅威」 (約7分)
http://www.ipa.go.jp/security/keihatsu/videos/