中小企业と情报セキュリティ.ppt

NIC 中小企業と情報セキュリティ 財団法人全国中小企業情報化促進センター 目次 第1節　情報セキュリティに関わる最近の話題 第2節　情報セキュリティの考え方　2-1．セキュア?システムの要件　2-2．セキュリティ評価の視点　2-3．不正行為の分類　2-4．情報セキュリティ安全対策　2-5．情報セキュリティマネジメント 第3節　情報セキュリティの基本技術　3-1．ネットワーク通信の基礎　3-2．不正アクセス手段の特徴?検知手順　3-3．安全管理の主要技術 １．情報セキュリティに関わる最近の話題 情報漏洩情報流出元：生命保険会社、航空会社、　　　　　　　　テレビ局、学校、警察、自衛隊など 不正アクセスマイクロソフトエクセルの脆弱性により、リモートでコードが実行される（2007年1月10日） ウィルス、スパイウェア、ワーム、ボット インターネットの脅威 ウィルス?ワーム?ボット利用者のパソコン内の情報を破壊、流出、改竄などを行うソフト。パソコンをリモートでコントロールして第三のパソコンを攻撃するソフトなど。 スパイウェア?アドウェアパソコン内の情報を特定の受取人に通知するソフト スパイウェアとアドウェア スパイウェアとアドウェアは技術的に同じ範疇のソフト アドウェアは、メーカがソフトウェア使用状況や不具合発生時に調査データを自動的に収集する機能として付随するアプリケーション。通常インストール時に何らかの表明がある。 スパイウェアのいろいろ キーロガー利用者のキー入力情報を盗む ダイアラーダイアルアップ設定を変更 ハッキングツール（ROOTKITS)他のコンピュータへの不正侵入を可能にする ウィルスのいろいろ Antinny：Winny機能を悪用するウィルス：（情報漏洩）Antinnyに感染すると公開ファイルも非公開ファイルもすべてWinnyネットワークに送信されてしまう。 ワーム：（感染活動、迷惑メール配信）ワームに感染すると、セキュリティ対策ソフトの停止やワームを添付した電子メールを大量に送信して感染を拡大するといった活動をする。 ボット(Bot)：（感染活動、DoS攻撃Agent、迷惑メール配信）ワームの改良版であり、2005年後半から急増している。ワームよりも巧妙に隠れて活動することが多く、パソコンを乗っ取り、更なる攻撃に利用するような活動をする。 ウィルス?スパイウェアの侵入パタン インターネットでフリーウェアやシェアウェアのソフトをダウンロード?インストールしたときに侵入する ウェブサイトにアクセスしたときに感染する メールの添付ファイルを開いたときにシステムに感染するなど ２．情報セキュリティの考え方 安全（セキュア）なシステムの要件 セキュリティ評価の視点 不正行為の分類 情報セキュリティ安全管理措置 情報セキュリティマネジメント 2-1　セキュア?システムの要件 (1)情報の保護 (2)通信路の安全 (3)アクセス権の安全 (4)システムが正常動作を続ける 2-1-1　情報の保護 「データが正しい」が保証されていること 2-1-2　通信路の安全 電話回線、データ通信回線が盗聴されていないこと ネットワークは、パケット通信が主体である パケット通信は、ネットワーク上でパケットを取り込むことにより内容を読み取れる。 　　　　　　　　　　　　　↓ 　　　パケットの暗号化が必須である 2-1-3　アクセス権の安全 通信相手が正しいこと 通信相手が「成りすまし」ている場合重要なデータを渡してしまうことになる。　　　　　　　　　　　↓ユーザ認証が重要である正規のアクセス権限を有するユーザか？検査する手段が必要（パスワード、電子署名など） 2-2セキュリティ評価の視点 セキュリティ対策とは、安全（セキュア）なシステムを脅かす潜在的な危険性に対処すること 問題発生の潜在的な危険性をリスクという セキュリティは、リスクという視点で診断し対策を立てる 2-2-1　セキュリティを診断する＝リスク分析 何らかの問題が発生する可能性を洗い出し、その影響や発生度合いを推定し、発生した際に失われる資産価値を測定する。対策の範囲やそのために必要な技術?コストを整理し、効果的なセキュリティ対策を行うため。 リスクとは、情報の改竄、漏洩、システム停止などの問題発生の潜在的な危険性をいう リスクによる影響とは、実際に問題が発生した場合の金銭的損失や業務中断、信用失墜などの損害をいう 2-2-2　リスク分析で着目する要素 (1)情報資産 (2)脅威 (3)脆弱性 2-2-2.1　情報資産 意味情報システムや企業活動を支える要素中で、