Comments
Description
Transcript
情報セキュリティ水準評価指標研究会 - IPA 独立行政法人 情報処理推進
情報セキュリティ水準評価指標研究会 報告書 2006 年 11 月 目 次 1. 本研究会における検討の目的 .................................................... 1 2. 情報セキュリティ対策に係る取組の進展度合を把握するための指標選定の考え方 ....... 1 2.1.基本的な考え方........................................................... 1 2.2.IT サービス基盤の考慮 .................................................... 2 2.3.「情報セキュリティ水準評価指標を検討するための関係モデル」 ............... 2 3. 「情報セキュリティ水準評価指標を検討するための関係モデル」への事例の適用 ....... 3 事例 1)バンキング・サービス ................................................. 4 事例 1-1)IC キャッシュカード、ATM における生体認証 ........................... 4 事例 1-2)インターネット・バンキング ......................................... 5 事例 2)インターネット通信販売 ............................................... 6 事例 3)インターネット動画配信サービス ....................................... 7 4. まとめ........................................................................ 8 参考文献 ......................................................................... 9 情報セキュリティ水準評価指標研究会 名簿......................................... 10 情報セキュリティ水準評価指標................................................... 別紙 1. 本研究会における検討の目的 社会における情報セキュリティ対策に係る取組の進展度合を体系的、経年的に把握する べく、情報セキュリティ水準評価指標を検討する。その際、社会における IT サービスの進 展度合などによって、選定すべき個別指標が異なると考えられる。このため、こうした状 況をふまえて、本研究会では、情報セキュリティ水準評価指標を構成する個別指標の検討 指針を示す、ひとつのモデルを提案することを目的とする。また、このモデルを活用しつ つ、具体的な指標を選定することとする。 2. 情報セキュリティ対策に係る取組の進展度合を把握す るための指標選定の考え方 2.1.基本的な考え方 社会における情報セキュリティ対策に係る取組の進展度合を把握する方法として、情報 セキュリティに関する「脅威」の大きさと、「対策」の浸透などの度合がそれぞれどの程度 であるかを把握するアプローチが考えられる。過度の対策はコスト増の要因となり、逆に 過少な対策は脆弱な側面などの原因となると考えられ、いずれの場合も望ましくない結果 を招くおそれがある。こうしたバランス関係があることを念頭におきつつ、情報セキュリ ティ対策に係る取組の進展度合を把握する方法を検討するにあたっては、まず「脅威」と これに応じた「対策」に注目することが重要と考えられる。 具体的な個別指標を検討するためには、「脅威」と「対策」を細分化していく必要があ る。以下に基本的な考え方を示す。 なお、細分化して個別指標を選定するときには、経年的に情報セキュリティ対策の進展 を把握できることが重要であることに鑑み、データの安定的獲得可能性に留意することと する。 情報セキュリティに係る「脅威」と「対策」の指標に係る基本的考え方 ①「脅威」、 「対策」をそれぞれ「大分類」とする。 ②大分類「脅威」の中に、情報資産を脅かす事象を引き起こす要因(例:不正アクセス、 コンピュータウイルスなど)と、その結果引き起こされた事象(例:改ざん、情報漏 洩など)を含むものとする。これらを中分類、さらに( )内に示した個別の例など を小分類とする。 ③大分類「対策」の中に、脅威に対する組織・人的対策(例:マネジメントシステム・ ポリシー等、組織体制など)、技術的対策(例:予防・制御措置、検知・復旧措置な ど)、対策リソース(例:情報セキュリティ投資など)を含むものとする。これらを 中分類、( )内に示した個別の例などを小分類とする。 ④各小分類の中に個別指標を選定して列記する1。 1 個別指標例として、入手可能な既存の各種資料(設計の異なる各種アンケート結果等)から収集したデータを参考に、 抽出したものを、別表(後述)に例示的に記す。このため、別表に記載する個別指標間で、必ずしも「脅威」と「対策」、 「事象を引き起こした要因」と「引き起こされた事象」などが対応関係にあるものとはなっていない。 1 2.2.IT サービス基盤の考慮 「脅威」を生じさせる要因を考えると、「対策」の不充分、又は既存の「対策」を超える技 術等による攻撃の出現といったものの他、IT を用いた新たなサービスが登場したときに、 これによって創出される情報資産に対する攻撃なども出てくると考えられる。このため、 検討すべき要素に、その時点で普及している IT や、その時点で社会で広く講じられている 情報セキュリティ関連対策を前提とした新たなサービス基盤(「IT サービス基盤」 )も加え ることが適切と考えられる。 2.3.「情報セキュリティ水準評価指標を検討するための関係モデル」 以上の議論を踏まえると、「脅威」、「対策」 、 「IT サービス基盤」の間には、以下の図の ような連鎖的かつ進化的な関係モデルがあると想定できる。すなわち、ある経済社会で「IT サービス基盤」が普及してくると、それによって創出される情報資産に対する攻撃などの 「脅威」が出現し、これに応じた「対策」が講じられる。さらに、これらの「対策」が普 及し、それを前提とした新たな「IT サービス基盤」が登場してくるという立体的なループ 状の連鎖である2。 図 「情報セキュリティ水準評価指標を検討するための関係モデル」 IT サービス 基盤 IT サービス 基盤 対策 対策 脅威 IT サービス 基盤 対策 脅威 脅威 2 「IT サービス基盤」を考慮することによって、 「脅威」に対する「対策」が進展し、それを前提とした新たな「IT サ ービス基盤」が登場することで、IT 社会が新たな段階へと進むのではないかと考えることができる。ただし、実際に は、ある「脅威」に対して「対策」を講じると、 「脅威」がほぼ無くなるまでには相当な時間を要し、直ちに根治する ものではないこと、また次の「脅威」が重なるように出現することが想定されること、 「脅威」の対象となる「IT サー ビス基盤」が消滅した時に、その「脅威」は完全に無くなると考えられることなどに留意が必要である。 2 3. 「情報セキュリティ水準評価指標を検討するための関 係モデル」への事例の適用 2 で想定した「情報セキュリティ水準評価指標を検討するための関係モデル」が、 実際の事例に適用可能であるかどうかを検討する。事例は IT サービスの中でも金(カ ネ) 、物(モノ) 、コンテンツの分野から、以下の代表的なものを取り上げる。 (事例 1)バンキング・サービス (事例 1-1)IC キャッシュカード、ATM における生体認証 (事例 1-2)インターネット・バンキング (事例 2)インターネット通信販売 (事例 3)インターネット動画配信サービス 3 事例 1)バンキング・サービス 事例 1-1)IC キャッシュカード、ATM における生体認証 ∼1 日当たりの利用限度額の引上げ∼ ○偽造キャッシュカードによる預金引出し等の被害が、2000 年以降急増している。 ○銀行業界では、利用限度額の引き下げや、被害補償によってリスク対応を行ってき ている。一方で、偽造対策としてキャッシュカードの IC キャッシュカード化と IC キャッシュカード対応 ATM の設置を進めており、IC キャッシュカード使用の場合は 1日当たりの利用限度額を上げるといったサービス向上を図っている。 (旧来のキ ャッシュカードの利用限度額が引き下がったことに対する例外として) ○さらに、IC キャッシュカード盗難による預金等不正引出し3を防止するため、ATM に 指紋や掌による生体認証機能の導入と、生体認証用 IC カードの発行が開始された。 生体認証を用いる場合は 1 日当たりの利用限度額がさらに上がるサービスが提供さ れている。 IT サービス基盤 情報セキュリティ脅威 情報セキュリティ対策 1970 年 現金自動預入支払サービス (キャッシュカード/ATM の利用が前提) 偽造キャッシュカード 【偽造キャッシュカードによる預金等 不正引出率】 2002 年 1 日当たりの利用限度額引上げ (IC キャッシュカード利用が前提) IC カード化 【IC キャッシュカード利用率】 【IC キャッシュカード対応 ATM 設置率】 IC キャッシュカード盗難 【盗難・偽造 IC キャッシュカードに よる預金等不正引出率】 2004 年 1 日当たりの利用限度額引上げ (生体認証用 IC キャッシュード・ATM における生体認証が前提) 生体認証導入で本人認証強化 【生体認証用 IC キャッシュカード 利用率】 【生体認証対応 ATM 設置率】 注)【 】・・・状況を把握するための個別指標案 3 盗難・偽造された IC キャッシュカードを使った預金等の不正引出の被害が発生する際には、暗証番号の推知が必要 となる。手口としては、運転免許証の生年月日等からの類推や、ATM を利用する者の背後からののぞき見、警察官等を 装い暗証番号を聞き出すもの等がある。 4 事例 1-2)インターネット・バンキング ∼いつでもどこでもバンキング・サービスが利用できるようになる∼ ○90 年代末頃から、普及してきた SSL4とパスワード認証方式によるインターネット・ バンキングが登場。インターネットを通じて、いつでも(24 時間)、どこでもバン キング・サービスが利用可能になったほか、振込手数料減額、金利優遇、といった メリットも提供されている。 ○その後、2000 年代に入ると、フィッシング等による口座 ID 番号・暗証番号詐取の 脅威が出現。預金等不正引出しの被害が出ている。そのため、ワンタイム・パスワ ード5等による、本人認証方法の強化策がとられている。 IT サービス基盤 情報セキュリティ脅威 情報セキュリティ対策 1995 年 テレフォン・バンキング6 口座 ID 番号・暗証番号の盗聴 ※ インターネット・バンキング SSL+パスワード認証方式 【インターネット・バンキング利用率】 【セキュア(SSL 採用)サーバー設置率】 2000 年 口座 ID 番号・暗証番号の詐取 【フィッシング被害経験率】 ワンタイム・パスワード方式 導入で本人認証強化 【ワンタイム・パスワード製品普及率】 注)【 】・・・状況を把握するための個別指標案 ※・・・テレフォン・バンキングのためではないが、ネットワーク上での盗聴等への一般的な対 策として導入されている。その意味で連鎖を示す点線は細く示した。 4 Netscape Communications 社が開発した、インターネット上で情報を暗号化して送受信するプロトコル。現在インタ ーネットで広く使われている WWW などのデータを暗号化し、プライバシーに関わる情報やクレジットカード番号、企業 秘密などを安全に送受信することができる。 5 1 回しか使えない「使い捨てパスワード」を生成するセキュリティ・トークンを利用した認証方式。現在の時刻や取 引1件ごとに増加するカウンタ値等を基に、共通鍵暗号アルゴリズムの演算を行うことによって、取引の都度、一度限 りしか使えないパスワードが生成・利用され、かつ、送受信される情報から共通鍵暗号の鍵を推定することが計算量的 に困難となるような設計がなされている。 6 自宅の電話で口座番号や暗証番号などを入力することで残高照会や、入出金明細照会、振込み、振り替え、定期預金 の預け入れができるサービス。 5 事例 2)インターネット通信販売 ∼Web サイトから簡単に注文ができるようになる∼ ○1990 年代前半から、 通信販売の通信手段として電子メールが利用されるようになる。 通信販売サービスの利便性(いつでも、どこでも)が向上したが、クレジットカー ド番号等個人情報の盗聴の脅威が出現。 ○その後、セキュアサーバー7を利用した Web サイトでの通販サービスが提供されるよ うになり、簡単に、かつ個人情報やクレジットカード番号が安全に送信できるよう になった。しかし、フィッシング等により、登録したクレジットカード番号等の個 人情報が詐取されるといった新たな脅威が出現。クレジットカードの不正利用によ る被害も出ている。 ○フィッシングの対策としては、利用者が騙しの手口8をよく理解することが定石であ る。また、クレジットカードに替わる決済手段として、被害額に限度がある少額決 済専用の電子マネー9を活用することも対策の1つとして考えられる。 IT サービス基盤 情報セキュリティ脅威 情報セキュリティ対策 1990 年 電子メールによるインターネ ット通販 クレジットカード番号の盗聴 Web サイトによるインターネ ット通販 セキュアサーバーの利用 【セキュア(SSL 使用)サーバー設置率】 【消費者向け(BtoC)電子商取引化率】 2000 年 クレジットカード番号の詐取 【フィッシング被害経験率】 フィッシング対策の普及 少額決済専用電子マネーの利用 【フィッシングの理解度】 【少額決済専用電子マネーの普及状況】 注)【 】・・・状況を把握するための個別指標案 7 セキュアサーバー:インターネット上でデータを暗号化して送受信するプロトコル「SSL」が使用されたサーバーの こと。個人情報やクレジットカード番号、企業秘密などを安全に送受信することができる。 8 フィッシング対策協議会(http://www.antiphishing.jp/)などから、騙しの手口の事例や、騙されない為のガイダ ンスが公開されている。 9 少額決済専用の電子マネー:Edy、Suica といったプリペイド式の電子マネー。携帯電話にも搭載でき、普及の拡大 が予想される。 6 事例 3)インターネット動画配信サービス ∼様々な動画コンテンツが簡単に素早く入手できるようになる∼ ○2000 年以降のブロードバンド回線の急速な普及に伴って、インターネットを介した 動画コンテンツの配信サービス市場が拡大している。 ○無償から始まった動画コンテンツ配信・流通は、違法コピーされた有償動画コンテ ンツがファイル交換ソフトなどを通じてインターネット上に流れ始めた。コンテン ツ作成者側は、これに対抗するため、コンテンツの暗号化や、課金等のシステム化 といったデジタル著作権管理(DRM)技術10を強化。動画配信サービスの有償化を可 能にしている。 ○顕在化している脅威はまだ少ないが、最近では、動画を見るために必要な専用プレ イヤーと偽ってスパイウェアをダウンロードさせ、その後、一定時間毎に請求書が 表示されるようになってしまう、新しい押し売り行為の手口が出現している(下記 注釈参照)。一例ではあるが、このような脅威は市場の拡大と共に増加することが予 想される。 IT サービス基盤 情報セキュリティ脅威 情報セキュリティ対策 無償動画コンテンツ配信サ ービス 有償動画コンテンツ の 違法 コピー・流通 2000 年 有償動画コンテンツ配信サ ービス デジタル著作権管理(DRM) 技術の導入 【有償動画配信サービス利用率】 【デジタル著作権管理(DRM)技術普 及率】 (脅威の予兆) 事例:動画プレイヤーと偽っ てダウンロードさせたソフ トが架空請求を行う など 2006 年 【有料動画配信サービスにおける脅 威事例】11 注)【 】・・・状況を把握するための個別指標案 10 デジタル著作権管理(DRM:Digital Rights Management)技術:動画コンテンツの暗号化、改ざんや不正利用の防 止、課金に関わる技術 11 http://www.ipa.go.jp/security/txt/2006/09outline.html。この他に、画質向上プログラムに見せかけてスパイウ ェアをダウンロードさせる事例が出ている。(http://itpro.nikkeibp.co.jp/article/USNEWS/20060911/247653/) 7 4. まとめ 以上より、 「情報セキュリティ水準評価指標を検討するための関係モデル」が、いくつか の事例において一つの指針として活用可能であることを確認した。情報セキュリティに係 る取組の進展度合を把握するための個別指標検討において、他のいくつかの分野でも適用 できるものがあると推測される。 これを踏まえると、情報セキュリティ水準評価指標を検討するにあたっては、コンピュ ータウイルス、不正アクセスといった「脅威」と、これらに対して講じるファイアウォー ル設置、ウイルス対策ソフトの導入などの「対策」が基本的なものに加えて、個別指標の 検討にあたっては本モデルを活用して、萌芽的な指標の抽出など、指標の選定をより詳し く検討していくこととする。 こうしたアプローチによって、本研究会で選定した指標例について別紙にまとめた。 8 参考文献 日本銀行 金融高度化セミナー資料「『金融機関における情報セキュリティの高度化に向けて』における岩 下参事役講演要旨」(2006 年 1 月 13 日) http://www.boj.or.jp/type/release/zuiji_new/fsc0601f.htm 金融庁 偽造キャッシュカード問題に関するスタディグループ「偽造キャッシュカード問題に関するスタ ディグループ最終報告書」(2005 年 6 月 24 日) http://www.fsa.go.jp/news/newsj/16/ginkou/f-20050624-4.html 日銀レビュー(日本銀行決済機構局 中山 靖司著)「インターネットバンキングの安全性をめぐる現状と 課題」(2006 年 7 月) http://www.boj.or.jp/type/ronbun/rev/data/rev06j14.pdf フジ・テクノシステム「IT セキュリティソリューション大系 (2004 年 7 月 22 日) フジ・テクノシステム「IT セキュリティソリューション大系 (2004 年 7 月 22 日) 上巻 下巻 IT セキュリティマネジメント」 IT セキュリティエンジニアリング」 独立行政法人日本貿易振興機構(ジェトロ)「日本の通信販売市場調査(JMR No.74)」(2005 年 3 月) http://www.boj.or.jp/type/release/zuiji_new/fsc0601f.htm 社団法人日本通信販売協会「2005 年度通信販売売上高について(速報)」(2006 年 7 月) http://www.jadma.org/whatsnew/2005total_sales.pdf Ross Anderson 著「情報セキュリティ大全」日経BP社(2002 年 9 月 9 日) 次世代電子商取引推進協議会 (ECOM)「やさしいEC入門」(Web サイト) http://www.ecom.jp/qecom/demo/index.htm 総務省「平成 18 年版 情報通信白書」 (Web サイト版) http://www.johotsusintokei.soumu.go.jp/whitepaper/ja/h18/index.html 独立行政法人 情報処理推進機構 セキュリティセンター「コンピュータウイルス・不正アクセスの届出状 況[8 月分]について」(2006 年 9 月 4 日) http://www.ipa.go.jp/security/txt/2006/09outline.html 社団法人 電子情報技術産業協会(JEITA)「コンピュータセキュリティの市場・技術に関する調査報告書」 (2005 年 3 月) http://it.jeita.or.jp/infosys/committee/security/05-kei-5/05-kei-5.pdf 次世代電子商取引推進協議会(ECOM)「情報セキュリティにおける新しい脅威と対応技術の動向」(2002 年 3 月) http://www.ecom.jp/results/results13.html 塚田孝則著「セキュリティリティポリシーとリスク評価 9 第 2 版」日経BP社(2003 年 5 月) 情報セキュリティ水準評価指標研究会 名簿 座長 対象者名 林 紘一郎 所 属 情報セキュリティ大学院大学 副学長 教授 (敬称略) 委員 対象者名 苗村 憲司 古山 恒夫 元橋 一之 山口 英 オブザーバ 対象者名 下田 裕和 所 属 情報セキュリティ大学院大学 セキュア社会システム研究所 教授 東海大学 理学部情報数理科 教授 東京大学 大学院工学系研究科 教授 奈良先端科学技術大学院大学 情報科学研究科 教授 (五十音順、敬称略) 所 属 経済産業省商務情報政策局情報セキュリティ政策室 (敬称略) 事務局 対象者名 三角 育生 山田 晃 大貫 秀明 富澤 亮太 前田 祐子 独立行政法人 独立行政法人 独立行政法人 独立行政法人 独立行政法人 所 属 情報処理推進機構 セキュリティセンター 情報処理推進機構 セキュリティセンター 情報処理推進機構 セキュリティセンター 情報処理推進機構 セキュリティセンター 情報処理推進機構 セキュリティセンター (順不同) (検討の経緯) 2006 年 7 月 10 日 第 1 回研究会 「情報セキュリティ水準評価指標」の基本的な考え方についての検討 2006 年 8 月 15 日 第 2 回研究会 「情報セキュリティ水準評価指標」の基本的な考え方、及び構成につ いての検討 2006 年 9 月 22 日 第 3 回研究会 「情報セキュリティ水準評価指標」の構成、及び内容についての検討 2006 年 10 月 17 日 第 4 回研究会 「情報セキュリティ水準評価指標」の内容についての検討 10