...

e-Learningシステムにおける情報セキュリティ対策のポイント

by user

on
Category: Documents
24

views

Report

Comments

Transcript

e-Learningシステムにおける情報セキュリティ対策のポイント
e-Learningシステムにおける情報セキュリティ対策のポイント
2006/07/28
e-LearningConference2006 Summer
Session K-1
株式会社 シーフォー & パソナテック マネージメントサービス
代表取締役社長
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
林 淳一
1
PROGRAM AGENDA
„ 情報セキュリティとは・・
‡
‡
‡
‡
情報セキュリティとは
個人情報保護法について・・個人情報保護法関連事項
情報セキュリティリスク 脅威と脆弱性について
情報セキュリティポリシーの策定に関して
„ e-Learning環境の情報セキュリティ
‡
‡
‡
‡
‡
‡
e-Learningにおける情報セキュリティ
代表的なプラットフォーム例と情報セキュリティのポイント
進化するe-Learning と 必要な情報セキュリティ
機密性の保護と著作権の保護
暗号技術
電子透かし技術
„ 補足:会社紹介・ソリューション紹介
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
2
情報セキュリティとは・・
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
3
発生し続けているセキュリティ事故
個人情報保護法等の法的整備
高まる情報セキュリティ事故に対する危機意識
企業・公的機関では
情報セキュリティ対策が進められている・・(?)
ではなぜ、情報セキュリティに関する事故は発生し続けるのか?
情報セキュリティとは・・
JPCERT コーディネーションセンター :インシデント報告件数の推移 より
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
4
情報セキュリティとは・・
情報セキュリティとは
情報資産の機密性・完全性・可用性を保護し、維持すること
機密性
完全性
可用性
情報セキュリティの三大要素
要素
意味
情報リスク
機密性
情報資産の利用を許可された者だけが情報を
利用できる(アクセスできる)こと
・個人情報の漏洩
・機密情報の漏洩
完全性
情報および処理方法が、正確であること
および完全であることを保護すること
・公開情報の改竄
・情報不正処理・不正判断
可用性
許可された利用者が、必要なときに情報資産
を利用できることを確実にすること
・業務の停止・遅延
・サービスの遅延
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
5
情報セキュリティ関連事項:
『個人情報保護法』について
„ 個人情報保護法の成立
‡ 2003年5月30日に公布され、2005年4月1日施行
„ 個人情報保護法の対象
‡ 個人情報保護法で定義されている「個人情報」とは、直接的に個人を識別で
きる情報となり、こうした「個人情報データベース等を事業の用に供している
者(=個人情報取扱事業者)」が具体的義務を負う対象となる
„ 個人情報保護法の概要
‡ 「個人情報取扱事業者」が「個人情報」を取り扱うにあたっては、予め利用
目的をできるだけ特定しておき、「個人情報」を取得する際にこれを本人に
通知・公表した上、その利用目的の範囲内でのみ、「個人情報」を取り扱う
ことができます。さらに、本人の要求に応じて開示・訂正・利用の停止等を
行わなければなりません。
e-Learningの構築・運用に関して、必ず関連する 『個人情報保護法』
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
6
情報セキュリティ関連事項:
個人情報保護法/安全管理措置
個人情報保護法の主体は個人情報取扱事業者であり、
個人情報取扱事業者では「安全管理措置」を講じることが必要
漏洩・滅失・棄損の防止その他の個人データの安全管理のため、組織的、人的、物理的、及び技術
的安全管理措置を講じなければならない。
(経済産業省ガイドライン)
安 全 管 理 措 置
① 組織的安全措置 :
安全管理について従業員の責任と権限を明確に定め、安全管理に対する
規定や手順書を整備運用し、その実施状況を確認する
② 人的安全管理措置 :
従業者に対する,業務上秘密と指定された個人データの非開示契約の締結や
教育・訓練などを行う
③ 物理的安全管理措置 :
入退室(館)管理、個人データの盗難の防止などの措置を行なう
④ 技術的安全管理措置 :
ITによる
対策範囲
個人データ及びそれを取扱う情報システムへのアクセス制御、不正ソフトウェア対策,
情報システムの監視など、個人データに対する技術的な安全措置を行う
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
7
情報セキュリティ関連事項:
個人情報保護法/事業者の義務
„ 本人同意を得た入手・利用
‡ 情報は本人の同意を得て収集しなければならない
‡ その時本人に利用目的をできる限り明確にしなければならない
„ 機密性・完全性・可用性の確保
‡ 漏洩・滅失・棄損の防止(予防)等の安全管理対策をしなければならない
‡ 従業員と委託業者への監督義務、第三者提供する場合は本人の同意を得なけ
ればならない
„ 情報主体の要求への適切かつ迅速な対応
‡ 情報主体の開示や訂正・利用停止等の要求に対して、適切かつ迅速に対応し
なければならない
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
8
情報セキュリティにおけるリスクとは・・
情報セキュリティを脅かすリスクの要因
【 脅威 】
人為的脅威
●故意・意図的
・不正操作・不正利用
・不正持ち出し
・不正侵入・成りすまし
・違法、不許可ソフトウェア利用
・ウィルス・ワーム・スパイウェア
・盗難・破壊
・etc
●過失・偶発的
・ハードウェア故障
・環境設定障害
・操作・保守エラー
・etc
環境的脅威
・記憶媒体の劣化
・電磁波・静電気
・自然災害
・etc
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
【 脆弱性 】
脆弱性
・不完全なソフトウェア仕様
・ソフトウェア不具合
・環境設定構成要素の不備
・運用仕様の不備
・技術的知識欠如
・監督不足・要員不足
・物理的保護の欠如
・etc
脅威+脆弱性
リスク
リスク
情報に関わる障害
9
情報セキュリティにおける脅威:
脅威に対する対策方法MAP
改竄・踏み台
破壊・損壊
・セキュアOSサーバー
・プロトコル監視
・暗号化・電子透かし
・設備整備
・入退出管理
・バックアップ環境
・多重化
ウイルス感染
不正侵入
・ウィルス・ワーム・
スパイウェア対策
・常時・定期スキャン実施
・クライアント
・サーバー
・ゲートウェイ上での
検知・防御
・FW強化
・プロトコル監視
・認証強化
不正操作
・本人認証確認強化
・PC起動時認証
・操作ログ・通信ログの
取得・管理
情報流出
・メール検疫
・電子ファイル暗号化
・電子ファイル単位での
利用・操作認証
・電子透かし
・外部媒体への書込み制御
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
不正利用
・サーバーアクセス制御
・電子ファイル暗号化
・電子ファイル単位での
利用・操作認証
・電子ファイル利用ログ
取得・管理
PC等の盗難・紛失
・PC/HD暗号化
・電子ファイル暗号化
・暗号化USB
10
セキュリティポリシーの策定
情報セキュリティにおける脅威:
„ 情報セキュリティ保護するため最も重要な事項
‡ 実効性のあるセキュリティポリシーの策定
z
z
z
z
基本方針 :情報セキュリティの保護のための基本方針
管理基準 :情報セキュリティの維持に必要な組織・役割の定義
対策基準 :情報セキュリティを維持するために実施する対策基準
実施手順 :基本方針、各基準から実行すべき具体的な内容・手順
‡ PDCAサイクルでの継続的な改定
PLAN
現
状
調
査
方
針
策
定
現
状
分
析
対
策
立
案
DO
対
策
実
施
基
準
書
策
定
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
技
術
的
対
策
非
技
術
的
対
策
CHECK
ACT
監査
是正
システム
対策
その他
物理対策
教育
ル
|
ル
策
定
11
情報セキュリティにおける脅威:
実効性のあるセキュリティポリシー
バランスを考えたセキュリティポリシー策定
情報を自由に利用したい利用者側と、管理下におきリスクを排除したい管理側には
情報セキュリティに対する意識に温度差が・・・
利便性を無視し、実用性のないセキュリティ対策は
結果的に機能しない為、情報セキュリティ事故は発生してしまう
必要なのは実効性あるセキュリティポリシーの策定
機密性の強化と
利便性の確保
管理者視点
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
利用者 視点
12
情報セキュリティとは・・
„ 機密性: 情報コミュニケーションの信頼が『保証』され
„ 完全性:『正確』な情報コミュニケーションが保証され
„ 可用性:『必要』な情報コミュニケーションが阻害されないこと
【 情報コミュニケーション】
現在のビジネスシーンでは、企業内、企業間、人to人 人toシステム ・・・・・・
様々な形態での情報交換がよりスピーディかつ正確に行うことが不可欠
団体・法人・・
情報
情報
情報
団体・法人
個人
情報
情報
情報
情報
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
情報
13
情報セキュリティとは
情報資産の機密性・完全性・可用性を保護し、維持すること
機密性
完全性
可用性
情報セキュリティの三大要素
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
14
e-Learning環境の情報セキュリティ
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
15
e-Learningにおける情報セキュリティ
„ e-Learningシステムの構築・運用に必要な情報セキュリティとは
‡ 必要な『情報セキュリティ対策』はどのような情報システムも共通
設備対策
改竄対策
不正侵入対策
不正操作監視
情報流出防止
ウイルス対策
アクセス制御
端末紛失対策
情報セキュリティ対策(前記:脅威に対する対策方法MAP参照)
„ 進化する e-Learning 環境と 拡張する e-Learning の役割
‡ 通信の高速化、Mobile環境の発達等e-Learning を実現するシステム環境は、
常に進化しています
‡ e-Learning への期待役割は、集合教育の代わりの e-Learning から EPSS(業
務支援システム)へと役割を拡張しています
注目するべき情報セキュリティのポイントは
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
16
e-Learningにおける情報セキュリティ:代表的なプラットフォーム事例
学習管理システム
学習管理者
学習履歴情報
設定
教材データベース
受講結果登録
教材配布
受験結果
受講状況 オンラインテスティング
システム
受験結果登録
受講者
学習履歴情報
教材データベース
設定
教材配布
受講者情報管理
成績・評価情報参照
受講者情報
成績・評価
成績・評価情報
【
認証確認
代表的なe-Learning プラットフォーム 】
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
17
e-Learningにおける情報セキュリティ:基礎的なポイント
通信の暗号化
学習管理システム
学習管理者
※SSL等での通信暗号化
不正侵入防止
※FW環境強化等、不正侵入対策
学習履歴情報
設定
教材データベース
受講結果登録
教材配布
受験結果
受講状況 オンラインテスティング
システム
受験結果登録
受講者
学習履歴情報
教材データベース
設定
教材配布
受講者情報管理
成績・評価情報参照
利用権限の整備
受講者情報
成績・評価
※サーバーへの侵入・改竄防止対策
※操作・利用ログ取得での履歴管理
※バックアップ・二重化対策
成績・評価情報
認証確認
本人認証強化
サーバーの保護
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
※教材や情報単位でのアクセス権の
整備で不正利用を防止
※Dirサービス等での認証強化
個人情報保護法に基づいた受講者情報の管理が必要
18
『進化するe-Learning』における情報セキュリティ
„ 環境の進化
‡ 通信速度の高速化
‡ Mobile利用の多様化
動画・音声コンテンツ利用促進・コンテンツ多様化
PC(オフライン)時利用
携帯 iPod 等 端末多様化
„ 期待役割の変化と拡張
‡ 集合教育の代わりから、EPSS:業務支援システム の中での役割
EPSS : Electronic Performance Support System
業務上必要とされる知識(情報)の取得・提供を促進し、業務パフォーマンス向上を
支援するためのシステム
‡ 他システムとの連携を強化し『Learning』から『Knowledge-Base 』
KM:ナレッジマネジメント
EPSS:業務支援システム
HRM:人的資源管理
e-Learning
SFA:営業支援システム
EIP:情報ポータル
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
19
進化する e-Learningの中での情報セキュリティ:コンテンツの保護
„ 『e-Learning コンテンツ』
コンテンツ
:
電子文書・静止画・動画・音声
„ 業務支援効果を高くする事により『コンテンツ』の機密性がより高く
業務支援効果(業務密着度)
汎用知識講習
高
自社汎用講習
業務に直結しない情報
社外秘情報
語学講習
業務マニュアル
営業情報
関係者外秘情報
技術情報
„ 全てのシステムに統一されたセキュリティポリシーが必要
‡ 情報へのアクセス権のルールを統一する (機密性・可用性)
‡ システム間で交換される情報のフローを明確にする(完全性)
„ EPSSとしてのe-Learningで最も需要なセキュリティ要素
コンテンツセキュリティ: 利用権限の保護・情報漏洩対策・著作権の保護
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
20
ラーニングコンテンツの保護:機密性の保護と著作権の保護
„ DRM
‡
‡
‡
‡
(Digital Rights Management:デジタルデータ保護管理)
アクセス権限の管理
利用範囲の管理
著作権の保護
監視
ユーザ認証管理
暗号化
復号化+アプリケーション制御
電子透かし
操作履歴管理
„ 多様なフォーマットに対する対応
‡ 電子文書(各種アプリケーション)
‡ 静止画・動画・音声
復号化+アプリケーション制御
暗号化
電子透かし
„ オフライン利用時に対する対策
‡ 利用期間・利用回数制限
‡ 不正流出・改竄に対する対策
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
DRM
電子透かし
21
ラーニングコンテンツの保護:暗号技術と電子透かし
„ 著作権や使用権を保護する手段
‡ 『暗号技術』と『電子透かし技術』の2つの要素技術
‡ 『暗号技術』を『電子透かし技術』が補完することにより、より権利の保護
を強化させる
„ 暗号技術
‡ データを判読不能に作り変える技術
‡ コンテンツの管理及び転送経路上の安全確保の役割
„ 電子透かし技術
‡ コンテンツデータ内に、コンテンツ管理目的のデータを埋め込む技術
‡ コンテンツの不正再利用に対して、著作権や使用権の保護が役割
„ 復号化+アプリケーション制御
‡ 暗号データを復号化し、同時にアプリケーションも制御しデータの利用をコ
ントロールする手法
‡ データの参照・印刷・編集等の機能を制限する
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
22
対策方法①:暗号化・復号化+アプリケーション制御
„ 目的
‡ 利用許可者以外に電子情報が流出した場合の対策
‡ 利用許可者に対して電子情報の利用範囲を制限する
– 参照・印刷・編集等の電子情報の操作を制限する
– 利用期間・利用回数等の利用制限をコントロールする
„ 対象
‡ 一般アプリケーションファイル:Microsoft Office, Acrobat PDF 等
‡ 静止画像・動画・音声
„ 対策方法
‡ 電子情報がLMSコンテンツデータに保管されている際は暗号化し保管する
‡ 暗号化電子情報に対して、利用者の範囲・利用方法制限を設定する
‡ 利用者の電子ファイルの利用方法
<情報の機密性・利用目的によって、さらにセキュリティ強度を上げる>
【非永続暗号】
:利用時に電子情報を復号化し利用させる
【永続暗号】
:電子情報が暗号化されたまま、専用TOOLを用いて利用させる
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
23
非永続暗号 と 永続暗号
ビューワー
LMS
教材を暗号化し
管理する
【目的】
※利用権限者以外の
利用をさせない 教材データベース
※コンテンツの不正
流出への対策
利用教材
(電子ファイル)
・暗号化したまま電子ファイルを
受講者(権利者)を
利用する<参照・編集・印刷>
経由しての
情報が流出しても
流出先では使用不能
【永続暗号】
利用教材
(コンテンツ)
ID
LMS利用認証と ID
教材利用の認証確認
利用後も暗号ファイル
のままの状態
【非永続暗号】
受講者
受講者(権利者)を経由しての
情報漏洩は防ぐ事ができない
ポリシー情報
利用履歴
認証サーバー
利用教材
(電子ファイル)
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
復号化して利用
24
対策方法②:電子透かし
„ 目的
‡ e-Learningシステム上に配置されたコンテンツの不正流出に対する対策
‡ 不正利用されたコンテンツの著作権保護
‡ コンテンツの改竄対策 (コンテンツの改竄・真贋判定)
„ 対象
‡ 静止画像・動画・音声
„ 対策方法
‡ コンテンツ作成時に『電子透かし』(著作権・使用権の特定情報)を
埋め込み e-Learningシステム上に配置する
‡ 不正利用されている電子情報から、『透かし情報』を検出し
著作権元を確定する
„ 補足事項:電子透かし技術とステガノグラフィ(秘密通信)技術
‡ 電子透かし技術
– 電子透かし技術の目的は、著作権に関連する情報をコンテンツに埋め込み
– 主役はコンテンツ
‡ ステガノグラフィ技術
– ステガノグラフィ技術の目的は、情報を相手に秘密通信するため、コンテンツに隠す
– 主役は埋め込んだデータ
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
25
ラーニングコンテンツの保護:電子透かし
著作権情報
透かし埋め込み
不正流出
オリジナル画像
不正利用
LMS
著作権情報
公開
透かしを埋め込んだ画像
透かし情報検出
・原画像比べても画質の
変化は変わらない
・圧縮・加工されても
透かし情報は検出可能
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
著作権情報
著作権の明示
管理責任追求
26
会社紹介:株式会社 シーフォー & パソナテック マネージメントサービス
株式会社 シーフォーテクノロジー
セキュリティ コアテクノロジー
セキュリティ ソリューション(プロダクト)
セキュリティ コンサルティング
株式会社 パソナテック
大規模なエンジニアスタッフ基盤
スキルマネージメント コンサルティング
両社のコア・コンピタンスを軸とし、
内部統制強化に向けた、お客様にとって最適なソリューション・サービスを
ワンストップで提供させていただくためのソリューションサービスプロバイダー
株式会社 シーフォー & パソナテック マネージメントサービス
株式会社 シーフォーテクノロジー【東証マザーズ:2355】と 株式会社パソナテック【ジャスダック:2396】との合弁会社
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
27
会社紹介:
JSOX・内部統制強化へのワンストップサービス
企業のIT企画に参画し、企画・立案 から
構築・運用・教育まで サービス・TOOL・実施体制 を提供します
PLAN
<改善対策>
・インテグレーション
・プロダクト・ASP
・運用支援
ACT
<コンサルティング>
・システム監査支援
・対策立案
JSOX対策
<認定取得支援>
・Pマーク取得支援
・ISMS取得支援
情報セキュリティ対策
内部統制強化
<運用支援>
・システム運用支援
・エンジニアリソース支援
・社員教育支援
<コンサルティング>
・現状調査・分析
・対策立案
・セキュリティポリシー
策定
CHECK
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
DO
<インテグレーション>
・インフラ構築
・アプリケーション構築
・エンジニアリソース支援
・プロダクト・ASP
28
C4TechnologyGroup:C4テクノロジーグループ
コアコンピタンス
情報セキュリティの コア(核) となるテクノロジー研究開発
情報セキュリティソリューション プロダクト ラインナップ
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
29
C4TechnologyGroup:
コンサルティ
ング
情報セキュリティ・ソリューションマップ
業務支援 / 教育支援
認証
ISMS・
ISMS・Pマーク認証
取得支援
情報セキュリティ
ポリシー構築支援
アプリケーションセキュリティ
暗号・分散
脆弱性診断
内部監査員教育
OS・HWセキュリティ
ネットワークセキュリティ
物理的セキュリティ
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
30
本プログラム関連製品:電子文書の永続的暗号化
使いやすいGUIで、エンドユーザーの生産性を向上!
簡単操作で確実なセキュリティを実施
「利用方法が難しくてユーザーが使ってくれない」。
ユーザーが使ってくれない
そんな管理者様のお悩みにお答えしました
● 機密ファイルを落とすだけ
利用権限はチェックボックスで簡単設定できます。
1
利用前
利用中
利用後
その 保護
も
で
閲覧中や編集後もファイルの保護は解除されませ
いつ
ん
協力会社
拠点A
拠点B
モバイル
2
その
護
も保
で
どこ
ネットワーク内外を問わずファイルを保護します
● 利用は簡単ダブルクリック
ユーザー認証と権利取得はすべて自動で行います。
3
その
視
を監
て
すべ
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
ファイル利用者
操作!
ログ確認
システム管理者
ファイルに対する操作履歴をすべて残します
31
本プログラム関連製品:電子透かしソリューション
<電子透かしにかかわる摘発事例>
人の目には見えない
著作権情報埋込み
画像から著作権情報
を検出
●国内シェアNO.1の実績と経験
静止画コンテンツ
数千万コンテンツ
●高度な技術
画像空間への直接埋め込み方式
周波数領域埋め込み方式を併用した
独自アルゴリズムを使用
中略
●多彩なデータに対応
対応ファイル形式:JPEG、GIF、PNG、BMP
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
32
e-Learning関連製品:こちら株式会社スキルマスター
∼情報セキュリティ室・基礎知識偏∼
『こちら株式会社スキルマスター』は、企業を脅かす悪の使者との戦いを勝ち抜くうちに
精度の高いユーザーリテラシーが身につく『ゲーム型 e-ラーニング』システムです。
『情報セキュリティ室・基礎知識編』では、フルアニメーションの対戦ゲーム感覚で
日常業務に潜む情報漏えいリスクや注意点などの基礎知識を一問一答形式で
楽しく学習でき、受講者のモチベーションを高く維持したリテラシー教育を実現できます。
それが NEO e-Learning System
充実
充実
簡単
簡単
少ない導入費用で充実した内容
インターネットでいつでもどこでも
楽しい
しい ゲーム&アニメーションで楽しく学習
楽
これからのeラーニングは 『楽しい』・『簡単』・『充実』
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
33
株式会社 シーフォー & パソナテック マネージメントサービス
お問合せ先- [email protected] –
〒141-0021
東京都品川区上大崎2−13−17 目黒東急ビル5F
TEL:03-5447-2674 FAX:03-5447-2684
-グループ会社株式会社 シーフォー ビジネスコンサルティング
株式会社 シーフォー セールスサポート
株式会社 シーフォー システムデザイン
©2006 C4 & Pasona Tech Management Service, Inc. All Rights Reserved.
34
Fly UP