配布資料 - ISC

by user

on 28 марта 2017

Category: Documents

>> Downloads: 1

views

Report

Comments

Description

Download 配布資料 - ISC

Transcript

配布資料 - ISC

第3回ISLS 2008/03/10
情報セキュリティに関する
各種調査データの紹介
独立行政法人情報処理推進機構
セキュリティセンター
石井茂
Copyright © 2008 独立行政法人情報処理推進機構
CISSP
1
本日の内容
１．情報セキュリティに関する脅威に対する意識調査
（後日IPAサイトで公開）
２．平成19年度国内における情報セキュリティ事象
被害状況調査
（後日IPAサイトで公開）
３．情報漏えいインシデント対応方策に関する調査
４．情報漏えい発生時の対応ポイント
５．情報セキュリティ対策ベンチマーク
６．脆弱性関連情報届出制度
今日の趣旨：
７．Tips（一口メモ）
「こんなデータがあります」
Copyright © 2008 独立行政法人情報処理推進機構
情報漏えいインシデント
対応方策に関する調査
Copyright © 2008 独立行政法人情報処理推進機構
3
情報漏えい事例の収集
2007年8月公開 IPA調査
情報漏えいインシデント対応方策に関する調査
（http://www.ipa.go.jp/security/awareness/johorouei/index2.html）
国内において過去５年間(2003年∼2007年）に
報道されたり自らウェブで発表した情報漏えい
事故153件の事例について、漏えい情報の種別、
漏えい経路、事故後の対応、事故後の経過（二
次被害等）などの実態を把握することを目的と
し、事例を収集。
Copyright © 2008 独立行政法人情報処理推進機構
4
情報漏えいインシデント対応方策
に関する調査- 1
漏えい元組織の内訳
公共団体、学校
からも．．．
（http://www.ipa.go.jp/security/awareness/johorouei/index2.html）
Copyright © 2008 独立行政法人情報処理推進機構
5
情報漏えいインシデント対応方策
に関する調査- 2
漏えいタイプ分類
情報の管理は
大丈夫か？
（http://www.ipa.go.jp/security/awareness/johorouei/index2.html）
Copyright © 2008 独立行政法人情報処理推進機構
6
情報漏えいインシデント対応方策
に関する調査- 3
発見方法
外部からの指摘
が半数に．．
顧客から指摘さ
れるケースも．．
（http://www.ipa.go.jp/security/awareness/johorouei/index2.html）
Copyright © 2008 独立行政法人情報処理推進機構
7
情報漏えいインシデント対応方策
に関する調査- 4
情報開示の対応
Webで公開
（http://www.ipa.go.jp/security/awareness/johorouei/index2.html）
Copyright © 2008 独立行政法人情報処理推進機構
8
情報漏えいインシデント対応方策
に関する調査- 5
情報開示の内容
漏えい原因、謝罪、被
害範囲、経過、再発防
止が５大開示内容
（http://www.ipa.go.jp/security/awareness/johorouei/index2.html）
Copyright © 2008 独立行政法人情報処理推進機構
9
情報漏えいインシデント対応方策
に関する調査- 6
被害者救済策
問合せ窓口
設置は半数
（http://www.ipa.go.jp/security/awareness/johorouei/index2.html）
Copyright © 2008 独立行政法人情報処理推進機構
10
情報漏えい発生時の対応ポイント
Copyright © 2008 独立行政法人情報処理推進機構
11
情報漏えい発生時の対応ポイント集
http://www.ipa.go.jp/security/awareness/johorouei
/rouei_taiou.pdf
Copyright © 2008 独立行政法人情報処理推進機構
12
情報漏えい発生時の対応のポイント
基本的な考え方
情報漏えい対応の目的
情報漏えい対応の目的
「情報漏えいによる直接的・間接的被害を
最小限に抑える」
情報漏えい対応の５原則
情報漏えい対応の５原則
（１）被害拡大防止・二次被害防止・再発防止の原則
（２）事実確認と情報の一元管理の原則
（３）透明性・開示の原則
（４）チームワークの原則
（５）備えあれば憂いなしの原則
Copyright © 2008 独立行政法人情報処理推進機構
http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf
13
情報漏えい対応の基本ステップ
情報漏えい発生！
（１）
発見・報告
（２）
初動対応
（３）
調査
速やかに責任者に報告し対応のための体制を構築
不用意な操作を避ける
外部からの通報は、相手の連絡先を控える
対策本部を設置
被害の拡大、二次被害の防止のための応急処置
（情報の隔離、ネットワークの遮断、サービスの停止など）
５W1H（いつ、どこで、誰が、何を、なぜ、どうしたのか）で調査し情報
を整理
重要な情報に関する証拠を確保
（４）
通知・報告・公
表等
個人情報の本人、取引先などへの通知
監督官庁への報告、警察、IPAなどへの届出
ホームページ、マスコミ等による公表を検討
（５）
抑制措置と復
旧
被害の拡大の防止と復旧措置
再発防止に向けた取組み
（６）
事後対応
Copyright © 2008 独立行政法人情報処理推進機構
抜本的な再発防止策を実施
被害者に対する損害の補償
内部職員の処分
最終的な情報開示
http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf
14
情報の種類に関するポイント
個人情報
個人情報
顧客等、個人に関する情報
顧客等、個人に関する情報
個人情報保護法に準拠した対応が必要（監督官庁へ報告）
個人情報保護法に準拠した対応が必要（監督官庁へ報告）
本人への通知や注意喚起など被害防止措置が必要
本人への通知や注意喚起など被害防止措置が必要
公共性の高い情報
公共性の高い情報
社会の重要なサービス、安全に関する情報など
社会の重要なサービス、安全に関する情報など
関係者・監督官庁への報告
関係者・監督官庁への報告
マスコミ等へ情報を開示
マスコミ等へ情報を開示
一般情報
一般情報
取引先等の情報については取引先に連絡
取引先等の情報については取引先に連絡
情報の当事者の意向に沿った対応を実施
情報の当事者の意向に沿った対応を実施
組織の重要情報については内容に応じた経営判断を実施
組織の重要情報については内容に応じた経営判断を実施
http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf
Copyright © 2008 独立行政法人情報処理推進機構
15
漏えいのタイプによるポイント
（１）
（１）紛失・盗難
紛失・盗難
（２）
（２）誤送信・Webでの誤公開等
誤送信・Webでの誤公開等
（３）
（３）内部犯行
内部犯行
（４）
（４） Winny/Share
Winny/Share 等への漏えい
等への漏えい
（５）
（５）不正プログラム
不正プログラム
（６）
（６）不正アクセス
不正アクセス
（７）
（７）風評・部ログ掲載等
風評・部ログ掲載等
http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf
Copyright © 2008 独立行政法人情報処理推進機構
16
漏えいのタイプによるポイント（紛失・盗難の例）
Copyright © 2008 独立行政法人情報処理推進機構
http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf
17
情報セキュリティ対策ベンチマーク
Copyright © 2008 独立行政法人情報処理推進機構
情報セキュリティ対策ベンチマークポータルサイト
http://www.ipa.go.jp/security/benchmark/
自己診断サイトへは
Enterをクリック
ベンチマークポータルサイトに掲載の資料
¾情報セキュリティ対策ベンチマークの概要
¾情報セキュリティ対策ベンチマークver.3.0 の特徴
¾情報セキュリティ対策ベンチマークの使い方
¾情報セキュリティ対策ベンチマーク活用集
¾情報セキュリティ対策ベンチマークの質問一覧
¾推奨される取り組みのページ
¾情報セキュリティ対策ベンチマークに関するFAQ
¾情報セキュリティ対策ベンチマークに関する資料など
Copyright © 2008 独立行政法人情報処理推進機構
ポータルサイトには、
様々な情報が
掲載されています。
セキュリティ対策に関する質問
第１部の設問（評価項目）
5 グループ構成、グループ毎 3∼7 項目計 25 項目
(a) 情報セキュリティに対する組織的な取組状況（7項目）
(b) 物理的（環境的）セキュリティ上の施策（4項目）
(c) 情報システム及び通信ネットワークの運用管理（6項目）
(d) 情報システムのアクセス制御の状況及び情報システムの
開発、保守におけるセキュリティ対策の状況（5項目）
(e) 情報セキュリティ上の事故対応状況（3項目）
JIS Q 27001(ISMS認証基準) の
付属書Aの管理策（133項目）がベース
・専門家によるWGの検討を経て策定。
・平易な言葉でわかりやすく表現。
・評価項目の量を抑えている。
Copyright © 2008 独立行政法人情報処理推進機構
20
セキュリティ対策に関する質問の回答（選択肢）
第１部の質問へは5つの選択肢より回答
できていない
１
経営層にそのような意識がないか、意識はあっても方針やルールを
定めていない
２
経営層にそのような意識はあり、方針やルールの整備、周知を図り
つつあるが、一部しか実現できていない
３
経営層の承認のもとに方針やルールを定め、全社的に周知・実施し
ているが、実施状況の確認はできていない
４
経営層の指示と承認のもとに方針やルールを定め、全社的に周知・
実施しており、かつ責任者による状況の定期的確認も行っている
５
4.に加え、周囲の環境変化をダイナミックに反映し、常に改善を図っ
た結果、他社の模範となるべきレベルに達している
できている
Copyright © 2008 独立行政法人情報処理推進機構
21
情報セキュリティ対策ベンチマークの診断結果
第1部、第2部の回答結果より、御社の
位置が表示されます。
セキュリティ対策の取り組み状況など、
他社と比較した結果になります。
この場合、平均よりも若干セキュリティレベルが低くなっています
Copyright © 2008 独立行政法人情報処理推進機構
22
診断結果（レーダーチャート）
診断結果がレーダーチャート
で表示されます。
望まれる水準
御社のスコア
平均
中心に近い程、セキュリティレベルは低くなります
Copyright © 2008 独立行政法人情報処理推進機構
23
望まれる水準とは
125点
上位1/3
トータルスコア
上位1/3
における
平均値
上位１/３の平均値
目標
望まれる水準
達成すべき目標
全体
平均値
全体平均値に
達していない企業
平均
の暫定的目標
早期達成すべき暫定的目標
全体の平均値
0点
Copyright © 2008 独立行政法人情報処理推進機構
診断結果（同業他社との比較）
同業他社との比較結果も
レーダーチャートで表示されます。
Copyright © 2008 独立行政法人情報処理推進機構
25
情報セキュリティ対策ベンチマークの利用状況
ベンチマーク利用
件数は12,000件
を超える
2007年12月31日現在
*注 5,498件の提供データの内
の885件は、ベンチマーク
システムの基礎データに使
用する為、協力していただ
きました企業のデータにな
ります。
回答データ提供有り
回答データ提供無し
合計
5,498*注件
6,828件
12,326件
Copyright © 2008 独立行政法人情報処理推進機構
26
脆弱性関連情報届出制度
Copyright © 2008 独立行政法人情報処理推進機構
情報システムのぜい弱性対策
•
ぜい弱性関連情報の届出受付・分析およびぜい弱性対策の普及促進
– JPCERT/CC等関係機関/団体と連携、「情報セキュリティ早期警戒パート
ナーシップ」を運用（2004年7月8日から）
•
•
ぜい弱性情報の収集・分析、攻撃方法の分析
ぜい弱性の軽減
脆弱性関連情報流通体制
ユーザ
ユーザー
脆弱性関連
情報届出
ソフトウェア
製品の脆弱性
脆弱性関連
情報通知
脆弱性関連情報の
報告された脆弱性
内容確認・検証
関連情報の内容確認
発
見
者
W ebサイトの
脆弱性
受付・分析機関
受付機関
報告された
調整機関
ソフト
開発者等
分析支援機関
【期待効果】
脆弱性対策情報ポータル
公表日の決定、
海外の調整機関
との連携等
産総研など
報告された脆弱性
脆弱性関連情報通知
脆弱性関連情報通知
関連情報の検証
対応状況等
対応状況
対策方法等
公表公表
システム導入
支援者等
政府
企業
個人
セキュリティ対策推進協議会等
分析機関
脆弱性関連
情報届出
対策情報ポータル
対応状況の集約、
公表日の調整等
W ebサイト運営者
Webサイト運営者
検証、対策実施
検証、対策実施
個人情報の漏えい時は事実関係を公表
個人情報漏洩時は事実関係を公表
①製品開発者及びウェブサイト運営者による脆弱性対策を促進
②不用意な脆弱性関連情報の公表や脆弱性の放置を抑制
③個人情報等重要情報の流出や重要システムの停止を予防
※IPA：独立行政法人情報処理推進機構、JPCERT/CC：有限責任中間法人 JPCERT コーディネーションセンター、産総研：独立行政法人産業技術総合研究所
Copyright © 2008 独立行政法人情報処理推進機構
28
脆弱性届出の現状：1日に2件以上の増加
脆弱性の届出件数の四半期別推移
2008年3月5日に1900件。 2件以上／日。
クロスサイト・スクリプティングの問題に関する届出が最多
2004年7月から受付開始
Copyright © 2008 独立行政法人情報処理推進機構
29
ソフトウェア製品の脆弱性製品種類別
10%
1%
1%
2%
2%
3%
39% (38%)
3%
3%
3%
4%
(3%)
8%
(8%)
12% (12%)
ウェブアプリケーションソフト
ウェブブラウザ
グループウェア
アプリケーション開発・実行環境
メールソフト
ウェブサーバ
システム管理ソフト
アンチウイルスソフト
ルータ
検索システム
ファイル管理ソフト
ワープロソフト
OS
その他
9%
(539件の内訳、グラフの括弧内は前四半期の数字)
(10%)
※その他には、携帯機器、情報家電、パソコンの周辺機器、データベース、プロキシなどがあります。
図1-2.ソフトウェア製品の脆弱性製品種類別内訳(届出受付開始から2007年12月末まで)
http://www.ipa.go.jp/security/vuln/report/documents/vuln2007q4.pdf
Copyright © 2008 独立行政法人情報処理推進機構
ソフトウェア製品の脆弱性脅威別
2%
2%
3%
3%
1%
1% 4%
1%
3%
4%
49%
(48%)
5%
(5%)
6%
(6%)
7%
(6%)
9% (9%)
任意のスクリプトの実行
情報の漏洩
なりすまし
任意のコードの実行
サービス不能
任意のコマンドの実行
任意のファイルへのアクセス
認証情報の漏洩
通信の不正中継
アクセス制限の回避
アプリケーションの異常終了
セッション・ハイジャック
資源の枯渇
証明書等の確認不能
その他
(539件の内訳、グラフの括弧内は前四半期の数字)
図1-6. ソフトウェア製品の脆弱性脅威別内訳 (届出受付開始から2007年12月末まで)
Copyright © 2008 独立行政法人情報処理推進機構
31
ウェブサイトの脆弱性種類別
1%
1%
2%
2%
2%
2%
2%
2%
(3%)
3%
(3%)
5%
(5%)
7%
28%(26%)
43%
(44%)
クロスサイト・スクリプティング
SQLインジェクション
ファイルの誤った公開
DNS情報の設定不備
パス名パラメータの未チェック
HTTPレスポンス分割
メールの第三者中継
セッション管理の不備
ディレクトリ・トラバーサル
価格等の改ざん
クロスサイト・リクエスト・フォージェリ
HTTPSの不適切な利用
その他
(1047件の内訳、グラフの括弧内は前四半期の数字)
図2-2.ウェブサイトの脆弱性種類別内訳 (届出受付開始から2007年12月末まで)
Copyright © 2008 独立行政法人情報処理推進機構
32
ウェブサイトの脆弱性脅威別
3%
2%
2% 1%1%
2%
3%
6%
(6%)
本物サイト上への偽情報の表示
データの改ざん、消去
29%
(28%)
Cookie情報の漏洩
個人情報の漏洩
サーバ内ファイルの漏洩
なりすまし
ドメイン情報の挿入
ウェブキャッシュ情報のすり替え
11%
(10%)
メールシステムの不正利用
踏み台
利用者のセキュリティレベルの低下
14%
(15%)
26% (25%)
その他
(1047件の内訳、グラフの括弧内は前四半期の数字)
図2-4.ウェブサイトの脆弱性脅威別内訳 (届出受付開始から2007年12月末まで)
Copyright © 2008 独立行政法人情報処理推進機構
33
Tips（一口メモ）
Copyright © 2008 独立行政法人情報処理推進機構
たかがパスワード、されどパスワード！！
• 原因のトップは、ID,パスワード管理・設定の不備
• 原因不明なケースが49%（前年比14%増）。不正アクセスの
手口が巧妙化し原因究明が困難な事例が増えている。
2007年被害原因
その他
(DoSなど)
16%
ID,パスワード
管理の不備
17%
古いバージョン、
パッチ未導入な
ど
14%
不明
49%
設定不備
4%
Copyright © 2008 独立行政法人情報処理推進機構
被害原因
2007年
2006年
ID,パスワード管理の不備
27
46
古いバージョン使用、
パッチ未導入など
23
31
設定不備
6
6
不明
80
57
その他（DoSなど）
26
22
162(※)
162(※)
合計（件）
※IPAへの届出より集計
35
ワンクリック不正請求・事例
「動画の見方」？！
警告が！！
「ダウンロード」をクリックすると・・・
Copyright © 2008 独立行政法人情報処理推進機構
36
情報セキュリティに関する被害状況
［回答者全体N=5180］
全体(N=5160)
0%
20%
コンピュータ・ウイルスに感染した（感染後にセキュリティ対策ソ
フトが検出したケースを含む）
パソコンのシステムやファイルが書き換えられたり、削除された
60%
1.9
24.5
メールに記載されたURLをクリックしたら、個人情報の入力を求
めるウェブページが表示された
5.6
HP閲覧中に、契約した覚えのない料金の支払を要求するメッ
セージが表示された
8.7
6.3
覚えのない料金の支払いを要求するメールが送られてきた
知らない間に銀行口座からお金が引き出された
0.4
知らない間に自分のパソコンから他者へメールを送信していた
1.2
4.5
個人情報を流出させてしまったことがある
0.5
上記以外の被害
0.7
57.8
被害にあったことはない／わからない
0%
全体(N=641) 3.8
20%
80%
17.3
全く知らない差出人から大量にメールが送られてきた
個人情報流出の被害にあったことがある
40%
40%
60%
96.2
支払を行った経験がある支払を行った経験はない
80%
100%
情報セキュリティに関する被害状況
（支払経験の有無）
［料金支払い要求メッセージ表示経験者
及び支払い要求メール受信経験者］
（出所）IPA「情報セキュリティに関する脅威に対する意識調査」（2007年12月公表）
Copyright © 2008 独立行政法人情報処理推進機構
37
不正請求相談は急減したが・・・
ワ
ン
ク
リ
業
者
の
逮
捕
犯罪者は、ワンクリという比較的簡単な方法でそれなりに潤っていた・・・。
今後、別の分野、方法に乗り換えるだけ。
38
Copyright © 2008 独立行政法人情報処理推進機構
IPA セキュリティセンターのホームページ
http://www.ipa.go.jp/security/
緊急対策情報
情報セキュリティ認証関連
届出
・JISEC
・JCMVP
・届出ウイルス一覧
・ウイルスの届出
・不正アクセスの届出
・脆弱性関連情報の届出
情報セキュリティ対策
・ウイルス対策
・新種ウイルス情報
・不正アクセス対策
・脆弱性関連情報の取扱い
・読者層別対策実践情報
暗号技術
セミナー・イベント
資料・報告書等
・調査・研究報告書
・海外セキュリティ関連文書
・開発成果紹介
・セキュリティ関連RFC
・PKI関連技術情報
公募
・CRYPTREC
Copyright © 2008 独立行政法人情報処理推進機構
39
39
参考資料
Copyright © 2008 独立行政法人情報処理推進機構
（参考）「個人情報の保護に関する法律についての経済
産業分野を対象とするガイドライン」の改正について（2007年3月30日改正）
http://www.meti.go.jp/press/20070330012/kojinjouhouguideline-p.r.pdf （改正要旨）
http://www.meti.go.jp/press/20070330012/guideline.pdf （ガイドライン本文）
Copyright © 2008 独立行政法人情報処理推進機構
41
独立行政法人情報処理推進機構
セキュリティセンター（IPA/ISEC）
〒113-6591
東京都文京区本駒込２−２８−８
文京グリーンコートセンターオフィス１６階
電子メール [email protected]
URL http://www.ipa.go.jp/security/
Copyright © 2008 独立行政法人情報処理推進機構