Comments
Description
Transcript
配布資料 - ISC
第3回ISLS 2008/03/10 情報セキュリティに関する 各種調査データの紹介 独立行政法人 情報処理推進機構 セキュリティセンター 石井 茂 Copyright © 2008 独立行政法人 情報処理推進機構 CISSP 1 本日の内容 1.情報セキュリティに関する脅威に対する意識調査 (後日IPAサイトで公開) 2.平成19年度国内における情報セキュリティ事象 被害状況調査 (後日IPAサイトで公開) 3.情報漏えいインシデント対応方策に関する調査 4.情報漏えい発生時の対応ポイント 5.情報セキュリティ対策ベンチマーク 6.脆弱性関連情報届出制度 今日の趣旨: 7.Tips(一口メモ) 「こんなデータがあります」 Copyright © 2008 独立行政法人 情報処理推進機構 情報漏えいインシデント 対応方策に関する調査 Copyright © 2008 独立行政法人 情報処理推進機構 3 情報漏えい事例の収集 2007年8月公開 IPA調査 情報漏えいインシデント対応方策に関する調査 (http://www.ipa.go.jp/security/awareness/johorouei/index2.html) 国内において過去5年間(2003年∼2007年)に 報道されたり自らウェブで発表した情報漏えい 事故153件の事例について、漏えい情報の種別、 漏えい経路、事故後の対応、事故後の経過(二 次被害等)などの実態を把握することを目的と し、事例を収集。 Copyright © 2008 独立行政法人 情報処理推進機構 4 情報漏えいインシデント対応方策 に関する調査- 1 漏えい元組織の内訳 公共団体、学校 からも... (http://www.ipa.go.jp/security/awareness/johorouei/index2.html) Copyright © 2008 独立行政法人 情報処理推進機構 5 情報漏えいインシデント対応方策 に関する調査- 2 漏えいタイプ分類 情報の管理は 大丈夫か? (http://www.ipa.go.jp/security/awareness/johorouei/index2.html) Copyright © 2008 独立行政法人 情報処理推進機構 6 情報漏えいインシデント対応方策 に関する調査- 3 発見方法 外部からの指摘 が半数に.. 顧客から指摘さ れるケースも.. (http://www.ipa.go.jp/security/awareness/johorouei/index2.html) Copyright © 2008 独立行政法人 情報処理推進機構 7 情報漏えいインシデント対応方策 に関する調査- 4 情報開示の対応 Webで公開 (http://www.ipa.go.jp/security/awareness/johorouei/index2.html) Copyright © 2008 独立行政法人 情報処理推進機構 8 情報漏えいインシデント対応方策 に関する調査- 5 情報開示の内容 漏えい原因、謝罪、被 害範囲、経過、再発防 止が5大開示内容 (http://www.ipa.go.jp/security/awareness/johorouei/index2.html) Copyright © 2008 独立行政法人 情報処理推進機構 9 情報漏えいインシデント対応方策 に関する調査- 6 被害者救済策 問合せ窓口 設置は半数 (http://www.ipa.go.jp/security/awareness/johorouei/index2.html) Copyright © 2008 独立行政法人 情報処理推進機構 10 情報漏えい発生時の対応ポイント Copyright © 2008 独立行政法人 情報処理推進機構 11 情報漏えい発生時の対応ポイント集 http://www.ipa.go.jp/security/awareness/johorouei /rouei_taiou.pdf Copyright © 2008 独立行政法人 情報処理推進機構 12 情報漏えい発生時の対応のポイント 基本的な考え方 情報漏えい対応の目的 情報漏えい対応の目的 「情報漏えいによる直接的・間接的被害を 最小限に抑える」 情報漏えい対応の5原則 情報漏えい対応の5原則 (1)被害拡大防止・二次被害防止・再発防止の原則 (2)事実確認と情報の一元管理の原則 (3)透明性・開示の原則 (4)チームワークの原則 (5)備えあれば憂いなしの原則 Copyright © 2008 独立行政法人 情報処理推進機構 http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf 13 情報漏えい対応の基本ステップ 情報漏えい発生! (1) 発見・報告 (2) 初動対応 (3) 調査 速やかに責任者に報告し対応のための体制を構築 不用意な操作を避ける 外部からの通報は、相手の連絡先を控える 対策本部を設置 被害の拡大、二次被害の防止のための応急処置 (情報の隔離、ネットワークの遮断、サービスの停止など) 5W1H(いつ、どこで、誰が、何を、なぜ、どうしたのか)で調査し情報 を整理 重要な情報に関する証拠を確保 (4) 通知・報告・公 表等 個人情報の本人、取引先などへの通知 監督官庁への報告、警察、IPAなどへの届出 ホームページ、マスコミ等による公表を検討 (5) 抑制措置と復 旧 被害の拡大の防止と復旧措置 再発防止に向けた取組み (6) 事後対応 Copyright © 2008 独立行政法人 情報処理推進機構 抜本的な再発防止策を実施 被害者に対する損害の補償 内部職員の処分 最終的な情報開示 http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf 14 情報の種類に関するポイント 個人情報 個人情報 顧客等、個人に関する情報 顧客等、個人に関する情報 個人情報保護法に準拠した対応が必要(監督官庁へ報告) 個人情報保護法に準拠した対応が必要(監督官庁へ報告) 本人への通知や注意喚起など被害防止措置が必要 本人への通知や注意喚起など被害防止措置が必要 公共性の高い情報 公共性の高い情報 社会の重要なサービス、安全に関する情報など 社会の重要なサービス、安全に関する情報など 関係者・監督官庁への報告 関係者・監督官庁への報告 マスコミ等へ情報を開示 マスコミ等へ情報を開示 一般情報 一般情報 取引先等の情報については取引先に連絡 取引先等の情報については取引先に連絡 情報の当事者の意向に沿った対応を実施 情報の当事者の意向に沿った対応を実施 組織の重要情報については内容に応じた経営判断を実施 組織の重要情報については内容に応じた経営判断を実施 http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf Copyright © 2008 独立行政法人 情報処理推進機構 15 漏えいのタイプによるポイント (1) (1) 紛失・盗難 紛失・盗難 (2) (2) 誤送信・Webでの誤公開等 誤送信・Webでの誤公開等 (3) (3) 内部犯行 内部犯行 (4) (4) Winny/Share Winny/Share 等への漏えい 等への漏えい (5) (5) 不正プログラム 不正プログラム (6) (6) 不正アクセス 不正アクセス (7) (7) 風評・部ログ掲載等 風評・部ログ掲載等 http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf Copyright © 2008 独立行政法人 情報処理推進機構 16 漏えいのタイプによるポイント(紛失・盗難の例) Copyright © 2008 独立行政法人 情報処理推進機構 http://www.ipa.go.jp/security/awareness/johorouei/rouei_taiou.pdf 17 情報セキュリティ対策ベンチマーク Copyright © 2008 独立行政法人 情報処理推進機構 情報セキュリティ対策ベンチマークポータルサイト http://www.ipa.go.jp/security/benchmark/ 自己診断サイトへは Enterをクリック ベンチマークポータルサイトに掲載の資料 ¾情報セキュリティ対策ベンチマークの概要 ¾情報セキュリティ対策ベンチマークver.3.0 の特徴 ¾情報セキュリティ対策ベンチマークの使い方 ¾情報セキュリティ対策ベンチマーク活用集 ¾情報セキュリティ対策ベンチマークの質問一覧 ¾推奨される取り組みのページ ¾情報セキュリティ対策ベンチマークに関するFAQ ¾情報セキュリティ対策ベンチマークに関する資料など Copyright © 2008 独立行政法人 情報処理推進機構 ポータルサイトには、 様々な情報が 掲載されています。 セキュリティ対策に関する質問 第1部の設問(評価項目) 5 グループ構成、グループ毎 3∼7 項目 計 25 項目 (a) 情報セキュリティに対する組織的な取組状況 (7項目) (b) 物理的(環境的)セキュリティ上の施策 (4項目) (c) 情報システム及び通信ネットワークの運用管理 (6項目) (d) 情報システムのアクセス制御の状況及び情報システムの 開発、保守におけるセキュリティ対策の状況 (5項目) (e) 情報セキュリティ上の事故対応状況 (3項目) JIS Q 27001(ISMS認証基準) の 付属書Aの管理策(133項目)がベース ・専門家によるWGの検討を経て策定。 ・平易な言葉でわかりやすく表現。 ・評価項目の量を抑えている。 Copyright © 2008 独立行政法人 情報処理推進機構 20 セキュリティ対策に関する質問の回答(選択肢) 第1部の質問へは5つの選択肢より回答 できていない 1 経営層にそのような意識がないか、意識はあっても方針やルールを 定めていない 2 経営層にそのような意識はあり、方針やルールの整備、周知を図り つつあるが、一部しか実現できていない 3 経営層の承認のもとに方針やルールを定め、全社的に周知・実施し ているが、実施状況の確認はできていない 4 経営層の指示と承認のもとに方針やルールを定め、全社的に周知・ 実施しており、かつ責任者による状況の定期的確認も行っている 5 4.に加え、周囲の環境変化をダイナミックに反映し、常に改善を図っ た結果、他社の模範となるべきレベルに達している できている Copyright © 2008 独立行政法人 情報処理推進機構 21 情報セキュリティ対策ベンチマークの診断結果 第1部、第2部の回答結果より、御社の 位置が表示されます。 セキュリティ対策の取り組み状況など、 他社と比較した結果になります。 この場合、平均よりも若干セキュリティレベルが低くなっています Copyright © 2008 独立行政法人 情報処理推進機構 22 診断結果(レーダーチャート) 診断結果がレーダーチャート で表示されます。 望まれる水準 御社のスコア 平均 中心に近い程、セキュリティレベルは低くなります Copyright © 2008 独立行政法人 情報処理推進機構 23 望まれる水準とは 125点 上位1/3 トータルスコア 上位1/3 における 平均値 上位1/3の平均値 目標 望まれる水準 達成すべき目標 全体 平均値 全体平均値に 達していない企業 平均 の暫定的目標 早期達成すべき暫定的目標 全体の平均値 0点 Copyright © 2008 独立行政法人 情報処理推進機構 診断結果(同業他社との比較) 同業他社との比較結果も レーダーチャートで表示されます。 Copyright © 2008 独立行政法人 情報処理推進機構 25 情報セキュリティ対策ベンチマークの利用状況 ベンチマーク利用 件数は12,000件 を超える 2007年12月31日現在 *注 5,498件の提供データの内 の885件は、ベンチマーク システムの基礎データに使 用する為、協力していただ きました企業のデータにな ります。 回答データ提供有り 回答データ提供無し 合計 5,498*注件 6,828件 12,326件 Copyright © 2008 独立行政法人 情報処理推進機構 26 脆弱性関連情報届出制度 Copyright © 2008 独立行政法人 情報処理推進機構 情報システムのぜい弱性対策 • ぜい弱性関連情報の届出受付・分析およびぜい弱性対策の普及促進 – JPCERT/CC等関係機関/団体と連携、「情報セキュリティ早期警戒パート ナーシップ」を運用 (2004年7月8日 から) • • ぜい弱性情報の収集・分析、攻撃方法の分析 ぜい弱性の軽減 脆弱性関連情報流通体制 ユーザ ユーザー 脆弱性関連 情報届出 ソフトウェア 製品の脆弱性 脆弱性関連 情報通知 脆弱性関連情報の 報告された脆弱性 内容確認・検証 関連情報の内容確認 発 見 者 W ebサイトの 脆弱性 受付・分析機関 受付機関 報告された 調整機関 ソフト 開発者等 分析支援機関 【期待効果】 脆弱性対策情報ポータル 公表日の決定、 海外の調整機関 との連携等 産総研など 報告された脆弱性 脆弱性関連情報通知 脆弱性関連情報通知 関連情報の検証 対応状況等 対応状況 対策方法等 公表公表 システム導入 支援者等 政府 企業 個人 セキュリティ対策推進協議会等 分析機関 脆弱性関連 情報届出 対策情報ポータル 対応状況の集約、 公表日の調整等 W ebサイト運営者 Webサイト運営者 検証、対策実施 検証、対策実施 個人情報の漏えい時は事実関係を公表 個人情報漏洩時は事実関係を公表 ①製品開発者及びウェブサイト運営者による脆弱性対策を促進 ②不用意な脆弱性関連情報の公表や脆弱性の放置を抑制 ③個人情報等重要情報の流出や重要システムの停止を予防 ※IPA:独立行政法人 情報処理推進機構、JPCERT/CC:有限責任中間法人 JPCERT コーディネーションセンター、産総研:独立行政法人 産業技術総合研究所 Copyright © 2008 独立行政法人 情報処理推進機構 28 脆弱性届出の現状:1日に2件以上の増加 脆弱性の届出件数の四半期別推移 2008年3月5日に1900件。 2件以上/日。 クロスサイト・スクリプティングの問題に関する届出が最多 2004年7月から受付開始 Copyright © 2008 独立行政法人 情報処理推進機構 29 ソフトウェア製品の脆弱性 製品種類別 10% 1% 1% 2% 2% 3% 39% (38%) 3% 3% 3% 4% (3%) 8% (8%) 12% (12%) ウェブアプリケーションソフト ウェブブラウザ グループウェア アプリケーション開発・実行環境 メールソフト ウェブサーバ システム管理ソフト アンチウイルスソフト ルータ 検索システム ファイル管理ソフト ワープロソフト OS その他 9% (539件の内訳、グラフの括弧内は前四半期の数字) (10%) ※その他には、携帯機器、情報家電、パソコンの周辺機器、データベース、プロキシなどがあります。 図1-2.ソフトウェア製品の脆弱性 製品種類別内訳(届出受付開始から2007年12月末まで) http://www.ipa.go.jp/security/vuln/report/documents/vuln2007q4.pdf Copyright © 2008 独立行政法人 情報処理推進機構 ソフトウェア製品の脆弱性 脅威別 2% 2% 3% 3% 1% 1% 4% 1% 3% 4% 49% (48%) 5% (5%) 6% (6%) 7% (6%) 9% (9%) 任意のスクリプトの実行 情報の漏洩 なりすまし 任意のコードの実行 サービス不能 任意のコマンドの実行 任意のファイルへのアクセス 認証情報の漏洩 通信の不正中継 アクセス制限の回避 アプリケーションの異常終了 セッション・ハイジャック 資源の枯渇 証明書等の確認不能 その他 (539件の内訳、グラフの括弧内は前四半期の数字) 図1-6. ソフトウェア製品の脆弱性 脅威別内訳 (届出受付開始から2007年12月末まで) Copyright © 2008 独立行政法人 情報処理推進機構 31 ウェブサイトの脆弱性 種類別 1% 1% 2% 2% 2% 2% 2% 2% (3%) 3% (3%) 5% (5%) 7% 28%(26%) 43% (44%) クロスサイト・スクリプティング SQLインジェクション ファイルの誤った公開 DNS情報の設定不備 パス名パラメータの未チェック HTTPレスポンス分割 メールの第三者中継 セッション管理の不備 ディレクトリ・トラバーサル 価格等の改ざん クロスサイト・リクエスト・フォージェリ HTTPSの不適切な利用 その他 (1047件の内訳、グラフの括弧内は前四半期の数字) 図2-2.ウェブサイトの脆弱性 種類別内訳 (届出受付開始から2007年12月末まで) Copyright © 2008 独立行政法人 情報処理推進機構 32 ウェブサイトの脆弱性 脅威別 3% 2% 2% 1%1% 2% 3% 6% (6%) 本物サイト上への偽情報の表示 データの改ざん、消去 29% (28%) Cookie情報の漏洩 個人情報の漏洩 サーバ内ファイルの漏洩 なりすまし ドメイン情報の挿入 ウェブキャッシュ情報のすり替え 11% (10%) メールシステムの不正利用 踏み台 利用者のセキュリティレベルの低下 14% (15%) 26% (25%) その他 (1047件の内訳、グラフの括弧内は前四半期の数字) 図2-4.ウェブサイトの脆弱性 脅威別内訳 (届出受付開始から2007年12月末まで) Copyright © 2008 独立行政法人 情報処理推進機構 33 Tips(一口メモ) Copyright © 2008 独立行政法人 情報処理推進機構 たかがパスワード、されどパスワード!! • 原因のトップは、ID,パスワード管理・設定の不備 • 原因不明なケースが49%(前年比14%増)。不正アクセスの 手口が巧妙化し原因究明が困難な事例が増えている。 2007年被害原因 その他 (DoSなど) 16% ID,パスワード 管理の不備 17% 古いバージョン、 パッチ未導入な ど 14% 不明 49% 設定不備 4% Copyright © 2008 独立行政法人 情報処理推進機構 被害原因 2007年 2006年 ID,パスワード管理の不備 27 46 古いバージョン使用、 パッチ未導入など 23 31 設定不備 6 6 不 明 80 57 その他(DoSなど) 26 22 162(※) 162(※) 合計 (件) ※IPAへの届出より集計 35 ワンクリック不正請求・事例 「動画の見方」?! 警告が!! 「ダウンロード」をクリックすると・・・ Copyright © 2008 独立行政法人 情報処理推進機構 36 情報セキュリティに関する被害状況 [回答者全体N=5180] 全体(N=5160) 0% 20% コンピュータ・ウイルスに感染した(感染後にセキュリティ対策ソ フトが検出したケースを含む) パソコンのシステムやファイルが書き換えられたり、削除された 60% 1.9 24.5 メールに記載されたURLをクリックしたら、個人情報の入力を求 めるウェブページが表示された 5.6 HP閲覧中に、契約した覚えのない料金の支払を要求するメッ セージが表示された 8.7 6.3 覚えのない料金の支払いを要求するメールが送られてきた 知らない間に銀行口座からお金が引き出された 0.4 知らない間に自分のパソコンから他者へメールを送信していた 1.2 4.5 個人情報を流出させてしまったことがある 0.5 上記以外の被害 0.7 57.8 被害にあったことはない/わからない 0% 全体(N=641) 3.8 20% 80% 17.3 全く知らない差出人から大量にメールが送られてきた 個人情報流出の被害にあったことがある 40% 40% 60% 96.2 支払を行った経験がある 支払を行った経験はない 80% 100% 情報セキュリティに関する被害状況 (支払経験の有無) [料金支払い要求メッセージ表示経験者 及び支払い要求メール受信経験者] (出所)IPA「情報セキュリティに関する脅威に対する意識調査」(2007年12月公表) Copyright © 2008 独立行政法人 情報処理推進機構 37 不正請求相談は急減したが・・・ ワ ン ク リ 業 者 の 逮 捕 犯罪者は、ワンクリという比較的簡単な方法でそれなりに潤っていた・・・。 今後、別の分野、方法に乗り換えるだけ。 38 Copyright © 2008 独立行政法人 情報処理推進機構 IPA セキュリティセンターのホームページ http://www.ipa.go.jp/security/ 緊急対策情報 情報セキュリティ認証関連 届出 ・JISEC ・JCMVP ・届出ウイルス一覧 ・ウイルスの届出 ・不正アクセスの届出 ・脆弱性関連情報の届出 情報セキュリティ対策 ・ウイルス対策 ・新種ウイルス情報 ・不正アクセス対策 ・脆弱性関連情報の取扱い ・読者層別対策実践情報 暗号技術 セミナー・イベント 資料・報告書等 ・調査・研究報告書 ・海外セキュリティ関連文書 ・開発成果紹介 ・セキュリティ関連RFC ・PKI関連技術情報 公募 ・CRYPTREC Copyright © 2008 独立行政法人 情報処理推進機構 39 39 参考資料 Copyright © 2008 独立行政法人 情報処理推進機構 (参考)「個人情報の保護に関する法律についての経済 産業分野を対象とするガイドライン」の改正について(2007年3月30日改正) http://www.meti.go.jp/press/20070330012/kojinjouhouguideline-p.r.pdf (改正要旨) http://www.meti.go.jp/press/20070330012/guideline.pdf (ガイドライン本文) Copyright © 2008 独立行政法人 情報処理推進機構 41 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) 〒113-6591 東京都文京区本駒込2−28−8 文京グリーンコートセンターオフィス16階 電子メール [email protected] URL http://www.ipa.go.jp/security/ Copyright © 2008 独立行政法人 情報処理推進機構