経営者・マネージャーが知るべき情報セキュリティ
- 2. 自己紹介
氏名:大垣 靖男(おおがき やすお)
職業:
‐ エレクトロニック・サービスイニチアチブ代表取締役社長
‐ 岡山大学大学院非常勤講師/PHP技術者認定機構顧問など
‐ Webサイト構築関連のコンサルティングなど
• テクニカル・セキュア開発(開発体制・コード検査・ツール販売・セキュリ
ティパッチサービス)など
ネット
‐ http://blog.ohgaki.net/
‐ yohgaki – Facebook/Twitterなど
‐ yohgaki@ohgaki.net
2015/5/30(c) Electronic Service Initiative, Ltd. All rights reserved. 2
- 3. IoT(Internet of Things)は悪夢
IoT - あらゆるモノにコンピュータが組み込まれ便利になる世界!
セキュリティ – まともに管理されていないデバイスの大量出現!
IoTはセキュリティにとって悪夢のような存在になる
管理されていないIoTデバイスだけでなく、攻撃用IoTデバイスの簡単
かつ大量に作れる時代がやってきた
2015/7/11Electronic Service Initiative, Ltd. 3
- 21. インターネットバンキングの不正送金
~ 警察庁まとめ ~
2015/7/11Electronic Service Initiative, Ltd. 21
https://www.npa.go.jp/cyber/pdf/H270212_banking.pdf
金融機関は“個人”の
被害は補償
法人の被害は無保証
緊急対策により急激に減少
凍結口座などによる阻止率
H26上期 7.6%
H26下期31.4%
約15万 5,000件の国内の感
染端末利用者に対する注意
喚起
- 26. 攻撃者のROI
ランサムウェア(身代金攻撃)の場合
項目 投資
攻撃ツール購入 $3000
脆弱性購入 $500
トラフィック購入 $1800
暗号化費用 $600
合計支出 $5900
項目 値
訪問者 20000
感染率 10%
身代金支払い率 0.5%
身代金 $300
合計収入 $90000
2015/7/11Electronic Service Initiative, Ltd. 26
投資 収入
$5900の投資、一ヶ月の攻撃で$90000のリターン
ROI 1425%
ランサムウェアとは被害者のファイルを暗号化し、復号の身代金を要求。
30日間の攻撃を行った場合の試算
出典:2015 Trustwave Global Security Report
- 35. クラッカー同士の攻撃も珍しくない
~ 脆弱性売買サイト 改ざん前 ~
2015/7/11Electronic Service Initiative, Ltd. 35
web.archive.orgのコピー
Inj3cto0rと名乗るクラッ
カーのサイト
1337day.com
攻撃のため閉鎖?
代替サイトの0day.today
も閉鎖中?
- 36. クラッカー同士の攻撃も珍しくない
~ 脆弱性売買サイト 改ざん後 ~
2015/7/11Electronic Service Initiative, Ltd. 36
Zone-hには2013に過
去2回サイトが改ざん
された記録がある。
サイトを閉鎖に追い込
んだと思われる2015
年のサイト改ざんは
Zone-hに登録されいな
い。
- 38. 例えばWiFiの乗っ取りは簡単
問題
‐ WEPは脆弱すぎる
‐ WPSは仕組みとして脆弱
‐ WPA2でもパスワードが簡単だと攻撃される
対策
‐ WEPは無効にする
‐ WPSは無効にする
‐ WPA2 AESより強い方式を利用する
‐ WPA2のパスワードは強いパスワード
• 完全にランダムで十分に長い
• 40文字以上
2015/7/11Electronic Service Initiative, Ltd. 38
https://www.youtube.com/watch?v=g-cKTPLRnEE
- 53. ソフィス 7 Deadly I.T. Sins
~ ITの7つの大罪 ~
1. 管理無きモバイル
2. 保護無きMac
3. 安全無きWI-FI
4. 暗号化無きEメール
5. 不完全なファイアウォール
6. 暗号化無きファイル
7. 不十分なWEBフィルタリング
2015/7/11Electronic Service Initiative, Ltd. 53
出典:https://www.sophos.com/ja-jp/lp/sevendeadlysins.aspx?cmp=701j0000000ZaL5AAK
- 55. APTとは?
APT – Advanced Persistent Threat
‐ 持続的標的型攻撃、ターゲット型攻撃などとも呼ばれる
長期間に渡り持続的に情報窃取などを行う
‐ APTでなくても潜伏して攻撃時期を待つ(オンラインバンキング攻撃、スパムメー
ル送信など)
ルーターや機器のファームウェアなどが攻撃されると長期間攻撃に気が
付かないことが多い
2015/7/11Electronic Service Initiative, Ltd. 55
- 57. 実は、怖いリクエストフォージェリ
リクエストフォージェリ攻撃 – リクエストの詐称攻撃
‐ リクエストの真正性チェックの問題を攻撃する手法
‐ ファイアーウォールが複数あっても攻撃、企業システムの奥深くまで攻撃
2015/7/11Electronic Service Initiative, Ltd. 57
犯罪者
罠サイト
正当なユーザー
制御システム
ERPなど
ユーザー権限を使っ
てアクセス
サーバーの権限を
使ってアクセス
社内サーバー
原因:社内システムからのアクセスを十分条件・
正当なリクエスト/接続だと処理する仕様
- 65. その他
日本版SOX法 - 改正商法、会社法
‐ 公開企業、金融機関への法規制
著作権法
特許法
法規制がある場合、無条件に順守しなければならない
契約も法的に保護される。契約条件も順守しなければならない
‐ 情報の取り扱い、ITシステムの管理・利用方法、要員への教育など
2015/7/11Electronic Service Initiative, Ltd. 65
- 80. ITシステム導入の目的
新たな価値を生み出す
‐ 効率化 - 生産性の向上
‐ コスト削減 - 価値を生み出す為に必要な費用・時間削減
‐ サービス提供 - システム自体で新たな価値を生み出す
よくある間違い
‐ ITシステムの導入自体が目的化
• 十分な価値を生み出さないITシステムに存在意義はない
• “費用”(コスト)、 “効果”(価値)を無視したITシステム導入による失敗は多い
• 「新たな価値」とは何か?これを定義し達成するのがITシステム導入の目的
• “費用対効果“はセキュリティ対策とも切っても切れない関係
2015/7/11Electronic Service Initiative, Ltd. 80
- 84. セキュリティ対策はトレードオフ
2015/7/11Electronic Service Initiative, Ltd. 84
一般にセキュリティ対策はトレードオフ関係にある
‐ セキュリティ対策の追加には何らかのコストが必要な場合がほとんど
‐ 研修費用、ソフトウェア・機器の導入・設定・運用・管理、システム性能・利便
性・開発費、監査・管理
‐ セキュリティ対策を導入しない場合「見えないコスト」(リスク)が発生
高セキュリティ
高コスト
直接的なコストが見えないコストを
超えない場合は対策を導入
セキュリティ対策導入のメリットとデメリット
- 93. ISO 31000のリスク分析手法
JIS Q 31010:2012(IEC/ISO 31010:2009)
2015/7/11Electronic Service Initiative, Ltd. 93
ブレインストーミング 構造化又は半構造化インタ
ビュー
デルファイ法
チェックリスト 予備的ハザード分析(PHA) HAZOPスタディーズ
ハザード分析及び必須管理点
(HACCP)
環境リスクアセスメント 構造化“Whatif”技法
(SWIFT)
シナリオ分析、事業影響度分析
(BIA)
根本原因分析(RCA) 故障モード・影響解析
(FMEA)
故障の木解析(FTA) 事象の木解析(ETA) 原因・結果分析
原因影響分析 保護層解析(LOPA) 決定木解析
人間信頼性分析(HRA) 蝶ネクタイ分析 信頼性重視保全(RCM)
スニーク回路分析(SCA) マルコフ分析 モンテカルロシミュレーション
ベイズ統計及びベイズネット FN曲線 多基準意思決定分析(MCDA)
リスク指標 ��スクマトリックス 費用/便益分析(CBA)
附属書A(参考)リスクアセスメント技法の比較
- 94. ISO 31000のリスク分析手法
JIS Q 31010:2012(IEC/ISO 31010:2009)
2015/7/11Electronic Service Initiative, Ltd. 94
ブレインストーミング 構造化又は半構造化インタ
ビュー
デルファイ法
チェックリスト 予備的ハザード分析(PHA) HAZOPスタディーズ
ハザード分析及び必須管理点
(HACCP)
環境リスクアセスメント 構造化“Whatif”技法
(SWIFT)
シナリオ分析、事業影響度分析
(BIA)
根本原因分析(RCA) 故障モード・影響解析
(FMEA)
故障の木解析(FTA) 事象の木解析(ETA) 原因・結果分析
原因影響分析 保護層解析(LOPA) 決定木解析
人間信頼性分析(HRA) 蝶ネクタイ分析 信頼性重視保全(RCM)
スニーク回路分析(SCA) マルコフ分析 モンテカルロシミュレーション
ベイズ統計及びベイズネット FN曲線 多基準意思決定分析(MCDA)
リスク指標 リスクマトリックス 費用/便益分析(CBA)
附属書A(参考)リスクアセスメント技法の比較
こんなにあるの?!無理!
ではなく
規格を利用するとまとめられ
ているので便利!
規格書には各手法の比較・解説も記
載されている。最適な手法を比較的
容易に選択可能
- 97. 重要性と発生頻度分類のマトリックス
A B C D
a ウイルス
メール
ネットワー
ク障害
ポート
スキャン
b 故障 DoS攻撃
c 停電 操作ミス 誤送信
d 内部犯行、
地震、火災
2015/7/11Electronic Service Initiative, Ltd. 97
発
生
頻
度
重要性
これは例であり、事業内容・現状の管理策などにより
重要性・発生頻度は変化する
- 105. 体系的ITセキュリティ対策の指針
国際情報セキュリティ標準(ISO 27000 / ISMS)
能力成熟度モデル統合(CMMI)
どちらも認証制度あり。
‐ ISMS(Information Security Management System)認証の基盤は
ISO 27000
‐ 国内のISMS認証取得組織は4646組織(2015年6月29日)
2015/7/11Electronic Service Initiative, Ltd. 105
- 108. ISO 27000 : ITシステムを利用する
全ての組織向けITセキュリティ標準
ISO 27000は元々英国セキュリティ標準のBS7799として策定、
ISO化された
‐ BS7799 → ISO17799 → ISO 27001/27002
‐ ISO 27000シリーズは現在も改訂・拡張中
‐ ISO 27000シリーズはISMS(Information System Management
System)
JIS標準化済み JIS Q 27001:2014(ISO/IEC
27001:2013)
‐ ISMS認証制度も作られている
‐ 日本ではJIPDEC(一般財団法人日本情報経済社会推進協会)が認証機
関を認定、認証機関が適合性検査を行う
‐ 高いセキュリティが必要な組織に採用され、国内4646組織が登録(2015年6
月29日)
2015/7/11Electronic Service Initiative, Ltd. 108
- 109. ISO 27000シリーズの注意点!
ISO 27000シリーズは改訂が行われている(重要!)
例えば、ISO/IEC 27001:2013は以前のバージョン(ISO/IEC
27001:2005)とは管理項目などが大幅に改訂されている
‐ どのバージョンを参照しているか明確にしないと混乱の原因
この講義では以下のJIS規格を利用している
‐ JIS Q 27000:2014(ISO/IEC 27000:2014 JIS規格では対応はしているが別物として
取扱い)ISMS 用語
‐ JIS Q 27001:2014(ISO/IEC 27001:2013)ISMS 要求事項
‐ JIS Q 27002:2014(ISO/IEC 27002:2013)情報セキュリティ管理策の実践のための
規範
ISO標準には追加標準も(以下は一例)
‐ ISO/IEC 27003 Information security management system implementation
guidance
‐ ISO/IEC 27004 Information security management — Measurement
‐ ISO/IEC 27005 Information security risk management
2015/7/11Electronic Service Initiative, Ltd. 109
- 110. ITセキュリティFAQ
~ セキュリティとは何が何だか解らない ~
「何がセキュリティ対策で、何がセキュリティ対策でないのか解らない」
原因
‐ セキュリティ対策の定義が曖昧・非論理的であることが原因
• 「リスクを低減させる対策がセキュリティ対策」(低減させる物だけではない)
• 「リスクを低減させる目的の対策がセキュリティ対策」(目的と手段の取り違え)
• これらは間違いです
対策
‐ 「セキュリティ対策とはリスクを変化させる対策すべて」と考える
‐ 国際ITセキュリティ標準では“リスク対応”(JIS Q 27000:2014 2.79 リスク対
応)、“管理策”(JIS Q 27000:2014 2.14 管理策)が一般に“セキュリティ対
策”と言われている用語にあたる
体系的セキュリティではセキュリティ対策は“費用対効果”で判断・評価
2015/7/11Electronic Service Initiative, Ltd. 110
- 112. セキュリティ標準対応の効果
コミュニケーションギャップの解消
‐ 概念・用語定義の違いによる勘違い防止
‐ 組織別に異なる定義ではコミュニケーションが行えない
‐ 国内4500社以上がISMS認証を取得し、取得済みITベンダーも多い
網羅的な対応
‐ 特定の業種を想定していない
‐ セキュリティ標準では用語、目標設定、組織作り、リスクの特定・評価と対応、管理
項目、プロセスまで定義
‐ 独自にこれらを構築するのは高コストかつ円滑なコミュニケーションの妨げ
セキュリティ標準以外の標準との整合性
‐ ISO 27000(情報セキュリティ管理)はISO 9000(品質管理)、ISO 14000
(環境管理)、ISO 20000(ITサービス管理)、ISO 31000(リスク管理)な
ど、他のISOマネジメントシステムとの整合性が考慮されている
2015/7/11Electronic Service Initiative, Ltd. 112
「セキュリティ対策とは何が
何だか解らない」の解消
- 116. ISO 27000シリーズ策定の概要
2015/7/11Electronic Service Initiative, Ltd. 116
OECDセキュリティ
ガイドライン(1992)
ISO 13335(1995) BS7799(1995)
OECDセキュリティ
ガイドライン(2002)
ISO 13335(2004)
BS7799-1(1998) BS7799-2 (1998,2002)
ISO 17799(2000,2005) ISO 27001(2005)
ISO 27002(2005)
ISO 27002(2013) ISO 27001(2013)
廃止・統合
- 117. 新OECDセキュリティガイドライン9原則
1 認識の原則
Awareness
参加者は、情報システム及びネットワークのセキュリティの 必要性並びにセキュ
リティを強化するために自分達にできる ことについて認識すべきである。
2 責任の原則
Responsibility
すべての参加者は、情報システム及びネットワークのセキュ リティに責任を負う。
3 対応の原則
Response
参加者は、セキュリティの事件に対する予防、検出及び対応 のために、時宜を得
たかつ協力的な方法で行動すべきである。
4 倫理の原則
Ethics
参加者は、他者の正当な利益を尊重するべきである。
5 民主主義の原則
Democracy
情報システム及びネットワークのセキュリティは、民主主義 社会の本質的な価値
に適合すべきである。
6 リスクアセスメントの原則
Risk assessment
参加者は、リスクアセスメントを行うべきである。
7 セキュリティの設計及び実装の原則
Security design and implementation
参加者は、情報システム及びネットワークの本質的な要素として セキュリティを
組み込むべきである。
8 セキュリティマネジメントの原則
Security management
参加者は、セキュリティマネジメントへの包括的アプロー チを採用するべきであ
る。
9 再評価の原則
Reassessment
参加者は、情報システム及びネットワークのセキュリティの レビュー及び再評価
を行い、セキュリティの方針、実践、手 段及び手続に適切な修正をすべきである。
2015/7/11Electronic Service Initiative, Ltd. 117
http://www.ipa.go.jp/security/fy14/reports/oecd/handout.pdf
標準セキュリティはこの原則に基づいて構築されている
- 119. セキュリティ原則の実現
組織において原則実現の責任はマネジメントにある
2015/7/11Electronic Service Initiative, Ltd. 119
1 認識の原則
Awareness
2 責任の原則
Responsibility
4 倫理の原則
Ethics
3 対応の原則
Response
5 民主主義の原則
Democracy
6 リスクアセスメントの原則
Risk assessment
7 セキュリティの設計及び実装の原則
Security design and implementation
9 再評価の原則
Reassessment
8 セキュリティマネジメントの原則
Security management
マネジメント
セキュリティ対策実施の大き
な課題として経営者層の
「脅威の認識不足」と
「責任の認識不足」がある
- 122. JIS化されているISO27000シリーズ
JIS Q 27000:2014
‐ 用語を定義する。 ISO/IEC 27000に対応するJIS規格。
‐ 用語定義のみで全18ページと短い
JIS Q 27001:2014
‐ ISMSの要求事項を定義する。ISO/IEC 27001:2013に対応。
‐ 要求事項のみで短く附属文書含めても全24ページ
JIS Q 27002:2014
‐ JIS Q 27001:2014の要求事項を実施するプロセスにおいて、管理策を選定する
ための参考に用いる、又は一般に受け入れられている情報セキュリティ管理策を実施
するために用いる。ISO/IEC 27002:2013に対応。
‐ セキュリティ対策の実務に利用できるガイドラインとなっており、全80ページと前の二つ
に比���長い
JIS Q 27006:2012
‐ ISMS認証を行う場合に認証する機関のガイドライン
2015/7/11Electronic Service Initiative, Ltd. 122
- 123. JIS化されているISO27000シリーズ
ISMS用語を定義
• JIS Q 27000:2014(ISO/IEC 27000:2014)
ISMS要求事項を定義
• JIS Q 27001:2014(ISO/IEC 27001:2013)
ISMS実践の規範
• JIS Q 27002:2014(ISO/IEC 27002:2013)
2015/7/11Electronic Service Initiative, Ltd. 123
ISMS認証機関のガイドライン
JIS Q 27006:2012(ISO/IEC 27006:2011)
一般利用者向け
- 126. JIS Q 27000シリーズの参照と取得
JIS Q 27000シリーズの参照先
‐ JISC(日本工業標準調査会)のページから検索し“参照”可能
• タイトルの検索キーワード“情報セキュリティ”
‐ http://www.jisc.go.jp/app/JPS/JPSO0020.html
‐ 後述する日本規格協会のJISハンドブックに含まれる解説などはなく、規格のみ
参照できる
JIS Q 27000シリーズの購入
‐ JSA(日本規格協会)のサイトから購入可能
‐ http://www.iso.org/iso/home.htm
‐ ISO規格なども購入できる
2015/7/11Electronic Service Initiative, Ltd. 126
- 127. ISO 27000シリーズ(1)
• ISO/IEC 27000:2014 Information security management systems -- Overview and vocabulary
• ISO/IEC 27001:2013 Information security management systems -- Requirements
• ISO/IEC 27002:2013 Code of practice for information security controls
• ISO/IEC 27003:2010 Information security management system implementation guidance
• ISO/IEC 27004:2009 Information security management -- Measurement
• ISO/IEC 27005:2011 Information security risk management
• ISO/IEC 27006:2011 Requirements for bodies providing audit and certification of information security
management systems
• ISO/IEC 27007:2011 Guidelines for information security management systems auditing
• ISO/IEC TR 27008:2011 Guidelines for auditors on information security controls
• ISO/IEC 27010:2012 Information security management for inter-sector and inter-organizational communications
• ISO/IEC 27011:2008 Information security management guidelines for telecommunications organizations based
on ISO/IEC 27002
• ISO/IEC 27013:2012 Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
• ISO/IEC 27014:2013 Governance of information security
• ISO/IEC TR 27015:2012 Information security management guidelines for financial services
• ISO/IEC TR 27016:2014 Information security management -- Organizational economics
• ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in public clouds
acting as PII processors
2015/7/11Electronic Service Initiative, Ltd. 127
- 128. ISO 27000シリーズ(2)
• ISO/IEC TR 27019:2013 Information security management guidelines based on ISO/IEC 27002 for process
control systems specific to the energy utility industry
• ISO/IEC TR 27023:2015 Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002
• ISO/IEC 27031:2011 Guidelines for information and communication technology readiness for business continuity
• ISO/IEC 27032:2012 Guidelines for cybersecurity
• ISO/IEC 27033-1:2009 Network security -- Part 1: Overview and concepts(Part5まである)
• ISO/IEC 27034-1:2011 Application security -- Part 1: Overview and concepts
• ISO/IEC 27035:2011 Information security incident management
• ISO/IEC 27036-1:2014 Information security for supplier relationships -- Part 1: Overview and concepts(Part3ま
である)
• ISO/IEC 27037:2012 Guidelines for identification, collection, acquisition and preservation of digital evidence
• ISO/IEC 27038:2014 Specification for digital redaction
• ISO/IEC 27039:2015 Selection, deployment and operations of intrusion detection systems (IDPS)
• ISO/IEC 27040:2015 Storage security
• ISO/IEC 27041:2015 Guidance on assuring suitability and adequacy of incident investigative method
• ISO/IEC 27042:2015 Guidelines for the analysis and interpretation of digital evidence
• ISO/IEC 27043:2015 Incident investigation principles and processes
2015/7/11Electronic Service Initiative, Ltd. 128
- 141. 機密性 - Confidentiality
JIS Q 27000:2014 2.12
‐ 認可されていない個人、エンティティ又はプロセス(2.61)に対して、情報を
使用させず、また、開示しない特性
要するに
‐ 他のユーザーや権限を持たないプログラムがアクセスすべきでない情報にアクセスさ
せない
対策例
‐ ユーザー認証に多要素認証を用いる
‐ プログラム毎に適切な権限を持たせて実行する
2015/7/11Electronic Service Initiative, Ltd. 141
- 142. 完全性 - Integrity
JIS Q 27000:2014 2.40
‐ 正確さ及び完全さの特性
要するに
‐ 送金処理後の送金元・送金先の口座残高は送金前と同じ
‐ 送金処理の通信傍受などで不正に送金されない
対策例
‐ RDBMSのトランザクション機能を利用する
‐ トランザクション情報の改ざんを暗号理論的ハッシュ関数を用いて防止する
2015/7/11Electronic Service Initiative, Ltd. 142
- 143. 可用性 - Availability
JIS Q 27000:2014 2.9
‐ 認可されたエンティティが要求したとき、アクセス及び使用が可能である特性
要するに
‐ ITシステムが利用できるべき時に、ITシステムが利用できる
対策例
‐ 停電対策としてUPS(非常用のバッテリー電源)を利用する
‐ 攻撃者による大量の処理要求を無視する仕組みを導入する
2015/7/11Electronic Service Initiative, Ltd. 143