講義番号097047 情報セキュリティ特論 · 1 インシデント事例とその対策...

1

インシデント事例とその対策

講義番号０９７０４７

情報セキュリティ特論講義番号講義番号０９７０４７０９７０４７

情報セキュリティ情報セキュリティ特論特論

2

◆はじめに

いまや、企業や組織にとって、情報セキュリティに対するリスクマネジメントは重要な経営課題のひとつであるとともに、社会的責務でもあります。

その一方で、個人情報の漏えい、ウイルスへの感染、システムの停止など情報セキュリティに対するリスクは多岐に渡っており、企業や組織では情報セキュリティに対する様々な課題への対応が必要とされています。

本WBTは、情報セキュリティ対策の各カテゴリごとに「インシデント事例」、「インシデント事例」、「お客様の抱える問題」、「問題の解決策」から構成されており「お客様の抱える問題」、「問題の解決策」から構成されており、セキュリティ全般について、企業・組織が抱える問題とその解決策を学んで頂くことができます。

皆様の情報セキュリティに対するご理解の一助となることができれば幸いです。

3

目次第1章 IT基盤セキュリティ

1-1.IT基盤セキュリティとは1-2.ウイルス対策1-3.IT資産管理1-4.検疫ネットワーク1-5.スパム対策1-6.Webアプリケーションファイアウォール確認テスト

第2章情報漏えい対策

2-1.情報漏えい対策とは2-2.持ち出し制御/暗号化2-3.操作ログ収集2-4.URLフィルタリング2-5.Mailフィルタリング/アーカイブ確認テスト

第3章 IT統制

3-1.IT統制とは3-2.ユーザ認証3-3.アクセスコントロール3-4.統合ID管理3-5.シングルサインオン確認テスト

アンケート

4

第1章 IT基盤セキュリティ

5

1-1.IT基盤セキュリティとは

近年、ウイルスやワーム、不正アクセス、スパムメールなど、ITシステムに対する脅威は多様化・複雑化しています。

企業の情報システムが業務処理を適切に継続し続けるためには、これらの日々進化し続ける脅威から企業のIT基盤（業務プログラムが稼動するハードウェアやソフトウェア）を守る必要が有ります。

本章ではIT基盤セキュリティの中の「ウイルス対策」、「IT資産管理」、「検疫ネットワーク」、「スパムメール対策」、「Webアプリケーションファイアウォール」について説明します。

6

1-2.ウイルス対策

7

11--2.2.ウイルス対策ウイルス対策 –– インシデント事例インシデント事例 --

インシデント事例インシデント事例【メールの添付ファイルからのウイルス感染】

AAさんはソフトウエアベンダーのさんはソフトウエアベンダーのYY社で顧客の窓口対応を担当しています。社で顧客の窓口対応を担当しています。ある日、ある日、AAさんは英語のクレームメールが送られてきたため、慌てて添付さんは英語のクレームメールが送られてきたため、慌てて添付ファイルを開こうとしました。ファイルを開こうとしました。すると、「すると、「The file could not be openedThe file could not be opened!!」と書かれたダイアログが表示され、」と書かれたダイアログが表示され、ドキュメントを開けることはできませんでした。ドキュメントを開けることはできませんでした。AAさんは不思議に思いましさんは不思議に思いましたが、その後、特に異変は無かったため、気にせずに業務を継続しました。たが、その後、特に異変は無かったため、気にせずに業務を継続しました。

数時間後、取引先の数時間後、取引先のNN社から、「ウイルスの添付されたメールが社から、「ウイルスの添付されたメールがAAさんからさんから送られてきた」との連絡が入りました。送られてきた」との連絡が入りました。AAさんのメール送信の履歴を確認したところ、さんのメール送信の履歴を確認したところ、NN社以外にも社以外にもAAさんのメーさんのメーラーのアドレス帳に登録されているアドレスに対して、ウイルスの添付されラーのアドレス帳に登録されているアドレスに対して、ウイルスの添付されたメールが送信されていました・・・たメールが送信されていました・・・

8

お客様の抱える問題お客様の抱える問題

ウイルスの感染ウイルスの感染

-最近は、電子メール電子メールををプレビュープレビューしただけで感染しただけで感染するものや、ホームページをするものや、ホームページを閲覧しただけで閲覧しただけで感染感染すす

るるウイルスが増えていますウイルスが増えています

--ウイルスに感染すると、ウイルスに感染すると、ハードディスクに格納されているハードディスクに格納されているファイルを消去ファイルを消去されたりされたり、コンピュータが、コンピュータが起起

動できない動できないようにようにされるされる、、パスワードパスワードなどのなどのデータを外部に自動的に送信データを外部に自動的に送信されるなどのされるなどの危険性があ危険性があ

りますります

感染の拡大感染の拡大

--ウイルスはウイルスはネットワークネットワークに接続しているに接続している他のコンピュータに自動的に感染他のコンピュータに自動的に感染するなどの方法で自己増するなどの方法で自己増

殖します殖します。最近はコンピュータに登録されている。最近はコンピュータに登録されている電子メール電子メールののアドレス帳アドレス帳を利用して、自動的にを利用して、自動的にウイウイ

ルスルス付きの付きの電子メール電子メールを送信するものも多くを送信するものも多く、社内外を問わず感染を拡大します、社内外を問わず感染を拡大します

11--2.2.ウイルス対策ウイルス対策 –– お客様の抱える問題お客様の抱える問題 --

インターネット

Webサーバ

クライアントPC

サーバ群

ファイアーウォール

ウイルスの拡散

ウイルスの感染

9

推奨製品推奨製品製品名をクリックするとベンダーの製品紹介ページを表示します製品名をクリックするとベンダーの製品紹介ページを表示します

ウイルスバスターコーポレートエディションウイルスバスターコーポレートエディション WebWebレピュテーションサービスレピュテーションサービス((トレンドマイクロトレンドマイクロ))--WebWebサイトへのサイトへのHTTPHTTP接続時に、接続先の接続時に、接続先のWebWebサイトの信頼性をチェックし、問題があればアクセス制限を実施するサイトの信頼性をチェックし、問題があればアクセス制限を実施する

InterScanInterScanGateway Security ApplianceGateway Security Appliance((トレンドマイクロトレンドマイクロ))--日々進化し複合化するインターネットの脅威に対し、インターネットゲートウェイでの包括的セキュリティ対策を実現日々進化し複合化するインターネットの脅威に対し、インターネットゲートウェイでの包括的セキュリティ対策を実現

問題の解決策問題の解決策

各種端末、ゲートウエイにて対策各種端末、ゲートウエイにて対策

--サーバ、クライアントサーバ、クライアントPCPC、ゲートウエイの各所、ゲートウエイの各所に対策を施しますに対策を施します

最新のパターンファイルにて運用最新のパターンファイルにて運用

--新種のウイルスへの感染を防止するために、ウイルス定義のパターンファイルは新種のウイルスへの感染を防止するために、ウイルス定義のパターンファイルは常に最新のもの常に最新のもの

で運用する必要がありますで運用する必要があります

拡散の防止拡散の防止

--ウイルスに感染してしまった場合にも、ウイルスに感染してしまった場合にも、ウイルスを検知し、通信を遮断ウイルスを検知し、通信を遮断することにより、ウイルスのすることにより、ウイルスの

拡散を防止します拡散を防止します

11--2.2.ウイルス対策ウイルス対策 –– 問題の解決策問題の解決策 --

インターネットファイアーウォール

Webサーバ


サーバ群

ウイルスの感染防止

ウイルスの拡散防止

10

1-3.IT資産管理

11

11--3.IT3.IT資産管理資産管理 –– インシデント事例インシデント事例 --

インシデント事例インシデント事例【【脆弱性からのウイルス感染脆弱性からのウイルス感染】】

製造業のＡ社は、海外にも進出する中堅企業です。ある日の午前、海外製造業のＡ社は、海外にも進出する中堅企業です。ある日の午前、海外部門のいくつかのパソコンで、「操作が遅くなる」「ネットワークに繋がらな部門のいくつかのパソコンで、「操作が遅くなる」「ネットワークに繋がらない」「起動しなくなる」など、複数の症状が現れ、正午過ぎには、症状は他い」「起動しなくなる」など、複数の症状が現れ、正午過ぎには、症状は他の部門まで広まりました。しかし、同じ部門内でも問題が起きていないの部門まで広まりました。しかし、同じ部門内でも問題が起きていないPCPCや、１台も問題が出ていない部門など、症状は様々です。や、１台も問題が出ていない部門など、症状は様々です。

全てのクライアント全てのクライアントPCPCのウイルスを駆除した後に、ネットワークに接続してのウイルスを駆除した後に、ネットワークに接続していると、数時間もするとまた別のウイルスに感染するという悪循環が発生いると、数時間もするとまた別のウイルスに感染するという悪循環が発生しました。ウイルスの発生源を特定すると、プリンタサーバとして動いていしました。ウイルスの発生源を特定すると、プリンタサーバとして動いている古いる古いPCPCが浮上しました。が浮上しました。

海外部門がＷｅｂサイトを閲覧した事によりもたらされたウイルスが、この海外部門がＷｅｂサイトを閲覧した事によりもたらされたウイルスが、この古い古いPCPCを苗床に、インターネット上から次々とウイルスをダウンロードしてを苗床に、インターネット上から次々とウイルスをダウンロードしては、他のは、他のPCPCの脆弱性を突いてウイルス感染を引き起こしていたようです。の脆弱性を突いてウイルス感染を引き起こしていたようです。脆弱性の有無により、ウイルス感染は左右されていたのです。脆弱性の有無により、ウイルス感染は左右されていたのです。

12

11--3.IT3.IT資産管理資産管理 –– お客様の抱える問題お客様の抱える問題 --


Webサーバ


サーバ群


膨大な膨大なITIT資産の管理資産の管理

--増大するIT資産の管理に多くのコストを費やしている

--企業で保有するソフトウエアのライセンスが管理されていないため、ライセンス数を超過しての

不正使用が行われている危険性があります

ウイルスの感染ウイルスの感染--セキュリティパッチとは、セキュリティホール（弱点）の原因となるファイルを置き換えるためのプログラム

です。常に最新のセキュリティパッチを適用していないと、セキュリティホールからウイルスに感染する

リスクが高くなります

膨大なIT資産の管理

脆弱性を利用した攻撃

アプリケーションの脆弱性

・ウイルスメール・不正サイトの閲覧

13

11--3.IT3.IT資産管理資産管理 –– 問題の解決策問題の解決策 --


Webサーバ

クライアントPC群

サーバ群


ITIT資産管理資産管理BPOBPOサービスサービス(NEC(NECネクサソリューションズネクサソリューションズ))-IT資産の検討から調達・運用サポート・廃棄処理に至るまで、管理をまるごと代行するサービス

ＷＳＵＳＷＳＵＳ－－Windows Server Update ServiceWindows Server Update Serviceーー ((マイクロソフトマイクロソフト))--Microsoft Update Microsoft Update が提供する更新プログラムを、イントラネット内のパソコンに配布すると同時に、管理を行うが提供する更新プログラムを、イントラネット内のパソコンに配布すると同時に、管理を行う

WSUSサーバ

Microsoft Update Webサービス

パッチの自動DL

パッチの自動更新・管理


ITIT資産管理資産管理

--PCPC固有の情報（インベントリ情報）固有の情報（インベントリ情報）やソフトウエアのインストール状況やソフトウエアのインストール状況をを自動的に収集自動的に収集するすることにより、ことにより、

管理を一元化・自動化します管理を一元化・自動化します

セキュリティパッチの自動適用セキュリティパッチの自動適用--ウイルス感染の予防には、セキュリティホールを塞ぐことが効果的です。すべてのパソコンがウイルス感染の予防には、セキュリティホールを塞ぐことが効果的です。すべてのパソコンが均一なセ均一なセ

キュリティレベルを確保するためには、自動的なセキュリティパッチの適用キュリティレベルを確保するためには、自動的なセキュリティパッチの適用が望まれますが望まれます

14

1-4.検疫ネットワーク

15

11--44..検疫ネットワーク検疫ネットワーク –– インシデント事例インシデント事例 --

社内ネットワーク社内ネットワーク社内ネットワーク

・3ヶ月前のセキュリティパッチ・3ヶ月前のウイルスパターンファイル

・3ヶ月前のセキュリティパッチ・3ヶ月前のウイルスパターンファイル

：：

インシデント事例インシデント事例【持ち出しPCからのウイルス感染】

ウイルス

出張持ち出しPC

出張持ち出し出張持ち出し

PCPC

接続接続

システム管理者のAさんは従業員に対して、最新のウイルスパターン、パッチを適用するよう指示しています。しかし、ポリシーが未適用のPCが存在するかどうかは把握できていませんでした。

そんなある日、ある社員が長期出張で持ち出していたPCを基幹ネットワークに接続したところ、ウイルスが社内に蔓延してしまうという事件が発生しました。出張期間中に最新のウイルスパターンファイル、パッチを適用していなかったため、ウイルス感染していたようです・・

16

業務サーバ群基幹ネットワーク

業務用ＰＣ

ウィルス…ワーム…ハッキング

11--44..検疫ネットワーク検疫ネットワーク –– お客様の抱える問題お客様の抱える問題 --


ウイルス感染PCの社内ネットワーク接続

-アンチウイルスソフトの未インストールや最新のウイルスパターンファイル・セキュリティパッチの

未適用が原因で、社外でウイルスに感染してしまったPCを、そのまま社内ネットワークに接続

することにより、社内ネットワークにウイルスが蔓延してしまう危険性があります

ポリシー違反ＰＣ

業務用ＰＣ業務用ＰＣ

17

11--44..検疫ネットワーク検疫ネットワーク –– 問題の解決策問題の解決策 --

検疫ネットワーク検疫ネットワーク

（ＰＣを治療するためのセグメント）

基幹ネットワーク基幹ネットワーク

（セキュリティ対策が施されたＰＣのみ接続を許可されるセグメント）


検疫ネットワーク検疫ネットワーク

--クライアントクライアントPCPCのセキュリティポリシ遵守状況をのセキュリティポリシ遵守状況を検査検査し、し、ウイルスウイルス対策対策やや適用パッチが最新の適用パッチが最新のクラクラ

イアントイアントPCPCだけをだけを基幹基幹ネットワークに接続させるネットワークに接続させる仕組み仕組みを実現しますを実現します

--検査の結果、問題のある検査の結果、問題のあるPCPCには、には、検疫ネットワークでセキュリティパッチ、ウイルス定義ファイルを検疫ネットワークでセキュリティパッチ、ウイルス定義ファイルを

配布配布し、問題のタネを取り除きますし、問題のタネを取り除きます


lnfoCage／PC検疫(NEC)(NEC)-小規模オフィスからの段階的な導入が可能で、事前にクライアントパソコンへエージェントソフト導入を必要としない

「エージェントレス型」ＰＣ検疫ソフトウェア

（注：持ち込みPCのネットワーク接続については検知のみで通信遮断はできない。『InfoCage／不正PC接続防止』連携で実現可能）

クライアントPC（ポリシー適合）

WSUSウイルスパッチ管理サーバ

不適合PCはこちら

適合PCはこちら

ネットワーク装置検疫装置

（方式により異なる）

ネットワーク装置ネットワーク装置検疫装置検疫装置

（方式により異なる）（方式により異なる）

ポリシーの適合/不適合で

制御

クライアントPC（ポリシー不適合）

18

1-5.スパムメール対策

19

フィッシング詐欺の事例フィッシング詐欺の事例【Yahoo!JAPAN】

ヤフーオークションのカスタマーサービスに成りすましたHTMLメールを送信し、偽の「Yahoo! JAPAN ID検索/パスワード再発行」画面を表示するフィッシング詐欺。クレジットカード番号や暗証番号の入力も要求している。

【VISA】「VISA認証サービス」を偽装した日本語メールを送信し、ユーザーIDやパスワード、クレジットカード番号を入力させるフィッシング詐欺。この偽サイトはJavaScriptを使ってアドレス・バーに正規のURLを表示させていた。

【イーバンク銀行】「イーバンク銀行からのお知らせ[入金がありました]」というメールを送信し、ログインパスワードや暗証番号を入力させるフィッシング詐欺。

スパムメールの処理に掛かるコストスパムメールの処理に掛かるコスト従業員1,000名の企業で1日当たり一人20通のスパムを受信し、1通の処理に15秒を要するものとし、従業員の年収を600万円と仮定すると、この企業では年間720万通のスパムを受信し、従業員はトータルで30,500時間をそのメールの処理に費やすことになります。

週40時間の就業時間で計算すると約14名分の生産性を浪費することになり、年収で換算すれば、その価値は、8400万円にもなります。メールサーバの処理コストやストレージのコスト、情報システムスタッフの時間消費なども含めれば、そのコストはさらに大きなものになってしまいます。

11--55..スパムメール対策スパムメール対策 –– インシデント事例インシデント事例 --

20

11--55..スパムメール対策スパムメール対策 –– お客様の抱える問題お客様の抱える問題 --

正規のメールに混じってスパムメール等を受信

◆ スパムメール頼みもしないのに大量に送られてくる商用広告などのメール

◆ フィッシング(phishing)メール実在する企業のWebサイトに見せかけたサイトへ利用者を誘導し、パスワードやクレジットカード番号等の個人情報を提供させる詐欺行為を行うメール

悪意あるユーザ正規のユーザインターネット

お客様の抱える問題お客様の抱える問題迷惑メールの受信迷惑メールの受信

--大量に受信するメールの中から、スパムメール、フィッシングメール、などの迷惑メールとそうでない大量に受信するメールの中から、スパムメール、フィッシングメール、などの迷惑メールとそうでない

メールを選別していては、メールを選別していては、業務の効率が低下業務の効率が低下すると供に、重要なメールを迷惑メールと間違えて見すると供に、重要なメールを迷惑メールと間違えて見

過ごしてしまうこともあります過ごしてしまうこともあります

--利用者が不用意にスパムメールの添付ファイルを開いたことにより利用者が不用意にスパムメールの添付ファイルを開いたことによりウイルスに感染ウイルスに感染してしまう。フィッしてしまう。フィッ

シングメールにひっかかり、不正なサイトをアクセスし、シングメールにひっかかり、不正なサイトをアクセスし、個人情報が漏えい個人情報が漏えいしてしまう。などの危険性がしてしまう。などの危険性が

ありますあります

スパムメールフィッシングメール

の送信

21

スパムメール

正規のメール

スパムメールフィルタ

11--55..スパムメール対策スパムメール対策 –– 問題の解決策問題の解決策 --

スパムメールを自動的に遮断


正規ユーザ正規ユーザ

悪意あるユーザ


Barracuda Spam Firewall(Barracuda Spam Firewall(マクニカネットワークスマクニカネットワークス)) ：自社でメールサーバを運用しているお客様に推奨：自社でメールサーバを運用しているお客様に推奨

--スパムメールのブロックとウイルスフィルタリングを同時に行う自動学習型のスパムブロックアプライアンススパムメールのブロックとウイルスフィルタリングを同時に行う自動学習型のスパムブロックアプライアンス

InterScanInterScanGateway Security Appliance Gateway Security Appliance ((トレンドマイクロトレンドマイクロ)) ：プロバイダのメールサーバで運用しているお客様に推奨：プロバイダのメールサーバで運用しているお客様に推奨

--日々進化し複合化するインターネットの脅威に対し、インターネットゲートウェイでの包括的セキュリティ対策を実現日々進化し複合化するインターネットの脅威に対し、インターネットゲートウェイでの包括的セキュリティ対策を実現


迷惑メールのフィルタリング

-迷惑メールが利用者に届く前にフィルタリングする、スパムメールフィルタの導入が効果的です

-スパムメールフィルタにフィルタリングルールを設定することで、メール本文に禁止したキーワードが含

まれているメールや、不正なメールサーバから送信されたメールなどをブロックします。また、スパムメ

ールをブロックするのではなく、タイトル（サブジェクト）に任意の文字（##spam##等）を挿入して配信

することも可能です

22

1-6.Webアプリケーションファイアウォール

23

11--66..WebWebアプリケーションファイアウォールアプリケーションファイアウォール –– インシデント事例インシデント事例 --

実際に起きたインシデント実際に起きたインシデント

【【顧客情報の漏洩顧客情報の漏洩((化粧品・医薬品メーカーＳ社化粧品・医薬品メーカーＳ社))】】自社のウェブサイトに大量の不正アクセスがあり、自社のウェブサイトに大量の不正アクセスがあり、1414万人分の顧客情報が流出した万人分の顧客情報が流出した可能性があると発表し、ウェブサイトの公開を中止しました。可能性があると発表し、ウェブサイトの公開を中止しました。

流出した可能性のある個人情報：流出した可能性のある個人情報：

--メールアドレス、氏名、電話番号、ユーザーメールアドレス、氏名、電話番号、ユーザーIDID、パスワード、パスワード

（クレジットカード番号など決済情報は含まれない）（クレジットカード番号など決済情報は含まれない）

外部からの不正アクセスで顧客情報を大量に盗まれ外部からの不正アクセスで顧客情報を大量に盗まれたということからたということから、「、「SQLSQLインジェインジェクション」が行われたのではないかと推測クション」が行われたのではないかと推測されています。されています。

【【ホームページの改ざんホームページの改ざん((九州地方九州地方Ｈ市Ｈ市))】】市の公式ホームページが市の公式ホームページが2121回にわた回にわたりり不正アクセスを受け、トップページが改ざんさ不正アクセスを受け、トップページが改ざんされてれて、不正なコードを埋め込まれまし、不正なコードを埋め込まれました。ページが改ざんされていた期間に同ホームた。ページが改ざんされていた期間に同ホームページへアクセスしていた場合、パソコンがウイルスに感染しページへアクセスしていた場合、パソコンがウイルスに感染したおそれがあります。たおそれがあります。

用語説明用語説明

--SQLSQLインジェクションインジェクション

アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと

24

FTP

Telnet

Webサーバ

11--6.6.WebWebアプリケーションファイアウォールアプリケーションファイアウォール –– お客様の抱える問題お客様の抱える問題 --

ファイアウォール

DBサーバ

正規ユーザ


HTTP通信は全て通過


WebWebサイトの脆弱性を狙った攻撃サイトの脆弱性を狙った攻撃

--セキュリティ管理が徹底されていないセキュリティ管理が徹底されていないWebWebサイトの脆弱性サイトの脆弱性を狙った攻撃が増えてきています。そして、を狙った攻撃が増えてきています。そして、

それに伴い、脆弱なそれに伴い、脆弱なWebWebサイトでの情報漏えい事件や詐欺事件も多数発生していますサイトでの情報漏えい事件や詐欺事件も多数発生しています

HTTP(HTTP(ポートポート8080))を使用した不正な操作を使用した不正な操作

--ファイアウォールは、外部からの通信をプロトコルレベルで判断するファイアウォールは、外部からの通信をプロトコルレベルで判断するためため、、ポート８０を使用していれポート８０を使用していれ

ば、全てば、全てHTTPHTTPを使用した正常な通信と判断してしまいます。を使用した正常な通信と判断してしまいます。そのためそのため、許可されている通信である、許可されている通信である

HTTPHTTPを用いて不正な操作を行われても、ファイアウォールでは防ぐことができませんを用いて不正な操作を行われても、ファイアウォールでは防ぐことができません

Webページの改ざん

情報の流出

不正コマンドによるデータ生成

25

11--6.6.WebWebアプリケーションファイアウォールアプリケーションファイアウォール –– 問題の解決策問題の解決策 --

ファイアウォール

HTTP通信は全て通過

FTP

Telnet

Webアプリケーションファイアウォール

正常なHTTP通信のみ通過

不正なHTTP通信はブロック

正規ユーザ


Webサーバ

DBサーバ


SOLVDEFENCE OnSite(NECネクサソリューションズ)：ホスト型-NEXS データセンター運用のノウハウから生まれたWebアプリケーションファイアウォール（WindowsServerにインストールすることで、IIS5.0、IIS6.0上で動作するWebアプリケーションを保護）

CITRIX Application Firewall (マクニカネットワークス)：アプライアンス型-独自の機能によって双方向通信を解析し、自動学習機能により逸脱したものを悪意のある攻撃とみなしブロック（ネットワーク上でHTTP通信をチェックする為、複数のWebサーバソフトウエアに対応）

問題の解決策問題の解決策HTTPHTTP通信を用いた攻撃からの保護通信を用いた攻撃からの保護

--WebWebアプリケーションのソースコードにて対策を実施することは、もちろん必要ですが、次々と発生すアプリケーションのソースコードにて対策を実施することは、もちろん必要ですが、次々と発生す

るる新種の攻撃に対応することは、困難です。新種の攻撃に対応することは、困難です。

WebWebアプリケーションファイアウォールは、アプリケーションファイアウォールは、 HTTPHTTPを用いたアプリケーションレベルの攻撃に対して、通を用いたアプリケーションレベルの攻撃に対して、通

信の振る舞いをチェック信の振る舞いをチェックします。これにより、従来のします。これにより、従来のファイアウォールだけファイアウォールだけでは防ぐことができない攻撃では防ぐことができない攻撃

からからWebWebサーバを守りますサーバを守ります

26

第2章情報漏えい対策

27

2-1.情報漏えい対策とは

ファイル交換ソフト(Winnyなど)の利用によるネット流出、ノートPC、USBメモリの盗難・紛失などによる、情報漏えい事件は後を絶ちません。たとえ一度の情報漏えいであっても、謝罪費用、調査費用といったコスト面だけではなく、企業としての信頼やブランドイメージの低下など、企業への影響は計り知れません

実際の漏洩原因の80%は内部の人間による盗難・流出などの内部要因が占めており、こうした内部の人間に情報漏えいを起こさせないための対策が必要です。

本章では情報漏えい対策の中の「持ち出し制御/暗号化」、「ログ収集」、「Mailフィルタリング」、「URLフィルタリング」について説明します。

28

2-2.持ち出し制御/暗号化

29

22--2.2.持ち出し制御持ち出し制御//暗号化暗号化 –– インシデント事例インシデント事例 --

インシデント事例インシデント事例

【【持ち出し持ち出しPCPCの置き忘れの置き忘れ】】

18:30S社に勤めるMさんは客先でのプレゼンを終了

19時から友人と飲み屋に行く約束をしていたMさんは、PCを持ったまま客先から飲み屋に行きました。

すっかりアルコールの入ったMさんは、いい気分で帰宅しました。翌朝、PCがないことに気づいたMさんは、慌てて捜索しましたが、結局、紛失したPCを発見することが出来ませんでした。

後日、MさんのPCに保存されていた顧客リストがインターネットに流出しているとの報告を受け、S社は顧客情報の漏洩を公表・謝罪しました。

顧客リスト顧客リスト

30

22--2.2.持ち出し制御持ち出し制御//暗号化暗号化 –– お客様の抱える問題お客様の抱える問題 --

お客様が抱える問題お客様が抱える問題

機密情報の持ち出し機密情報の持ち出し

--USBUSBメモリやフロッピーディスクなどにメモリやフロッピーディスクなどに機密情報を抜き取り、持ち出される危険性機密情報を抜き取り、持ち出される危険性があります

--社内利用限定の機密情報を社内利用限定の機密情報をPCPC・・USBUSBメモリにコピーし、メモリにコピーし、社外に持ち出し、利用してしまうことがあります社外に持ち出し、利用してしまうことがあります

紛失、盗難、操作ミスによる情報の漏洩紛失、盗難、操作ミスによる情報の漏洩

--電車、飲食店など社外での電車、飲食店など社外でのノートノートPCPC、、USBUSBメモリの紛失、置き忘れメモリの紛失、置き忘れや、車上荒らしによるや、車上荒らしによる盗難盗難が原が原

因での因での情報漏えい事件が絶えません

--添付ファイル付きメールの誤送信など、添付ファイル付きメールの誤送信など、不意の操作ミスにより第三者へ情報が漏洩不意の操作ミスにより第三者へ情報が漏洩してしまうことしてしまうこと

がありますがあります

持出しPC

網棚への置き忘れ

車上荒らし

出先での盗難

盗難・紛失による情報漏えい

31


PointsecPointsecシリーズシリーズ(NEC(NECソフトソフト))--PointsecPointsecfor PCfor PC：：PCPC全体まるごと暗号化全体まるごと暗号化

--PointsecPointsecMedia EncryptionMedia Encryption：外部メディアへのデータ書き込み時に自動暗号化：外部メディアへのデータ書き込み時に自動暗号化

InfoCageInfoCage//ファイル暗号ファイル暗号(NEC)(NEC)--特別なハードウェアを必要とせず、簡単操作と強力な暗号アルゴリズムで情報漏洩対策を支援するソフトウェア特別なハードウェアを必要とせず、簡単操作と強力な暗号アルゴリズムで情報漏洩対策を支援するソフトウェア

InfoCageInfoCage//モバイル防御モバイル防御Plus Plus (NEC)(NEC)--認証を受けていない人に対する認証を受けていない人に対するPCPC利用禁止やデータの暗号化を実現。またパソコンやリムーバブルメディア内の利用禁止やデータの暗号化を実現。またパソコンやリムーバブルメディア内の

データを抜き取ることを防止する製品データを抜き取ることを防止する製品

22--2.2.持ち出し制御持ち出し制御//暗号化暗号化 –– 問題の解決策問題の解決策 --

網棚への置き忘れ

車上荒らし

現場での盗難

暗号化済みPC


デバイス持ち出し制御デバイス持ち出し制御

--許可されていない許可されていないUSBUSBメモリへのコピーを禁止メモリへのコピーを禁止して、情報の抜き取りを防止しますして、情報の抜き取りを防止します

--機密情報を暗号化し、機密情報を暗号化し、社外に持ち出しての利用を防止社外に持ち出しての利用を防止しますします

暗号化暗号化

--ハードディスクを丸ごと暗号化ハードディスクを丸ごと暗号化し、ノートし、ノートPCPCの紛失・盗難時の情報漏えいを防止しますの紛失・盗難時の情報漏えいを防止します

--USBUSBメモリなどメモリなど外部メディアへの書込みデータを暗号化外部メディアへの書込みデータを暗号化し、紛失・盗難時の情報漏えいを防止しますし、紛失・盗難時の情報漏えいを防止します

--顧客情報や機密情報などの顧客情報や機密情報などのファイルに対して暗号化ファイルに対して暗号化を施し、第三者への情報漏洩を防止しますを施し、第三者への情報漏洩を防止します

情報漏えい防止

32

2-3.操作ログ収集

33

22--3.3.操作ログ収集操作ログ収集 –– インシデント事例インシデント事例 --

USBメモリ

ファイルサーバBさん

USBメモリ

公開フォルダ

Winnyネットワーク


【【ファイル交換ソフトの利用による情報漏えいファイル交換ソフトの利用による情報漏えい】】

ある日、「ある日、「AA社の顧客情報が流出しているようだ」との問い合わせが社の顧客情報が流出しているようだ」との問い合わせがAA社に殺到しまし社に殺到しました。顧客台帳と照らし合わせると、過去のある時点でのお客様情報と一致したため、た。顧客台帳と照らし合わせると、過去のある時点でのお客様情報と一致したため、お客様にお詫びするとともに社内調査を開始しました。お客様にお詫びするとともに社内調査を開始しました。

すると、顧客情報を管理するお客様センターでの管理がずさんであったことが判明しすると、顧客情報を管理するお客様センターでの管理がずさんであったことが判明しました。顧客管理システムを運用する管理者のログイン履歴や変更履歴が残されてました。顧客管理システムを運用する管理者のログイン履歴や変更履歴が残されておらず、担当者側ではメールやインターネット、ＵＳＢメモリの利用などが日常的に行おらず、担当者側ではメールやインターネット、ＵＳＢメモリの利用などが日常的に行われていました。われていました。

調査の結果、流出したファイルを業務で使用していたＢさんが、ＵＳＢメモリにデータを調査の結果、流出したファイルを業務で使用していたＢさんが、ＵＳＢメモリにデータを入れて持ち帰り、自宅のパソコンで編集作業をしたことを認めました。以前、ファイル入れて持ち帰り、自宅のパソコンで編集作業をしたことを認めました。以前、ファイル交換ソフト「Ｗｉｎｎｙ」を使用しており、その際、ウイルスに感染したために顧客情報一交換ソフト「Ｗｉｎｎｙ」を使用しており、その際、ウイルスに感染したために顧客情報一覧のデータがインターネット上に流出してしまったのです。覧のデータがインターネット上に流出してしまったのです。

Bさん

ファイルサーバ上に顧客リストが存在

USBメモリでもちだされていた

Winny暴露ウイルスに感染

Winnyネットワークに顧客リストが漏えい

34

22--3.3.操作ログ収集操作ログ収集 –– お客様の抱える問題お客様の抱える問題 --

ファイルサーバ


USBメモリ FD

CD/DVD

プリントアウト


データ持ち出しによる情報漏えいデータ持ち出しによる情報漏えい-会社からデータを勝手に持ち出したことで、ＵＳＢメモリなどの外部メディアの紛失や、ファイル交換

ソフト（WinnyやShare等）でのネット流出などの情報漏えい事件が絶えません

ファイルへの不正アクセス、端末の不正使用ファイルへの不正アクセス、端末の不正使用-重要データに対して、いつ・誰が・どの端末から・何をしたかを把握できていないために、システム管

理者の知らないうちに情報が外部に流出しているリスクがあります

特権ユーザ特権ユーザ((AdministratorAdministrator、、rootroot等等))による内部犯行による内部犯行--システム管理者が利用する「特権ユーザ」は、制限なく重要データにアクセスすることができます。

この「特権ユーザ」を悪用した大規模情報漏えい事件は毎年発生おり、内部統制でも職務分掌と

特権ユーザ管理の対策が求められています

誰がアクセスしたのかわからない

どうやって持ち出したのかわからない

35

22--3.3.操作ログ収集操作ログ収集 –– 問題の解決策問題の解決策 --

推奨製品推奨製品製品名をクリックするとベンダーの製品紹介ページを表示します

ＩｎｆｏＣａｇｅＩｎｆｏＣａｇｅＰＣセキュリティＰＣセキュリティ(NEC)(NEC)

--操作ログ収集、周辺機器の制御の他に、ユーザー認証、暗号化などをオールインワンで提供するセキュリティ製品操作ログ収集、周辺機器の制御の他に、ユーザー認証、暗号化などをオールインワンで提供するセキュリティ製品

ＩｎｆｏＴｒａｃｅＩｎｆｏＴｒａｃｅ((ソリトンシステムズソリトンシステムズ))

--サーバ上のファイルアクセスから、ＵＳＢメモリやプリンタ出力等の周辺機器への持ち出しまでの経路を追跡しますサーバ上のファイルアクセスから、ＵＳＢメモリやプリンタ出力等の周辺機器への持ち出しまでの経路を追跡します

サーバ群

クライアントPC群

ログ収集／管理サーバ

管理コンソール（管理者）

分析／レポート出力

ログの一括収集


ログ収集による利用者への抑止効果ログ収集による利用者への抑止効果--従業員や職員のパソコンからの情報漏えいの防止は、利用者のセキュリティへの意識に寄るところ従業員や職員のパソコンからの情報漏えいの防止は、利用者のセキュリティへの意識に寄るところ

が大きいです。その傾向は中小企業になるほどに大きくなります。パソコンやサーバ上のが大きいです。その傾向は中小企業になるほどに大きくなります。パソコンやサーバ上の操作ログの操作ログの

収集は、利用者が起こす不正行為に対する抑止収集は、利用者が起こす不正行為に対する抑止として、非常に有効な対策となりますとして、非常に有効な対策となります

外部メディアの利用制限外部メディアの利用制限--大量の個人情報や機密情報を扱う組織や部門に対しては、「ログ収集」と合わせて「大量の個人情報や機密情報を扱う組織や部門に対しては、「ログ収集」と合わせて「USBUSBメモリなどメモリなど

の外部メディアの利用制限」を実施することで、対策の相乗効果を発揮しますの外部メディアの利用制限」を実施することで、対策の相乗効果を発揮します

36

2-4.URLフィルタリング

37

22--4.URL4.URLフィルタリングフィルタリング –– インシデント事例インシデント事例 --

インシデント事例インシデント事例【【業務に関係のないサイトの閲覧業務に関係のないサイトの閲覧】】

NNさんは、さんは、Ｘ社の情報システム部門で社内システムの運用担当をしています。Ｘ社の情報システム部門で社内システムの運用担当をしています。近頃、情報システム部門には近頃、情報システム部門には「勤務中に業務に関係のないサイトを閲覧している社員「勤務中に業務に関係のないサイトを閲覧している社員がいる」という報告が何件かよせられていました。がいる」という報告が何件かよせられていました。このような状況を改善するため、このような状況を改善するため、NNさんは、「業務に関係のないサイトの閲覧禁止」をさんは、「業務に関係のないサイトの閲覧禁止」を全従業員に対して通知しました。全従業員に対して通知しました。通知直後は、関係のないサイトの閲覧は行わなくなりましたが、しばらくすると、通知直後は、関係のないサイトの閲覧は行わなくなりましたが、しばらくすると、「勤「勤務中に業務に関係のないサイトを閲覧している社員がいる」という報告が再びよせら務中に業務に関係のないサイトを閲覧している社員がいる」という報告が再びよせられるようになりました。れるようになりました。

そんなある日、そんなある日、NNさんのもとに、「さんのもとに、「PCPCが突然ダウンしてしまう」といった問合せが数件が突然ダウンしてしまう」といった問合せが数件入ってきました。入ってきました。NNさんが問題のさんが問題のPCPCを調査したところ、ウイルスに感染していることがを調査したところ、ウイルスに感染していることが判明しました。判明しました。どうやら、ある社員が掲示板に書かれたリンクを辿って、ウイルスの埋め込まれた有どうやら、ある社員が掲示板に書かれたリンクを辿って、ウイルスの埋め込まれた有害サイトを閲覧したことにより、ウイルスに感染。その後、他の害サイトを閲覧したことにより、ウイルスに感染。その後、他のPCPCに感染が拡大してに感染が拡大していったようです・・・いったようです・・・

有害サイト掲示板

お得な情報

http://××/×××/

ページを閲覧するだけなら、大丈夫よね

http://××/×××/

38

通常サイト

有害サイト


22--4.URL4.URLフィルタリングフィルタリング –– お客様の抱える問題お客様の抱える問題 --

正規ユーザ

掲示板に機密情報を

書き込んでやる


有害サイト閲覧時のウィルス感染有害サイト閲覧時のウィルス感染

--不用意に掲示板に書き込みをされているリンクをたどるなどして、不用意に掲示板に書き込みをされているリンクをたどるなどして、ウイルスが埋め込まれた有害サイウイルスが埋め込まれた有害サイ

トへアクセスすることでウイルスに感染トへアクセスすることでウイルスに感染する危険性がありますする危険性があります

私的利用による業務効率の低下私的利用による業務効率の低下

--勤務時間中に勤務時間中に業務とは関係ないサイトを閲覧業務とは関係ないサイトを閲覧することで、業務効率が低下してしまいますすることで、業務効率が低下してしまいます

掲示板や掲示板やSNSSNSへの書き込みによる情報漏えいへの書き込みによる情報漏えい

--掲示板や掲示板やSNSSNSに社内の情報を書き込み、情報が漏えいする危険性がありますに社内の情報を書き込み、情報が漏えいする危険性があります


39


ＩｎｔｅｒＳａｆｅＩｎｔｅｒＳａｆｅ((ｱﾙﾌﾟｽｼｽﾃﾑｲﾝﾃｸﾞﾚｰｼｮﾝｱﾙﾌﾟｽｼｽﾃﾑｲﾝﾃｸﾞﾚｰｼｮﾝ/NEC)/NEC)

--URLURLデータベースの参照によりクライアントデータベースの参照によりクライアントWebWebアクセスの適切な制御を行えるアクセスの適切な制御を行えるURLURLフィルタリングソフトフィルタリングソフト

ＩｎｔｅｒＩｎｔｅｒScan Scan WebManagerWebManager((ﾄﾚﾝﾄﾞﾏｲｸﾛﾄﾚﾝﾄﾞﾏｲｸﾛ))

--業務に不必要・有害なサイトへのアクセス制限や、業務に不必要・有害なサイトへのアクセス制限や、WebWebメール・外部掲示板への情報漏洩を防止するソフトウェアメール・外部掲示板への情報漏洩を防止するソフトウェア

22--4.URL4.URLフィルタリングフィルタリング –– 問題の解決策問題の解決策 --


アクセスできるサイトを制限

-有害サイトへのアクセスをブロックする事で、ウイルス感染、情報漏えいのリスクを軽減しますまた、業務上必要ないサイトへのアクセスを制限することで業務効率の向上が期待できます

アクセスログの収集

-アクセスログから、『いつ』『どのＰＣから』『どのサイトを』閲覧したかを特定します

-アクセスログを収集している事を告知することで抑止効果が期待できます

通常サイト

有害サイト


正規ユーザ


掲示板に機密情報を

書き込んでやる

このサイトは規制されています。

URLフィルタリング

40

2-5.Mailフィルタリング/アーカイブ

41

22--5.Mail5.Mailフィルタリングフィルタリング//アーカイブアーカイブ –– インシデント事例インシデント事例 --

インシデント事例インシデント事例【【メールの誤送信による情報漏えいメールの誤送信による情報漏えい】】

ＡさんはＡさんはＮ商で採用担当をしています。Ｎ商で採用担当をしています。最近、新入社員の採用のため、試験に関するメールを受験者に対して送信すること最近、新入社員の採用のため、試験に関するメールを受験者に対して送信することが多くなっていました。が多くなっていました。ある日、採用試験の受験者から「採用試験の詳細についてのメールを受信してからある日、採用試験の受験者から「採用試験の詳細についてのメールを受信してからSPAMSPAMメールが大量に送られるようになった」と苦情が入ってきました。メールが大量に送られるようになった」と苦情が入ってきました。

AAさんは受験者に対して送信したメールを調べると、メールの宛先が全てさんは受験者に対して送信したメールを調べると、メールの宛先が全てCcCcに設定さに設定されていました。受験者の一人が、れていました。受験者の一人が、 CcCcに設定してあったメールアドレスの一覧をネットに設定してあったメールアドレスの一覧をネット上で不正に売買したようです・・・上で不正に売買したようです・・・


まずい、誤ってメールを送信してしまった・・

いろいろなメールアドレスがCcに設定されているぞ

送信者

受信者

受信者

受信者（悪意あるユーザ）

42

通常の宛先（取引先など）

インターネット正規ユーザ


機密情報を

勝手にメールで持ち出してやる

22--5.Mail5.Mailフィルタリングフィルタリング//アーカイブアーカイブ –– お客様の抱える問題お客様の抱える問題 --

メールマガジンを全員Toで送って

しまった

通常外の宛先（アドレス間違い、個人アドレス、など）


メールの誤送信による情報漏えいメールの誤送信による情報漏えい

--メールの誤送信による情報漏えいメールの誤送信による情報漏えい事件が後を絶えません事件が後を絶えません

大量メールの発信を制限したい大量メールの発信を制限したい

--不用意に不用意にToTo、、CCccに大量の宛先を設定に大量の宛先を設定した場合、情報の漏えいにつながる危険性がありますした場合、情報の漏えいにつながる危険性があります

--大量メール送信型のウィルスに感染した場合は、知らない間に不特定多数の相手にメールを送信大量メール送信型のウィルスに感染した場合は、知らない間に不特定多数の相手にメールを送信

してしまいますしてしまいます

メールの保存メールの保存

--監査やインシデント発生時の確証としてメールを保存監査やインシデント発生時の確証としてメールを保存しておく必要があります。しておく必要があります。JJ--SOXSOX法では財務法では財務

報告に係わる文書と供に、メールも報告に係わる文書と供に、メールも55年間の保存が推奨されています。また、大量に保存されたメ年間の保存が推奨されています。また、大量に保存されたメ

ーールの中からルの中から確証となるメールを迅速に探し出す確証となるメールを迅速に探し出すことが必要となりますことが必要となります

43

22--5.Mail5.Mailフィルタリングフィルタリング//アーカイブアーカイブ –– 問題の解決策問題の解決策 --


HDE HDE MailFilter(HDEMailFilter(HDE))

--決められたルールに基づき検査し、不適切なメールに対して自動的に処理決められたルールに基づき検査し、不適切なメールに対して自動的に処理を行い、を行い、中継された電子メールを保存中継された電子メールを保存

GUARDIAN WALLGUARDIAN WALL(NEC(NECソフトソフト))

--電子メールの配送制御の他、送受信記録の保存、本文・添付ファイル内容検査・全文保存が可能なソフトウェア電子メールの配送制御の他、送受信記録の保存、本文・添付ファイル内容検査・全文保存が可能なソフトウェア


送信メールの監視送信メールの監視

--特定のキーワード（個人情報等）が本文や添付ファイル中に含まれている特定のキーワード（個人情報等）が本文や添付ファイル中に含まれていると送信を保留しますと送信を保留します

--CcCcに上司アドレスがないに上司アドレスがない場合、一時保留とすることでメールの私的利用を抑止します場合、一時保留とすることでメールの私的利用を抑止します

--ToTo、、CCccのアドレス数が大量にあるのアドレス数が大量にある場合は保留とすることで誤送信を防止します場合は保留とすることで誤送信を防止します

送受信メールのアーカイブ送受信メールのアーカイブ

--メールを保存していても何かあったときに迅速に検索できなければ意味がありませんメールを保存していても何かあったときに迅速に検索できなければ意味がありません『『いついつ』『』『だれがだれが』『』『どうような内容でどうような内容で』』を迅速に検索するを迅速に検索する必要があります必要があります

--メールを圧縮することで大量のメールを保存することが可能メールを圧縮することで大量のメールを保存することが可能（（JJ--SOXSOXではでは55年間分のメール保存が望まれる）年間分のメール保存が望まれる）

インターネット正規ユーザ


メールフィルタリング

管理者メールアーカイブ

条件付き保留

メール保存設定

検索

44

第3章 IT統制

45

3-1.IT統制とは

IT統制は内部統制の中で、財務報告にかかわる業務プロセスおよびアプリケーションに対して、さらにその土台となるITインフラへの統制を行うものとして位置づけられています。

日本版SOX法の施行に向け、企業には内部統制の強化が義務づけられるなか、巨大なITインフラを所有する企業・組織を中心に、 ITインフラの統制は重要な経営課題の１つとなっています。

本章では、 IT統制の中の、「ユーザ認証」、「アクセスコントロール」、「統合ID管理」、「シングルサインオン」についてご説明します。

46

3-2.ユーザ認証

47

33--2.2.ユーザ認証ユーザ認証 –– インシデント事例インシデント事例 --


【【共有アカウントの使用共有アカウントの使用】】

アパレル業アパレル業TT社は全国に社は全国に1818店舗を展開しています。店舗を展開しています。

各店舗には販売管理システム用に各店舗には販売管理システム用にPCPCが設置してあり、が設置してあり、PCPCのアカウントはのアカウントは各店舗の店長が管理しています。しかし実際は、店長以外の社員が各店舗の店長が管理しています。しかし実際は、店長以外の社員がPCPCをを扱うことも頻繁にあり、アカウントは店長、各社員が共通のものを使用して扱うことも頻繁にあり、アカウントは店長、各社員が共通のものを使用していました。いました。

ある日、取引先であるクレジットカード会社のある日、取引先であるクレジットカード会社のYY社から、社から、TT社の顧客のカード社の顧客のカード番号が不正に利用されている可能性があるとの指摘を受けました。番号が不正に利用されている可能性があるとの指摘を受けました。

情報システム部門が調査したところ、情報システム部門が調査したところ、AA支店の顧客情報のみが漏えいして支店の顧客情報のみが漏えいしていることまでは分かりましたが、共有のアカウントを使用していたために、いることまでは分かりましたが、共有のアカウントを使用していたために、いつ、誰が、どうようにして情報を流出させたのか特定することができませいつ、誰が、どうようにして情報を流出させたのか特定することができませんでした・・・んでした・・・

48

33--2.2.ユーザ認証ユーザ認証 –– お客様の抱える問題お客様の抱える問題 --

ID ：Pass： @@@@@@

Aさんになりすまし


正規ユーザ（Aさん）

ID ：Pass： @@@@@@


「ID&パスワード」認証の脆弱性

-ID&パスワードを手帳／付箋に記載しPCと一緒に保管

-長期間同じパスワードを利用する、推測されやすいパスワードを利用する

-共有ID利用によるユーザ特定不能

-クラッキングツールの一般化（ツール類をパックした製品がインターネットで購入可能。フリーソフトやクラッキング手引きサイトも存在。）

離席時のセキュリティ対策-PCにログインした状態のままで打ち合わせ等で座席を離れている隙に、別の人間にPCを勝手に操作される危険性があります

手帳・付箋の盗み見肩越しからの盗み見長期間同じパスワードパスワードクラッキング

49


（「ID&パスワード入力」より）強固で正確なユーザ認証-“特定の人間にしかできない操作”をPCログイン時やアプリケーション利用時に要求することでユーザを特定します

（例）個人に付与したICカードをかざす、指紋が一致する、PCとは別の専用端末が表示するパスワードを入力する

簡易で確実なPCロック（例）かざしていたICカードを外すだけでスクリーンセーバーロックがかかるなど

ユーザ権限に基づいたPCのアクセス制御／利用制限（例）アルバイトは閲覧のみ可能、社員は印刷も可能など

ユーザ操作ログの保存／解析


SmartOnシリーズ（ソリトンシステムズ）

-ユーザ入力の情報にUSBキーやICカードなどのデバイス認証を加え、セキュリティ認証強度を高めるソリューション

SecureFinger（NEC）

-指紋認証ユニット利用時に、OSログオン、スクリーンセーバーロック解除、アプリケーションパスワード代替の機能を

実現し、セキュリティ認証強度を高めるソリューション

SecureMatrix（シー・エス・イー）-人が頭の中に想い描くイメージとワンタイムパスワードを融合した、認証方式〔マトリクス認証〕を採用した本人認証

システム

33--2.2.ユーザ認証ユーザ認証 –– 問題の解決策問題の解決策 --

ICカード指紋

50

3-3.アクセスコントロール

51

33--3.3.アクセスコントロールアクセスコントロール –– インシデント事例インシデント事例 --


【特権ユーザの濫用】

ＮさんはS社で業務システムの運用管理を担当して３年になります。S社の業務システムはメンテナンス、バックアップ等の運用管理を開発会社の社員を含め、数名の担当者で行なっています。各担当者は作業の利便性が良いことから、

特権ユーザ(Administrator)を使用して、作業を行なっていました。

ある日、S社に「S社で取り扱っている顧客情報がインターネットに流出している」という

連絡がありました。慌てて、Ｎさんは他の担当者に連絡を取り、顧客情報の流出経路と内容の特定のため、業務システムへのアクセスログの調査に取り組みました。

しかし、顧客情報への不正アクセスログは記録されていなかったため、流出経路と内容を特定できませんでした。どうやら、犯人は特権ユーザを不正に取得しており、自らのアクセスログを消去したようです。

顧客情報の流出経路と内容を開示することができなかったS社は、さらに社会的信用を失うことになりました・・・

悪意のあるユーザ

アカウント：Administrator

特権ユーザになれば、

やりたい放題だ！

アクセスログを改ざんしてしまえば、証拠隠滅になるぞ。

52


Administratorやroot等の特権ユーザの濫用

-Administrator、root等の特権ユーザはOS上において万能の権限を持っています。悪意を持った

ユーザが、この権限を奪取すると、サーバの全てを制御できてしまいます

-システム管理者、システム開発者、バックアップユーザなど複数のユーザが特権ユーザを使用する

ことで、誤操作や不必要なアクセスが行われてしまいます

監査証跡の確保

-内部統制では役割に応じた適切なアクセス管理が実現されていることに加え、その監査証跡を残

すことが必要とされています

機密情報機密情報

Administrator権限をもつ全てのユーザが機密情報にアクセスできてしまう

33--3.3.アクセスコントロールアクセスコントロール –– お客様の抱える問題お客様の抱える問題 --

システム開発者（Administrator権限）

バックアップユーザ（Administrator権限）

システム管理者（Administrator権限）

DBサーバ

53

機密情報機密情報

33--3.3.アクセスコントロールアクセスコントロール –– 問題の解決策問題の解決策 --

システム開発者（Administrator権限）

バックアップユーザ（Administrator権限）

システム管理者（Administrator権限）

DBサーバ

問題の解決策

特権ユーザ(Administrator,root)の管理-特権ユーザだからといって、全ての操作を行わせるのではなく、担当業務に必要な権限のみを割り当てることで、

不正操作や誤操作を防止する必要があります

ファイルへのアクセス制限-ファイルに対して、ユーザ／グループ単位でのアクセス権限を設定することで不正アクセスを防止します

(重要な情報を保存するサーバには、OSレベル以上の木目細やかなアクセス制御が必要になります）

証跡の確保-監査／インシデント発生時に備え、ログの改ざんが行われていないことを保証することが望まれます


CA AccessControl(CA)-サーバリソース（ファイル、プログラム等）に対して「誰が、何に、いつ、どのようにアクセスできるか」という観点からアクセスポリシーを設定・制御でき、役職や職務に応じた適切なアクセス権の付与を可能とする、ソフトウェア

フルコントロール

アクセス不可

読み取りのみ

職務ごとのアクセス管理

54

3-4.統合ID管理

55

グループウエア

ID・パスワード






退職者ID・パスワード

ID・パスワード…

退職者ID・パスワード

不正アクセス

悪意のあるユーザ

33--4.4.統合統合IDID管理管理 –– インシデント事例インシデント事例 --


【【残存残存IDIDを使用した不正アクセスを使用した不正アクセス】】

SSさんはさんはOO社でグループウエアの運用管理を担当して社でグループウエアの運用管理を担当して55年になります。年になります。

ある日、ある日、SSさん宛てに「グループウエアの掲示板に、ある社員を誹謗中傷する内容のさん宛てに「グループウエアの掲示板に、ある社員を誹謗中傷する内容の

書き込みがされている」という連絡が入りました。書き込みがされている」という連絡が入りました。

SSさんが、書き込みをした人物の調査をおこなったところ、去年のさんが、書き込みをした人物の調査をおこなったところ、去年の33月末に退職した月末に退職したYYささんであることが判明しました。んであることが判明しました。

去年の去年の33月末は新入社員、異動者、退職者など多くの人事異動があったため、オペ月末は新入社員、異動者、退職者など多くの人事異動があったため、オペレーションミスから、グループウエアのレーションミスから、グループウエアのYYさんのアカウントを削除し忘れていました。さんのアカウントを削除し忘れていました。

どうやら、誰かが、削除し忘れたどうやら、誰かが、削除し忘れたYYさんのアカウントを不正に使用したようです・・・・さんのアカウントを不正に使用したようです・・・・

56


アカウント管理の煩雑化アカウント管理の煩雑化

--複数のシステムが運用されている環境では、複数のシステムが運用されている環境では、異動・退職などの際に、異動・退職などの際に、各システムごとにアカウントの各システムごとにアカウントの

登録、更新、削除を行う必要登録、更新、削除を行う必要があり、があり、アカウントの管理が煩雑になりがちですアカウントの管理が煩雑になりがちです

--アカウント管理業務が煩雑化すると、退職者、異動者のアカウント管理業務が煩雑化すると、退職者、異動者のアカウントの削除し忘れや新規アカウントアカウントの削除し忘れや新規アカウント

の登録漏れの登録漏れが発生が発生しやすくなりますしやすくなります

--アカウントが適切に管理されていない環境では、アカウントが適切に管理されていない環境では、削除し忘れたアカウントを使用した不正アクセス削除し忘れたアカウントを使用した不正アクセス

のリスクが高くなりますのリスクが高くなります

33--4.4.統合統合IDID管理管理 –– お客様の抱える問題お客様の抱える問題 --

Windowsサーバ

グループウェア

Webサーバ

認証DB

認証DB

認証DB

アカウント申請者

各システム管理者（アカウント登録者）

アカウントの申請が多すぎて手に負えない！

有効なアカウントはどれだったかな？

ユーザアカウントと実社員の関連が解らなくなった！

アカウント申請書



上司（承認者）アカウント申請書

一度に多数のアカウント申請があると、承認漏れが出てしまう

かもしれないなぁ・・


直ぐにシステムが使いたいのに、アカウントの登録まで時間がかかるのよ

57


Oracle Identity ManagerOracle Identity Manager((オラクルオラクル))--アプリケーションやディレクトリに対するユーザ・アカウントの追加・更新・削除プロセスを自動化するアプリケーションやディレクトリに対するユーザ・アカウントの追加・更新・削除プロセスを自動化する

ユーザ・プロビジョニングおよび管理ソリューションユーザ・プロビジョニングおよび管理ソリューション

33--4.4.統合統合IDID管理管理 –– 問題の解決策問題の解決策 --

Windowsサーバ


認証DB

認証DB

認証

DB

アカウント申請者上司（承認者）メタディレクトリ

メタディレクトリ

管理者

人事DB

人事サーバ

Web上で申請、承認、登録

一括自動更新


アカウント管理の一元化・自動化アカウント管理の一元化・自動化

--分散した分散した各システムの各システムのユーザユーザアカウント情報をアカウント情報をメタディレクトリ上でメタディレクトリ上で一元管理一元管理しますします

--メタディレクトリメタディレクトリからから各システムの各システムのアカウント情報アカウント情報を自動を自動更新更新しますします

--管理の一元化・自動化により、管理の一元化・自動化により、アカウントの登録漏れ・削除忘れを防止アカウントの登録漏れ・削除忘れを防止しますします

ワークフローワークフロー

--アカウントの登録、更新、削除をアカウントの登録、更新、削除をWebWebから申請、承認、登録から申請、承認、登録できるようにしますできるようにします

58

3-5.シングルサインオン(SSO)

59


【【付箋紙からのパスワード漏えい付箋紙からのパスワード漏えい】】

OO社では、勤怠管理システム、交通費精算システム、グループウエアなど複数の社では、勤怠管理システム、交通費精算システム、グループウエアなど複数の

システムを個別のサーバで運用をしています。システムを個別のサーバで運用をしています。

ある日のある日のOO社内での会話です。社内での会話です。

BBさん「ファイルサーバに保存していた、今期の業績に関する機密文書がなくなってさん「ファイルサーバに保存していた、今期の業績に関する機密文書がなくなっていい

るんるんだけど、心当たりはないか？」だけど、心当たりはないか？」

AAさん「たしかここに・・・見当たりませんね。念のため、アクセスログを調べてみます。」さん「たしかここに・・・見当たりませんね。念のため、アクセスログを調べてみます。」

AAさん「さん「MMさんのアカウントで削除が行われているようです。誤って削除したのですかねさんのアカウントで削除が行われているようです。誤って削除したのですかね??」」

BBさん「さん「MMさん、今期の業績に関する機密文書のファイルを削除しただろう！」さん、今期の業績に関する機密文書のファイルを削除しただろう！」

MMさん「いいえ、機密文書にはアクセスしていないですよ。」さん「いいえ、機密文書にはアクセスしていないですよ。」

BBさん「ていうか、付箋紙にファイルサーバのさん「ていうか、付箋紙にファイルサーバのIDID、パスワード書いて、、パスワード書いて、PCPCに貼り付けてるに貼り付けてる

じゃないか！これじゃあ、誰でも君のアカウントでアクセスできてしまうよ！！」じゃないか！これじゃあ、誰でも君のアカウントでアクセスできてしまうよ！！」

MMさん「だって、さん「だって、IDID、パスワードが多すぎて覚えきれないんですよ・・・」、パスワードが多すぎて覚えきれないんですよ・・・」

ID、パスワードID、パスワード

33--5.5.シングルサインオンシングルサインオン(SSO)(SSO) –– インシデント事例インシデント事例 --

60

ログイン

サービス毎にIDとパスワードがあって全部憶えられないヨ。

パスワード間違いでアカウントがロックされてしまった。

パスワードを忘れてしまった。電話で聞かなくちゃ。

・・・


利用者の利用者のIDID・パスワード管理負荷・パスワード管理負荷

--多数の多数のIDID・・パスワードパスワードを記憶を記憶することは、利用者にとって負荷となりますすることは、利用者にとって負荷となります

--利用者は「利用者は「passwordpassword」等の」等の推測しやすいパスワード推測しやすいパスワードを設定したり、を設定したり、手帳・付箋紙等にパスワードを手帳・付箋紙等にパスワードを

メモするメモするなど不適切なパスワード管理を行いがちですなど不適切なパスワード管理を行いがちです

--不適切なパスワード管理により、不適切なパスワード管理により、パスワードの漏えいや不正利用のリスクパスワードの漏えいや不正利用のリスクは高くなりますは高くなります

Windows用 ID・パスワード

33--5.5.シングルサインオンシングルサインオン(SSO)(SSO) –– お客様の抱える問題お客様の抱える問題 --

グループウェア用 ID・パスワード

Webサーバ用 ID・パスワード

ログイン

ログイン

ログイン

ログイン

Windowsサーバ


Webサーバ

・・・

認証DB

認証DB

認証DB

61


個人認証の一元化個人認証の一元化

--シングルサインオンサーバが各システムへのログインを代行シングルサインオンサーバが各システムへのログインを代行してくれるため、ユーザはシングルサイしてくれるため、ユーザはシングルサイ

ンオンサーバのンオンサーバのIDID・パスワードを覚えるだけで済みます・パスワードを覚えるだけで済みます

--シングルサインオンログイン用のシングルサインオンログイン用のパスワードポリシーを設定パスワードポリシーを設定することで、することで、簡易なパスワードの設定を簡易なパスワードの設定を

防止防止しますします


HP HP IceWallIceWallSSOSSO(HP)(HP)--各各WebWebアプリケーションのログインアプリケーションのログイン((シングルサインオンシングルサインオン))、アクセス管理、セキュリティ対策、監査証跡取得を代行・、アクセス管理、セキュリティ対策、監査証跡取得を代行・

統合し、一元管理統合し、一元管理

33--5.5.シングルサインオンシングルサインオン(SSO)(SSO) –– 問題の解決策問題の解決策 --

・・・

シングルサインオンサーバ

シングルサインオン用 ID・パスワード

ログイン

代行ログイン

代行ログイン

代行ログイン

代行ログイン

シングルサインオン用のＩＤ・パスワードを覚えるだけ

Windowsサーバ


Webサーバ

認証DB

認証DB

認証DB

62

◆おわりに◆おわりに

ご受講お疲れ様でした。ご受講お疲れ様でした。

最後に、企業、組織における情報セキュリティ対策は、上図のように、大きく最後に、企業、組織における情報セキュリティ対策は、上図のように、大きく66つに分類することができつに分類することができます。ます。

本研修では、その中で実際にセキュリティ対策を施す部分である「本研修では、その中で実際にセキュリティ対策を施す部分である「ITIT基盤セキュリティ」、「情報漏えい基盤セキュリティ」、「情報漏えい対策」、「対策」、「ITIT統制」について、代表的な対策を中心にご説明させて頂きました。統制」について、代表的な対策を中心にご説明させて頂きました。

--情報セキュリティ対策マップ情報セキュリティ対策マップ --

63

◆おわりに

ご受講お疲れ様でした。

情報セキュリティについて、理解を深めることができましたでしょうか。

今回は、情報セキュリティ全般についての概要を説明しましたが、今後は、それぞれの対策のより詳細な説明や、製品の説明など情報発信をしていきたいと考えております。

講義番号097047 情報セキュリティ特論 · 1 インシデント事例とその対策...

Documents