情報セキュリティ対策の基礎

シェアする

第2部:情報セキュリティ対策

1)情報セキュリティ対策の基礎

①漏洩の実態
「2015年情報セキュリティインシデントに関する調査報告書【速報版】」
(NPO 日本ネットワークセキュリティ協会
セキュリティ被害調査ワーキンググループ)に、
2015年の情報漏洩の実態が発表されています。

・原因別の漏洩件数
情報漏洩の原因は、外部の脅威より、
管理不足などの内部の脅威によるものが圧倒的に多く、
8割を占めます。

原因別漏洩件数(割合)の上位5位は下記です。

1,紛失・置き忘れ(30.4%)
2,誤操作(25.8%)
3,管理ミス(18.0%)
4,不正アクセス(8.0%)
5.盗難(5.5%)

<原因別漏洩件数(割合)>

・漏洩媒体、経路別の漏洩件数
漏洩媒体、経路別の漏洩件数(割合)の上位5位は下記です。

1,紙媒体(51.4%)
2,インターネット(14.3%)
3,電子メール(12.4%)
4,USB等可搬記録媒体(12.0%)
5.PC本体(4.1%)

<漏洩媒体、経路別の漏洩件数(割合)>

②内部の問題

情報漏洩原因の8割を占める内部の問題では、
管理不足、うっかりミスにより事故が多く起こってします。

その主なものを解説します。

・紛失・置き忘れ、盗難
事例1:駐車場に車を停め、車を離れている間に、
顧客情報の入ったバッグを車内から盗まれた。

事例2:社員が私物の記憶媒体に顧客の
個人情報を複写し、持ち出した。
記憶媒体は盗難にあい情報流出した。

・機密情報の持ち出し(会社の内部の犯行)
機密情報の持ち出しは、DVD、CD、USBメモリ、スマホなどで
社内関係者が個人情報を持ち出して名簿業者経由で流出したり、
引き抜きなどで他社に転職した技術者
重要情報を持ち出した事件などがあります。

・SNSによる情報漏洩
SNSによる情報漏洩では、フェイスブックやツイッターで
未公開の製品情報の公開や不謹慎な投稿をする騒動などがありました。

・システム障害
システム障害は、サーバの障害、製品バグ、
バックアップ障害、OS起動障害などがあります。

・マルウエア感染
マルウェア (malware) とは、不正かつ有害に動作させる意図で
作成された悪意のあるソフトウェアの総称です。

ウイルスとの違いは、悪意のあるソフトウェアをマルウェアと呼び、
ウイルスはその中の一種です。

マルウエアに感染した1台の端末から
数千、数万台の端末に感染
する被害がありました。

③内部対策
・紛失・置き忘れ
スマホ(携帯電話)やパソコンの置き忘れに
気をつけるのはもちろんですが、
印刷した紙媒体などは容易に内容が読めてしまうことから、
紛失すると大きな問題に発展しやすいものです。

紙媒体の紛失・置き忘れにも十分注意しましょう。

また、USBなどの記録媒体は小さく見落としやすいだけに、
余計注意が必要です。

・誤操作
代表的なものはSNSへの投稿やメールでの誤送信があります。
どちらも内容や態様によっては、
取り返しのつかないことになる恐れがあります。

特にメールでの送信はSNSへの投稿と違って、
一度行ってしまうと、
二度と修正・解除することができないので、
余計注意が必要です。

・管理ミス、盗難
インターネットのセキュリティ対策は大事ですが、
それ以前に家や部屋の防犯対策も必要です。

また、仮に盗まれても問題になりにくいように、
パソコンや記録媒体のパスワード化を徹底したり、
漏洩してはいけない情報が載っている紙媒体を
こまめに処分するようにしましょう。

④外部の問題
外部の問題は主にサイバー攻撃です。

サイバー攻撃には次の種類があります。

・DDoS攻撃
・パスワードリスト攻撃
・パスワードブルートフォース攻撃
・Webサイト改ざん
・フィッシング攻撃
・OS、ソフトウエア脆弱性を攻撃

近年ではITの活用範囲の広がりとともに、攻撃の標的が増えました。

例えば、スマートフォン、Wi-Fi、家電など。

さらに攻撃者が攻撃する際に必要な標的の情報も、
情報収集サイトが増えてきているので、
取得しやすくなっています。

⑤基本的なセキュリティ対策

基本的なセキュリティ対策として次のものが挙げられます。

・適切なID、パスワードの管理
複雑なパスワードの設定
(数字、ローマ字どちらも入った12文字以上など)
定期的に3ヶ月に1回程度はパスワードを変更する
顧客の機密情報を保存している場合は、暗号化する
ID、パスワードを共有しない

・セキュリティ情報を収集する
使用中のOS,アプリケーションなどの更新情報を収集・把握し、
セキュリティパッチの適用の必要性を判断する。

セキュリティパッチとは、ソフトウェアのセキュリティ上の
問題が発覚したときに配布される修正プログラムのこと。

現在どのようなサイバー攻撃が流行しているか、動向を把握する。

・定期的にバックアップを取得する
・バックアップからの復旧手順を用意する

⑥適切なID、パスワード管理

Web上では、ユーザが誰であるのか、
本人であるのかを確認する手段は非常に限定されます。

その中で、IDとパスワードは極めて大きな意味を持ちます。

正しいパスワードを入力した人を
本人と認めるという大原則があります。

ところが、パスワードが漏洩してしまうと、
その大原則が崩れ、システムはネットワークが
脅威にさらされることになります。

パスワードの漏洩ルート
パスワードは価値の高い重要なものなので、
ハッカーが様々な手段を使って、
執拗に入手を試みています。

これをパスワードクラッキングと呼びます。

パスワードクラッキングの方法には次のようなものがあります。

本人から入手する:
システム管理者などになりすまし、
言葉巧みにパスワードを聞き出したり、
フィッシング詐欺により盗み取ります

パスワードを推測する:
一般にパスワードは覚えやすいものに設定される
傾向があるので、ユーザ情報から推測する。

パスワードを解析する:
サーバなどのコンピュータに暗号化されている
パスワードを、解析する。

パスワード解析には、一致する文字列を
総当たり的に調べるブルートフォース攻撃や、
よく使われそうな単語を羅列した辞書を使用して
照合辞書攻撃などがあります。

パスワードの漏洩対策
パスワードの漏洩対策は次の4点があります。

推測しにくいパスワードを使用する:
推測しにくいもので、できるだけ長いものにします(原則8文字以上)。
さらに数字、アルファベットの大文字・小文字を混ぜると良いでしょう。

パスワードを人に教えない
パスワードは基本的に、
システム管理者からも問われることはありません。

パスワードの使い回しをしない
パスワードの使い回しをしていると、
1つのサービスで情報漏洩があった場合、
他のサービスに不正ログインされるなどの危険性が増大します。

パスワードの使い回しはやめましょう。

⑦情報セキュリティ関連の法律

<不正アクセス禁止法>
不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)の目的は、
電気通信回線を通じて行われる不正アクセス行為の防止です。

目的を条文でいうと、次になります。

「不正アクセス行為の禁止とともに、その罰則及びその再発防止のための都道府県公安委員会による援助措置等を定め、電気通信回線を通じて行われる電子計算機に係る犯罪防止及びアクセス制御機能により実現される電気通信に関する秩序維持を図り、もって高度情報通信社会の健全な発展に寄与すること」(1条)

他人のアカウントに無断でログインしたら、
不正アクセス禁止法違反になり得ます。

処罰対象は故意犯であり、過失犯は対象外。

また、未遂犯も対象外です。

「不正アクセス行為」としては、次の3点が規定されています。
・他人のIDやパスワードを無断使用し不正アクセスする行為
・セキュリティホールを突いた直接侵入攻撃
・セキュリティホールを突いた間接侵入攻撃

さらに、「IDやパスワードを不正に要求する行為」
(フィッシング行為)も処罰の対象になっています。

【女優のFBのぞき見した男を起訴
長澤まさみさんら7人 東京地検】

女性芸能人の会員制交流サイト(SNS)などに勝手にログインし、
のぞき見したとして、東京地検は6日、
不正アクセス禁止法違反の罪で、長崎県大村市の会社員、
金子大地容疑者(29)を起訴した。

起訴状などによると、平成26年8月~昨年11月、
238回に渡り、女優の長澤まさみさんら
7人のフェイスブック(FB)やアップル社のクラウドサービス
「アイクラウド」に不正にアクセスしたとしている。

捜査関係者によると、金子被告は名前や生年月日などを元に
パスワードを類推するなどしてFBなどの
本人しか閲覧できないページに勝手にログインしていたという。
参考:産経ニュース(http://news.livedoor.com/article/detail/11609866/

<電子署名法>
電子署名法の目的は、電子署名に署名や押印と
同じ効力を持たせることです。

<個人情報保護法>
個人情報保護法の正式名称は、
「個人情報の保護に関する法律」です。
目的は、高度情報通信社会の進展に伴い
個人情報の利用が著しく拡大していることから、
個人情報の有用性に配慮しつつ、個人の権利利益を保護すること。

ただし、この法律の適用は現状事業者に限るので、
一般個人に適用されることはない。

<迷惑メール関連法>
迷惑メール関連法は「特定商取引に関する法律の改正」と
「特定電子メールの送信の適正化等に関する法律」の
2案のことをいいます。

これらの法律により、あらかじめ同意した者に対してのみ
送信が認められる「オプトイン方式」が導入されるようになりました。

また、宣伝や勧誘のメールを送る場合には、
「未承諾広告*」という表示や、送信者の
氏名、名称、住所などを表示することが義務づけられています。

<刑法関連>
刑法の中に、コンピュータ犯罪に関わる条文があり、
その中に次の項目があります。

・電子計算機損壊等業務妨害罪
コンピュータや電子的データを破壊する業務妨害

・電磁的記録不正作出及び供用罪
事務処理を誤らせる目的で、電子的データを不正に作成する

・電子計算機使用詐欺罪
コンピュータに虚偽の情報や不正指令を入力等により
不正に利益を得る詐欺行為

・不正指令電磁的記録に関する罪
正当な理由なく、コンピュータで実行することを目的に、
コンピュータウイルスを作成、提供、取得、保管する行為