SlideShare una empresa de Scribd logo

サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践

Descargar como PPT, PDF
itforum-roundtable
itforum-roundtable

近年「見えない化」が加速的に進み、日々多様化・高度化するサイバー攻撃の新たな攻撃手法を紹介しながら、公共組織にて遭遇し得る事象・事故の分析、実行すべき有効な対策のポイントを解説します。 独立行政法人 情報処理推進機構 技術本部 セキュリティセンター 研究員 大森 雅司(おおもり まさし)氏 IT Forum http://www.itforum-roundtable.com/

Tecnología
1 de 31
「サイバー攻撃の新たな攻撃手法と、 地方自治体組織および公共サービス事業 体における有効な情報セキュリティ対策 の実践」 2013 年 2 月 28 日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 研究員 大森 雅司 Copyright © 2013 独立行政法人情報処理推進機構 1
目次 情報セキュリティを取巻く脅威 ウェブサイトを狙った攻撃 クライアントサイトを狙った攻撃 セキュリティ対策の考え方 ツールのご紹介 Copyright © 2013 独立行政法人情報処理推進機構 2
情報セキュリティを取巻く脅威  情報システムを取巻く脅威 インターネット ( サイバー ) 空間 外部脅威 内部脅威 脅威 情報資産 パートナー組 織 組織内部  組織が守るべきものは情報資産であり、様々な脅威から守る必要 がある  内部脅威、パートナーに起因する脅威は、コンプライアンスなど の人間の行動を制限する対策が一般的 Copyright © 2013 独立行政法人情報処理推進機構    3 
情報セキュリティ事故とは?  発生事象は3つ Web サイト への攻撃 標的型 DDoS 攻 メール攻 撃 撃 サービス妨害 ソーシャル 情報窃取・流出 フィッシ エンジニアリ ング ング 攻撃者 マルウェ ハッキン ア グ 不正アクセ ス インターネット空 間 情報破壊 ( サイバー空間 ) Copyright © 2013 独立行政法人情報処理推進機構    4
情報セキュリティにおける脅威と 傾向  情報侵害の要因 図 . 情報流出要因別 図 . 業界別侵害レコ - ドの 出展:ベライゾンジャパン合同会社 割合 http://www.verizonbusiness.com/resources/reports/rp_2012_Data_Breach_Investigations_Report_ja_ xg.pdf  外部要因による情報流出が全体の 87% を占めている  金融・保険業などの金銭に直結する業界が狙われる傾向に Copyright © 2013 独立行政法人情報処理推進機構    5
情報流出が起る要因 (1)  攻撃の分類と攻撃者の目的 図 . 攻撃種別の割合 図 . 攻撃の動機別 出展:ベライゾンジャパン合同会社 http://www.verizonbusiness.com/resources/reports/rp_2012_Data_Breach_Investigations_Report_ja_ xg.pdf  マルウェア、ハッキングは、情報窃取の常套手段として定着  複数の手法を組合せた複合的な攻撃手法が用いられる  攻撃者の動機の大半は、金銭または個人的利益が目的 Copyright © 2013 独立行政法人情報処理推進機構    6
情報流出が起る要因 (2)  データ漏洩 / 侵害におけるハッキングタイプの割合 パスワード設定・管理不備を突くといった技術的に高くな い攻撃手法による被害が多い事実 Copyright © 2013 独立行政法人情報処理推進機構    7
組織を狙った攻撃 ~公開サーバ、クライアントサイドが狙われる~ システム管理者 が 守るべき領域 情報資産が保存 されているサー バ Copyright © 2013 独立行政法人情報処理推進機構    8
目次 情報セキュリティを取巻く脅威 ウェブサイトを狙った攻撃 クライアントサイトを狙った攻撃 セキュリティ対策の考え方 ツールのご紹介 Copyright © 2013 独立行政法人情報処理推進機構 9
ウェブサイトを狙った攻撃 • ウェブサイトを狙った攻撃 – 昔から続いているセキュリティ脅威の一つ – 個人情報の漏えいやウェブサイトの改竄により、一般利用者も被害 に遭う – 攻撃者は、常に攻略しやすいウェブサイトを狙っている Copyright © 2013 独立行政法人情報処理推進機構 10
ウェブサイトが狙われる背景 ~攻撃者は様々な意図を持っている~ ① 情報の流出 ② ウイルス配 ③ ウェブサイト改 布サイトに改 ざん 変 情報窃取 攻撃の踏み台 抗議の意図 • ウェブサイト攻撃による影響 – ウェブサイトの情報が盗まれてしまうことによる、様々な影響に波 及 – エンドユーザがウイルス感染してしまう – ウェブサイト改ざんに伴う、信用の失墜 Copyright © 2013 独立行政法人情報処理推進機構 11
ウェブサイト攻撃 被害状況 ~統計データからみるウェブサイト被害状況~ 出典元: JPCERT/CC  2012/12 の 1 ヶ月で国内 206 のウェブサイトが改竄の被害に  2012/12 の 1 ヶ月で国内 58 のウェブサイトがウイルス配布サ イトに 報告されるのは氷山の一角! ウェブサイトは常に攻撃にさらされて いる Copyright © 2013 独立行政法人情報処理推進機構 12
ウェブサイトを狙った攻撃 ~ 攻撃者は常にウィークポイントを狙っている ~ 複数のソフトウェアの 脆弱性を悪用 ・ OS の脆弱性 管理者に成りすまして ・ Web サーバの脆弱性 、情報を盗んでやろ ・ DB の脆弱性 う! ・アプリケーションの脆 弱性 窃取 攻撃者 ウェブサイ ト  攻撃者は、設定面の不備/ソフトウェアの脆弱性を悪用す る  ハッキングの目的は、管理者アカウントの奪取  脆弱性悪用は、不正にソフトウェアを操作すること  攻撃により、データの「改ざん」、「消去」、「窃取」が 13 Copyright © 2013 独立行政法人情報処理推進機構   
ウェブサイト攻撃 被害状況 ~統計データからみるウェブサイト被害状況~ 解析対象のウェブサイト: JVN iPedia (脆弱性対策情報データベース) 解析したウェブサーバのアクセスログの期間: 2011 年 8 月~ 2012 年 7 月 攻撃があったと思われる件数:平均 21.9 件 / 日、攻撃が成功した可能性の高い件数: 0 件 (件) 2011 年 2012 年 ウェブサイト攻撃の検出ツール「 iLogScanner 」の解析事例  1 日平均 21 件の攻撃が行われている  多い月で 120 件 / 日の攻撃が行われている 攻撃者は、絶えず攻撃を仕掛けてい る! Copyright © 2013 独立行政法人情報処理推進機構 14
ウェブサーバー安全対策 ( 例 ) ~攻撃される隙を作らないことが重要~  システムデザインの考慮  リモートメンテナンスにおけるアクセス元を管理者に限定  ID ・ PW に代わるスマートカードによる管理者認証  サーバのセキュア設定  不要なサービスを停止する  不要なファイル・プログラムの削除  適切な ( 最小限の ) アクセス権限を設定する  運用時の注意  管理者パスワードを適切に管理する  アカウントを適切に管理する ( 未使用のアカウントを作らない )  脆弱性対策(セキュリティパッチの適用) • OS/ データベース / ウェブサーバ / アプリケーション etc Copyright © 2013 独立行政法人情報処理推進機構    15
目次 情報セキュリティを取巻く脅威 ウェブサイトを狙った攻撃 クライアントサイトを狙った攻撃 セキュリティ対策の考え方 ツールのご紹介 Copyright © 2013 独立行政法人情報処理推進機構 16
組織を狙った攻撃 ~公開サーバ、クライアントサイドが狙われる~ システム管理者 が 守るべき領域 情報資産が保存 されているサー バ Copyright © 2013 独立行政法人情報処理推進機構    17
クライアントからの侵入 ~ ウイルスは、あなたを踏み台に内部に侵入しようとしている~  複数の感染 ( 侵入 ) 経路が存在  自分自身が攻撃の入口になってしまう 組織内 メール経由 添付ファイル開 く ウェブサイト閲 覧 LAN 攻撃者 組織ユー ウェブサイト経 ザ 由 窃取 PC 接続 外部デバイス経由 これらの攻撃は、標的型攻撃と呼ばれる Copyright © 2013 独立行政法人情報処理推進機構    18
『標的型攻撃』の特徴① ~攻撃者によって、受信者がメールを開く状況が作り出されて いる~  メール偽装のテクニック  時事ネタの転用・・・・・・・・・・・・「停電のお知らせ」、「子 ども手当」など  内部情報の転用・・・・・・・・・・・「会議情報」、「○○のお知 らせ」  実在メールの転用・・・・・・・・・・実在メールの返信、転送  心理的なテクニック  「至急」「緊急」等の用語を用いる・・・・見ないと自身が損を被る 可能性  職位上位者、取引先からのメール・・・送付者に確認しづらい状況の 創出  叱責、クレームメール・・・・・・・・・・・・・・対応しないと、 後が怖い・・・ Copyright © 2013 独立行政法人情報処理推進機構    19
『標的型攻撃』の特徴② ~ 99% 以上が既知の脆弱性が悪用されている~  攻撃に使われたファイル種別と脆弱性種別 メールに添付されていた不正なファイルの ドキュメント・ファイルを悪用する脆弱性 拡張子 の割合 出展: IBM Security Services 「 2012 上半期 Tokyo SOC 情報分析レポート」 http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdf 脆弱性対策をタイムリーに行っていれば、攻撃を 防げる可能性は高まる Copyright © 2013 独立行政法人情報処理推進機構 20
業務端末のセキュリティ対策 ~攻撃される隙を作らないことが重要~  ウイルス対策ソフトを有効にする  端末のウイルス感染を防ぐことが対策の第一歩。  ウイルス対策ソフトをインストールし、自動更新を有効にする  セキュリティ対策パッチを有効にする  ウイルス感染は、ソフトウェアの脆弱性 ( セキュリティ欠陥 ) を突い てくる  Windows のセキュリティパッチを最新の状態にしておく  Oracle Java , Adobe Reader , Adobe Flash Player を最新の状態にする  所員のセキュリティ意識の向上  不審なメールは開かない  不審なウェブサイトにはアクセスしない Copyright © 2013 独立行政法人情報処理推進機構    21
目次 情報セキュリティを取巻く脅威 ウェブサイトを狙った攻撃 クライアントサイトを狙った攻撃 セキュリティ対策の考え方 ツールのご紹介 Copyright © 2013 独立行政法人情報処理推進機構 22
発注時のセキュリティ対応 ~情報システムは時間が経つほどに危険な状態になっていく~ 新たな攻撃手法や脆弱性の発見により、情報システムは時 間の経過と共にセキュリティも低下していく Copyright © 2013 独立行政法人情報処理推進機構    23
発注時のセキュリティ対応 ~契約時にセキュリティ対応を含めておくことが重要~  システム開発時の契約で合意することが望ましい事例  開発時の段階で見つけた既知の重要な脆弱性の対策は契約の範囲 に含まれるように調整する。  納入前のウェブサイトに対し脆弱性検査を行い、脆弱性が見つ かった場合にはその対策を施すことを契約に含める方向で調整す る。  ソフトウェア製品の既知の重要な脆弱性の対策に関する著しい認 識不足、ウェブアプリケーションに対する必要な設定漏れ、設定 ミスなど開発事業者の責に帰する場合は無償とする方向で調整す る。  保守・運用の契約で合意することが望ましい事項の例  当該情報システムに関する深刻な脆弱性の情報が公開されたら連 絡してもらう方向で調整する。  緊急事態時に発生する調査費用・対策費用の負担については、契 「地方公共団体のための http://www.ipa.go.jp/security/fy23/reports/vuln_handling/index.html 約の段階で明確にしておく。  脆弱性対応ガイド」 Copyright © 2013 独立行政法人情報処理推進機構    24
対策の考え方の整理 ~セキュリティ対策は、脅威を低減することを目的に~  有効に機能しないセキュリティ対策の一例 セキュリティ対策は、コストや労力を掛ければ強化され るものではなく、効率・効果的な対策が求められる Copyright © 2012 独立行政法人情報処理推進機構    25
目次 情報セキュリティを取巻く脅威 ウェブサイトを狙った攻撃 クライアントサイトを狙った攻撃 セキュリティ対策の考え方 ツールのご紹介 Copyright © 2013 独立行政法人情報処理推進機構 26
MyJVN バージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/  ソフトウェア製品の脆弱性対策状況をチェック  利用者の PC にインストールされているソフトウェア製品の バージョンが最新であるかを、 簡単な操作で自動的に確認する ツール  チェックリストに基づき、バージョンが最新であるかどうかの チェックを手作業ではなく、ツールにより作業を自動化する 。  サーバーソフトやサーバ OS(Windows,Linux) でも動 Adobe Adobe 作可能 Reader Flash Player 最新 古い Firefo JRE x 古い 最新 Copyright © 2013 独立行政法人情報処理推進機構 27
MyJVN バージョンチェッカ ~ PC のセキュリティ状況を簡易チェック~ • MyJVN の HP のトップページから起動し、チェックが可能です。 端末の脆弱性を解消することは、対策の基本で あり、利用者に作業を定着させることが重要 Copyright © 2012 独立行政法人情報処理推進機構 28
5 分でできる!情報セキュリティポイント学習 ttp://www.ipa.go.jp/security/vuln/5mins_point/ 1 テーマ 5 分でセキュリティ対策 を学習。 重要なセキュリティポイントを気軽 に学習できる時間設定 (1 テーマ 5 分) IPA の「 5 分でできる!中小企業の ための情報セキュリティ自社診断」 ( 右下図および URL 参照 ) の診断項 目を基に学習。 職場の日常の 1 コマを取り入れた親 しみやすい学習テーマで、様々な業 種・業態・従業員の構成の中小企業 に対応。 2 業種 3 職位、全 105 の学習テーマ http://www.ipa.go.jp/security/manager/know/sme-guide/ 29
教育・研修用 映像コンテンツの提 供 http://www.ipa.go.jp/security/keihatsu/videos/ ・ YouTube の「 IPA Channel 」にて公開中 ・ DVD - ROM 媒体の配布申込を受付中 1/31 公開 12/19 公開 ウイルスはあなたのビジネスも ワンクリック請求のワナを知ろう ! プライベートも狙っている!(約 ~巧妙化する手口とその対策~ (約 10 分) 10 分) 大丈夫?あなたのスマートフォン あなたの組織が狙われている! ~安心安全のためのセキュリティ対策~  ~標的型攻撃 その脅威と対策~ (約 (約 9 分) 10 分) 30
おわりに IPA は、安心安全な情報システム、社会インフラ の 実現を目指します ご清聴 , ありがとうございま した 独立行政法人情報処理推進機構 技術本部 セキュリティセ ンター http://www.ipa.go.jp/security/index.html http://www.ipa.go.jp/security/vuln/index.html Copyright © 2013 独立行政法人情報処理推進機構 31

Recomendados

2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?itforum-roundtable
 
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策itforum-roundtable
 
政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策について政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策についてitforum-roundtable
 
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状itforum-roundtable
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintsatoru koyama
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝Fumitaka Takeuchi
 
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...Insight Technology, Inc.
 
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~Tomohiro Nakashima
 

Recomendados

2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?itforum-roundtable
 
最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策最近の事例におけるサイバー攻撃の傾向と対策
最近の事例におけるサイバー攻撃の傾向と対策itforum-roundtable
 
政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策について政府機関における情報セキュリティ対策について
政府機関における情報セキュリティ対策についてitforum-roundtable
 
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状
サイバー攻撃の脅威が増大する中、 我が国の情報セキュリティ政策の現状itforum-roundtable
 
Gartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintGartnerサミット ver1 0 20150713forprint
Gartnerサミット ver1 0 20150713forprintsatoru koyama
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝Fumitaka Takeuchi
 
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...
[data security showcase Sapporo 2015] D22:今求められるセキュリティレベルとFireEye適応型防御 by ファイ...Insight Technology, Inc.
 
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~Tomohiro Nakashima
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05Eiichi Moriya
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本ヒューレット・パッカード株式会社
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~Tomohiro Nakashima
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナMasaaki Nabeshima
 
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るUEHARA, Tetsutaro
 
Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要kumo2010
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題Trainocate Japan, Ltd.
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?グローバルセキュリティエキスパート株式会社(GSX)
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...Amazon Web Services Japan
 
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~Tomohiro Nakashima
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクトパネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクトTrainocate Japan, Ltd.
 
A2-4 SubWG活動報告
A2-4 SubWG活動報告A2-4 SubWG活動報告
A2-4 SubWG活動報告JPAAWG (Japan Anti-Abuse Working Group)
 
ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401Kan Itani
 
IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019IIJ
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」UEHARA, Tetsutaro
 
セキュリティ動向 2018
セキュリティ動向 2018セキュリティ動向 2018
セキュリティ動向 2018IIJ
 

Más contenido relacionado

La actualidad más candente

情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05Eiichi Moriya
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~Tomohiro Nakashima
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナMasaaki Nabeshima
 
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るUEHARA, Tetsutaro
 
Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要kumo2010
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...Amazon Web Services Japan
 
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~Tomohiro Nakashima
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要Tokai University
 
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクトパネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクトTrainocate Japan, Ltd.
 
ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401Kan Itani
 
IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019IIJ
 

La actualidad más candente (20)

情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
 
5 moriya security-seminar2005_05
5 moriya security-seminar2005_055 moriya security-seminar2005_05
5 moriya security-seminar2005_05
 
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
 
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
Internet Week 2018:D2-3 丸ごと分かるペネトレーションテストの今
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
 
DBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守るDBSC早春セミナー サイバー攻撃からdbを守る
DBSC早春セミナー サイバー攻撃からdbを守る
 
Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要Exchange Hosted Services 製品概要
Exchange Hosted Services 製品概要
 
IoTセキュリティの課題
IoTセキュリティの課題IoTセキュリティの課題
IoTセキュリティの課題
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
[AWS Summit 2012] スポンサーセッション#5 Securing your journey to the cloud - 企業システムのAW...
 
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
金融ISAC アニュアルカンファレンス 2020:Intelligence Driven Securityの「ことはじめ」
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
 
情報セキュリティの概要
情報セキュリティの概要情報セキュリティの概要
情報セキュリティの概要
 
パネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクトパネルディスカッション_株式会社アーティファクト
パネルディスカッション_株式会社アーティファクト
 
A2-4 SubWG活動報告
A2-4 SubWG活動報告A2-4 SubWG活動報告
A2-4 SubWG活動報告
 
ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401ストレージ層で行うランサムウェア対策_20210401
ストレージ層で行うランサムウェア対策_20210401
 
IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019IIJ Technical DAY 2019 ~ セキュリティ動向2019
IIJ Technical DAY 2019 ~ セキュリティ動向2019
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
 

Similar a サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践

京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」UEHARA, Tetsutaro
 
セキュリティ動向 2018
セキュリティ動向 2018セキュリティ動向 2018
セキュリティ動向 2018IIJ
 
企業で取り組む情報セキュリティの基礎<事例編>|実績1,700件以上の ヒューマンサイエンス
企業で取り組む情報セキュリティの基礎<事例編>|実績1,700件以上の ヒューマンサイエンス企業で取り組む情報セキュリティの基礎<事例編>|実績1,700件以上の ヒューマンサイエンス
企業で取り組む情報セキュリティの基礎<事例編>|実績1,700件以上の ヒューマンサイエンスOrie Saga
 
企業で取り組む情報セキュリティの基礎<事例編>|実績2,331件以上の ヒューマンサイエンス
企業で取り組む情報セキュリティの基礎<事例編>|実績2,331件以上の ヒューマンサイエンス企業で取り組む情報セキュリティの基礎<事例編>|実績2,331件以上の ヒューマンサイエンス
企業で取り組む情報セキュリティの基礎<事例編>|実績2,331件以上の ヒューマンサイエンスOrie Saga
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝Fumitaka Takeuchi
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information securitySAKURUG co.
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ彰 村地
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜Riotaro OKADA
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)Shinobu Yasuda
 
大阪大学大学院国際公共政策学科20121030
大阪大学大学院国際公共政策学科20121030大阪大学大学院国際公共政策学科20121030
大阪大学大学院国際公共政策学科20121030Kunihiro Maeda
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Masakazu Kishima
 
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answerSAKURUG co.
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 NHN テコラス株式会社
 
Introduction to Solus (Japanese)
Introduction to Solus (Japanese)Introduction to Solus (Japanese)
Introduction to Solus (Japanese)Solus
 
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2Bloombase
 
そんなに難しくない、インターネット護身術
そんなに難しくない、インターネット護身術そんなに難しくない、インターネット護身術
そんなに難しくない、インターネット護身術Hijili Kosugi
 
Fit forum seminar_20170623
Fit forum seminar_20170623Fit forum seminar_20170623
Fit forum seminar_20170623Ken Lam
 

Similar a サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践 (20)

京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
京都大学学術情報メディアセンターセミナー「大学のセキュリティを考える」
 
セキュリティ動向 2018
セキュリティ動向 2018セキュリティ動向 2018
セキュリティ動向 2018
 
P41 Thompson Jp[1]
P41 Thompson Jp[1]P41 Thompson Jp[1]
P41 Thompson Jp[1]
 
企業で取り組む情報セキュリティの基礎<事例編>|実績1,700件以上の ヒューマンサイエンス
企業で取り組む情報セキュリティの基礎<事例編>|実績1,700件以上の ヒューマンサイエンス企業で取り組む情報セキュリティの基礎<事例編>|実績1,700件以上の ヒューマンサイエンス
企業で取り組む情報セキュリティの基礎<事例編>|実績1,700件以上の ヒューマンサイエンス
 
企業で取り組む情報セキュリティの基礎<事例編>|実績2,331件以上の ヒューマンサイエンス
企業で取り組む情報セキュリティの基礎<事例編>|実績2,331件以上の ヒューマンサイエンス企業で取り組む情報セキュリティの基礎<事例編>|実績2,331件以上の ヒューマンサイエンス
企業で取り組む情報セキュリティの基礎<事例編>|実績2,331件以上の ヒューマンサイエンス
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
 
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
企業ICTのリスクマネジメントを強化する3つの視点 NTTコミュニケーションズセキュリティエバンジェリスト竹内文孝
 
20200214 the seminar of information security
20200214 the seminar of information security20200214 the seminar of information security
20200214 the seminar of information security
 
HTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティHTML5 Web アプリケーションのセキュリティ
HTML5 Web アプリケーションのセキュリティ
 
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
今から取り組む企業のための脆弱性対応 〜⼤丈夫、みんなよく分かっていないから〜
 
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
 
大阪大学大学院国際公共政策学科20121030
大阪大学大学院国際公共政策学科20121030大阪大学大学院国際公共政策学科20121030
大阪大学大学院国際公共政策学科20121030
 
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
Windows Sever 2019 時代のセキュリティ ~とある環境の安全装置~
 
20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer20200214 the seminar of information security with sample answer
20200214 the seminar of information security with sample answer
 
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策 「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
「情報セキュリティ10大脅威2017」 から読み取る最新セキュリティ傾向とその対策
 
Introduction to Solus (Japanese)
Introduction to Solus (Japanese)Introduction to Solus (Japanese)
Introduction to Solus (Japanese)
 
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
Blbs prod-bloombase-store safe-product-brochure-jplet-ja-r2
 
そんなに難しくない、インターネット護身術
そんなに難しくない、インターネット護身術そんなに難しくない、インターネット護身術
そんなに難しくない、インターネット護身術
 
Fit forum seminar_20170623
Fit forum seminar_20170623Fit forum seminar_20170623
Fit forum seminar_20170623
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 

サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践

  • 1. 「サイバー攻撃の新たな攻撃手法と、 地方自治体組織および公共サービス事業 体における有効な情報セキュリティ対策 の実践」 2013 年 2 月 28 日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター 研究員 大森 雅司 Copyright © 2013 独立行政法人情報処理推進機構 1
  • 2. 目次 情報セキュリティを取巻く脅威 ウェブサイトを狙った攻撃 クライアントサイトを狙った攻撃 セキュリティ対策の考え方 ツールのご紹介 Copyright © 2013 独立行政法人情報処理推進機構 2
  • 3. 情報セキュリティを取巻く脅威  情報システムを取巻く脅威 インターネット ( サイバー ) 空間 外部脅威 内部脅威 脅威 情報資産 パートナー組 織 組織内部  組織が守るべきものは情報資産であり、様々な脅威から守る必要 がある  内部脅威、パートナーに起因する脅威は、コンプライアンスなど の人間の行動を制限する対策が一般的 Copyright © 2013 独立行政法人情報処理推進機構    3 
  • 4. 情報セキュリティ事故とは?  発生事象は3つ Web サイト への攻撃 標的型 DDoS 攻 メール攻 撃 撃 サービス妨害 ソーシャル 情報窃取・流出 フィッシ エンジニアリ ング ング 攻撃者 マルウェ ハッキン ア グ 不正アクセ ス インターネット空 間 情報破壊 ( サイバー空間 ) Copyright © 2013 独立行政法人情報処理推進機構    4
  • 5. 情報セキュリティにおける脅威と 傾向  情報侵害の要因 図 . 情報流出要因別 図 . 業界別侵害レコ - ドの 出展:ベライゾンジャパン合同会社 割合 http://www.verizonbusiness.com/resources/reports/rp_2012_Data_Breach_Investigations_Report_ja_ xg.pdf  外部要因による情報流出が全体の 87% を占めている  金融・保険業などの金銭に直結する業界が狙われる傾向に Copyright © 2013 独立行政法人情報処理推進機構    5
  • 6. 情報流出が起る要因 (1)  攻撃の分類と攻撃者の目的 図 . 攻撃種別の割合 図 . 攻撃の動機別 出展:ベライゾンジャパン合同会社 http://www.verizonbusiness.com/resources/reports/rp_2012_Data_Breach_Investigations_Report_ja_ xg.pdf  マルウェア、ハッキングは、情報窃取の常套手段として定着  複数の手法を組合せた複合的な攻撃手法が用いられる  攻撃者の動機の大半は、金銭または個人的利益が目的 Copyright © 2013 独立行政法人情報処理推進機構    6
  • 7. 情報流出が起る要因 (2)  データ漏洩 / 侵害におけるハッキングタイプの割合 パスワード設定・管理不備を突くといった技術的に高くな い攻撃手法による被害が多い事実 Copyright © 2013 独立行政法人情報処理推進機構    7
  • 8. 組織を狙った攻撃 ~公開サーバ、クライアントサイドが狙われる~ システム管理者 が 守るべき領域 情報資産が保存 されているサー バ Copyright © 2013 独立行政法人情報処理推進機構    8
  • 9. 目次 情報セキュリティを取巻く脅威 ウェブサイトを狙った攻撃 クライアントサイトを狙った攻撃 セキュリティ対策の考え方 ツールのご紹介 Copyright © 2013 独立行政法人情報処理推進機構 9
  • 10. ウェブサイトを狙った攻撃 • ウェブサイトを狙った攻撃 – 昔から続いているセキュリティ脅威の一つ – 個人情報の漏えいやウェブサイトの改竄により、一般利用者も被害 に遭う – 攻撃者は、常に攻略しやすいウェブサイトを狙っている Copyright © 2013 独立行政法人情報処理推進機構 10
  • 11. ウェブサイトが狙われる背景 ~攻撃者は様々な意図を持っている~ ① 情報の流出 ② ウイルス配 ③ ウェブサイト改 布サイトに改 ざん 変 情報窃取 攻撃の踏み台 抗議の意図 • ウェブサイト攻撃による影響 – ウェブサイトの情報が盗まれてしまうことによる、様々な影響に波 及 – エンドユーザがウイルス感染してしまう – ウェブサイト改ざんに伴う、信用の失墜 Copyright © 2013 独立行政法人情報処理推進機構 11
  • 12. ウェブサイト攻撃 被害状況 ~統計データからみるウェブサイト被害状況~ 出典元: JPCERT/CC  2012/12 の 1 ヶ月で国内 206 のウェブサイトが改竄の被害に  2012/12 の 1 ヶ月で国内 58 のウェブサイトがウイルス配布サ イトに 報告されるのは氷山の一角! ウェブサイトは常に攻撃にさらされて いる Copyright © 2013 独立行政法人情報処理推進機構 12
  • 13. ウェブサイトを狙った攻撃 ~ 攻撃者は常にウィークポイントを狙っている ~ 複数のソフトウェアの 脆弱性を悪用 ・ OS の脆弱性 管理者に成りすまして ・ Web サーバの脆弱性 、情報を盗んでやろ ・ DB の脆弱性 う! ・アプリケーションの脆 弱性 窃取 攻撃者 ウェブサイ ト  攻撃者は、設定面の不備/ソフトウェアの脆弱性を悪用す る  ハッキングの目的は、管理者アカウントの奪取  脆弱性悪用は、不正にソフトウェアを操作すること  攻撃により、データの「改ざん」、「消去」、「窃取」が 13 Copyright © 2013 独立行政法人情報処理推進機構   
  • 14. ウェブサイト攻撃 被害状況 ~統計データからみるウェブサイト被害状況~ 解析対象のウェブサイト: JVN iPedia (脆弱性対策情報データベース) 解析したウェブサーバのアクセスログの期間: 2011 年 8 月~ 2012 年 7 月 攻撃があったと思われる件数:平均 21.9 件 / 日、攻撃が成功した可能性の高い件数: 0 件 (件) 2011 年 2012 年 ウェブサイト攻撃の検出ツール「 iLogScanner 」の解析事例  1 日平均 21 件の攻撃が行われている  多い月で 120 件 / 日の攻撃が行われている 攻撃者は、絶えず攻撃を仕掛けてい る! Copyright © 2013 独立行政法人情報処理推進機構 14
  • 15. ウェブサーバー安全対策 ( 例 ) ~攻撃される隙を作らないことが重要~  システムデザインの考慮  リモートメンテナンスにおけるアクセス元を管理者に限定  ID ・ PW に代わるスマートカードによる管理者認証  サーバのセキュア設定  不要なサービスを停止する  不要なファイル・プログラムの削除  適切な ( 最小限の ) アクセス権限を設定する  運用時の注意  管理者パスワードを適切に管理する  アカウントを適切に管理する ( 未使用のアカウントを作らない )  脆弱性対策(セキュリティパッチの適用) • OS/ データベース / ウェブサーバ / アプリケーション etc Copyright © 2013 独立行政法人情報処理推進機構    15
  • 16. 目次 情報セキュリティを取巻く脅威 ウェブサイトを狙った攻撃 クライアントサイトを狙った攻撃 セキュリティ対策の考え方 ツールのご紹介 Copyright © 2013 独立行政法人情報処理推進機構 16
  • 17. 組織を狙った攻撃 ~公開サーバ、クライアントサイドが狙われる~ システム管理者 が 守るべき領域 情報資産が保存 されているサー バ Copyright © 2013 独立行政法人情報処理推進機構    17
  • 18. クライアントからの侵入 ~ ウイルスは、あなたを踏み台に内部に侵入しようとしている~  複数の感染 ( 侵入 ) 経路が存在  自分自身が攻撃の入口になってしまう 組織内 メール経由 添付ファイル開 く ウェブサイト閲 覧 LAN 攻撃者 組織ユー ウェブサイト経 ザ 由 窃取 PC 接続 外部デバイス経由 これらの攻撃は、標的型攻撃と呼ばれる Copyright © 2013 独立行政法人情報処理推進機構    18
  • 19. 『標的型攻撃』の特徴① ~攻撃者によって、受信者がメールを開く状況が作り出されて いる~  メール偽装のテクニック  時事ネタの転用・・・・・・・・・・・・「停電のお知らせ」、「子 ども手当」など  内部情報の転用・・・・・・・・・・・「会議情報」、「○○のお知 らせ」  実在メールの転用・・・・・・・・・・実在メールの返信、転送  心理的なテクニック  「至急」「緊急」等の用語を用いる・・・・見ないと自身が損を被る 可能性  職位上位者、取引先からのメール・・・送付者に確認しづらい状況の 創出  叱責、クレームメール・・・・・・・・・・・・・・対応しないと、 後が怖い・・・ Copyright © 2013 独立行政法人情報処理推進機構    19
  • 20. 『標的型攻撃』の特徴② ~ 99% 以上が既知の脆弱性が悪用されている~  攻撃に使われたファイル種別と脆弱性種別 メールに添付されていた不正なファイルの ドキュメント・ファイルを悪用する脆弱性 拡張子 の割合 出展: IBM Security Services 「 2012 上半期 Tokyo SOC 情報分析レポート」 http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdf 脆弱性対策をタイムリーに行っていれば、攻撃を 防げる可能性は高まる Copyright © 2013 独立行政法人情報処理推進機構 20
  • 21. 業務端末のセキュリティ対策 ~攻撃される隙を作らないことが重要~  ウイルス対策ソフトを有効にする  端末のウイルス感染を防ぐことが対策の第一歩。  ウイルス対策ソフトをインストールし、自動更新を有効にする  セキュリティ対策パッチを有効にする  ウイルス感染は、ソフトウェアの脆弱性 ( セキュリティ欠陥 ) を突い てくる  Windows のセキュリティパッチを最新の状態にしておく  Oracle Java , Adobe Reader , Adobe Flash Player を最新の状態にする  所員のセキュリティ意識の向上  不審なメールは開かない  不審なウェブサイトにはアクセスしない Copyright © 2013 独立行政法人情報処理推進機構    21
  • 22. 目次 情報セキュリティを取巻く脅威 ウェブサイトを狙った攻撃 クライアントサイトを狙った攻撃 セキュリティ対策の考え方 ツールのご紹介 Copyright © 2013 独立行政法人情報処理推進機構 22
  • 24. 発注時のセキュリティ対応 ~契約時にセキュリティ対応を含めておくことが重要~  システム開発時の契約で合意することが望ましい事例  開発時の段階で見つけた既知の重要な脆弱性の対策は契約の範囲 に含まれるように調整する。  納入前のウェブサイトに対し脆弱性検査を行い、脆弱性が見つ かった場合にはその対策を施すことを契約に含める方向で調整す る。  ソフトウェア製品の既知の重要な脆弱性の対策に関する著しい認 識不足、ウェブアプリケーションに対する必要な設定漏れ、設定 ミスなど開発事業者の責に帰する場合は無償とする方向で調整す る。  保守・運用の契約で合意することが望ましい事項の例  当該情報システムに関する深刻な脆弱性の情報が公開されたら連 絡してもらう方向で調整する。  緊急事態時に発生する調査費用・対策費用の負担については、契 「地方公共団体のための http://www.ipa.go.jp/security/fy23/reports/vuln_handling/index.html 約の段階で明確にしておく。  脆弱性対応ガイド」 Copyright © 2013 独立行政法人情報処理推進機構    24
  • 25. 対策の考え方の整理 ~セキュリティ対策は、脅威を低減することを目的に~  有効に機能しないセキュリティ対策の一例 セキュリティ対策は、コストや労力を掛ければ強化され るものではなく、効率・効果的な対策が求められる Copyright © 2012 独立行政法人情報処理推進機構    25
  • 26. 目次 情報セキュリティを取巻く脅威 ウェブサイトを狙った攻撃 クライアントサイトを狙った攻撃 セキュリティ対策の考え方 ツールのご紹介 Copyright © 2013 独立行政法人情報処理推進機構 26
  • 27. MyJVN バージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/  ソフトウェア製品の脆弱性対策状況をチェック  利用者の PC にインストールされているソフトウェア製品の バージョンが最新であるかを、 簡単な操作で自動的に確認する ツール  チェックリストに基づき、バージョンが最新であるかどうかの チェックを手作業ではなく、ツールにより作業を自動化する 。  サーバーソフトやサーバ OS(Windows,Linux) でも動 Adobe Adobe 作可能 Reader Flash Player 最新 古い Firefo JRE x 古い 最新 Copyright © 2013 独立行政法人情報処理推進機構 27
  • 28. MyJVN バージョンチェッカ ~ PC のセキュリティ状況を簡易チェック~ • MyJVN の HP のトップページから起動し、チェックが可能です。 端末の脆弱性を解消することは、対策の基本で あり、利用者に作業を定着させることが重要 Copyright © 2012 独立行政法人情報処理推進機構 28
  • 29. 5 分でできる!情報セキュリティポイント学習 ttp://www.ipa.go.jp/security/vuln/5mins_point/ 1 テーマ 5 分でセキュリティ対策 を学習。 重要なセキュリティポイントを気軽 に学習できる時間設定 (1 テーマ 5 分) IPA の「 5 分でできる!中小企業の ための情報セキュリティ自社診断」 ( 右下図および URL 参照 ) の診断項 目を基に学習。 職場の日常の 1 コマを取り入れた親 しみやすい学習テーマで、様々な業 種・業態・従業員の構成の中小企業 に対応。 2 業種 3 職位、全 105 の学習テーマ http://www.ipa.go.jp/security/manager/know/sme-guide/ 29
  • 30. 教育・研修用 映像コンテンツの提 供 http://www.ipa.go.jp/security/keihatsu/videos/ ・ YouTube の「 IPA Channel 」にて公開中 ・ DVD - ROM 媒体の配布申込を受付中 1/31 公開 12/19 公開 ウイルスはあなたのビジネスも ワンクリック請求のワナを知ろう ! プライベートも狙っている!(約 ~巧妙化する手口とその対策~ (約 10 分) 10 分) 大丈夫?あなたのスマートフォン あなたの組織が狙われている! ~安心安全のためのセキュリティ対策~  ~標的型攻撃 その脅威と対策~ (約 (約 9 分) 10 分) 30
  • 31. おわりに IPA は、安心安全な情報システム、社会インフラ の 実現を目指します ご清聴 , ありがとうございま した 独立行政法人情報処理推進機構 技術本部 セキュリティセ ンター http://www.ipa.go.jp/security/index.html http://www.ipa.go.jp/security/vuln/index.html Copyright © 2013 独立行政法人情報処理推進機構 31

Notas del editor

  1. 標的型攻撃というと、攻撃として見える部分がメールだけなので、メールばかりがフォーカスされますが、先のスライドで説明した通り、メールはシステム侵入の手段として 使われるだけで、本当の脅威はシステム潜入後になります。攻撃者とマルウェアが繋がることで、攻撃者が内部に存在するのと同じ状態に なります。 現在の情報システムは、外からの脅威を防ぐ点に重きが置かれており、内部に攻撃者が存在することはあまり考慮されていないのが実情です。 その為、内部システムが次々にハッキングされる状況に陥ってしまいます。
  2. 世の中で様々な呼ばれ方や攻撃手段が存在します。 (スライドをそのまま読む) 次に、代表的な特徴を紹介します。
  3. 標的型攻撃というと、攻撃として見える部分がメールだけなので、メールばかりがフォーカスされますが、先のスライドで説明した通り、メールはシステム侵入の手段として 使われるだけで、本当の脅威はシステム潜入後になります。攻撃者とマルウェアが繋がることで、攻撃者が内部に存在するのと同じ状態に なります。 現在の情報システムは、外からの脅威を防ぐ点に重きが置かれており、内部に攻撃者が存在することはあまり考慮されていないのが実情です。 その為、内部システムが次々にハッキングされる状況に陥ってしまいます。
  4. ( スライドをそのまま読む ) よく、「怪しいメールは開くな」と言われますが、メール偽装テクニックや心理的なテクニックを用いられる為、 標的型メールと見破るのは、極めて困難なのが実情です。 攻撃者は、用意周到にマルウェアを忍び込ませる状況を作り出しています。
  5. 次に、攻撃に使われたファイル種別と脆弱性種別の紹介になります。 ( データをそのまま話す )
  6. 世の中で様々な呼ばれ方や攻撃手段が存在します。 (スライドをそのまま読む) 次に、代表的な特徴を紹介します。
  7. セキュリティ対策と言うと、ネットワークセキュリティだけでなく、内部ルール適用や脆弱性対策などもあります。 (スライドを読む) 即ち、現状のセキュリティ対策には、一長一短があり、完全な対策は難しい点を意識し、セキュリティ対策の考え方自体を 変える必要があります。
  8. セキュリティ対策と言うと、ネットワークセキュリティだけでなく、内部ルール適用や脆弱性対策などもあります。 (スライドを読む) 即ち、現状のセキュリティ対策には、一長一短があり、完全な対策は難しい点を意識し、セキュリティ対策の考え方自体を 変える必要があります。
  9. (スライドを読む)
  10. (スライドを読む)
  11. 情報セキュリティ上の様々な脅威と対策を解説した教育・研修用の映像コンテンツです。