CISO

CISO (Chief Information Security Officer) 最高情報セキュリティ責任者

CISOとは、企業内で情報セキュリティを統括する担当役員。
コンピュータシステムやネットワークのセキュリティ対策だけでなく、機密情報や個人情報の管理についても統括する例が多くあります。
近年多発している企業の個人情報流出事件を契機に、導入する企業が増えています。

ランサムウェア

ランサムウェアはパソコン内のデータを勝手に暗号化したり、スマートフォンの画面をロックすることで、その復旧と引き換えに金銭を要求するマルウェアです。
パソコンやスマートフォンを人質に身代金(ransom)をゆすり取る様子から、こう呼ばれています。
利用者は悪意のメールやWebサイトなどを通じてランサムウェアをダウンロードしてしまいます。
ランサムウェアはさまざまな不具合を起こし、身代金を支払うようにメッセージを表示します。
身代金を支払っても、不具合が解消される保証はありません。

クリックジャッキング

クリックジャッキング攻撃は、ユーザを視覚的にだまし正常に見えるウェブページ上のコンテンツをクリックさせ、別のウェブページのコンテンツをクリックさせる攻撃です。

具体的には、次の手順で攻撃が成立してしまいます。
1.ユーザがサイトAにログインしている状態で、悪意あるページを閲覧する
2.悪意あるページは、サイトAのページをiframe要素などによって自身のページコンテンツとして取り込む
3.悪意あるページは、CSSプロパティなどの設定でサイトAを透明表示にする
4.悪意あるページは、サイトA画面上の不正操作させたい箇所へのクリックを誘導するページを表示する
5.悪意あるページは、透明状態のサイトAを"3"のページの前面に配置する
6.この状態でユーザが誘導にそってクリックをすると、意図せずに前面にあるサイトA上の操作を実行してしまう

ユーザのクリックを奪うという攻撃の特徴からクリック・ジャッキングと呼ばれます。

APT攻撃

APT攻撃(Advanced Persistent Threats)は、ソフトウェアの脆弱性を悪用し、複数の既存攻撃を組合せ、ソーシャルエンジニアリングにより特定企業や個人をねらって行われる執拗なサイバー攻撃の総称です。
単なる標的型攻撃と異なる点は準備や攻撃が長い期間に渡って行われる点です。
最初にメールや外部メディア等で組織内部の従業員(組織の幹部を含む)の端末への不正侵入を試み、そこから組織の内部へ更に入り込んでいくなど目的達成のために数か月から数年にわたって攻撃が継続します。
最終的には組織にとって非常に重要な情報(知財情報や個人情報)を盗み出すことなどを目的としています。

「APT」というのは海外での呼び名で、日本では持続的標的型攻撃と呼ばれています。

2要素認証

2要素認証とは、ICカードとパスワード、指紋とパスワードなどのように、利用者が知っている・持っている・有している情報のうち2種類の要素を使用して認証を行う方式です。
2段階で認証を行うのでセキュリティを高めることができますが、認証システムの導入コストが掛かることや認証のプロセスが煩雑になるデメリットもあります。

要素
・ユーザーが 知っていること
・ユーザーが 所有しているもの
・ユーザー自身の 特性

ディジタルフォレンジクス

ディジタルフォレンジクスとは、不正アクセスや情報漏えいなどのセキュリティインデントの発生時に、原因究明や法的証拠を明らかにするために対象となる電子的記録を収集・解析することです。

ハッシュ関数は、長い文章やデータを固定長のビット列に圧縮する一方向性の関数で、圧縮された値をハッシュ値と呼びます。この技術は、ハッシュ値にディジタル署名を付して、本人性と文書の真正性の証明に利用したり、証拠の保全・開示に広く利用されています。

WAF

WAF(Web Application Firewall)は、パケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、ウェブアプリケーションに対するこれらの攻撃を検知し、遮断することが可能です。

通常のネットワーク型ファイアウォールは、通過するパケットのIPアドレスとポート番号を見て通過の可否を決めますが、XSSやSQLジャンクションなど正常なHTTPポート(80)を通じて仕掛けられた攻撃は防ぐことができません。

BYOD

BYOD(Bring Your Own Device)は、従業員が個人的に所有するPCやスマートフォンなどの情報端末を職場に持ち込み、それを業務に使用することを意味します。
企業側はBYODを導入することで、これまで従業員に支給していた情報機器を調達コストや通信費を削減できるなどのメリットがありますが、管理が不十分な端末を業務に使用することになるので情報漏えいやウイルス感染などのセキュリティリスクは大きくなります。

不正のトライアングル

「不正のトライアングル」理論では、不正行為は、①機会、②動機、③正当化という3つの不正リスク(「不正リスクの3要素」)がすべてそろった時に生起すると考えられています。

機会
「機会」とは、不正行為の実行を可能ないし容易にする客観的環境のことです。
つまり、不正行為をやろうと思えばいつでもできるような職場環境のことです。

動機
「動機」とは、不正行為を実行することを欲する主観的事情のことです。
つまり、自分の望み・悩みを解決するためには不正行為を実行するしかないと考えるに至った心情のことです。

正当化
「正当化」とは、不正行為の実行を積極的に是認しようとする主観的事情のことです。
つまり、自分に都合の良い理由をこじつけて、不正行為を行う時に感じる「良心の呵責」を乗り越えてしまうことです。

CSIRT

CSIRT(Computer Security Incident Response Team,シーサート)は、組織内など限られた範囲のサイトに関するセキュリティインシデントについて対応するチームや組織の総称です。

日本国内のサイトにインシデントに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行う機関"JPCERT"もCSIRT組織です。

アクセス権の管理

ユーザIDの登録及び登録削除について正式なプロセスを実施する
アクセス権の割当てや削除を行うための正式なプロセスを実施する
特権的アクセス権の割当て及び利用は、制限し、管理する
パスワードの割当ては、正式な管理プロセスによって管理する
情報資産の管理責任は、利用者のアクセス権を定められた間隔でレビューする
アクセス権は雇用や契約の終了時に削除し、変更に合わせて修正する

不正アクセス対策3

コンピュータや通信機器、ソフトウェアの導入、更新、撤去はシステム管理者の指導下で行う
特権モードによるコンピュータの利用は、必要最小限にする
特権モードによる利用は、コンピュータ、場所、期間等を限定する
コンピュータが無断で利用された形跡がないか、利用履歴等を随時確認する
コンピュータを利用できる状態で放置しない
パスワードの入力を省略する機能は、システム管理者の指導の下で使用する

不正アクセス対策2

重要な情報はパスワード、暗号化などの対策を図る
重要な情報を送信する場合は相手先を限定し、宛先を十分に確認する
ファイルの重要度に応じたアクセス権限を設定する
コンピュータ及び通信機器を維持、保存するために必要なファイルは、盗用、改ざん、削除等されないように厳重に管理する
重要な情報を記録した紙や媒体は、安全な場所に保管する
重要な情報を記録した紙や媒体を破棄する場合は、内容が漏えいしない方法で行う
ファイルのバックアップを随時取得し、安全な場所に保管する

不正アクセス対策1

ユーザIDは、複数のシステムユーザで利用しない
ユーザIDは、パスワードを必ず設定する
複数のユーザIDに同じパスワードを使用しない
短いパスワードや推測しやすいパスワードは設定しない
パスワードは定期的に変更する
パスワードはメモを残さない
パスワードを入力する場合は、他人に見られないようにする
他人のパスワードを知った場合は、速やかにシステム管理者に通知する
ユーザIDを利用しなくなった場合は、速やかにシステム管理者の届け出る

不正アクセスによる攻撃

盗聴
ネットワークを流れるデータや保存されているデータの不正入手
改ざん
データの書き換え
なりすまし
別の個人を装い、本人のふりをしたあまざまな行為
破壊
データやプログラムの削除、ハードディスク(磁気記録)の初期化
踏み台
不正アクセスを行う際の中継地点として他人のコンピュータを使用、踏み台に利用されたコンピュータは、所有者の意図に反し、本人の知らない間に攻撃に荷担させられる。
DoS攻撃、DDoS攻撃
サーバにアクセスを集中させてサービス停止に追い込む
スパムメール
無差別に送信される広告メール

不正アクセス

不正アクセスとは、本来アクセス権を持たない者が、情報システムの内部へ侵入を行う行為です。
一旦侵入を許してしまうと、データの破壊・改ざんや盗聴など不正行為が行われてしまいます。

コンピュータウイルス感染時の対応

ウイルスの駆除

システムの回復

再発防止

公的機関への連絡(日本ではIPA)

ホワイトリストとブラックリスト

インストールを許可するアプリケーションの一覧(ホワイトリスト)を作成し、これに該当しないものはインストールを許可しないようにします。
危険なサイトの一覧(ブラックリスト)を作成し、これに含まれるWebサイトへのアクセスを拒絶します。

マルウェア対策

出所の不明なファイルを不用意に開かない
安易にプログラムをダウンロードしない
怪しいWEBサイトを閲覧しない
OSやアプリケーションを最新の状態に保つ
電子メールに添付されたファイルは慎重に扱う
ウイルス対策ソフトを利用する
ウイルス定義ファイルを最新の状態に保つ
複数世代のバックアップを取得する

ウイルス検出方法2

インテグリティチェック法
ファイルにウイルスではないことを保証するディジタル署名などを付加する方法。
署名がない場合や無効な署名ならば、ウイルスと判断する。

チェックサム法
ウイルスではないことを保証する情報に、チェックサムを用いる方法。

コンペア法
安全に保管されている原本と検査対象を比較する方法。

ビヘイビア法
ウイルスによって引き起こされる動作パターンを監視して検出する方法。

ウイルス検出方法

パターンマッチング
既知のコンピュータウイルスがもつパターン(シグネチャコード)をパターンファイルに格納し、 検査対象のファイルと比較することで、コンピュータウイルスを検出する。
ウイルス定義ファイルに登録されていないコンピュータウイルスは検出できないため、ウイルス定義ファイルを常に最新の状態にすることが重要です。

コンピュータウイルスの種類

ファイル感染型
プログラムなど実行可能なファイルに感染するウイルス。
感染したプログラムの実行に伴って起動し、不正な処理を実行する。

ブートセクタ型
コンピュータを起動するための領域(ブートセレクタ)に感染するウイルス。
コンピュータ起動に伴って不正な処理を実行する。

マクロウィルス
ワープロや表計算といったアプリケーションのマクロ機能を利用し、データファイルに感染するウイルス

コンピュータウィルスの機能

自己伝染機能
他のプログラムに自らをコピーすることで、他のシステムに伝染する。

潜伏機能
発病する条件を満たすまで、症状を出さない。

発病機能
プログラムやデータの破損など、利用者や管理者の意図しない動作をする。

ボット、アドウェア

ボット
外部からコンピュータを不正に操作することを目的としたプログラム。
ボットに感染したコンピュータは、攻撃者の指示をネットワークを介して受け取り、指示通り処理を実行する。
この様子がロボットに似ていることからボットと呼ばれる。

アドウェア
画面に広告などを強制的に表示するプログラム。
使用許諾に広告の表示を含めているものもあり、一概に不正プログラムとはいえない。

キーロガー、バックドア

キーロガー
コンピュータへのキーボード操作を記録し、外部に送信するプログラム。
ユーザーIDやパスワードの不正入手に用いられることが多い。

バックドア
不正な手順でコンピュータへのアクセスすることを可能とする仕掛け。
一度進入に成功したシステムに対し、簡単に際侵入できるよう仕掛けられることがある。

スパイウェア、トロイの木馬

スパイウェア
利用者の行動履歴や個人情報を収集するプログラム。
OSや有用なアプリケーションの一機能に含まれるものもあるが、中には利用者や管理者の意図に反してインストールされ、クレジット番号の搾取など不正な目的で利用されるものもある。

トロイの木馬
単体での動作が可能であり、ゲームやユーティリティなど有用なプログラムを装って実行されるのを待つ不正プログラム

コンピュータウィルス

コンピュータウィルス
他のプログラムやファイルに規制し、利用者に被害を与える不正プログラム

ワーム
寄生することなく、単体での動作可能な不正プログラム。
コンピュータ上で自分自身を複製(自己伝染)し、増殖する機能を持ちます。
OSやアプリケーションの脆弱性を利用して、ネットワークを介して増殖を繰り返すものも多くあります。
USBなどに感染し、外部記憶媒体を接続した時の自動実行機能を悪用してシステム間で感染するUSBワームもあります。

マルウェア

マルウェア(Malware)とは、悪意を持って作成された不正で有害な動作を行なうプログラムの総称です。
悪意のある(Malcious)ソフトウェア(Software)を短縮して名付けられました。
マルウェアは利用者や管理者の意図に反してコンピュータに入り込み、データの破壊・改ざんや機密情報の流出など不正な行為を行います。

脅威と脆弱性

脅威
情報資産に損害を与える可能性がある、セキュリティインシデントの潜在的な原因

脆弱性
脅威がつけこむことのできる弱点。セキュリティホールとよばれることもある

セキュリティインシデント
脅威によって実際に情報資産が損なわれてしまった事態

リスク
脅威によって情報資産が損なわれる「可能性」

情報セキュリティのAAR

真生性(Authenticity)
利用者の身元が主張通りであることを保証する性質

責任追及性(Accountability)
誰がいつ、どのような操作を行なったかを事後に追跡できる性質

信頼性(Reliability)
業務や情報システムが正常に機能し、矛盾が生じたり異常な結果に終わることがない性質

否認防止(Non-Repudiaion)
取引の事実が、後になって当事者によって否認されることがない性質

情報セキュリティのCIA

機密性(Confidentiality)
認可されていない個人、エンティティ(団体)またはプロセスに対して情報を使用させず、また、開示しない。

完全性(Integrity)
正確さ及び完全さ

可用性(Availability)
認可されたエンティティ(団体など)が要求したときに、アクセス及び使用が可能である。

  • entry260ツイート
  • Google+