セキュリティを高める程、コストが増加 コ ス ト
電子メールの暗号化による、情報漏洩の監視不能 監査の不能
ログオン時のパスワード強化により、ユーザ側の操作性・利便性が低下 操作性・利便性の低下
ネットワーク監視によるトラフィックの増加 サービスへの影響
<トレードオフ関係の具体例>
どこまで守る(投資範囲)
セキュリティと他はトレードオフ関係
17
破棄箱
Internet
校 内WAN
支 部 お客様、
雷
情報システム部 DMZ
IDS/IDP
IDS/IDP ファイアウォール DNS,MailServer
入退室環境 ITビルサージ環境 ストレージ
環境 バックアッフ環境
モバイルPC
セキュリティ対策の第一歩は?
● IT機器 /IO機器関連
−IT機器/IO機器環境の把握
−Webアクセス状況の把握
−メール利用 状況の把握
−サーバアクセス状況の把握
−クライアント操作 状況 の把 握
● ファシリティ関連
−入退室 環境 の把握
現状を 現状をしっかり
しっかり把握把握 することが必須 することが必須
18
<
<外部対策外部対策>>
4
19
9 8 9 5 73 3 6 3 5 3 0 2 9 28 26 2 4 2 2 20 20 1 9 1 9
1 3 10 14
42 22 24 25 2 4
3 9 1 7
36 2 5 13
28 4 5
2 2 44 45 4 7 4 7
3 6 57
4 3 52 65
52 5
3
4
3
3 3 5 0% 20% 40% 60% 80% 100%
アンチウィルス・ソフト ファイアウォール VPN機器 Webアプリケーションファイアウォール PCやサーバのログ取得ツール OS・アプリケーションの堅牢化 SPAMメール対策ツール ネットワークやOSにおけるセキュリティ診断 パッチマネジメント(脆弱性管理)ツール データ・電子メールの暗号化 セキュリティホール情報提供サービス
セキュリティ教育(eラーニング等)
侵入検知システム(IDS) ワンタイムパスワード 情報セキュリティ監査
導入済み 導入予定
今のところ導入は考えていない そのような製品やサービスを知らない
1 8 17 1 5 14 1 3 1 3 1 2 9 9 6 5 5 5 2 1
2 7 19 23 11
2 2 2 5 45 12
1 7 1 0 10 1 7 1 4 10 6
72 6 4 60 4 2 7 5
69 81 80 71 7 2 59 7 1
1 3 2 4 5 3 5 7 1 0 2 9
22 4 0% 20% 40% 60% 80% 100%
シングルサインオン PKI/デジタル証明書 サーバセキュリティ診断/管理ソフト ポリシー策定コンサルティング PCセキュリティ診断/管理ソフト 侵入防止システム(IPS)
情報の不正な持出を防止するツール 情報セキュリティ関連認証取得コンサルティング バイオメトリクスを利用した認証ツール セキュリティ保険 ポリシー作成ツール フィッシング対策ツール シンクライアント アイデンティティマネジメントツール
Trusted OS(高信頼OS)
〜NRIセキュアテクノロジーズ(株)のデータを引用〜
● 調査期間 2005年3月
各社の情報セキュリティに関する取り組み
ファイヤーウォール ウィルスはほぼ導入済み
ウィルス対策 20
・ウィルスの種類の理解(セキュリティホール、アプリケーション)
・感染ルートの理解(メール、Webアクセス、フリーソフト、PC持込み、媒体の持込)
・インフラ導入はどこまで
−PCごとにウィルスソフト、パッチ
−サーバ(一括配信)の導入
−徹底した運用(教育、あ やしげなサイトへのアクセス禁止)
−IDS、防御システム(IPS)の導入
ウィルス対策は導入していても機能していますか?
ネットワークセキュリティ事例 21
特にパソコンを操作していないのに 送信パケットが不自然に多く出てい た。調べてみると、システム情報や パスワードなどが自動的に外部へ 送信されており、不正にパソコンが 操作された痕跡も見つかった。
キーロガーが仕掛けられていた疑 いもある
ウィルスの被害にあう組織・団体は多い。最近では、ボットと呼ば れるウィルスが登場。感染するとネットワーク経由でパソコンを操られ 不正行為に悪用される危険性が高い。こうしたウィルスは、感染した パソコンからネットワークを通じて別のパソコンに被害が拡大すること も多く、被害者でありながら加害者になってしまう可能性もある。個人 情報の盗み出しなどに企業のパソコンが利用されないよう、早急に対 策を講じる必要があるだろう。
また、キーロガーを仕掛けるウィルスも多い。キーロガーはユーザ ーのキー入力を記録するプログラム。最近では記録した情報を外 部へ自動送信するスパイウェアタイプが登場し、オンラインバンキン グの暗証番号が盗まれ現金を不正に引き出される事件が多発した。
こうした不正プログラムは、インターネットカフェといったオープン スペースに設置されているパソコンに仕掛けられていることも多い。
不特定多数の人間が利用できるパソコンで、暗証番号や個人情報 を打ち込むのは特に避けたい。
ウィルスやスパイウェア対策の第一歩は、不審な電子メールの添 付ファイルを開かない、安易にホームページ上からプログラムをダ ウンロードしないといった基本的なルールを徹底することだろう。
その上で、ウィルス対策ソフトを活用するのが一般的だ。常に最新 のウィルスに対応できるよう定義ファイルの更新を欠かさないように したい。
また、スパイウェアはウィルス対策ソフトで検知できない場合がある。
スパイウェア対策に特化した専用ソフトを利用し、定期的にパソコン をチェックした方が良いだろう。
ウィルスの被害にあう組織・団体は多い。最近では、ボットと呼ば れるウィルスが登場。感染するとネットワーク経由でパソコンを操られ 不正行為に悪用される危険性が高い。こうしたウィルスは、感染した パソコンからネットワークを通じて別のパソコンに被害が拡大すること も多く、被害者でありながら加害者になってしまう可能性もある。個人 情報の盗み出しなどに企業のパソコンが利用されないよう、早急に対 策を講じる必要があるだろう。
また、キーロガーを仕掛けるウィルスも多い。キーロガーはユーザ ーのキー入力を記録するプログラム。最近では記録した情報を外 部へ自動送信するスパイウェアタイプが登場し、オンラインバンキン グの暗証番号が盗まれ現金を不正に引き出される事件が多発した。
こうした不正プログラムは、インターネットカフェといったオープン スペースに設置されているパソコンに仕掛けられていることも多い。
不特定多数の人間が利用できるパソコンで、暗証番号や個人情報 を打ち込むのは特に避けたい。
ウィルスやスパイウェア対策の第一歩は、不審な電子メールの添 付ファイルを開かない、安易にホームページ上からプログラムをダ ウンロードしないといった基本的なルールを徹底することだろう。
その上で、ウィルス対策ソフトを活用するのが一般的だ。常に最新 のウィルスに対応できるよう定義ファイルの更新を欠かさないように したい。
また、スパイウェアはウィルス対策ソフトで検知できない場合がある。
スパイウェア対策に特化した専用ソフトを利用し、定期的にパソコン をチェックした方が良いだろう。
対策
〜日経産業新聞より2005.9.16〜
ウィルスやスパイウェアを撃退
22
セキュリティの脆弱性を突く手口に よってサーバに不正アクセスされ、
顧客の氏名、住所、会員ID、パスワ ードといった個人情報を盗み出され てしまった
不正アクセスを防止するためには、セキュリティホールの修正プロ グラムが公開されたらすぐにインストールする、簡単に推測できるパ スワードを設定できないようにするといった対策を日常的に行なう必 要がある。
特に、セキュリティホールはウィルスやワームの侵入口として悪用さ れるケースも多く、素早い対応が肝心だ。その上で、ファイアウォー ルやネットワークへの侵入を検知して管理者に通報するIDSを利用 する方法が一般的だろう。
ただし、ファイアウォールはすべての攻撃を防げるわけではない。
IDSも攻撃を検知して警告を出すことが目的であるため、管理者は 攻撃の後追いを余儀なくされる。そこで、最近では侵入検知だけで なく即座に防御行動を取れる侵入検知、防御システム(IPS)が登 場。ファイアウォールでは防ぎきれない攻撃もシャットアウトできるよ うになっている。
不正アクセスを防止するためには、セキュリティホールの修正プロ グラムが公開されたらすぐにインストールする、簡単に推測できるパ スワードを設定できないようにするといった対策を日常的に行なう必 要がある。
特に、セキュリティホールはウィルスやワームの侵入口として悪用さ れるケースも多く、素早い対応が肝心だ。その上で、ファイアウォー ルやネットワークへの侵入を検知して管理者に通報するIDSを利用 する方法が一般的だろう。
ただし、ファイアウォールはすべての攻撃を防げるわけではない。
IDSも攻撃を検知して警告を出すことが目的であるため、管理者は 攻撃の後追いを余儀なくされる。そこで、最近では侵入検知だけで なく即座に防御行動を取れる侵入検知、防御システム(IPS)が登 場。ファイアウォールでは防ぎきれない攻撃もシャットアウトできるよ うになっている。
対策
ネットワークセキュリティ事例
〜日経産業新聞より2005.9.16〜
不正アクセスの防止と追跡
23
●利便性は高いがセキュリティが不安
– IEEE 802.11 通常のセキュリティでは不十分
レガシー システム レガシー システム
Web アプリケーション Web アプリケーション メッセージング メッセージング ファイル共有 ファイル共有
ワイヤレス ワイヤレス アクセスポイント アクセスポイント
悪意のあるユーザ
●単純な802.11 セキュリティ(レベル1)
(WEP、ESS-ID、MACアドレスフィルタ)
無線LAN環境
「なりすまし」「暗号解読」
●より高度なセキュリティセキュリティ
(レベル2)
(LDAP認証、802.1x)
ログオン認証について 24
<部署>
・人事部門
−個人情報を扱っているところ
・派遣社員のいる部門
・経理部門
− 機 密情報を扱っているところ
<認証の種類>
・BIOSパスワード、ハードディスクパスワード
・ログオン認証
−Windowsログオン
−USB、ICカード、バイオメトリックス 認証
パスワード
B
・紛失時、異動時の再発行費用 必要な機器(ハード)
必要なソフト
・カード費
・カード発行機器 貸し借りが可能
ICカード
・紛失時、異動時の再発行費用
・毎月の管理費等 必要な機器(ハード)
必要なソフト
・電子証明発行料 管理面はどうか 設置のまま離席 USBキー
ランニングコスト
必要な機器(ハード)
必要なソフト イニシャルコスト
運用の容易性
ログオフの容易性 セキュリティ
指紋認証 判断ポイント
どこの部署でどこまで認証機能を高めるのか?
Windowsログオン認証
ICカード認証
バイオメトリック認証
+