15コマ目 情報セキュリティにおけるリスクアセスメントとリスク対応(総合演習)
26
0
0
全文
(2) 第15回 情報セキュリティにおけるリスク アセスメントとリスク対応(総合演習) 授業目標 第15回では、情報セキュリティにおけるリスクアセスメントとリスク対応(総合演習) について学習します。 • 情報セキュリティにおける情報資産の特定および分類とその価値を理解する。 • 情報資産に対するさまざまな脅威の特定と対策の有効性を理解する。 • 情報活用の効率性と情報セキュリティ対策のバランスを理解する。. Copyright © 2013 独立行政法人 情報処理推進機構.
(3) 目次. 1. 演習概要 2. 演習全体の流れ 3. 演習シナリオ 4. 演習問題 付録1~4. 情報セキュリティの概要 付録5. ビデオ視聴 Copyright © 2013 独立行政法人 情報処理推進機構.
(4) 1. 演習概要 1.1 演習目的と演習の進め方. 演習 目的 演習 テーマ. 学生生活の情報利活用において身近な価値ある情報資産とリスクを 特定し、総合的な情報セキュリティ対策の取り組みをチーム討議演習 を通して理解します。 某大学のゼミ展示における情報セキュリティ対策を検討する. 1. 個人演習 演習 の 進め方. Copyright © 2013 独立行政法人 情報処理推進機構. 2.グループ演習. 3.発表.
(5) 1.2 演習の役割決め. 自己. 個人情報は、ご本人の判断で提供してください. 紹介. チーム内で役割を決めて、演習を円滑に進めて ください。 役割 決め. 主な役割 ・チームリーダー (ファシリテート、時間管理、発表) ・書記(板書). Copyright © 2013 独立行政法人 情報処理推進機構.
(6) 1.3 演習の特記事項 <討議にあたって> ・討議中は他人任せの傍観者にならないで、一人必ず3つ以上の案(意見)を出してください。 案(意見)は多ければ多いほど良いです。 ・他のメンバーの意見に触発されたアイデアも大歓迎です(便乗OKです)。 ・全く別の分野であっても、「これと似た課題をうまく解決している例(ベストプラクティス)はないか?」 という類推を働かせることも有効です。. <アウトプットを作成するにあたって> ・演習シナリオに書かれていない状況については、各グループごとに設定してください。 また、その設定した内容は、グループとしてメモに残してください。 ・回答の粒度は、チーム内で共有して、進めてください。. 考え方が手法に則しているかを評価することはできますが、皆さんで考えた結論に対して「これが唯一 正しい」という「模範解答」は存在しません。また、解が複数あることもあります。この機会にその点も学ん でください。. チームで力を合わせて取り組みましょう!! Copyright © 2013 独立行政法人 情報処理推進機構.
(7) 2. 演習全体の流れ インプット. 演習シナリオ 某大学のゼミ展示における情報セキュリティ対策を検討します。. 演習1 脅威の特定と対策を検討します。. ① 個人演習(10分). グループ. ゼミ展示会場にある情報資産の脅威を洗い出します。. 演習 の流れ. ② チーム討議(20分) プロセス. (50分). ①の結果を脅威ととらえ、対策を検討します。. 演習2 対策を導入します。. チーム討議(20分) 演習1②の結果から対策を導入した環境図を作成します。. アウトプット Copyright © 2013 独立行政法人 情報処理推進機構. チームごとに発表します。.
(8) 3. 演習シナリオ 3.1 想定大学におけるゼミの活動概要 ゼミ名称. ソーシャルサービスコンテンツゼミナール(○×教授 研究室). 専門領域. ソーシャルメディア、Webアプリケーション、データベース、モバイルコンピューティン グ、ヒューマンマシンインターフェース、コミュニケーションデザイン、情報セキュリティ. 研究テーマ. ゼミ紹介. ・テーマ1:ソーシャルメディア・コミュニケーション技術研究 ・テーマ2:リアルタイムアンケート集計システム研究 ・テーマ3:ソーシャルサービスにおける情報セキュリティ研究 ソーシャルサービスやスマートフォン、タブレットPCなどのモバイル機器といったトレ ンド技術を活用しながら、どのような技術が人の生活やコミュニケーションの活性化に 作用するのかを研究します。. 教授 研究体制. ○×教授 Copyright © 2013 独立行政法人 情報処理推進機構. 教授: 1名 学生:30名. テーマ1. 学生 学生 学生. テーマ2. 学生 学生 学生. テーマ3. 学生 学生 学生. 演習上の役割.
(9) 3.2 ゼミの今年度の発表テーマ ◇ シナリオ: 学園祭においてゼミの展示発表『キャンパス周辺 オススメ店舗 口コミランキング』を行うことになりまし た。その展示環境のネットワークとサーバ、フロア環境の情報セキュリティ対策を検討します。. ◇ ゼミ展示内容: 大学の模擬店と周辺にある店舗(飲食、衣類、雑貨など)を、学生がランキングとコメントしたオリジナ ルサイトを構築し、展示会場や学外からサイトへの閲覧とコメントの書き込み・アンケートの収集が可 能なシステムを展示します。また、アンケートで個人情報(氏名やメールアドレス)を収集し、模擬店の 割引クーポンを配信します。. ◇ シナリオ条件: ・取り扱う情報資産:発表用システム(Web/DBサーバ、タブレットPC、 管理用ノートPCなど)、学園祭来場者兼利用者のアンケート(個人情報を含む) ・展示会場のネットワーク環境:インターネット、有線/無線LAN ・システムの利用場所:展示会場(貸出用タブレットを利用)、学外(個人所有の スマートフォンやタブレットPC、ノートPCなど). Copyright © 2013 独立行政法人 情報処理推進機構. 情報セキュリティ、任せたよ!!.
(10) 3.3 学園祭におけるゼミの展示内容イメージ 「キャンパス周辺おすすめ店舗口コミランキング」サービス 口コミ サイトの公開. おすすめ店舗 口コミランキング. 店舗地図の 取り込み. 店舗口コミ 店舗地図. 地図サービス. アンケート. 展示用Web /DBサーバ 店舗口コミの参照・投稿. 店舗口コミの参照・投稿. 学生 学園祭 ゼミ展示会場. 演習対象 Copyright © 2013 独立行政法人 情報処理推進機構. 店舗口コミの参照・投稿、 アンケート入力. 一般.
(11) 3.4 展示レイアウト. インターネット. ※現時点では、セキュリティを考慮していません。 テーブル. モバイル/無線ルータ 扉. ・インターネットへのモバイル接続(LTEやWiMAX) ・タブレットPCへ無線LANを提供 ・有線LANによるサーバの公開. モバイル/ 無線ルータ. Web/DBサーバ ハブ. グラウンド. 施設内通路. テーブル. ・市場価格:10万円 ・開発したWebコンテンツサービスを提供 ・アンケート情報(個人情報)、店舗情報を格納. Web/DB サーバ. デモ用タブレットPC. 管理者 ノートPC. 窓. 来場者への体験型タブレットPC. 管理者用ノートPC. ・市場価格:5万円 ・開発した口コミアプリ、インストール済み ・口コミ参照・投稿、アンケート入力. ・市場価格:7万円 ・開発ツール、ソースコードを格納 ・分析用のアンケート情報(サーバと同じ). Copyright © 2013 独立行政法人 情報処理推進機構.
(12) 4. 演習問題 4.1 演習シナリオ上の特記事項 ◆ 情報資産に関する特記事項 取り扱う情報資産は、Web/DBサーバとクライアントPC(タブレットPCと管理者用ノートPC)です。 情報資産そのものの価値と、データ(個人情報やソースコード)の価値を考慮してください。 リスクは、情報漏えいや損失、信用失墜、損害賠償などにつながる要因を想定してください。 ◆ 脅威や対策の検討に関する特記事項 機密性のみの観点で、脅威や対策を進めてください。 脆弱性および対策は、人的、技術的、物理的の観点で検討してください。 対策は、展示そのものを阻害しないよう考慮して検討してください。. 演習シナリオに書かれていない状況や仕様は、 各グループごとに設定しよう!! Copyright © 2013 独立行政法人 情報処理推進機構.
(13) 4.2 演習1 脅威の特定と対策の検討(1) ① 個人演習 プロセス. 展示システムにおけるWeb/DBサーバとクライアントPCの機器とその中にあ る情報(データ)に対して、機密性を阻害する脅威(情報漏えいの可能性があ るもの)を洗い出してください。. Web/DBサーバに対する脅威. ノートPC、タブレットPCに対する脅威. 記入例: 夜間、窓から侵入して、クライアントPCを盗み出す。(物理的手法) ※ 脅威については、脆弱性がある(例:施錠管理されていない など)前提として検討してください。 Copyright © 2013 独立行政法人 情報処理推進機構.
(14) 4.3 演習1 脅威の特定と対策の検討(2) ② チーム討議 プロセス. 「①個人演習」の結果から特に発生の可能性が高く、大きな損害や影響を及 ぼす脅威を5つ選択し、その対策を脅威と紐付けて検討してください。 チーム作業 機密性の脅威. 対策. 対応脅威. A Web /DBサーバ. B C D. ノートPC /タブレットPC. E F. 例)夜間、窓から侵入して、クライアントPCを盗む。 Copyright © 2013 独立行政法人 情報処理推進機構. A. 例)クライアントPCを鍵付きロッカーに収納する。 A,C.
(15) 4.4 演習2 対策の導入 チーム討議 プロセス. 演習1 ②の対策結果をもとに、情報セキュリティ対策を導入した展示フロア の環境を検討し、気付きを共有してください。. 回答の作成方法 ・対策で必要な機材を図で追加する ・デモに必要な機器は必ず展示フロアに配置する ・対策の内容は、図に吹き出しをつけて記入する ・人的ルールは、紙ファイルを追加し、吹き出し内に ・有線接続するものはネットワーク機器と線で結ぶ 対策を記入する ・配置場所は自由に考える ・テーブルやカーテンなどのフロア設備を記入する. 記入方法 ・クライアントPCを保管 ・ロッカー施錠. ・施錠管理ルールの策定 ・メンバーへの周知. 図でロッカーやファイルを追加する. サーバやクライアントPC、 ネットワーク機器は、線で結ぶ. デモシステム必須構成要素 (必ず配置すべき情報資産) Web/DBサーバ Copyright © 2013 独立行政法人 情報処理推進機構. 管理者ノートPC デモ用タブレットPC モバイル/無線ルータ. ハブ.
(16) 演習2ワークシート. インターネット. ※展示時間中のレイアウトで記入してください。. 扉 グラウンド. 施設内通路 窓. Copyright © 2013 独立行政法人 情報処理推進機構.
(17) 付録1 ネットワーク社会に必要な情報セキュリティ 物理的脅威. 人的脅威. 技術的脅威. 火災・地震、故障、破壊など. 盗難・紛失、誤送信、誤廃棄など. ウイルス感染、不正アクセス、 バグなど. リスク. リスク 脆弱性を 減らす. サービス. × 人. 情報. モノ. 安心安全なネットワーク社会. 情報セキュリティに取組み、 情報をリスクから守る. 情報セキュリティの活動は、リスクを引き起こす脅威から価値ある情報を守る(脆弱性を減らす) ことです。安心安全なネットワーク社会を実現するには、情報セキュリティが必要不可欠です。 Copyright © 2013 独立行政法人 情報処理推進機構.
(18) 付録2 情報セキュリティの定義 有用性. 保障. 価値. 価値. 脅威. 価値. 脅威. 脅威. サービス 情報資産 完全性. 人. モノ. 可用性. 機密性. 情報セキュリティとは、情報の機密性、完全性及び可用性を維持すること。 さらに、真正性、責任追跡性、否認防止及び信頼性のような特性を維持することを含めてもよい。 (出典:「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項(JIS Q 27001:2006)」) Copyright © 2013 独立行政法人 情報処理推進機構.
(19) 付録3 情報セキュリティ対策の定義. 情報セキュリティ 対策. 人的対策. 技術的対策 物理的対策 予防処置. サービス. 人的脅威. 情報資産. 事後対応 機密性、完全性、 可用性の脆弱性. 物理的脅威 技術的脅威. モノ. 人 脆弱性. 脅威. 情報漏えいによる信用失 墜、風評被害、ブランド イメージの低下、プライ バシーの侵害 など. →. リスク. 情報セキュリティ対策とは、情報セキュリティ上のリスクが発生している場合、 対策(Countermeasures)によってリスクを解消したり、軽減することを試みます。 技術的な対策が必要であるとともに、継続的な管理による対策も必要です。 (引用:「読者層別: 情報セキュリティ対策 実践情報」 独立行政法人 情報処理推進機構(IPA)) Copyright © 2013 独立行政法人 情報処理推進機構.
(20) 付録4 主な脅威 付録4.1 人的脅威の種類 代表的な脅威. 解説. 紛失. 自宅や出先、移動中などで書類や情報端末を不用意になくしてしまうこ と. 置き忘れ. 事務所内の会議机、コピー機、移動中の電車やタクシー、飲食店で書類 や情報端末を忘れてきてしまうこと. 誤操作. メールやファクシミリの送信時や入力時に誤って第三者に送信や参照さ れてしまうこと. 誤廃棄. 必要な書類や外部媒体などを誤って捨ててしまい、消失してしまうこと. 盗難・破壊. 機密書類やデータ、金銭的価値があるものなどが悪意ある第三者に盗ま れたり、壊されたりすること. 盗聴. 会話や通信など悪意ある第三者に密かに聴取、あるいは録音されること. 不正行為. 金銭を目的とした不正な情報の持ち出しや、便宜上の不正な持ち込みな どのルールにそぐわない行為のこと. 不用意な発言・投稿. SNS、掲示板、ブログなどへ不適切な書き込みを行い、意図せず機密情 報が流布してしまうこと. ソーシャル エンジニアリング. Copyright © 2013 独立行政法人 情報処理推進機構. 人間の誤認や誤断など心理的・行動的な隙を巧みに利用し、話術や盗聴、 偽サイトへの誘導などの社会的な手段を用いて機密情報を搾取すること.
(21) 付録4.2 物理的脅威の種類. 代表的な脅威. 解説. 不法侵入. 権限のない者が不法に施設内や設備内に鍵や窓を破るなどして侵入する こと. 盗難・破壊. 機密書類やデータ、金銭的価値があるものなどが悪意ある第三者に盗ま れたり、壊されたりすること. ハードウェア障害. コンピュータや通信機器などに物理的な障害が発生し、修理や代替機器 を調達するまで、利用ができない状況に陥ってしまうこと. 災害. 火災、地震、津波、暴風、豪雨、洪水、噴火などによって、情報資産に 被害が及んでしまうこと. Copyright © 2013 独立行政法人 情報処理推進機構.
(22) 付録4.3(1) 技術的脅威の種類(1/3) 代表的な脅威. 解説. 不正アクセス /不正侵入. システムを利用する者が、その者に与えられた権限によって許された行 為以外の行為をネットワークを介して意図的に行うこと (引用:「コンピュータ不正アクセス対策基準」経済産業省). 広義/狭義の定義がある。 広義: 「コンピュータウイルス対策基準」においては、広義の定義を 採用しており、自己伝染機能・潜伏機能・発病機能のいずれかをもつ加 害プログラムをウイルスとしている。自己伝染機能については、他の ファイルやシステムに寄生・感染するか、単体で存在するかを問わない 定義になっているので「worm(ワーム)」も含むことになる。他のファ イルやシステムへの寄生・感染機能を持たないがユーザが意図しない発 病機能をもつ「Trojan(トロイの木馬)」も、この広義の定義ではウイ ルスに含まれる。 ウイルス 狭義: PC環境におけるコンピュータウイルスを念頭においた狭義の定 義においては、他のファイルやシステムに寄生・感染(自己複製)する 機能をもつプログラムをいう。この場合、システム中に単体として存在 し、ネットワークを伝わって移動する「worm(ワーム)」は、ウイルス とは区別される。また、潜伏機能・発病機能しか持たない「Trojan(ト ロイの木馬)」も、ウイルスと区別される。 (引用:「ネットワークセキュリティ関連用語集」独立行政法人 情報処理推進機構(IPA)). 参考)ウイルスやスパイウェアなど、悪意あるソフトウェアの総称とし て、「マルウェア」や「不正プログラム」と呼ばれることもある。. Copyright © 2013 独立行政法人 情報処理推進機構. ○○○○○○○○ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■.
(23) 付録4.3(2) 技術的脅威の種類(2/3) 代表的な脅威. 解説. 改ざん. データやホームページの内容を書き換えてしまったり、システムの設定 や内容を不正に変更したりする行為のこと。. なりすまし. 他人の ID とパスワードを利用して、文字通りその人物になりすまし、 ネットワークの権限を勝手に使用する行為のこと。. 否認. 改ざんなどの脅威を理由にして、当事者が過去の自分の行動を否定する こと。. (引用:「SOHO・家庭向けの情報セキュリティ対策マニュアル(Ver1.20)」 独立行政法人 情報処理推進機構(IPA)). (引用:「SOHO・家庭向けの情報セキュリティ対策マニュアル(Ver1.20)」 独立行政法人 情報処理推進機構(IPA)). (引用:「PKI 関連技術解説」独立行政法人 情報処理推進機構(IPA)). サービス妨害攻撃. コンピュータ資源やネットワーク資源を利用できない状態に陥れる攻撃 のこと。 たとえば、インターネットサーバによって提供されている各種サービス を標的として妨害する攻撃が、一般に入手可能なツールを利用して行わ れている。 (参考:「ネットワークセキュリティ関連用語集」独立行政法人 情報処理推進機構(IPA)). 盗聴. 「データを盗み見る行為」または「データを抜き取る行為」のこと。 たとえば、ネットワーク上を流れる情報が盗聴され、重要情報が不正に 取得される可能性があります。 (参考:「安全なWebサイトの作り方」(改訂第5版)、「小規模サイト管理者向けセキュリ ティ対策マニュアル」独立行政法人 情報処理推進機構(IPA)). 実装攻撃. Copyright © 2013 独立行政法人 情報処理推進機構. ICカードに搭載されているIC(Integrated Circuit=集積回路)チップ の内部構造や動作を解析し、暗号化するための秘密鍵や暗号化する前の データなどを盗む攻撃のこと。. ○○○○○○○○ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■.
(24) 付録4.3(3) 技術的脅威の種類(3/3) 代表的な脅威. 迷惑メール(UBE). 解説. ○○○○○○○○ ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■. 英語ではUBE(Unsolicited Bulk Email)と呼ばれている。宣伝や嫌が らせなどの目的で不特定多数に大量に送信されるメールのこと。俗に 「スパム(spam)メール」とも呼ばれている。 UBEは、UCE(Unsolicited Commercial Email:予期しない商業宣伝電子 メール)と同意である。 (参考:「ネットワークセキュリティ関連用語集」独立行政法人 情報処理推進機構(IPA)). 不正中継. メールの発信者が、第三者中継可能なメールサーバを探し、迷惑メール (UBE)の中継に利用すること。 メールサーバが中継に利用されてしまうと、サーバへの影響(処理遅延、 サーバダウン)の他、送信元と疑われるなどの弊害が発生します。 (参考:「UBE(迷惑メール)中継対策」独立行政法人 情報処理推進機構(IPA)). フィッシング. 正規のサービス提供企業を装ったメールを送り、IDやパスワードなどの ログイン情報や、さらに住所、氏名、銀行口座番号、クレジットカード 番号などの個人情報を不正に窃取する行為のこと。 (引用:「コンピュータウイルス・不正アクセスの届出状況[6月分および上半期]について」 (2012年 7月 4日)独立行政法人 情報処理推進機構(IPA)). スパイウェア. 利用者や管理者の意図に反してインストールされ、利用者の個人情報や アクセス履歴などの情報を収集するプログラムなどのこと。 (引用:「スパイウェア対策のしおり」(第10版)独立行政法人 情報処理推進機構(IPA)). 標的型攻撃. 主に電子メールを用いて特定の組織や個人を狙う手法のこと。 典型的な例として、メール受信者の仕事に関係しそうなニセの話題など を含む本文や件名で騙し、添付ファイル(ウイルス)のクリックを促す 場合が確認されています。 (引用:「標的型攻撃メール <危険回避> 対策のしおり」 (第1版)独立行政法人 情報処理推進機構(IPA)). Copyright © 2013 独立行政法人 情報処理推進機構. ■■■■■■■■■■■■■■ ■■■■■■■■■■■■■■ ■■■■■■.
(25) 付録5 ビデオ視聴. 情報セキュリティ 普及啓発 映像コンテンツ. 「7分で気づく身近にある情報漏えいの脅威」 (約7分). http://www.ipa.go.jp/security/keihatsu/videos/. Copyright © 2013 独立行政法人 情報処理推進機構.
(26) 科目名:情報セキュリティ実践的教育コンテンツ 講義用スライド 発行者. 独立行政法人 情報処理推進機構 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコート センターオフィス 15階. 連絡先. IT人材育成本部 産学連携推進センター Tel:03-5978-7536 Fax:03-5978-7516. Copyright@2013 IPA All Right Reserved.
(27)
関連したドキュメント
る、関与していることに伴う、または関与することとなる重大なリスクがある、と合理的に 判断される者を特定したリストを指します 51 。Entity
式目おいて「清十即ついぜん」は伝統的な流れの中にあり、その ㈲
テキストマイニング は,大量の構 造化されていないテキスト情報を様々な観点から
2021] .さらに対応するプログラミング言語も作
スキルに国境がないIT系の職種にお いては、英語力のある人材とない人 材の差が大きいので、一定レベル以
の総体と言える。事例の客観的な情報とは、事例に関わる人の感性によって多様な色付けが行われ
あれば、その逸脱に対しては N400 が惹起され、 ELAN や P600 は惹起しないと 考えられる。もし、シカの認可処理に統語的処理と意味的処理の両方が関わっ
英語の関学の伝統を継承するのが「子どもと英 語」です。初等教育における英語教育に対応でき
