Information-technology Promotion Agency, Japan
独立行政法人
情報処理推進機構
映像で知る情報セキュリティ
~新入社員教育編
~
Information-technology Promotion Agency, Japan
映像で知る情報セキュリティ 社内研修用教材
主な対象 主に組織内の情報セキュリティ教育担当者、PマークやISMSの事務局担当者、コンプ
ライアンス部門担当者、その他情報セキュリティの最新状況を入門的に理解したい方
概要
IPAが制作した情報セキュリティ啓発映像とプレゼン資料を活用して組織内の情報セ
キュリティ教育を行う方法を学ぶ。各テーマについて
10分程度の映像を上映し、セキュ
リティ上の脅威と対策についてポイントを絞った解説を行う。受講者が組織に持ち帰り、
メンバーの情報セキュリティ意識と対策知識に向けた教育を行えることを目指した実
践的コース。本コースでは下記テーマをとりあげる。
映像①
「ウイルスはあなたのビジネスもプライベートも狙っている!」
映像②
「あなたの組織が狙われている!-標的型攻撃 その脅威と対策-」
映像③ 「大丈夫?あなたのスマートフォン-安心・安全のためのセキュリティ-」
映像④
「あなたのスマートフォン、ウイルスが狙っている!」
映像⑤
「今 制御システムも狙われている! -情報セキュリティの必要性-」
映像⑥
「3つのかばん -新入社員が知るべき情報漏えいの脅威-」
映像⑦
「あなたの書き込みは世界中から見られている -適切なSNS利用の心得-」
時間
各コース
30分程度
Information-technology Promotion Agency, Japan
映像で知る情報セキュリティ 社内研修構成
社内研修講演の流れ(30分)
社内研修講演要領の説明
(例示)
「3つのかばん -新入社員が知
るべき情報漏えいの脅威-」
映像の再生
【講演資料】
対象テーマ
解説
11分
2分
12分
Q & A
5分
各社独自の解説
11分
3分
Q & A
3分
映像資料
講演資料
講演内容説明
1分
映像の再生
【講演資料】
対象テーマ
解説
社内研修モデルケース(30分)
12分
Information-technology Promotion Agency, Japan
1.はじめに
2.情報漏えいの3つの参考事例
3.対策のポイント
4
-1.キーロガーによるパスワード窃取
4
-2.アイコンの偽装・怪しいファイルの見分け方
5.参考資料
目次
Information-technology Promotion Agency, Japan
3つのかばん
-新入社員が知るべき情報漏えいの脅威-情報セキュリティ新人研修で机
上に並べられた3つのカバン。
その一つ一つを開くたびに、主
人公は組織には守るべき重要
な情報があることをまざまざと
知ることとなります。
ドラマ仕立ての本映像を通じて、
情報漏えいが起きる要因と、起
こさないための対策を理解して
いただきます。
1.はじめに
Information-technology Promotion Agency, Japan
映像をご覧ください
Information-technology Promotion Agency, Japan
2.情報漏えいの3つの参考事例
企業・組織では守るべき大事な情報があり、それらの情
報は十分注意して取り扱う必要があります。企業・組織で
取り扱う重要な情報をうっかり漏えいしてしまわないように
以下の3つのケースについて、それぞれ対策のポイントを
紹介しています。
○SNSへの公開による「業務上知りえた情報」の漏えい
○ウイルス感染による「顧客情報」の漏えい
○メールやFAXなどの誤送信による「営業秘密」の漏えい
Information-technology Promotion Agency, Japan
情報漏えいのケース①
○ウイルス感染による「顧客情報」の漏えい
届いた添付ファイル
付きのメールの中に
は、ウイルスファイル
が混入している場合
があります。
Information-technology Promotion Agency, Japan
○SNSへの公開による「業務上知りえた情報」
の漏えい
情報漏えいのケース②
業務上知りえた
情報は、許可なく
公開することを禁
じられています。
Information-technology Promotion Agency, Japan
○メールやFAXなどの誤送信による「営業秘密」の漏えい
情報漏えいのケース③
重要な情報を必要に
応じて、関係者にメー
ルなどで送信する場合
に、宛先を間違えると、
本来知られてはいけな
いところに情報が漏え
いすることになります。
Information-technology Promotion Agency, Japan
3.対策のポイント
-2.SNSへの公開による「業務上知りえた情報」の漏えい
-1.ウイルス感染による「顧客情報」の漏えい
-3.メールやFAXなどの誤送信による「営業秘密」の漏えい
●ウイルス対策ソフトの適切な活用
●セキュリティポリシーの遵守
情報漏えいのそれぞれのケースにおいて、以下のような
対策のポイントがあります。
Information-technology Promotion Agency, Japan
WindowsなどのOSに入り込み、キー入力やマウス
操作などを監視
表向きは起動しているように見えない。
タスクマネージャのプロセス画面には表示される場合が
ある
(表示されないものもある)。
レジストリ
※
を書き換えて、起動時に自動的に実行される
。
盗聴した情報はファイルに保存
しばらくの間、情報を収集した後に
ファイルを回収
あるいは、ネットワーク経由で送信
悪意ある人がリモートで収集
4.-1.「キーロガー」によるID/パスワード窃取
Information-technology Promotion Agency, Japan
「キーロガー」によるID/パスワード窃取(事例)
ネット銀行での不正送金被害
ネットショッピング
サイト運営者
悪意を持つ人
写真ではなく、スパイウェア
が添付されていた
ネット銀行の不正引き出し、
スパイウエア
が原因
オンラインショップの経営者へ商品の返品交換を要求する苦情メールが届いた。メールに添付さ
れていた商品の写真を開いたが、写真は存在しなかった。→ 添付ファイルをクリックした際、本人
が気づかないうちに、キーロガーと呼ばれるスパイウエアがインストールされた。
このキーロガーは、ネット銀行などへのアクセスを監視し、口座番号や暗証番号を犯人に送信。
犯人は、盗んだ情報を悪用して不正に引き出した。
Information-technology Promotion Agency, Japan
4.-2.-1アイコンの偽装
画像データファイルなどに見せかけてウイ
ルスプログラムをメール添付で送り付け、実行
させて被害に遭わせる手口などがあります。
また同様に、動画データなどに見せかけて
ウェブからダウンロードさせ、実は、ウイルスプ
ログラムであったというようなケースもあります。
被害に遭わないために、不審なサイトには近づかない、
安易なダウンロードはしないなどの他に、以下のような
設定、操作を行う。
1.フォルダオプションの「登録されている拡張子を表示
しない」ボックスのチェックを外す。
2.ファイルのプロパティを参照しファイルの種類がアイコ
ンの表示通りであるか確認する。
3.ファイルは出来る限りダブルクリックで開かない。
(プログラムから開くなどの操作メニューを使用する)
これらの偽装は、アイコンの改変だけでなく
以下のような手法も併用しており、騙されない
よう注意が必要です。
①ファイル名に「.」を入れ二重拡張子にする。
例) Message.txt.exe
登録されている拡張子を表示しない設定に
なっていると、拡張子は「.txt」のように見える
ため、テキストファイルであると思ってしまう。
②二重拡張子の後ろの「.」の前にたくさんの
「空白」を入れファイル名を最後まで表示させ
ないようにする。
例) お宝画像.zip たくさんの空白 .exe
表示は、 「お宝画像.zip ...」 と
紛らわしいものとなる。
Information-technology Promotion Agency, Japan
4.-2.-2怪しいファイルの見分け方
「表示」タブをクリック
Information-technology Promotion Agency, Japan
ファイルのプロパティを参照する
テキスト ドキュメント
を装っているが・・・
二重拡張子指定で、
実際はアプリケー
ションである
ファイルのプロパティの参照
Information-technology Promotion Agency, Japan
ファイルの開き方
ファイルはできる限りダブルクリックで開かない。
文書や表計算等のファイ
ルを開く場合は、右クリッ
クでメニューを表示させ
て、「プログラムから開く」
を選び、その中からその
Information-technology Promotion Agency, Japan
映像で知る情報セキュリティ(DVD-ROM)
Information-technology Promotion Agency, Japan
Information-technology Promotion Agency, Japan
IPA対策のしおり他
Information-technology Promotion Agency, Japan