スライド pa.go.jp.pptVIP

* * * * * * * * * * * * * * * * * * 出典：　情報セキュリティ読本　三訂版　 情報セキュリティ読本　三訂版 出典：　情報セキュリティ読本　三訂版　 * 情報セキュリティ読本　三訂版　　　- IT時代の危機管理入門 - （第2章 情報セキュリティの基礎） * 第2章　情報セキュリティの基礎 情報セキュリティとは 外部のリスク要因 内部のリスク要因 情報リテラシーと情報倫理 * 1. 情報セキュリティとは 1） 情報セキュリティの基本概念 機密性 完全性 可用性 2） 情報資産とリスク?インシデント 情報資産 リスクとインシデント リスクの要因 第2章 * 1） 情報セキュリティの基本概念 正当な権利をもつ個人や組織が、情報やシステムを意図通りに制御できること ◆機密性：アクセスを認可された者だけが、情報にアクセス 　　　　　　　 できるようにすること ◆完全性：情報や情報の処理方法が正確で完全であるように 　　　　　　　 すること ◆可用性：許可された者が、必要な時に、情報や情報資産に 　　　　　　　 アクセスできることを確実にすること 情報の機密性、完全性及び可用性を維持すること （情報セキュリティマネジメントシステムの国際標準であるISO/IEC27002の定義） 第2章 1. 情報セキュリティとは * 2） 情報資産とリスク?インシデント 情報資産 財務情報、顧客情報、技術情報 等 システム（ハードウェア、ソフトウェア）、ネットワーク、データ、ノウハウなどさまざまな形 リスク 情報資産が損なわれる可能性（内的、外的な要因がある） インシデント 実際に、情報資産が損なわれてしまった状態 第2章 1. 情報セキュリティとは * ◆ 情報 　　（紙、電子媒体、ネットワーク上） 　　財務情報、人事情報、顧客情報、 　　戦略情報、技術情報 等 ◆ 情報システム 　　コンピュータ（パソコン、サーバ、 　　汎用機）、 ネットワーク、通信設備 ◆ 社会的信用 守るべきもの リスクの要因 第2章 1. 情報セキュリティとは 2） 情報資産とリスク?インシデント （脅威） ?ハードウェア * 2. 外部のリスク要因 1） マルウェア 2） 外部からの侵入（不正アクセス） 攻撃用ツール 不正行為の種類 3） サーバへの攻撃（サービス妨害） DDoS攻撃 メール攻撃 第2章 * 1） マルウェア ウイルス、スパイウェア、ボットなどの不正プログラムを総称して「マルウェア」という ウイルスは1997年頃から増加し、2005年にピークを迎え、それ以降は減少傾向 感染の兆候が見えにくいのが最近の特徴 ウイルスの届出状況は、IPAセキュリティセンターのWebページに毎月掲載 　コンピュータウイルスの届出状況　 　 http://www.ipa.go.jp/security/txt/list.html 第2章 2. 外部のリスク要因 * 2） 外部からの侵入（不正アクセス） 攻撃用ツール スニファツール（ネットワークを盗聴） ポートスキャンツール（ポートの状態を調査） パスワードクラッキングツール（パスワードを破る） 侵入は次の4段階で行われる 事前調査 権限取得 不正実行 後処理 第2章 2. 外部のリスク要因 ?侵入の詳細は、第5章 p.82-83参照 インターネット上の不正アクセスは、 攻撃用ツールやマルウェアにより行われるのが一般的 * 2） 外部からの侵入（不正アクセス） 不正行為 内　容 情報漏えい パソコン内の任意の情報を、情報の所有者の意図に反し、 インターネット上に漏えいさせる。 P2Pネットワークへ漏えいした情報は回収が困難。 盗聴 ネットワーク上のデータや保存データを不正に入手。情報窃盗。 （例）?パスワードの盗用　　?企業データの漏えい 　　　?個人データ（メール、日記など）の盗み見 改ざん データを書き換え。（例）?Webページの改ざん、設定書換え なりすまし 別の個人を装い、さまざまな行為を行う。 （例）?ID、パスワードを盗み出し、正当なユーザーに見せかけ侵入 　　　?他人のクレジットカードでショッピング 破壊 　　データやプログラムの削除、ハードディスクの初期化など。 第2章 2. 外部のリスク要因 　不正行為の種類（1） * 2） 外部からの侵入（不正アクセス） 不正行為 内　容 コンピュータ不正使用 コンピュータを不正に使用する。 （例）?コンピュータを遠隔地から操作 不正プログラムの埋め込み 不正プログラムには、ユーザの知らない間に情報を入手して　　外部へ送信したり、ファイルを破壊するなどのさまざまな 悪さをするものがある。これらの不正プログラムを埋め込む。