Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
教師・教育支援者のための情報セキュリティ第九回
Search
sonodam
January 10, 2019
Education
0
41
教師・教育支援者のための情報セキュリティ第九回
2018年度東京学芸大学
情報漏洩
2018年12月20日および2019年1月10日全二回
sonodam
January 10, 2019
Tweet
Share
More Decks by sonodam
See All by sonodam
オンラインを活かすセキュリティ人材育成
sonodam
0
40
教師・教育支援者のための情報セキュリティ第十三回
sonodam
0
60
教師・教育支援者のための情報セキュリティ第十二回
sonodam
0
69
教師・教育支援者のための情報セキュリティ第十一回
sonodam
1
54
教師・教育支援者のための情報セキュリティ第八回
sonodam
0
49
教師・教育支援者のための情報セキュリティ第七回
sonodam
0
87
教師・教育支援者のための情報セキュリティ第六回
sonodam
0
53
教師・教育支援者のための情報セキュリティ第五回
sonodam
0
53
教師・教育支援者のための情報セキュリティ第三回
sonodam
0
140
Other Decks in Education
See All in Education
高可用性システム構築 - Oracle Data Guard基本編
oracle4engineer
PRO
2
1.1k
Information Architectures - Lecture 2 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1.1k
Analysis and Validation - Lecture 4 - Information Visualisation (4019538FNR)
signer
PRO
0
1.4k
Railsチュートリアルの歩き方 (第7版)
yasslab
PRO
1
1M
執筆テーマの決め方
sapi_kawahara
1
180
財務分析 - 入門編
lsuzuki
0
370
情報Iの「縦糸」と「横糸」を意識したプログラム教育の実践
asial_edu
0
200
人生の転機からチャンスを掴む「シュロスバーグの4Sモデル」/4s-models
yuko_yokouchi
2
720
キャリアと組織の成長塾#1 アスリートからエンジニアの道へ
takashi_toyosaki
2
750
Gesture-based Interaction - Lecture 8 - Next Generation User Interfaces (4018166FNR)
signer
PRO
0
1.2k
全員参加型で会社を強くしていく活動を考えてみる
ikefukurou777
0
210
20240319AJG
tosseto
0
300
Featured
See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
125
32k
Code Review Best Practice
trishagee
55
15k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
20
1.9k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
30
6k
VelocityConf: Rendering Performance Case Studies
addyosmani
320
23k
The MySQL Ecosystem @ GitHub 2015
samlambert
243
12k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
352
28k
Embracing the Ebb and Flow
colly
80
4.1k
Happy Clients
brianwarren
92
6.4k
Why You Should Never Use an ORM
jnunemaker
PRO
51
8.6k
Documentation Writing (for coders)
carmenintech
60
3.9k
Transcript
教師・教育支援者の ための 情報セキュリティ 第九回:情報漏洩 園田道夫
情報漏洩の原因 以降の図も含めhttp://www.jnsa.org/result/incident/data/2013incident_survey_ver1.2.pdfより引用
事例1:事件の概要 • 帰宅後仕事しようと思って、個人情 報を印刷した紙の書類を鞄に入れて 持ち帰った • 車で帰宅する途中、所用で寄り道し たら車上荒らしに遭い、鞄ごと盗ま れた •
発覚後、漏洩した情報の悪用は認め られない
なにが悪かったのか? • 帰宅後仕事しようと思って • 個人情報を印刷 • 鞄に入れて持ち帰った • 車で帰宅 •
所用で寄り道 • 車上荒らしに遭い • 鞄ごと盗まれた
ルールはあっても漏洩する • 「個人情報の持ち出しは一切 禁止」 • 「個人情報の持ち出しは原則 禁止。やむを得ず持ち出す場 合は、上長の許可を得ること。 使用後は速やかに持ち帰り、 元の場所に保管すること」
影響? • 悪用が認められない? • 悪用が認められるというのは どんなときか? • 上記スペックをちゃんと伝え ているか?
質問
まずどういう対策 をすれば良いか? & 再発防止?
ミスが多い傾向は変わらないが
インパクトは電子データ
件数は紙の紛失や管理ミス
事例2:事件の概要 • 突然、ハッカー集団に「情報を 盗み出した」と宣言された • Webサービス経由盗み出され た? –他の手法? • 悪用の確認は多すぎて不可能?
誰が、よりも今どうするか • 被害拡大を防ぐ暫定措置が重要 • サービスを継続するか? • 止め方?再開する?
「わたしは被害に遭ったのか?」 • 真の被害者は誰か? • 被害はどこまで? • 後処理として必要なもの、作 業? –誰が負担を強いられるのか –どこまで軽減できるのか
原因調査 • 大量のログから何を読み取るか? 192.168.1.5 - - [17/May/2011:10:55:51 +0900] "GET /test.php?author='or+author+is+null--
HTTP/1.1" 200 1182 "http://192.168.1.61/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en- US) AppleWebKit/534.16 (KHTML, like Gecko) Iron/10.0.650.0 Chrome/10.0.650.0 Safari/534.16" ダウンロードした データ量 5428377 "http://192.168.1.61/"
不正アクセスの調査 • すべてのデータに改ざんの可能性 • ログのチェック –量の変化 • 侵入検知システム(IDS) • 検知システム+防御:Webアプリ
ケーションファイアウォール (WAF) –ログ取得システムとしても使える
質問
お客さんが納得する再発防止策 • ほんとうにそれで予防、再発防止 できるのか? –「穴」を正しく認識し、塞げたの か? • 安心して付き合いを再開できるの か?
ルールを決めたはいいけれど • 漏洩はルール違反から始まっている • なぜ違反してしまうのか? 持ち出し、持ち込みルールの要件 ①情報資産の重要度分類などに応じた「持ち出し」の制限 ②「持ち出し」「持ち込み」の手順(「持ち出し」「持ち込 み」の承認や記録など) ③「持ち込み」を許可する私物機器・媒体や、持ち込んだ場合
の管理方法(電子ファイルを「持ち込む」場合はウイルス チェックを行う。持ち込んだ私物のパソコンは、それ単体での 利用は許可するが、社内ネットワークには接続させないなど)
事例:「先生は危機感不足」の封書、 中から紛失USB • 岡山県奈義町教委は9日、町立奈義小学校の30歳代女性教諭が201 2年4月、児童の個人情報が入った個人所有のUSBメモリーを紛失して いたと発表した。 • 今月8日にUSBが町教委に郵送され、紛失の事実が判明。同小校長は 事実を町教委に伝えていなかった。今のところ、悪用された形跡はないと いう。
• 町教委によると、女性教諭は12年4月下旬、2008~12年度に勤 務した美咲町や鏡野町の小学校や奈義小の児童計228人の名前や電話番 号、成績などが入ったUSBを紛失したことに気付き、校長に報告して校 内などを探したが見つからなかった。教諭は職員室の机の中に保管してい ると思っていたが、自宅に時々持ち帰っていたという。 • 紛失したUSBは「1住民」と書かれた封書で届き、「先日拾って、中 身を確認したが、小学校のものではないか。個人情報を扱う先生として危 機感が不足しているのではないか」などと指摘する手紙が同封されていた。 • 笠木義孝教育長は「情報管理検討会議を設置して検証し、校内の情報管 理体制の見直しや再発防止の研修を実施したい」と話している。 • (2014年1月10日08時09分 読売新聞)
違反の背景 • 仕事だから良いだろう • 出張なので仕方がない • 商売取れれば文句はないだろう • ウイルススキャンしてからなら 大丈夫だろう
• 家族と別アカウントなので大丈 夫だろう
リテラシー?
リテラシーは魔法の言葉 • リテラシー向上という名の根性論 • 「リテラシー向上」=「怪しいかどうか 判別できる目、知識を持て」 • 「リテラシー向上」=「ミスしない確実 さを身につけろ」
背景の背景 • 守れるルールだったのか? • 会社の外で仕事をしない、ということが 可能なのか? • 持ち出さない、ということが可能なの か? •
ニーズを圧殺していないか? • 代替案を用意していないのではないか? 放置自転車の理論
適切なルールとは • ルール違反が検知できる • ルール違反の事実を、あとで確 認できる • そのルールが業務実態に即して いる –駐輪場の論理
ルール違反とは • アクセス制御ポリシーを越える • 手続きをスキップする どうせわからないだろう、 と思うからやる
質問
持ち出し禁止 持ち出したときに安全 に使っているか? ルール違反検知?
ルール違反の検知の例 • 違反持ち出しの検知 – 電子データのコピー管理(サーバー管理、 DRM、媒体コピー管理) – 紙の場合? • 持ち出しルール違反の検知
– 電子データのコピー管理 – 抜き打ちチェック(そこに存在するか?) – サーバーのログ – 紙の場合?
ミスできない仕組み • 持ち出せない • コピーできない • USBメモリ挿さないと重要情報格 納場所にアクセスできない • Webブラウザのキャッシュすら
残せない(→内部犯行対策)
質問
大事な情報ってど んな情報のことを 言うのか?& 個人情報は大事?
事例:尖閣諸島ビデオ漏洩事件 • 政府は「公開」か「非公開」かを 迷っていた衝突ビデオ映像 • ある日、sengoku38というIDでYoutube に投稿されてしまった • のちにYoutubeのアカウントごと映像 は削除されたが、インターネットに
広く伝播してしまった・・・
流出経緯 • 映像は教材に用いるため、東京の海 上保安庁経由、広島の大学校に送付 • 誤って共有フォルダに格納 • 巡視船の共用パソコンから閲覧、ダ ウンロード保存 •
公用USBメモリにコピーし持ち出し
事例:公安情報漏洩事件 • 警視庁公安部外事3課の内部資料が Winnyネットワークにばらまかれた • 多様なキーワードを持つファイル名 • ルクセンブルクのサーバー経由 • 1時間のみ存在したノード
• PDFファイルは作成されてから半年
流出経緯? • 暴露ウイルスではない –ウイルスそのものが検出されない • PDFファイル • ノードの不審な動き • →ログを押収、解析中か
事例:ベネッセ • 漏えいが確定した件数:約760万件 • 男性が持ち出した件数:約2,300万件(約2,260万件が発表され ていたがこれとは重ならない約40万件が存在) – 2014年6月17日持ち出し:638万件 – 2014年6月27日持ち出し:約1,880万件
– 重複分含むと述べ約2億300万件 • 漏えい時期:2013年末頃~2014年6月17日(コピーは6月27日 も行われた) • 漏えいした回数:約20回 • 漏えい対象:全国の1993年1月1日~2013年12月31日に生まれ た子供・保護者の情報が含まれる。 • 件数は全て1世帯を1件としてカウントしている。 – 1件当たり保護者1名、子供1名の情報が含まれる。 – 漏えい1件について最低でも2人の情報が漏えいしている。 • http://d.hatena.ne.jp/Kango/20140709/1404925032より 引用
事例:ベネッセ(漏洩情報) • 保護者氏名(漢字・フリガナ) • 子供氏名(漢字・フリガナ) • 子供生年月日 • 子供性別 •
郵便番号 • 住所 • 電話番号(固定電話、または携帯電話) • 出産予定日(一部サービス利用者のみ) • メールアドレス(一部サービス利用者のみ)
事例:ベネッセ (犯人のプロファイル) • システムエンジニア、39歳、男性、転職2回 • 東京都府中市在住 • 家族4人、当初借金が300万ほどあり生活苦だった • 現在の借金が170万(内ギャンブル分は約60万円)に減っていた
• 解雇直前の月給は約38万円、内11万円を借金返済 • 約20年のベテラン、他の派遣社員の指導的立場 • 2012年1月委託元企業に就職 • 2012年4月からシンフォームに委託社員として勤務 • シンフォーム東京支社(東京都多摩市の事業所)に出入り • シンフォームのDB保守管理業務再委託先の1社から委託 • 顧客データベースの開発に関与、設計通り動くかチェックを 担当
事例:ベネッセ • 莫大な対応コスト • 金券500円炎上 • 原因?→スマフォ充電を行おうと貸与PC に接続した際にデータ移行が可能なこと に気づく –
むしろ対策はしっかりしていた方だった • 最終連結損益20億円 • 希望退職300人(全正社員2万人)
事例:ベネッセ • また、顧客情報を流用したのはIT事業者であり、通信教育事業 を手掛けるジャストシステムであると共同通信が報じた。ちな みにジャストシステムへ名簿を提供したのは東京都福生市の名 簿業者の文献社と報じられており、文献社の説明によると、東 京都内の別の名簿業者から2014年4月下旬~5月ごろに購入した とされる。なおジャストシステムは7月10日、「当社がベネッ セコーポレーションから流出した情報と認識したうえで、これ を利用したという事実は一切ございません」と、否定したが、
ダイレクトメールに使用した名簿を文献社から購入したか述べ ていない。また、文献社によると、文献社とジャストシステム はデータの出所が不明であると把握しており、両社ともベネッ セのデータとは知らなかったとしている。 • さらに、文献社に販売した東京都武蔵野市のパン・ワールドも 「別の業者から買った」と述べた。 • http://ja.wikipedia.org/wiki/%E3%83%99%E3%83%8D%E3 %83%83%E3%82%BB%E5%80%8B%E4%BA%BA%E6%83%8 5%E5%A0%B1%E6%B5%81%E5%87%BA%E4%BA%8B%E4% BB%B6より引用
事例:個人情報漏えい1億件、 過去最悪の規模=韓国 • 韓国の昌原地検特捜部は8日、クレジットカード会社3 社の顧客の個人情報1億400万件を漏えいしたとして、 情報通信民法ならびに信用情報法違反の容疑で、信用調査 会社の社員と広告代理店の社長を逮捕、起訴したと発表し た。個人情報の流出事故としては過去最悪となる。複数の 韓国メディアが報じた。 社員は2012年5月から13年12月まで、カード紛
失・変造探知システム開発プロジェクトを担当した際、ク レジットカード会社の顧客情報をUSBメモリーに記録し、 不正に入手。広告代理店の社長に2650万ウォン(約2 60万円)で売却した。 流出したのはカード3社に会員登録されていた1億40 0万件(NHカード2500万件、KBカード5300万 件、ロッテカード2600万件)の名前、携帯電話、住所、 クレジットカードの使用明細など。社員は、業務で電算シ ステムのセキュリティが解除されることを悪用していた。 http://headlines.yahoo.co.jp/hl?a=20140109-00000236-scn-krより引用
質問
内部犯行対策?
ルール違反対策 • 権限の集中を避ける(実態とし て) • 現実的なアクセス制御 • アクセスの記録を残す • ルールに応じた設定を強制する
=ルール不要
職場環境、評価の影響 • 休めてるか? • 劣悪な環境ではないか? • 仕事に関係した研修を十分に受けられているか? • 特定の人に負荷が集中してないか? •
上司や同僚との関係は良好か? • 社内で自分はちゃんと評価されているか? • きちんとセキュリティポリシーが定められて、それ に沿って仕事のやり方が具体的に定義されている か? • 企業理念が示されているか? • 社内マナーは良いか? • みんな本音で話せているような環境か? 「内部不正対策14の論点」JNSAのWG著より引用
組織への帰属意識 • 愛着要素 :組織に対する情緒的な愛着 • 内在化要素:組織のために尽力したいと いう意識 • 規範的要素:周囲の目が気になり、辞め るべきではないという意識
• 存続的要素:辞めることに伴うコストに よる帰属意識
まとめ • ルールと違反検知 • 組織環境と帰属意識
レポートについて • 期末レポート提出先 – 宛先:
[email protected]
– +学芸Web?のメール • レポートのテーマは、これからやる講義 の中で興味を持ったテーマor情報セキュ
リティに関わる何か • これまでに使ったパワポは今週中に公開 します&お知らせします@ポータル • 自分ならそれをどう思うか、そして学生、 生徒にどう教えるかをまとめて下さい 49
終