教師・教育支援者のための情報セキュリティ第九回

教師・教育支援者のための情報セキュリティ第九回：情報漏洩園田道夫

情報漏洩の原因以降の図も含めhttp://www.jnsa.org/result/incident/data/2013incident_survey_ver1.2.pdfより引用

事例１：事件の概要 • 帰宅後仕事しようと思って、個人情報を印刷した紙の書類を鞄に入れて持ち帰った • 車で帰宅する途中、所用で寄り道したら車上荒らしに遭い、鞄ごと盗まれた •
発覚後、漏洩した情報の悪用は認められない

なにが悪かったのか？ • 帰宅後仕事しようと思って • 個人情報を印刷 • 鞄に入れて持ち帰った • 車で帰宅 •
所用で寄り道 • 車上荒らしに遭い • 鞄ごと盗まれた

ルールはあっても漏洩する • 「個人情報の持ち出しは一切禁止」 • 「個人情報の持ち出しは原則禁止。やむを得ず持ち出す場合は、上長の許可を得ること。使用後は速やかに持ち帰り、元の場所に保管すること」

影響？ • 悪用が認められない？ • 悪用が認められるというのはどんなときか？ • 上記スペックをちゃんと伝えているか？

質問

まずどういう対策をすれば良いか？＆再発防止？

ミスが多い傾向は変わらないが

インパクトは電子データ

件数は紙の紛失や管理ミス

事例２：事件の概要 • 突然、ハッカー集団に「情報を盗み出した」と宣言された • Webサービス経由盗み出された？ –他の手法？ • 悪用の確認は多すぎて不可能？

誰が、よりも今どうするか • 被害拡大を防ぐ暫定措置が重要 • サービスを継続するか？ • 止め方？再開する？

「わたしは被害に遭ったのか？」 • 真の被害者は誰か？ • 被害はどこまで？ • 後処理として必要なもの、作業？ –誰が負担を強いられるのか –どこまで軽減できるのか

原因調査 • 大量のログから何を読み取るか？ 192.168.1.5 - - [17/May/2011:10:55:51 +0900] "GET /test.php?author='or+author+is+null--
HTTP/1.1" 200 1182 "http://192.168.1.61/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en- US) AppleWebKit/534.16 (KHTML, like Gecko) Iron/10.0.650.0 Chrome/10.0.650.0 Safari/534.16" ダウンロードしたデータ量 5428377 "http://192.168.1.61/"

不正アクセスの調査 • すべてのデータに改ざんの可能性 • ログのチェック –量の変化 • 侵入検知システム（IDS） • 検知システム＋防御：Webアプリ
ケーションファイアウォール（WAF） –ログ取得システムとしても使える

質問

お客さんが納得する再発防止策 • ほんとうにそれで予防、再発防止できるのか？ –「穴」を正しく認識し、塞げたのか？ • 安心して付き合いを再開できるのか？

ルールを決めたはいいけれど • 漏洩はルール違反から始まっている • なぜ違反してしまうのか？持ち出し、持ち込みルールの要件 ①情報資産の重要度分類などに応じた「持ち出し」の制限 ②「持ち出し」「持ち込み」の手順（「持ち出し」「持ち込み」の承認や記録など） ③「持ち込み」を許可する私物機器・媒体や、持ち込んだ場合
の管理方法（電子ファイルを「持ち込む」場合はウイルスチェックを行う。持ち込んだ私物のパソコンは、それ単体での利用は許可するが、社内ネットワークには接続させないなど）

事例：「先生は危機感不足」の封書、中から紛失ＵＳＢ • 岡山県奈義町教委は９日、町立奈義小学校の３０歳代女性教諭が２０１２年４月、児童の個人情報が入った個人所有のＵＳＢメモリーを紛失していたと発表した。 • 今月８日にＵＳＢが町教委に郵送され、紛失の事実が判明。同小校長は事実を町教委に伝えていなかった。今のところ、悪用された形跡はないという。
• 町教委によると、女性教諭は１２年４月下旬、２００８～１２年度に勤務した美咲町や鏡野町の小学校や奈義小の児童計２２８人の名前や電話番号、成績などが入ったＵＳＢを紛失したことに気付き、校長に報告して校内などを探したが見つからなかった。教諭は職員室の机の中に保管していると思っていたが、自宅に時々持ち帰っていたという。 • 紛失したＵＳＢは「１住民」と書かれた封書で届き、「先日拾って、中身を確認したが、小学校のものではないか。個人情報を扱う先生として危機感が不足しているのではないか」などと指摘する手紙が同封されていた。 • 笠木義孝教育長は「情報管理検討会議を設置して検証し、校内の情報管理体制の見直しや再発防止の研修を実施したい」と話している。 • （2014年1月10日08時09分読売新聞）

違反の背景 • 仕事だから良いだろう • 出張なので仕方がない • 商売取れれば文句はないだろう • ウイルススキャンしてからなら大丈夫だろう
• 家族と別アカウントなので大丈夫だろう

リテラシー？

リテラシーは魔法の言葉 • リテラシー向上という名の根性論 • 「リテラシー向上」＝「怪しいかどうか判別できる目、知識を持て」 • 「リテラシー向上」＝「ミスしない確実さを身につけろ」

背景の背景 • 守れるルールだったのか？ • 会社の外で仕事をしない、ということが可能なのか？ • 持ち出さない、ということが可能なのか？ •
ニーズを圧殺していないか？ • 代替案を用意していないのではないか？放置自転車の理論

適切なルールとは • ルール違反が検知できる • ルール違反の事実を、あとで確認できる • そのルールが業務実態に即している –駐輪場の論理

ルール違反とは • アクセス制御ポリシーを越える • 手続きをスキップするどうせわからないだろう、と思うからやる

質問

持ち出し禁止持ち出したときに安全に使っているか？ルール違反検知？

ルール違反の検知の例 • 違反持ち出しの検知 – 電子データのコピー管理（サーバー管理、 DRM、媒体コピー管理） – 紙の場合？ • 持ち出しルール違反の検知
– 電子データのコピー管理 – 抜き打ちチェック（そこに存在するか？） – サーバーのログ – 紙の場合？

ミスできない仕組み • 持ち出せない • コピーできない • USBメモリ挿さないと重要情報格納場所にアクセスできない • Webブラウザのキャッシュすら
残せない（→内部犯行対策）

質問

大事な情報ってどんな情報のことを言うのか？＆個人情報は大事？

事例：尖閣諸島ビデオ漏洩事件 • 政府は「公開」か「非公開」かを迷っていた衝突ビデオ映像 • ある日、sengoku38というIDでYoutube に投稿されてしまった • のちにYoutubeのアカウントごと映像は削除されたが、インターネットに
広く伝播してしまった･･･

流出経緯 • 映像は教材に用いるため、東京の海上保安庁経由、広島の大学校に送付 • 誤って共有フォルダに格納 • 巡視船の共用パソコンから閲覧、ダウンロード保存 •
公用USBメモリにコピーし持ち出し

事例：公安情報漏洩事件 • 警視庁公安部外事3課の内部資料が Winnyネットワークにばらまかれた • 多様なキーワードを持つファイル名 • ルクセンブルクのサーバー経由 • 1時間のみ存在したノード
• PDFファイルは作成されてから半年

流出経緯？ • 暴露ウイルスではない –ウイルスそのものが検出されない • PDFファイル • ノードの不審な動き • →ログを押収、解析中か

事例：ベネッセ • 漏えいが確定した件数：約760万件 • 男性が持ち出した件数：約2,300万件(約2,260万件が発表されていたがこれとは重ならない約40万件が存在) – 2014年6月17日持ち出し：638万件 – 2014年6月27日持ち出し：約1,880万件
– 重複分含むと述べ約2億300万件 • 漏えい時期：2013年末頃～2014年6月17日(コピーは6月27日も行われた) • 漏えいした回数：約20回 • 漏えい対象：全国の1993年1月1日～2013年12月31日に生まれた子供・保護者の情報が含まれる。 • 件数は全て1世帯を1件としてカウントしている。 – 1件当たり保護者1名、子供1名の情報が含まれる。 – 漏えい1件について最低でも2人の情報が漏えいしている。 • http://d.hatena.ne.jp/Kango/20140709/1404925032より引用

事例：ベネッセ（漏洩情報） • 保護者氏名(漢字・フリガナ) • 子供氏名(漢字・フリガナ) • 子供生年月日 • 子供性別 •
郵便番号 • 住所 • 電話番号(固定電話、または携帯電話) • 出産予定日(一部サービス利用者のみ) • メールアドレス(一部サービス利用者のみ)

事例：ベネッセ（犯人のプロファイル） • システムエンジニア、39歳、男性、転職2回 • 東京都府中市在住 • 家族4人、当初借金が300万ほどあり生活苦だった • 現在の借金が170万(内ギャンブル分は約60万円)に減っていた
• 解雇直前の月給は約38万円、内11万円を借金返済 • 約20年のベテラン、他の派遣社員の指導的立場 • 2012年1月委託元企業に就職 • 2012年4月からシンフォームに委託社員として勤務 • シンフォーム東京支社(東京都多摩市の事業所)に出入り • シンフォームのDB保守管理業務再委託先の1社から委託 • 顧客データベースの開発に関与、設計通り動くかチェックを担当

事例：ベネッセ • 莫大な対応コスト • 金券500円炎上 • 原因？→スマフォ充電を行おうと貸与PC に接続した際にデータ移行が可能なことに気づく –
むしろ対策はしっかりしていた方だった • 最終連結損益20億円 • 希望退職300人（全正社員2万人）

事例：ベネッセ • また、顧客情報を流用したのはIT事業者であり、通信教育事業を手掛けるジャストシステムであると共同通信が報じた。ちなみにジャストシステムへ名簿を提供したのは東京都福生市の名簿業者の文献社と報じられており、文献社の説明によると、東京都内の別の名簿業者から2014年4月下旬～5月ごろに購入したとされる。なおジャストシステムは7月10日、「当社がベネッセコーポレーションから流出した情報と認識したうえで、これを利用したという事実は一切ございません」と、否定したが、
ダイレクトメールに使用した名簿を文献社から購入したか述べていない。また、文献社によると、文献社とジャストシステムはデータの出所が不明であると把握しており、両社ともベネッセのデータとは知らなかったとしている。 • さらに、文献社に販売した東京都武蔵野市のパン・ワールドも「別の業者から買った」と述べた。 • http://ja.wikipedia.org/wiki/%E3%83%99%E3%83%8D%E3 %83%83%E3%82%BB%E5%80%8B%E4%BA%BA%E6%83%8 5%E5%A0%B1%E6%B5%81%E5%87%BA%E4%BA%8B%E4% BB%B6より引用

事例：個人情報漏えい１億件、過去最悪の規模＝韓国 • 韓国の昌原地検特捜部は８日、クレジットカード会社３社の顧客の個人情報１億４００万件を漏えいしたとして、情報通信民法ならびに信用情報法違反の容疑で、信用調査会社の社員と広告代理店の社長を逮捕、起訴したと発表した。個人情報の流出事故としては過去最悪となる。複数の韓国メディアが報じた。社員は２０１２年５月から１３年１２月まで、カード紛
失・変造探知システム開発プロジェクトを担当した際、クレジットカード会社の顧客情報をＵＳＢメモリーに記録し、不正に入手。広告代理店の社長に２６５０万ウォン（約２６０万円）で売却した。流出したのはカード３社に会員登録されていた１億４００万件（ＮＨカード２５００万件、ＫＢカード５３００万件、ロッテカード２６００万件）の名前、携帯電話、住所、クレジットカードの使用明細など。社員は、業務で電算システムのセキュリティが解除されることを悪用していた。 http://headlines.yahoo.co.jp/hl?a=20140109-00000236-scn-krより引用

質問

内部犯行対策？

ルール違反対策 • 権限の集中を避ける（実態として） • 現実的なアクセス制御 • アクセスの記録を残す • ルールに応じた設定を強制する
＝ルール不要

職場環境、評価の影響 • 休めてるか？ • 劣悪な環境ではないか？ • 仕事に関係した研修を十分に受けられているか？ • 特定の人に負荷が集中してないか？ •
上司や同僚との関係は良好か？ • 社内で自分はちゃんと評価されているか？ • きちんとセキュリティポリシーが定められて、それに沿って仕事のやり方が具体的に定義されているか？ • 企業理念が示されているか？ • 社内マナーは良いか？ • みんな本音で話せているような環境か？「内部不正対策14の論点」JNSAのWG著より引用

組織への帰属意識 • 愛着要素：組織に対する情緒的な愛着 • 内在化要素：組織のために尽力したいという意識 • 規範的要素：周囲の目が気になり、辞めるべきではないという意識
• 存続的要素：辞めることに伴うコストによる帰属意識

まとめ • ルールと違反検知 • 組織環境と帰属意識

レポートについて • 期末レポート提出先 – 宛先：[email protected] – ＋学芸Web？のメール • レポートのテーマは、これからやる講義の中で興味を持ったテーマor情報セキュ
リティに関わる何か • これまでに使ったパワポは今週中に公開します＆お知らせします＠ポータル • 自分ならそれをどう思うか、そして学生、生徒にどう教えるかをまとめて下さい 49

教師・教育支援者のための情報セキュリティ第九回

教師・教育支援者のための情報セキュリティ第九回

More Decks by sonodam

Other Decks in Education

Featured

Transcript