湯沢WS 三日目(3)
敬称略.生ログなので,誤字脱字,勘違い,間違いがあるかと思いますが,ご容赦を.気付いたら,随時更新します.湯沢 WS のログは,今回で最終回です.
ネットワークセキュリティの技術と監査ポイント
河端宇一郎 情報システムコントロール協会(ISACA) 東京支部 CISM 担当理事
新日本監査法人 アドバイザリサービス本部システム監査
2005/10/08 11:00-
企業個々に定めなければダメ.自身のことを書いてある企業は少ない.
リスク:BS7799 の式では,リスク=ビジネスインパクト×発生率まちまち.固有のリスク
リスクとして残っていく財務のリスクを調べることが脆弱性.セキュリティが利便性とのトレードオフと言われているがこれは全く違い.
セキュリティの一つの要件に過ぎない.いろいろなシステムの要件をとる.0 か1というものではない.
ポリシーがないのに対策を行うというのはよくない.免震構造は投資の金額がかかる.免震であるかどうでもよく,地震に耐えられるかどうかが問題.震度 5 に耐えられるものではなかった.
コモンクライテリアでは,Identification, AUthentification.まず,個人識別.操作者権限のランク.カードのみで,個人識別がないものもある.全くのナンセンス.管理者に許可を得て使うようにし,普段は使わないということが必要.
本人確認(authentication).一般にはパスワード,カード持ってる,バイオメトリックス.
他人受け入れ率
本人拒否率
他人受け入れ率が上がってしまう調節ができる製品がある.信じられない.
スタンダードがない.メーカーが発表したものを信頼しなければならない.
暗号による認証.ネットワークでは相手を認証.パケットについては,鍵の交換とパケットの認証.
クローズドシステム:VPNや閉域接続.
アクセスコントロール
ファイアウォール:米国はファイアウォールを設置しているところで,40% が破られ,70% にセキュリティホール.
メッセージの暗号化
ネットワークセキュリティ技術.ファイアウォール.サーキットゲートウェイというのもあった.
・Packet Filtering
・Application Gateway
管理が大変.知識が必要.
・UDPアプリ対応
・VPN, DMZ 対応
リモートアクセス
ユーザ認証
・PPP
- PAP
- CHAP
- チャレンジレスポンス方式
- カウンタ同期方式
- タイム同期方式
暗号・認証製品
・製品の多様化
・問題点
- インタオペラビリティがなかなか実現できない.
- DES(56bit)をEFFが22 時間で破った(PC, 解読ソフト,64ASIC)
- 2Key3DES(112bit), 3Key3DES(168bit)の輸出規制
PKI
デジタル証明書:公開鍵,所有者情報,CA 情報,CA の署名
認証局(CA),発行局(IA),登録局(RA)
証明書失効リスト(CRL),認証局失効リスト(ARL)
証明書ポリシ(CP):X.509 V3
認証局運用規定(CPS): ABA1 "Digital Signature Guideline"
監査基準:
AICPA/CICA "WebTrust Program for CA"
ABA2 "PKI Assesment Guideline" 膨大な資料
侵入検知システム(IDS)
・ネットワークベース
・ホストベース
ファイルの変更検知など
IDS のタイプ
侵入予防システム(IPS)
「通常,シャニングの形で IDS に組み込まれている」
その他のネットワークセキュリティ製品:トレンドは,ASIC 化による高速化,各種機能の統合化
Ⅱ.インターネットセキュリティ監査のポイント
接続,ネットワーク.まず,ポート.調査に行くと,使っていないポートがたくさん開いている.業務上要らないポートは閉める.攻撃方法がわからないものは仕方がないが,既知の物は攻撃される.セグメンテイションを行う.ペリメータをしっかりチェック管理する.ファイアウォール,ルータ,ログ自身のアクセスコントロール
OS,プラットフォール.事務室からサーバにアクセスできるということがよくあるが,システムコンソールについては十分なアクセスコントロールが必要.
ある銀行ではパスワードは暗号化...(何言ってんのかわからない)
サービス,アプリケーション.付いてきたもので,不要な CGI は全部消す.
<記録中断>(聞きづらくて疲れたし,書いてあることしか話していない)
以上
質疑応答
Q. 一番のレポーティングの形式.
A. 監査において,○×ということはない.やってる,やってないは関係ない.リスクがあるかどうかが基準.特定認証業務.監視カメラはけん制機能と記録機能.死角がないように 24 時間...ということよりも,リスクがあるかないかをしっかり把握して対応を決めることが大切.
Q. 監査のオーダーをかけたほうが,リスク分析を行っていない場合には,クライアントには監査人から出すのか,まず,クライアントに作らせるのか.
A. 立場による.内部監査人として会社のシステムを監査する場合は...監査人は見つけた問題点を残らず報告すべきだろうと思う.保証型監査は,見ていないコントロールについては知りませんということ.助言型監査は,コンサルと同じ.見つけたものは残らず報告.
Q. PKI のスライドで CP と CPS が電子政府では,一つという話があったが,一冊に書かれているだけで,両方ともある.
A. 誤解されるのでまずいだろう.
Q. 分冊であるべきであるということか?
A. そう思う.RFC 3647 では,内容の目的は違う.雛形として出すのであれば,CP と CPS とは別に出すべきである.官庁はそういうことを意識して出した方が良い.
Q. 日本においては,システム監査,情報セキュリティ監査などがあるが,中堅以下クラスがどこまでやるべきなのか,実施できるお金,体制がない.事例はあるか.
A. Sox 404 条があって内部統制をきちんと,...これからますますスキルを持った人が増えてく.
Q. 企業の基準.どこまでやればよいのか.
A. <回答が意味不明>リスク分析をやって,優先順位をつけて,何に投資していくのかを決めていかなければならない.それしかない.
Q. 確認.内部統制とその正しさの代表取締役の宣誓.404 などが財務諸表対象とネットワークセキュリティの関係.コントロールをする場合,リスクについてコントロールを考えると思う.
A. 内部統制は自分自身のために整備すべきもの.一般的には,これでいいというのは難しい.監査人が経営者が内部統制するための整備状況,コントロールがあるかどうか,それが有効に効いているかどうか,それを確認するしか方法がない.今日の監査は IT とは切り離せない.システムと人間の接点がエラーが発生するポイント.監査人のコンピュータを利用した監査でも検査する.システムの周りの業務ありき,システムだけがあるわけではない.
ドラッカー氏 逝去
このブログの方向とは少し違う話題ですみません.
経営学者のピーター・ドラッカー(Peter. F. Drucker)氏が亡くなられたそうです.他の方のご他聞に漏れず,私もこの方の著書から非常に影響を受けました.95歳とはいえ,非常に残念です.
合掌.
湯沢WSからひと月,そして解説は続く
気がついたら,10月の湯沢WSからひと月が経ってしまいました.
なんだかあっという間です.湯沢WSの生ログ掲載もあと1セッションと閉会挨拶を残すのみ.
今週中には終わりそうです.
前にも書いたかもしれませんが,このブログは「情報セキュリティ解説」を中心に,私自身の知識をまとめるために作成しています.ブログの記事を投稿する前に,OpenOffice.org 2.0 を使用して文書を作成し,ブログ用に少し手を加えています.いずれは OOo で作成した文書をまとめて公表できればいいなと思っています.
ちょっと筆(キーボード)が止まっているのですが,もう少しで「概要」が終わります.そこから先はまだまだ長いのです.単なる言葉の解説ではなく,一般消費者の方にも,経営者の方にも理解していただけるように書いていくつもりです.その上で,専門家の方にもうなずいていただけるように内容をスパイラルアップしていきます.
今のところ図はあまり用いていませんが,概要が終わったら,図も少しずつ取り入れていきます.思いついたら過去の記事もアップデートするかもしれません.
ご覧いただいて,感想などいただければ幸いです.コメントやトラックバック,お気軽にどうぞ.
湯沢WS 三日目(1)
三日目 2005 年 10 月 8 日(土)
敬称略.生ログなので,誤字脱字,勘違い,間違いがあるかと思いますが,ご容赦を.気付いたら,随時更新します.
個人・情報・セキュリティ
坂 明 警察庁生活安全局情報技術犯罪対策課長
2005/10/08 9:30-
インターネット人口 8000 万.携帯インターネット 7515万
サイバー犯罪:犯罪については,検挙の件数,届出認知件数で活動の指標としている.届け出てくるのは半分くらいかな.サイバー犯罪に関しては,もっと少ないと思われる.
ウィルスなども含めると,届ける人がどのくらいいるかわからない.実際に不正アクセスとして検知したもの,検挙件数とはちがって,捉え方が十分ではないのではないかということで,相談件数で見ている.
倍々で増えてきている状況.(資料)右側は上半期のみを比較したグラフ.
相談受理件数の内容で一番多いのは悪質商法など.二倍に増えている.インターネットオークションに関する相談は約 2 割増えている.名誉毀損 50% 増.迷惑メールは 4% 増.いずれにしても増加状況.サイバー空間を利用した悪質が増加.
架空請求,不正請求が増えている.はがきでも来る.払ってもらえない場合は,職場に行きます.是非来てほしい(笑)
サイバーインシデントとは広範にあるが,情報を取っているのが三つ.(資料)
・不正アクセス禁止法
・コンピュータ・電磁的記録対象犯罪
刑法適用犯罪.
・ネットワーク利用犯罪
ネットワークを中心としての犯罪.
検挙件数の推移.5年間で単調増加の基調にある.H16上半期とH17上半期で5割増加.先ほどのグラフと同じような状況.
不正アクセス禁止法違反 +200% となっている.
ネットワーク利用犯罪 +42.5%:中でも詐欺が多い.172.1% 増加.児童ポルノ法(買春)はマイナスになっているが,青少年育成条例は44.3% 増になっている.実際に補導したときに児童を調べていく過程で出てくる.児童の方も処罰されるので,お互いに口が堅くなっている部分がある.このあたりはよく詳細を見ていく必要がある.お子さんがネットで見てこの方面に入ってくことが多いようである.
不正アクセス禁止法違反事件の検挙状況:増加している.
不正アクセス認知件数:これでみると,認知件数だけでも昨年上半期 198 から 317 になっている.
不正アクセス禁止法違反の認知の端緒:H17 上半期と H16 上半期.アクセス管理者からの届出は現象.利用権者からの届出 +190件
利用権者からの届出が非常に多くなっている.インターネット・オークションの不正利用が非常に多くなっている.そのために利用権者からの届出が多くなっているのだと思われる.オンラインゲームのアイテムの不正取得なども多くなっている.最近の事例では,中国から日本のプロ棋士を経由して,...
不正アクセス禁止法違反手口.ID パスワードの不正利用が多い.
不正アクセス後に利用サービスは,件数的に多い野はインターネット・オークション.字件数低的にオンラインゲーム.
不正アクセス禁止法違反の識別符号の入手方法.パスワード設定の甘さなど.
年齢.私も 48 で,まもなく 50 だが,やはり若い人が多い.
動機.事件数的にはいやがらせも多いが,不正に金を得るためのものが多い.
検挙事例.インターネット・オークションなどでパスワードの推測など,76 人,900万円詐欺など.
サイバー犯罪の状況をまとめてみた.サイバー犯罪が増加している 5 割り増しで来ている.経済的な利益を目的するサイバー犯罪が増えてきている.インターポールの国際会議でもそういう感じがした.bot ネットに関してもMS もそういっているし,研究者から聞いてもそういう感じがする.特に弱者の人が被害を受けやすい.
知的財産侵害,名誉毀損なども増えている.NISC の関係や政府全体のフォーラムとして政策会議,IT 安心会議が内閣官房にある.いろいろな検討が行われている.その他のフォーラム:自殺問題などを扱う(日本は最も自殺が多い).青少年育成推進本部が置かれていて,ネットの問題も検討している.知財戦略の方でもインターネットの問題が取り上げられている.世界的に問題視されている.
知的財産の関係では,犯罪者の犯罪を犯すハードルが低くなっている.自殺サイトは,犯罪や攻撃者のとは少し違う問題だが,自殺を使用とするような気持ちの人に対して,どのように対応していくかという問題.プロバイダーや事業者に対して,情報開示の問題があるが,それは問題の一部.助けてくれる人に会うかもしれない.政府でも立ち上げようとしている自殺問題のサイト.いろいろな方面にかかわる問題.
サイバー犯罪の特徴:
特異な事案の発生.
・自殺サイト
三万件以上という中で,その数字をどのように捉えるか.6月までに 25 件,死者 70 人.
・爆発物の作成
出会い系サイト規制法の整備:本当の名前は「インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律」(平成15年法律第83号)
出会い系サイトに関した事件の検挙状況:H15年12月に施行.16年度から減少傾向.児童が実際に出会い系サイトを通じて,被害に会う事案が本当に減っているかどうかはもうすこし調べる必要がある.いくらで,というようなわかるような書き込みをした場合にのみひっかかるので,それ以外の部分で行われている書き込みはみつからない.検討が必要.
深刻な犯罪も多くなっている.大変問題だと思っている.
初めて統計を取って,H12の状況からどんどん増え,携帯電話が主流.被害者の年齢性別は,女性が被害にあうのが多い.しかし,男性も被害にあっている.
検挙事例.
ネット社会の「個人」
・被害者
・加害者
・?
被害者
・なりすまし
など
詐欺:インターネット・バンキング 1600 万円の送金操作.フィッシングなどで ID をとられて被害にあうという事案も多い.インターネットの被害では,前に「オレオレ詐欺」→「振り込め詐欺」が会ったが,振り込めさぎ系の被害は今年の1−8月39億くらい.有料サイトの利用料金26億に関する詐欺が20億.検挙した事案.2000件で20億.1件当たり100万ですか.かなり大きな被害が生じている.
フィッシングについてはいろいろな関係者の方がやっている.フィッシング 110 番の開設して相談対応・情報収集体制を強化.なるべく被害を生じさせないように.24時間のネットワークを構築して,必要な情報の収集等もお願いしている.
スパムメール:一般の方も迷惑していると思う.詐欺の誘引として多く使用されている.
加害者
・「個人」で犯罪
・手軽に犯罪
・「個人」が,別々に,一つのターゲットへ
...(資料)
世界中で犯罪を行う.見られているという意識がなく,ハードルが低い.個人が別々に一つのターゲットを狙うというようなこともありうる.DoS などでツールもあるが,コンテストなどでも攻撃をすることもある.
・知的財産権の侵害:最近はあまりないが,違法な行為とわかっていてやっていて,それを非難するとみんなでよってたかって攻撃される.
・不正プログラム:ネット上で非常に犯罪を犯すツールが容易に手に入る.爆弾や薬物もそうかもしれないが,侵入するため,データを盗むためのツールが手に入りやすい.それほど技能がない人もそういうツールを使って犯罪を行う.
アクセス集中.ルート DNS サーバへの DDoS 攻撃
ボット・ネットなど.
緊急対処システム:懐かしい話だが,携帯電話に爆弾マークで出て,爆弾の絵を押すと 110 番に架電された.対応に追われて大変だった.
DoS 攻撃.SYN flood
知的財産の検挙事例:Winny で...
DoS の攻撃をされたり..
ボットネットに関する情報収集など,取り組みがなされている.国際的な問題である.いろいろな国の人と話して,問題だと.形成される過程ではなく,事案が起きた段階で対応している.今から...
ネット社会が結ぶ「個人」
・「電子商取引」
・出会い系サイト
・自殺サイト
詐欺の事案:
違法有害情報:
・違法コンテンツ:わいせつ画像の公然陳列等
麻薬の取引
銃刀などの取引
インターネット・オークションにリボルバー式拳銃の販売.
警察における違法・有害情報対策
・サイバーパトロールの強化
警察も一生懸命やっているといいながら,体制が十分ではない.いろ
いろな方々から,多くの方々が利用しているので,ボランティア.少
年補導の方がパトロールしているケースもある.いろいろな方々の協
力をいただいている.
IT 安心会議:インターネット上における違法・有害情報対策について(H17 6/30 決定)
モラル教育,相談窓口
東京都の条例 10/1 から施行
・インターネット事業者の責務
・フィルタリングソフトの開発と提供の努力義務
・
・インターネットカフェ事業者の責務
・保護者等の責務
・都の責務
自殺予告事案への対応
・警察庁における検討
プロバイダの方々の自主的な協力に頼る.
ガイドライン
10/5 に運用開始
インターネット安全・安心相談システム
http://www.cybersafety.go.jp/
「個人」,「個人」・・・・・∞.捜査をしていく上で一つ一つの事案で犯人に到達できる場合だけではない.全体の姿を見て捜査を進めて犯人に到達する作業が必要.個人をバラバラではなく,一つの事象として捉えて考えていかなければならない.個人の方々が集まることによっていろいろな事象が引き起こされている.プラスの面.コミュニティなど.
関係者がみんなで取り組む
「個人」と組織
・個人情報の漏洩
個人情報の漏洩の問題がある.
・個人情報の蓄積
さまざまに活用されているが,蓄積に対して警察がどのように対応していくべきかを検討しなければならない.どういう姿勢で考えていくべきか.どのようなフレームで.
・個人(人間)とセキュリティ
政府の取り組み:
体制(内閣官房資料):山口英さんが入ってどんどん進められている.NISC の設置.夏からそうそうたるメンバーがそろって,安田先生と土井先生が議論している姿をみて,すごいなと思った.すばらしい方々が熱心に検討していただいている.
IT 安心会議:
(資料)
警察の対応
・被害者の視点
・ネットワークの視点
・さまざまな関係者との連携
捜査権限を持っている.捜査のために捜査をしている.ネットの安全のために捜査,手続きを進めている.被害者やネットワーク社会の安全を常に考えなければならない.厳格な規定に基づいて,また,秘密を守ることも必要.表に出ただけで企業がダメージを受けることもあり,事業継続性の一環ということで,企業の意思を十分に尊重して対応していきたい.
検挙というのは,犯罪の抑止に大きな効果があると考えている.サイバー犯罪はこれを犯すにあたってのハードルが低い.子供,若い方,一般の方々にこれは犯罪なんだということを示すことが必要.明確な意思を持って,サイバー犯罪を行う者に,社会が有効な手段を持っていることを示すために,きちんと検挙を示すことが必要.企業などの立場から考えると,自らの事件が,犯人が捕まる,不正行為に対して戦う姿勢を示すのは,顧客を守る姿勢を示すことになるし,攻撃者に対しても,毅然とした態度を示すことになるし,抑止の効果がある.
いろいろな事案を見ているが,事案後の対応が重要.起こっては困るときに起こるということが多い.一生懸命やっていきたいと思っているので,よろしくお願いします.
個人の協力
国際的協力
Q. 国際的なサイバー攻撃が起きていると思うが,官公庁,企業の DOS や改ざん,某国からの攻撃などについて対応,捜査状況.
A. 警察庁のホームページに攻撃.麹町に被害届.国際照会をかけている状況.彼らも苦労しているみたいで,照会してどうなっているのかと聞くと,中国のサイバー捜査官は 4000 人.中央の公共...監視局の中心ユニットは 6 人ぐらいなのではないか.かなり苦労しているのではないか.24 時間コンタクトベースの話外交ルートなどいろいろあるが,攻撃をやめさせることが重要.我々も相手の国とも協力して,やめさせるよう進めている. JPCERT も活躍されているが,我々も捜査の積み重ねとネットワークを構築している状況である.
Q. 事後の対応,検挙率を上げることが必要.確かにそうだが,事前に防ぐような活動,モラル,倫理を学校でも教えているが,社会一般に広く活動すべきだが,警察としては,そういう事前の活動をしているのか?していないのであれば,予定は?
A. 我々も警察の取り組みのなかでフィルタリングソフト利用の普及か啓発や学校と連携したモラル教育の実施など.県警の方々にも協力いただいてやっている.
Q. 一つ目,<記録できず>.二点目,いろんな人が外部から意見を言えるようになったのは喜ばしいが,サイバー犯罪に関して,NPO などが組んでやる場が増えているが,全国的にはまだまだ.各地の県警との連携の仕組みを考えていただきたい.
A. サイバー犯罪,少年非行のデータ.報告の窓口が違って,内部では問題になっている.改善する.
二点目は,課題だと思っている.具体的な方策については検討.地域ごとにあつまって検討する場を作っている.いろいろな状況について情報交換や提案をしている.認識と情報の共有に務めているところ.
以上
目次 - 情報セキュリティ解説
この記事は,目次のために作成したもので,随時,更新していきます.また,予定は変更になる場合があります.気分で,順番を変えるかもしれません.つまり,既に書いているもの以外は当てにならん,ということです.せめて,コメントに何か書いていただければ,少しはやる気が出るんですが.(やめちまえ,とか書かれたりして...)
目次
1. 情報セキュリティ概要
1.1 情報セキュリティとは (情報セキュリティとは(2)) 1.1.1 情報セキュリティ用語定義の標準(規格) 1.1.2 情報セキュリティ用語の定義 (情報セキュリティ用語の定義(2)) 1.2 情報資産とは 1.3 セキュリティの分類 1.3.1 対象による分類 1.3.1.1 物理セキュリティ 1.3.1.2 論理セキュリティ 1.3.1.3 人的セキュリティ 1.3.1.4 組織セキュリティ 1.3.2 目的による分類 1.3.2.1 予防セキュリティ 1.3.2.2 臨床セキュリティ 1.3.2.3 戦略セキュリティ今後の予定
1.4 脅威の分類情報セキュリティに関する規格
標準と標準化団体 情報セキュリティに関する規格 情報セキュリティの評価に関する規格攻撃
攻撃者の種類と行動 攻撃の種類 クラッカー暗号技術
暗号技術の用語と要素 暗号化方式の分類と比較 ストリーム暗号 ブロック暗号 慣用(対称鍵)暗号 非対象鍵暗号方式 ハッシュ暗号方式まだまだ続く...
情報セキュリティ解説目次更新
目次更新(2005/11/07)