情報セキュリティに関する基礎知識
1.1. 情報セキュリティ対策の基本
1.2. 【対策】情報セキュリティ 10 大脅威(個人)
- インターネットバンキングやクレジットカード情報の不正利用
- •OS・ソフトウェアの更新
- •ウイルス対策ソフトの導入
- •事例や手口を知る
- •二要素認証等の強い認証方式の利用
- ランサムウェアを使った詐欺・恐喝
- 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ
- 巧妙・悪質化するワンクリック請求
- ウェブサービスの利用者
- •怪しいソフトウェアは利用しない
- •怪しいサイト・メールは開かない
- •事例・手口の情報収集
- ※購入の意思がないのであれば金銭を要求されても、慌てず請求に応じない
- ウェブサービスの利用者
- ウェブサービスへの不正ログイン
- 匿名によるネット上の誹謗・中傷
- ウェブサービスからの個人情報の搾取
- 情報モラル不足に伴う犯罪の低年齢化
- 職業倫理欠如による不適切な情報公開
- インターネットの広告機能を悪用した攻撃
1.3. 【対策】情報セキュリティ 10 大脅威(組織)
- 標的型攻撃による情報流出
- ウイルスを添付したメールや、不正なWebサイトへ誘導するためのURLを記載したメール
- チェックリスト
- □送信者の名前やアドレスが見慣れないものである。
- □組織内の話題なのに、外部のメールアドレスから届いている。
- □フリーのメールアドレスから届いている。
- □添付ファイルを開くよう、記載URLをクリックするよう不自然に誘導している。
- □「緊急」などと急がせて、メールの内容を吟味させまいとしている。
- □送信者の署名が無いか曖昧である。
- □送信者の名前や組織名として、架空のものを名乗っている。
- □受信者が信頼しそうな組織になりすまし、ウェブでの公開情報を送付してくる。
- □上記以外で不審な箇所がある。
- 経営者層
- •問題に迅速に対応できる体制の構築
- •対策予算の確保と継続的な対策実施
- システム管理者
- •情報の取扱い・保管状態の確認
- •システム設計対策・アクセス制限
- •ネットワーク監視・分離
- セキュリティ担当部署
- •セキュリティ教育の実施
- •情報の保管方法ルール策定
- •サイバー攻撃に関する情報共有
- 従業員・職員
- •セキュリティ教育の受講
- •OS・ソフトウェアの更新
- •ウイルス対策ソフトの導入・更新
- 内部不正による情報漏えいとそれに伴う業務停止
- 組織
- •情報取扱ポリシー作成および周知徹底・機密保護に関する誓約
- •資産の把握・体制の整備
- •情報の取扱教育の実施
- •重要情報の管理・保護
- •アカウント、権限の管理・定期監査
- •システム操作の記録・監視
- サービス利用者
- •情報の管理が適切かを確認
- 組織
- ウェブサービスからの個人情報の搾取
- サービス妨害攻撃によるサービスの停止
- ウェブサイトの改ざん
- 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
- ランサムウェアを使った詐欺・恐喝
- インターネットバンキングやクレジットカード情報の不正利用
- •OS・ソフトウェアの更新
- •ウイルス対策ソフトの導入
- •事例や手口を知る
- •二要素認証等の強い認証方式の利用
- ウェブサービスへの不正ログイン
- 攻撃者が不正に入手したIDやパスワードでログインを試みる
- 過失による情報漏えい
- ルールの明文化と遵守
- フールプルーフ
- ヒューマンエラー(利用者が行う誤った操作)が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計
1.4. 【対策】注目すべき脅威や懸念
- サポートの終了したソフトウェアを継続使用する危険性
- 最新版への移行を
- 移行できない場合はリスク緩和策
- •ネットワークに繋がっていない環境で利用する、等
- •ただし、脆弱性が解消される訳ではないため、早急な移行を
- 組織においては計画的な移行を
- •互換性の問題により移行できないケースを想定し、以下を考慮
- 特定の製品やバージョンに依存しない
- ソフトウェア製品のライフサイクル
- •互換性の問題により移行できないケースを想定し、以下を考慮
- 証明書の導入・設定不備や検証不備に起因する脅威と対策
- マイナンバーの管理・運用の重要性
- 個人として注意すべきこと
- 事業者が注意すべきこと
1.5 サービス提供と情報セキュリティ対策
- 提供するサービスの迅速化と一層の充実等
- (政府情報システムの整備及び管理に関する標準ガイドライン実務手引書より)
- インターネットの普及に伴い行政サービスの24時間365日提供に対する要請が高まる中、即時性が要求される申請等や提供するサービス内容の多様化・複雑化等に対応するために、業務手続の標準化と徹底した電子化の推進、情報セキュリティ上の要件を満たす前提での外部委託の活用、手続の統合による共通の情報システムの活用等を検討する。
- 情報セキュリティ対策は
- サービスの向上を図るために、情報資産(保有情報(媒体に依らず)、情報機器、情報システム)に対する情報セキュリティ上のリスクを低減させる