This document was used in the seminar by NetAgent on July 15 2014.

1. 中小企業の総務部・管理部・人事部に
最低限必要な「知識」と
「情報漏えいを起こさないための
仕組み作り」
ネットエージェント株式会社

2. 電子情報、軽く考えていませんか？
1

3. デジタル情報セキュリティあるある
重要書類を机の上に置きっぱなしで離席
↓
めっちゃ怒られる
2

4. デジタル情報セキュリティあるある
重要書類をプリンターで出力したまますぐ
取りにいかず、しばらく放置
↓
まぁ怒られる
3

5. デジタル情報セキュリティあるある
重要書類をパソコン画面で開きっぱなし
のまま、表示された状態で離席
↓
怒られない
4

6. デジタル情報セキュリティあるある
なんで？
5

7. デジタル情報セキュリティあるある２
会議配布用の秘密書類が余ったので、
適当な大きさに切り裏面をメモ用紙として
使い回す
↓
めっちゃ怒られる
6

8. デジタル情報セキュリティあるある２
重要書類を引き出しに入れっぱなしで
シュレッダーにかけず放置
↓
まぁ怒られる
7

9. デジタル情報セキュリティあるある２
USBメモリ等にコピーした重要書類を使用
した後に消去を忘れ、そのまま放置
↓
怒られない
8

10. デジタル情報セキュリティあるある２
どうして？
9

11. 見落としがちなリスク
• 機密書類を自分の机のパソコン上に開いたまま席を離れる
• 用済みの機密ファイルをパソコンのデスクトップやマイドキュメント等
に保存したまま放置
• 会社で共用しているUSBメモリ容量が足りないからと、そこに入って
いた別のファイルを自分のパソコンのデスクトップ等に移動してUSB
メモリを使用し、そのまま削除せず
• 会社で共用しているUSBメモリに機密ファイルを保存したっきり、
データを削除しないまま他の人に回す
• 機密文書を権限がない部下にまるっと投げて、メール送信を代行
させる
Σ（ﾟдﾟlll）ｱﾌﾞﾅｯ !
10

12. セキュリティ はじめの一歩
紙の書類では当たり前だと感じる
要注意事項ならば、
デジタルデータでも同様に
当たり前だと感じて下さい。
11

13. 見落としがちなリスク2
さすがにログインIDやパスワードを付箋に書いてディスプレイに張っている人は、
さすがにもう絶滅していると信じたい・・・
実際に攻撃に利用されたパスワード ベスト10
6位：abc123
7位：peter
8位：Michael
9位：andrew
10位：mattew
※米マイクロソフト社調べ
1位：password
2位：123456
3位：#!comment:
4位：changeme
5位：Fxxkyou（一部伏せ字）
12

14. • パスワードは、8ケタ以上の英数記号の
組み合わせ推奨 ＆ 使い回し厳禁。
 4ケタのパスワードは3秒で破られる
 数字のみの6ケタでは100万通りの組み合わせしか存在
しない
 単純なブルートフォースアタックでなく辞書攻撃との組み
合わせ（ハイブリッド攻撃）も多いので、固有名詞など意
味ある分かりやすいキーワードも避けるべき
 ID／パスワードを複数の場所で使い回している場合、流
出しやすいサービスを狙ってクラック → 他で試すという
流れでやられるケースが少なくない
13

15. 「アットホームな会社です」って、よく聞きますが。
14
これがもし家族だったら、自分の子供が一体
どんな人間と付き合っていて、周囲にどんな
人たちがいるのか、気になりませんか？
危険な奴と付き合ってたら、止めますよね？
「権限を持った人物が、悪意をもって故意に行う
流出は、止めようがない」

16. なりすまし、遠隔操作、フィッシング。
15

17. 8080系(Gumblar～ Darkleech Apache Module)の特徴
• ボットネットへの参加、マルウェア自体のアップデート
• ルートキットによる本体隠ぺい
• 「悪意あるIFRAME」や「悪意あるJavaScript」を注入する、感染
ページに<script>/* GNU GPL */ , <script>try などが入るなど
の変更を行う。
• 一度ページを改ざんされると、再度改ざんされるケースがある。
• 亜種が非常に多く、アンチウィルスソフトも全てに対応できてるわけ
じゃない。
• 最近ではコンテンツ自体を書き換えるのではなく、.htaccessの
RewriteRuleに記述してJavaに関係なくウィルスダウンロードページ
に飛ばされるものが多い。
16

18. 感染すると・・・
このへん
17

19. 感染すると・・・
このへん
18

20. やられサイトの.htaccess（変更された部分）
# HostRule
RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteRule ^(.*)$ http://（飛ばしたい悪意あるサイトのURL）/ [R=301,L]
ErrorDocument 401 http://（同じく悪意あるサイトのURL）/
ErrorDocument 403 http://（略）/
ErrorDocument 404 http://（略）/
ErrorDocument 500 http://（略）/
# /HostRule
Google経由でアクセスしてきた場合、RewriteRuleで指定したサイト
（悪意あるサイト）へリダイレクトされるように指定し、404などのエ
ラーを表示する代わりにErrorDocumentで指定したサイト（悪意ある
サイト）へリダイレクトするよう指定。
19

21. ちなみに、こういうフィッシングも増えてます
20

22. もうウチの会社に
脆弱性なんてないだろ…
こんなにセキュリティに投資して、
ポリシーも決めてるのに…
21

23. 情報セキュリティのリスクあれこれ
22

24. 23
Feedly、DDoS攻撃でダウン

25. 24
今年前半、様々なサービスがDDoS攻撃でダウン

26. 2013年版 10大脅威
25
個人を狙った攻撃
企業を狙った攻撃
１位 クライアントソフトの
脆弱性を突いた攻撃
２位 標的型諜報攻撃
国家を狙った攻撃
３位 スマートデバイス
を狙った悪意あるアプリ
４位 ウイルスを使った
遠隔操作
５位金銭窃取を目的と
したウイルス
６位 予期せぬ業務の
停止
7位 ウェブサイトを狙っ
た攻撃
８位 パスワード流出
９位 内部犯行
10位 フィッシング詐欺

27. 2014年版 10大脅威
26
１位 標的型メールを
用いた、企業や組織
へのスパイ・諜報活動
２位 不正ログイン／
不正利用
３位 ウェブサイトの改
ざん
４位 ウェブサービス
からのユーザー情報
の漏えい
５位 オンラインバンキ
ングからの不正送金
６ 位 悪 意 の あ る ス
マートフォンアプリ
７位 SNSへの軽率な
情報公開
８位 紛失や設定不
備による情報漏えい
９位 ウイルスを使っ
た詐欺・恐喝
10位 サービス妨害
…サイバー領域問題 …インターネットモラル …内部統制 …サイバー攻撃

28. 標準時 7/3 AM4時18分頃の定点観測（4秒間くらい）
27

29. TPOに応じたセキュリティレベル。
セキュリティ担当者は、常にその時点で
一流のハッカーでなければならない。
28

30. そのセキュリティレベル、必要ですか？
カネになるからクラックする。
↓
その実行には「費用対効果」という
概念が存在する。
29

31. みんな、とりあえずカギはかけるようになった。でも・・・
• 玄関には一般的なサムターンキーロック
• 勝手口には生体認証キーロック
• 庭の窓には鍵なし
• トイレには３重の耐火扉＋ダイヤル番号鍵
＋ディンプルキーロック
• 寝室のドアは撤去、出入口自体をなくす
・・・このお家、住みやすいですか？
30

32. 情報流出につながるサインあれこれ
全社のメールを記録していますか？
Webメールの利用を記録していますか？
Webメールの利用を制限していますか？
Webアップロードを記録していますか？
Webアップロードを制限していますか？
宅ファイル便の利用を制限していますか？
送受信可能なメール（添付ファイル）のサイズを
100MB以上にしていますか？
Web掲示板への書き込み内容を確認していま
すか？
掲示板への書き込みを制限していますか？
社内でUSBメモリを使用禁止にしていますか？
USBメモリの持ち込みを禁止していますか？
USBメモリに入っているファイルの詳細を把握し
ていますか？
会社支給USBメモリは暗号化されていますか？
SSL通信の中身を記録していますか？
勝手VPNが使えないようになっていますか？
TOやCCでメールを大量送信可能になっていま
すか？
ファイルサーバの監査もしくはログを取っていま
すか？
データベースの通信内容を記録しています
か？
小さな不正を毎年発見できていますか？
社外から社内へアクセス可能になっています
か？
社内からのP2Pを制限していますか？
メッセンジャーでのファイル送信を制限していま
すか？
事件が発生した場合の対応フローなどは決まっ
ていますか？
事件発生時の対応手順訓練は実施しました
か？
今までに持ち帰り残業はありましたか？
在宅勤務をしている人はいますか？
個人事業主や小規模の会社が、取引先の多く
を占めますか？
31

33. 情報流出対策のライフサイクル
32
予防
抑止
検出
回復
予防：事前に対策をとれるもの、根本解決
検出：抑止でも止まらなかったものを検出する
抑
止
：
予
防
し
た
が
止
ま
ら
な
い
も
の
を
止
め
る
回
復
：
止
ま
ら
な
か
っ
た
も
の
を
、
元
通
り
に
戻
す

34. 危機管理／緊急対応体制の実現
• 危機管理（インシデントマネジメント）
事前の
インシデント対応
プランニング
インシデント検知
インシデントの
内容分析と
対応計画の策定
対応策の実施
外部へ報告と連携
情報公開（必要に応じて）
再発防止策の検討
33

35. 運用＝インシデントハンドリング
• インシデントの検知
• 発生インシデントの内容分析と対応計画の策定
• 対応策の実施、外部への報告と連携、情報公開
34

36. 基本的ハンドリングフロー【１】
インシデントの検知
自組織内で検知
保守作業等の最中に発見
異常検知システム等によって
検知など
外部からの通報
不審なアクセスを受けた、等と
いったようなクレーム
純粋に親切心からの通報など
検知に必要なチェック項目と、チェック方法
誤検知を(可能な限り最小限にまで)抑える
通報を受ける際に備えて窓口を公開
窓口に用いられるチャネルの冗長化
※インターネット接続が不通になった場合等に備えて
35

37. 基本的ハンドリングフロー【２】
トリアージ
１
• 事実関係を確認し、詳細を確認しつつ対応すべきか否かを
判断する。
２
• 対応するしないにかかわらず、関係者等に速やかな対応を
依頼すべき、または情報提供をすべき場合は、まずは注意
喚起等の情報発信を行なう。
３
• 対応すべきインシデントではないと判断した場合には、判断の
根拠を可能な限り詳細に報告者に回答し、関係者に報告。
対応すべきと判断した場合はレスポンス(対応)対象とする。
36

38. 基本的ハンドリングフロー【３】
インシデントレスポンスと報告／情報公開
事象の
分析
必要に応じて
対応の支援を
外部にも依頼
対応計画の
策定と実施
問題解決の
確認
事の顛末
を回答
必要に応じて、メディアや一般に向けた
プレスリリースや、監督官庁への報告、
組織内部への情報展開などの実施も
検討
本当に対応すべき事象か否かを
再度検討するだけでなく、そもそも
技術的な対応が可能なのかどうか
判断
37

39. 参考： CSIRT/SOCの概念と機能
• CSIRT （Computer Security Incident Response Team）と
SOC （Securuty Operation Center）
【CSIRT ≒ 消防団】
1. コンピュータに関するインシデント発生 ≒ 火事の発生
2. CSIRTに状況を報告／共有 ≒ 火事情報を報告／共有
3. インシデント内容の把握と分析 ≒ 火事の被害規模などの把握
4. 対応の要否と方策の確定 ≒ 消火実施の要否と方策の確定
5. 問題解決行動の開始 ≒ 消火活動、救助活動の開始
※ SOC ≒ ハイパーレスキュー隊
38

40. まとめ
• 情報セキュリティは情報流出だけじゃない。
• 予防・抑止・検出・回復が全て揃ってこその
情報流出対策。
• 重要なのは、迅速な意思決定。
39

41. 40