広島大学情報セキュリティ・コンプライアンス講習2019

1. 情報セキュリティ・コンプライアンス
フォローアップ講習
2019

2. はじめに
2
情報セキュリティ・フォローアップ講習の目的
◯ 情報セキュリティに関する知識の再確認
◯ 最新の情報セキュリティに関する知識の補充
本講座は以下の３章からなってい
ます。
昨年度からの更新
日常の脅威と対策
セキュリティの基本
１
2
3
情報セキュリティ
意識の向上

3. 昨年度からの更新
3
• セーフリンク機能
• メール転送はやめる
• トラブル調査と対応フロー
• インシデント対応訓練
2018 2019
１

4. セーフリンクをクリックすると
4
安全 確認中 危険
広大メールに書かれたURLをクリックすると
リンク先の危険性を自動的に判別して警告
正常にリンク先を表示 アクセス継続は可能
非推奨

5. セーフリンク機能とは
5
差出人：もみじ花子
宛先：広大太郎
件名：お問い合わせの件について
広大太郎さま
花子です。お世話になります。
以下のサイトをご覧ください。
https://apac01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fw
ww.media.hiroshima-.ac.jp&data=02%7C01%7CXXX
XX%40hiroshima-u.ac.jp%7Caa6dfd 110644f57cc1108d5f74f5
7b8%7Cc40454ddb2634926868d8e126hh
・・・
受信したメール内のリンクを自動変換する機能
リンク先サイトの危険性を判別可能なURLを作成
元のURLの記述
https://www.media.hiroshima-u.ac.jp/
safelinksの記述
以下のリンクで
サイトの安全性
を確認できる

6. メール転送は迷惑メールも転送
6
迷惑メールが転送先へ大量に送付
広大メールが迷惑メールの発信元！
更に転送は学外への情報漏洩の危険も
広大メール
迷惑メール
転送先
通常の
メール
メールを転送
しないこと
MS社が
送信停止

7. メールの転送をやめる方法
7
手順
① 設定
② メール
③ 転送
④ 転送を停止する
Office365の
Outlookの画面
①
②
③
④

8. Gmailなら転送なしで受信できる
8
Gmailは転送しなくても広大メールを受信可能
参考：メディアセンターWebページ：
「Gmaiでの設定方法（POP3)」

9. トラブル調査と対応フローの例
9
トラブル発生時のCSIRTの対応：
• 該当IPアドレスの学外アクセス停止
• ホスト管理者に手順を指示
危機管理
マニュアル
H30年度
改訂版

10. インシデント対応訓練
10
目的：インシデント発生時の手順を確認
概要：普段使いのPCが被害を受けた想定で訓練
対象：役員及び教職員，学生
（CSIRTからのメールを受信した人全員）
事前教育
対応訓練
インシデント対応手順の確認
普段使いのPCのスペックおよび
ウイルス対策ソフト設定等を確認
インシデント発生時に落ち着いて
対応できるように

11. 日常の脅威と対策
11
• 対策と行動
• フィッシング詐欺
• ウイルス感染
• 不正アクセス
2

12. 対策と行動
12
「５つの対策」と「５つの行動」で
ほとんどの脅威を防御可能
５つの対策
５つの行動

13. ５つの対策
13
最新の脅威・攻撃の手口
ウイルス対策ソフトの導入
OS・ソフトウェアを更新
ID・パスワードを管理
定期的なバックアップ

14. ５つの行動
14
添付ファイルやURLを確認
正規のアプリ・サービス
PCやスマホの管理
利用履歴の確認
安全な通信路の利用

15. 【フィッシング詐欺】への備え
15
対策 行動
最新の脅威・攻撃の手口
ウイルス対策ソフトの導入
OS・ソフトウェアを更新
ID・パスワードを管理
定期的なバックアップ
添付ファイルやURLを確認
正規のアプリ・サービス
PCやスマホの管理
利用履歴の確認
安全な通信路の利用

16. フィッシング詐欺被害が増加中
16
不正利用されていないか利用履歴を確認
１.偽メール
２.パスワード
入力
３.情報収集４.不正利用
本物 偽物

17. フィッシングサイトの脅威
17
フィッシングサイトは本物そっくり！
添付ファイルやURLはよく確認
URLの先頭が
httpなら詐欺
の疑い

18. セーフリンクをクリックすると
18
安全 確認中 危険
広大メールに書かれたURLをクリックすると
リンク先の危険性を自動的に判別して警告
正常にリンク先を表示 アクセス継続は可能
非推奨

19. サービスの利用履歴を確認
19
パスワード漏洩の可能性を考慮
第三者が不正利用していないか履歴を確認
知らない端末からの
アクセス・購入履歴が
ないか？
Googleアカウント「セキュリティ診断」

20. 【ウイルス感染】への備え
20
対策 行動
最新の脅威・攻撃の手口
ウイルス対策ソフトの導入
OS・ソフトウェアを更新
ID・パスワードを管理
定期的なバックアップ
添付ファイルやURLを確認
正規のアプリ・サービス
PCやスマホの管理
利用履歴の確認
安全な通信路の利用

21. ランサムウェアの脅威
21
感染するとPC内のデータを
暗号化し使用不能にする
身代金は払わない
ファイルが暗号化
されて開けない
「解除してほしければ
身代金を払え」と要求

22. ウイルスの感染経路
22
改竄／不正サイト フィッシン
グメール
USB
メモリ
プログラムの
ダウンロード
リモートデスクトップ等
ネットワーク接続
されたPC群

23. ネットから切断する理由
23
• 周辺のPCへの感染拡大の防止
• 遠隔操作による更なる情報漏洩の阻止

24. ウイルス対策ソフトを更新
24
コンピュータウイルスは毎日発生
ウイルス対策ソフトは常に自動更新！
但し，新種ウイルスの対応には数日かかる場合も
既知のウイルス
から防御
NEW NEW

25. OSやソフトウェアを更新
25
自動更新に設定
更新されたことも確認
常に最新バージョン
にしておきましょ
う！

26. バックアップから復元
26
PCが感染した場合
• まずネットワークから切断
• 大学にインシデント報告
• PCを初期化してバックアップから復元
復元
感染前に
バックアップ！
バックアップは
PCから取外す

27. 【不正アクセス】への備え
27
対策 行動
最新の脅威・攻撃の手口
ウイルス対策ソフトの導入
OS・ソフトウェアを更新
ID・パスワードを管理
定期的なバックアップ
添付ファイルやURLを確認
正規のアプリ・サービス
PCやスマホの管理
利用履歴の確認
安全な通信路の利用

28. 安全な通信路を使う
28
公衆Wi-Fiで重要情報を入力しない！
本物と偽物とを
区別できない
Free Wi-Fi
怪しいWi-Fi

29. 安全な通信路を使う
29
• 学外から学内限定システムへ接続
• アプリで簡単に暗号化通信
外出先のWi-Fi
利用でも便利
VPN接続 2019年度から
多要素認証を
選択可能に

30. アプリ導入時の注意
30
Google Playや
App Storeに登録
された不正アプリが
多数！
登録時審査は必ずしも完全ではない
怪しい機能がないか常に自分で注意
http://www.itmedia.co.jp/enterprise/articles/
1812/04/news069.html
フィットネス装い金銭詐取
Apple App Storeに不正アプリ
(2018/12/4)
https://eset-info.canon-
its.jp/malware_info/special/detail/181122.html
Google Playに今なお潜伏し続
けるバンキングトロージャン
(2018/11/22)

31. 不正アプリ情報に注意
31
インストール前は
レビューを見る等して
安全なものか確認
インストール後は
不正アプリ情報に注意
不正アプリ 2019
アプリ名

32. セキュリティの基本
32
• パスワードを適切に管理
• 多要素認証を使う
• クラウドで保管
• クラウドで共有
• 身近な人と情報共有する
• インシデント報告，他
3

33. 強いパスワードを使う
33
広島大学のパスワードポリシー
• 8桁以上
• 数字＋記号＋大小英文字をすべて含む
• 推測しやすい文字列にしない
弱いパスワードは
危険です

34. サービス毎に異なるパスワード
34
Webサービス側からの情報漏洩が頻発
パスワード管理ツールで管理

35. パスワード管理ツールの利用
35
様々なパスワードの管理ツール
自分で全部を
覚えなくていい！
区分 ツールの例 対象OS等
無料
Windows 他
iCloudキーチェーン Mac
有料
PC・スマホ用
PC・スマホ用
1password
Zip,Excel等の復元用パスワードも
保存可能
バックアップを
確実に保存する

36. 多要素認証を使う
36
Office365で多要素認証が利用可能
スマートフォンのモバイルアプリを使う場合
1. アカウント＋パスワード
2. スマートフォン
IDとパスワードを
入手したぞ！
ログインしてやる！
あれ？
ログインの承認を
求められてる・・・
なんで？
拒否しとこ。
あれ？
ログイン
できない・・・
不正ログイン
を防止

37. PCやスマホを管理
37
PCやスマホの置忘れ・紛失に注意
PCのHDDは取外して
読出しが可能

38. クラウドで保管：学内
38
OneDrive for Business メディアの
持ち運び不要
学内の誰とでも共有可能
どこからでも編集可能
最大1TB
クラウドファイル
保管サービス

39. 添付ファイルに注意
39
ウイルス付き添付ファイルを
開く危険性
NEW
NEW
NEW
新型ウイルスに
未対応の場合も
ある

40. クラウドで共有：学内・学外
40
ownCloud
①ファイルを置いて
相手と共有設定
30日後に
ファイルを
自動削除
③ダウンロードする
②「ownCloudにファイル
を置いたよ！」
ファイル一時保管
共有サービス

41. SNSを適切に利用
41
• 不適切な書き込みや情報漏洩に注意
• 他人のプライバシーを尊重
• 他人の悪口を書かない
• 信頼できる人のメッセージにも誤り
位置情報付きメッセージ
写真の背景等にも注意
広大メールを
連絡先にする
と卒業・退職
後にSNSから
メールを受け
取れなくなる

42. ファイル共有ソフト使用禁止
42
広島大学は不特定多数と共有
するファイル共有ソフトの使
用は禁止
禁止している
ファイル共有ソフトの例
• Winny
• BitTorrent
• Gnutella
• eDonkey
• Kuwo(酷我)
• Ku Goo(酷狗)
• TTPlayer(千千静听)
• QQ 他広大メールを読む自宅の
PCにもインストール禁止

43. 最新の脅威・手口
43
最近はどんな脅威があるのか，
常に情報収集するよう心がけましょう。
IPA:ここからセキュリティ!
https://www.ipa.go.jp/security/kokokara/ac
cident/
IPA(情報処理推進機構）:Twitter

44. 身近な人と情報共有する
44
周りの人にも正しい知識を
持ってもらうことが大事
家族や友人と
積極的に情報交換を

45. こんな状態はインシデントです
45
個人情報が入った
USBメモリを失く
した
PCがウイルスに
感染した
スマホを盗まれた
サーバに不正侵入
された
ウイルス感染
情報漏えい
不正アクセス
迷惑メール送信

46. インシデントは速やかに報告
46
緊急連絡先を記載したカードを配布
学生証・職員証と一緒に常に携帯
緊急連絡先を
知っておく
ことも対策

47. おわりに
47
以上で，オンライン講習は終わりです。
このあと，確認テストを必ず受験してください。
20問中16問で合格です。
確認テストを合格したら
・1年目の方：アカウントの利用確認
・2年目以降の方：アカウントの年度更新
を必ずおこなってください。

48. 参考資料・素材
48
• IPA「情報セキュリティ10大脅威 2019」
https://www.ipa.go.jp/security/vuln/10threats2019.htm
• トレンドマイクロ
http://www.trendmicro.co.jp/jp/security-intelligence/threat-
solution/ransomware/
http://blog.trendmicro.co.jp/archives/13041
素材
• ヒューマンピクトグラム2.0
http://pictogram2.com/
• FLAT ICON DESIGN
http://flat-icon-design.com/
• ICOOON MONO
http://icooon-mono.com/

49. 49
発行日：2019年4月
著 者：広島大学情報メディア教育研究センター
この作品は クリエイティブ・コモンズ表示
4.0国際ライセンスの下に提供されています