社内勉強会資料

1. セキュリティの
考え方
2014/07/03 社内勉強会
株式会社FLECT
小西俊司

2. この文書の目的
› セキュリティについて考える時に何を基準に
して考えれば良いかの指針を示す
› と言いつつ自分で実践しているわけではない
› 具体的なセキュリティ対策には踏み込まない
※文中のセキュリティ対策に対する評価、感想はあくまで個人
のものです。

3. 用語の定義
› 脅威
› 脆弱性
› リスク

4. 脅威
› システムや組織に損害を与える可能性のある原因
› 分類の仕方は色々ある
› 人為的／非人為的と意図的／偶発的のマトリクス
› 内的要因／外的要因
意図的
偶発的
人為的 攻撃（盗聴、改ざん、な
りすまし、ウィルス）、
盗難、不正利用
誤操作、紛失、
非人為的
ー
故障、地震、火事、停電

5. 脆弱性
› 脅威がつけ込むことのできる弱点
› 技術的な脆弱性の多くには名前がついている
› SQLインジェクション
› XSS
› セッションハイジャック
› 以下のようなものも脆弱性
› メールの通信が暗号化されていない
› パスワード使い回し
› 必要以上のアクセス権付与

6. リスク
› 脅威が現実になった時の損害・損失
› 資産価値 × 脅威 × 脆弱性の掛け算で算出され
る
› つまりいずれかが0の場合はそこにリスクはな
い
› 脅威と脆弱性の関係は多対多

7. リスクの数値化
› 以下を数値化して掛け算
› 資産の重要性(5〜0)
› 脅威の発生確率(高中低)
› 発生時の被害の大きさは資産の重要性に組み入れ
るのでここでは考慮しない
› 脆弱性の攻撃難易度(高中低)
› 攻撃難易度と対策レベルに分離する場合もある
› リスクの高低はこの算出値で判断する

8. リスクマネジメント
› リスクの高いものから対策を行っていくこと
› リスク値の低いものについては対策を行わな
いという選択もあり得る
› これをリスク受容レベルと言う

9. 身近なリスクマネジメント
› 企業に限らず個人でも当たり前にやっている
› 外出時に鍵をかける
› 地震に備えて非常食を買う
› 電球を買い置きしておく
› 考え方が適用できる例はいくらでもある
› たいていの人はほとんど無意識に(自分にとっ
て)最適なリスクマネジメントを選択している

10. これもリスクマネジメント
› セキュリティについて考える時に何を基準に
して考えれば良いかの指針を示す
› 具体的なセキュリティ対策には踏み込まない
※文中のセキュリティ対策に対する評価、感想はあくまで個人
のものです。
セキュリティに関してうかつなことを言うと
強烈なマサカリが飛んでくるのでとても怖い。。。

11. 対策の種類
› 事故を発生させないための対策
› 抑止
› 予防(事故の影響を小さくするための対策も含む)
› 事故の影響を小さくするための対策
› 検知
› 対応

12. 抑止
› 脅威の発生源である人間を牽制することで脅
威の発生を抑えようとする対策
› 非人為的脅威や過失に対しては効果がない
› 例
› 法律や社内規則
› 監視カメラ
› 操作ログ
› 担当者を複数配置

13. 予防
› 脆弱性そのものを減らす対策
› 例
› 鍵をかける
› アクセス権の設定
› ウイルス対策ソフトの導入
› 排除できないケースもある
› 秘匿情報に誰一人アクセスできないようにした
ら業務が成り立たない

14. 検知
› 事故の発生にいち早く気がつくための対策
› 検知が早ければ早いほど事故の損害は小さく
できる
› 例
› ログ
› エラー通知
› ポーリングによるシステム監視

15. 対応
› 事故発生時の対応をあらかじめ考えておくこ
と
› 実際の対応作業は事後だが、それを事前に準備
しておくことがセキュリティ対策
› 例
› バックアップとの切り替え
› 対応マニュアルの作成

16. 費用対効果
› 有効な対策がわかっていてもコストの関係で
すべてが実現できるとは限らない
› 対策にかかる費用が事故発生時の損害額を上回
るなら意味がない
› コストには日常の利便性喪失も含む
› 損害には実際の金額だけではなくサービスの
停止、顧客対応、企業の評判の影響も含む
› 逆に少ない費用で絶大な効果のある対策もた
くさんある

17. リスク管理
› 事故の発生をすべて防ぐことはできない
› 事故とその損害に対して最終的にどういうス
タンスでのぞむかを決めておく
› 低減
› 受容
› 移転
› 回避

18. 低減
› リスクを減らそうと頑張る
› なんらかの対策を実行することはすべて低減
にあたる

19. 受容
› 事故の発生を受け入れる
› リスク値が低い場合は対策を行わず損害を受
け入れるという選択もあり得る
› 払い戻し等
› この場合でもあらかじめ、リスクを受容する
ことを意識的に決めておくことは重要

20. 移転
› 外部に資産やセキュリティ対策を委託する
› クラウドの利用
› 保険
› クレジットカード情報は社内に保持しない

21. 回避
› 資産の廃棄やサービスの停止
› あまりにも割にあわないことは止める

22. 表にしてみる
› 対策は種別ごとに考える
› 対応はすべてのリスクに対して考える
› やってみたら意外と難しかった。。。(--
› 無理に全項目(数値)埋める必要はないかも

23. Webアプリの対策
› ちゃんと整理すると実
はそんなにパターンは
多くない
› とりあえず徳丸本だけ
は読んでおけ
› テンプレの活用
› http://www.jnsa.org/
active/houkoku/
web_system.pdf

24. 内部要因の対策
› ほとんどが人為的要因
› なので内部統制が必要
› 脅威のパターン
› 無知
› 過失
› 故意

25. 無知
› やってはいけないことを知らない
› 対策
› 教育
› マニュアル作成

26. 過失
› 誰もがやってしまう可能性がある
› メール誤送信
› アクセス権の設定ミス
› ノートPC（スマホ）紛失
過失を防ぐためには「注意する」みたいなあい
まいな対策ではなく「UIをわかりやすくする」
等の具体的な対策が必要

27. 故意
› 善人でも故意に不正を働くことがありうる
› 不正のトライアングル理論
動機
機会
正当化
› 動機はコントロールする
ことができない
› 責任のある仕事に対して
は正当化はおきにくい
› 機会を与える場合は必ず
責任も与える

28. 情報漏洩
› 守らなければならないのは情報そのものと会
社の評判(信用)
› 実は後者の方が大事
› SNSの台頭以降、個人情報の価値は相対的に
下がっている
› カード情報等本当にやばいモノは移管する

29. 逆引きして評価する
› ほとんどの場合リスク対策には定石がある
› 対策を見れば、それがどういうリスク(脅威と脆弱
性）に対して行われているものかがわかる
› リスクがわかればどういう対策が必要かがわかる
› 対策だけが示されてそれを評価してみると。。。
› あれ？？？
› それをやるんだったらこっちもいるよ！！！
と思うことがわりとよくある

30. USBメモリ禁止
› 脅威: ウイルス攻撃、データ持ち出し
› 脆弱性: USBオートラン、アクセス権付与
› ウイルス攻撃を対象とするなら出自の明らか
なUSBメモリは許可しても良いのでは？
› データ持ち出しを対象とするならDrobBoxや
カメラもアウトでは？

31. 添付ファイルのパスワード
› 脅威：盗聴
› 脆弱性：SMTPリレー通信は平文
› 当然パスワードと添付ファイルは分けて送信する
必要がある
› 手間(コスト)が大きい
› 誤操作やうっかりミスも多そう
› 今時メールに頼らずファイル共有する方法はたく
さんあるのでそちらを使う方が良いのでは？

32. 半年ごとにパスワード変更強制
› 脅威: 不正アクセス
› 脆弱性: 辞書攻撃等
› パスワード、定期、変更でググると議論百出
› 銀行等パスワードを突破されたら即座に攻撃
されるアカウントでは意味がない
› 定期変更によって余計なリスクを抱える場合
も
› 二要素認証を使った方が良いのでは？

33. 二要素認証
› パスワードとそれ以外の要素を認証に使う方
法
› ワンタイムトークン
› デバイス
› DropBoxやEvernoteも対応するなど最近急速
に普及中
› パスワード使いまわしの対策にもなる

34. クラウドは実は優れた解
› データがpublicクラ
ウド上
› 稼働率をコントロー
ルできない
› というあたりだけが、
クローズアップされ
がちだがちゃんと評
価するとクラウドの
方が優れている場合
が多い

35. まとめ
› リスクは対策だけを見ずに対応する脅威と脆
弱性に分解する
› 対策は抑止、予防、検知、対応のすべてにつ
いて検討する
› 技術、世間的評価は変動するので定期的に見
直す
› 思考停止しない
› だけど考えすぎない