Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
産業技術総合研究所セキュアシステム研究部門
主任研究員 中田 亨
Toru Nakata, 2013.
情報セキュリティ と 人的要因
Human Factors on Information Security
1
情報漏洩 最大の穴は「人間」
 個人情報漏洩では
、人為ミス系が圧
倒的に多い
 他のセキュリティ
事故でも大半は人
間のミスが原因
 なお、ここ2年ほ
どは「サイバー攻
撃」による事故が
増加中
2
誤操作
35%
管理ミ
ス
33%
...
どのように情報は漏れるのか
1. 標的型攻撃
2. 情報持ち出し、紛失
3. 誤送付
4. 内部犯行
5. ソーシャルネットワ
ーキング(SNS)で漏ら3
ヒューマン
エラー
故意
1.標的型攻撃
 「敵」が巨大化している。
 国の基幹が標的化:国会議員、財務、農水、JAXA、重工・
・・4
単独犯
企業規模の敵
国家規模の敵
世間一般
誰でもいい
特定の組織
特定の施設・人物
標的型メール
ハッカー集団
DOS攻撃
...
標的型攻撃メール 例
 中国人民解放軍が作ったとされる標的型攻撃メール
 (コンピューターセキュリティー会社Mandiantのレポート
より)
 送信者はMandiant社の社長をかたっているが、よく見れ
ばフリーメールから発信。
 下...
標的型攻撃のやり方:心理戦
 急ぎ助けて型:困っている同僚のふり。
 「至急、おたくの課の○○さんからのファイルのパスワ
ード教えて!」
 セキュリティの緩和を求める。
 ○○さんが出張中で不在なことはSNSで調べ済み
 にせ警官型:...
標的型攻撃を防ぐには?
 装置的な対処:
 フィルタリング、exeファイル除去
 しかし、使い古したメールソフトが大好きな人が多
い
 人員的な対処
 教育:一度実際にひっかける「ワクチン」訓練
 体制:必要最小限の人にだけ情報を扱...
2.情報持ち出し、紛失
 なぜ、持ち出すのか?
 風呂敷残業
 他組織とのファイル輸送・共有
 ネットにつながっていない機器へのファイル輸送
 どう、漏れるのか?
 紛失
 小さい機器は大きなストラップをつけよ
 スマホをロック...
3.誤送付、消し忘れ
 ファイルはひな形を用意せよ
 前の仕事のファイルを使いまわすな。
 何かが残存している9
↑エクセルの2枚目以降が
あぶない
←ワードの無駄情報掃除
送信する前、した後に
 する前:入念な確認が必要
宛先、本文、添付ファイル
しかし、英字のメアドは確認しにく
い
無理をするな。古い手を使うな。
 ×「BCCで一斉送信」
 × 「ファイル輸送はなんでもメールで」
 した後:送信取...
4.内部犯行
 換金目的
 通販会社顧客データ漏洩事件(2004)
 会社への対抗手段として秘密の持ち出し
 映画「エリン・ブロコビッチ」
 正義感
 スノーデン事件(2013)、外交公電Wikileaks 事件(2010)
 自...
5.SNSで漏らす
 職務上の秘密を漏らす
 鑑識課警察官FB投稿 (2012)
 社内・自分の不祥事を漏らす
 製薬会社員薬不正使用TW投稿(2011)
 飲食業従業員による不謹慎TW投稿は多発
 問題になるとは認識せずに漏らす
...
対策:人員の認識差が根源
情報の読み手(部下)の見解
「この情報は重
要である」
「この情報は重要
ではない」
情報の
持 ち 主
( 上
司 ) の
見解
「この情
報 は 重 要
である」
【戸締りされた
扉】
この情報は財と
して扱われる...
まとめ:対策の刷新を
 情報大漏洩時代が来た
 プロによる攻撃
 漏れやすい道具の普及(スマホ)
 漏れるルートの普及(SNS)
 モノの対策
 定型的な事故には、対処手段が既にある
 人材の対策
 不定形な事故には、リスク観・...
Upcoming SlideShare
Loading in …5
×

人的要因から見た情報セキュリティ(Japanese)

4,289 views

Published on

This slides explain the role and feature of human factors around information security.( In Japanese)

Published in: Technology
  • Follow the link, new dating source: ♥♥♥ http://bit.ly/2F7hN3u ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Sex in your area is here: ❤❤❤ http://bit.ly/2F7hN3u ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • If you want to download or read this book, Copy link or url below in the New tab ......................................................................................................................... DOWNLOAD FULL PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

人的要因から見た情報セキュリティ(Japanese)

  1. 1. 産業技術総合研究所セキュアシステム研究部門 主任研究員 中田 亨 Toru Nakata, 2013. 情報セキュリティ と 人的要因 Human Factors on Information Security 1
  2. 2. 情報漏洩 最大の穴は「人間」  個人情報漏洩では 、人為ミス系が圧 倒的に多い  他のセキュリティ 事故でも大半は人 間のミスが原因  なお、ここ2年ほ どは「サイバー攻 撃」による事故が 増加中 2 誤操作 35% 管理ミ ス 33% 紛失 14% 盗難 7% 持ち出 し 5% 内部犯 行 2% 設定ミ ス 1% 不正ア クセス 1% バ グ 1% 目的 外使 用 1% ワー ム等 0% 漏洩原因 (出典:JNSA, 2011年情報セキュリティインシ デントに関する調査報告書 個人情報漏えい 編)
  3. 3. どのように情報は漏れるのか 1. 標的型攻撃 2. 情報持ち出し、紛失 3. 誤送付 4. 内部犯行 5. ソーシャルネットワ ーキング(SNS)で漏ら3 ヒューマン エラー 故意
  4. 4. 1.標的型攻撃  「敵」が巨大化している。  国の基幹が標的化:国会議員、財務、農水、JAXA、重工・ ・・4 単独犯 企業規模の敵 国家規模の敵 世間一般 誰でもいい 特定の組織 特定の施設・人物 標的型メール ハッカー集団 DOS攻撃 マスメール
  5. 5. 標的型攻撃メール 例  中国人民解放軍が作ったとされる標的型攻撃メール  (コンピューターセキュリティー会社Mandiantのレポート より)  送信者はMandiant社の社長をかたっているが、よく見れ ばフリーメールから発信。  下線部をクリックすると罠のファイルがダウンロード5 Date: Wed, 18 Apr 2012 06:31:41 -0700 From: Kevin Mandia <kevin.mandia@rocketmail.com> Subject: Internal Discussion on the Press Release Hello, Shall we schedule a time to meet next week? We need to finalize the press release. Details click here. Kevin Mandia
  6. 6. 標的型攻撃のやり方:心理戦  急ぎ助けて型:困っている同僚のふり。  「至急、おたくの課の○○さんからのファイルのパスワ ード教えて!」  セキュリティの緩和を求める。  ○○さんが出張中で不在なことはSNSで調べ済み  にせ警官型:安全の権威者のふりをする  「情報セキュリティ本部です。添付を開いて報告しな さい」  帝銀事件、三億円事件でも使われる古典手法  薄味型:どうでもいい内容で警戒させない。  「駐車場の車がランプ点いてます。詳しくは添付を」  社内の知らない人から送られても違和感が少ない 6 「注意力不足」というより「注意力抑制手口」
  7. 7. 標的型攻撃を防ぐには?  装置的な対処:  フィルタリング、exeファイル除去  しかし、使い古したメールソフトが大好きな人が多 い  人員的な対処  教育:一度実際にひっかける「ワクチン」訓練  体制:必要最小限の人にだけ情報を扱わせる 7
  8. 8. 2.情報持ち出し、紛失  なぜ、持ち出すのか?  風呂敷残業  他組織とのファイル輸送・共有  ネットにつながっていない機器へのファイル輸送  どう、漏れるのか?  紛失  小さい機器は大きなストラップをつけよ  スマホをロックせよ  強いパスワードの運用体制を:作成、共有、廃棄  無防備  初期設定のまま放置(外務省Google group 事件, 2013)  脇から覗き見  覗き見防止シートは必須  人前でスマホをいじるな 8
  9. 9. 3.誤送付、消し忘れ  ファイルはひな形を用意せよ  前の仕事のファイルを使いまわすな。  何かが残存している9 ↑エクセルの2枚目以降が あぶない ←ワードの無駄情報掃除
  10. 10. 送信する前、した後に  する前:入念な確認が必要 宛先、本文、添付ファイル しかし、英字のメアドは確認しにく い 無理をするな。古い手を使うな。  ×「BCCで一斉送信」  × 「ファイル輸送はなんでもメールで」  した後:送信取り消し機能も取り入れよ う 送信ボタン押下後、数十秒は保留待機 する機能10
  11. 11. 4.内部犯行  換金目的  通販会社顧客データ漏洩事件(2004)  会社への対抗手段として秘密の持ち出し  映画「エリン・ブロコビッチ」  正義感  スノーデン事件(2013)、外交公電Wikileaks 事件(2010)  自分のため  シマンテック社Ponemon 社共同調査(2009)  退職者の53%が、退職前に社内の情報を持ち出していた  82%は、情報管理について上司による監督や検査を退職 前に受けず  24%は、退職後も会社のコンピューターシステムに入る ことができた 11 情報は財で ある。
  12. 12. 5.SNSで漏らす  職務上の秘密を漏らす  鑑識課警察官FB投稿 (2012)  社内・自分の不祥事を漏らす  製薬会社員薬不正使用TW投稿(2011)  飲食業従業員による不謹慎TW投稿は多発  問題になるとは認識せずに漏らす  ホテル従業員TW投稿「有名人がお泊りデートだ」 (2011)  注目を浴びたい、ストレスを解消したい  「仲間しか見ていないから大丈夫。派手なネタを・・ ・」  個人的な不祥事でも社に類が及ぶ  「コイツどこの社員だ?」会社名を特定する推理ゲー ムに。 12
  13. 13. 対策:人員の認識差が根源 情報の読み手(部下)の見解 「この情報は重 要である」 「この情報は重要 ではない」 情報の 持 ち 主 ( 上 司 ) の 見解 「この情 報 は 重 要 である」 【戸締りされた 扉】 この情報は財と して扱われる。 【噂の扉】 この情報は流出す る。 「この情 報 は 重 要 で は な い」 【ガラス張りの 扉】 この情報は無断 利用される。 【 出 入 り 自 由 の 扉】 この情報は分析技 術が開発されるま では活用されない。 13 不一致の扉で情報の漏洩・盗難が起こる 社員全員で情報の相場観を一致させよう
  14. 14. まとめ:対策の刷新を  情報大漏洩時代が来た  プロによる攻撃  漏れやすい道具の普及(スマホ)  漏れるルートの普及(SNS)  モノの対策  定型的な事故には、対処手段が既にある  人材の対策  不定形な事故には、リスク観・価値観の一致が必要  「初期設定・無防備はオカシイ」という感覚を  ポリシーでの対策  ある程度は不効率を我慢する時代に  可用性と堅牢性のバランスを選択する、全社的合意 を  「誰でもファイルを見られる」で良いか?14 解説本を日経新聞 出版社より9月に 刊行

×