イベント・セミナー情報
第3回 IT HAPPY TALK 「セキュリティ対策最前線」議事録
◆ IT HAPPY TALK 2003 第3回◆
セキュリティ対策最前線
シマンテック 名古屋営業所所長 石田淳一
1,企業の情報資産について
(1)企業(組織)の資産とは 人+物+金+情報
(2)情報資産とは
・組織がその目的を達成するために活用
・紙、社員の脳裏、電子媒体などに記憶記録され存在
・公開を前提にした情報を含む。秘密にするものだけに限らない。
・組織の競争力
(3)情報資産の価値
・秘密にしておくべき情報が外部に漏れてしまったら
・情報の内容が間違っていたら
・利用したいときに情報が利用できないとしたら
(4)IT情報技術の変移
・パソコンの普及,LANの普及、インターネット利用の普及
・情報の電子化が加速度的に促進
(5)ITの将来展望
・新技術、普及、コストダウン、さらなる普及、周辺技術、普及
・ブロードバンド常時接続、携帯電話の機能向上、情報家電技術、電子マネー、電子政府
2,情報資産に対するリスク
(1)リスクとは損失の可能性
・資産×脆弱性×脅威
(2)リスクの大きさ
・資産が増えればリスクが高くなる、被害の発生頻度が高いとリスクが高い
・脆弱性が多いと被害の発生頻度が高い、脅威が増えると被害の発生頻度が高くなる。
(3)情報資産における脆弱性
・システムの脆弱性、運用の脆弱性、社会工学の脆弱性
(4)ソフトウエアの脆弱性の例
・windowsの限らずソフトに脆弱性はつきもの
(5)運用の脆弱性
・不適切な行動 簡単なパスワード、ノートPC/PDAの管理、詐欺行為対策、ウイルス定義ファイル更新、e−メール添付ファイルの安易な開封、不必要なウエブ閲覧とダウンロード
・従業員の些細な行動がセキュリティに大きな影響
3,脅威について
(1)情報資産に対する脅威
・自然災害、事故、犯罪
・インターネットの普及により不正侵入・不正ソフトが激増
(2)不正侵入・不正ソフトの増加
・脅威の増加はインターネットの普及と比例
4,リスクが現実化すると
(1)情報資産の被害額
・情報漏洩事件発生時の損害賠償額
・情報漏洩企業での株価変動
(2)情報資産被害の例
・ローソンで古曲情報流出2003.6
・アダルトビデオ購入者の名簿が流出2003.9
(3)他人事ではない情報漏洩
・cookieによる情報漏洩
・スパイウエア
・知らない間に公人情報が流出している可能性
(4)情報資産被害の例webサイト改ざん
・中央省庁ホームページ書換2000,1
・浜松の高校生が世界のwebサイトを改ざん
・比較的簡単なwebサイト改ざん派今後も拡大傾向
(5)情報資産被害の例(ウイルス)
・SQLSlammer2003.1
・W32BlasterWorm2003.8
・ウイルスの被害と感染力はますます拡大する傾向に
(6)Blasterワームのポイント
・PCを起動してネットワークへ接続しているだけで感染
・Windows2000/XPの脆弱性が放置されていると感染
・ファイヤーオールによってインターネットからの感染は防御可能
(7)Blasterワームの被害を受けなかったケース
・外部インターネットからの感染はファイヤーオールの設定
・修正プログラム適用でセキュリティホールが埋められていれば防御
・ウイルス対策ソフトを購入し、定義ファイルに更新されていれば防御
(8)Blasterワームの被害を受けたケース
・会社PCを自宅に持ち帰りインターネットから感染
・感染したPCを気づかないままに社内LANに持ち込む
・修正プログラムが未適用または、最新定義ファイルの更新が遅れたPC
5、セキュリティ情報の入手
(1)@police 警視庁が運営してネットワークセキュリティに関する情報を提供しているサイト
http://www.cyberpolice.go.jp/
(2)情報処理事業振興協会セキュリティセンターIPA
IPAが情報セキュリティ対策啓蒙のため運営するサイト
http://www.ipa.go.jp/security/
(3)シマンテックセキュリティスクエア
初心者から上級者まで楽しくわかりやすくを学習できる
http://j-square.symantec.com/
