情報セキュリティ読本
情報セキュリティ読本
- IT時代の危機管理入門 -
プレゼンテーション資料
(第1章 IT(情報技術)に潜む危険)
情報セキュリティ読本 – プレゼンテーション資料 -
1
第1章 IT(情報技術)に潜む危険
1. ITの落とし穴
2. 危険の認識と対策
情報セキュリティ読本 – プレゼンテーション資料 -
2
第1章
1. ITの落とし穴
1. 実例1: P2Pファイル交換ソフトを介した
情報漏えい
2. 実例2: SQLインジェクション
3. 実例3: フィッシング詐欺
4. 実例4: スパイウェア
5. 実例5: ワンクリック不正請求
情報セキュリティ読本 – プレゼンテーション資料 -
3
第1章 > 1. ITの落とし穴
実例1: P2Pファイル交換ソフトを介した情報漏えい
■知らない間に情報漏えい
• 2006年2月、自衛隊の資料がネットに流出するなど、
情報漏えい事件が多発
• 原因は、個人所有のパソコンでWinnyを利用し、ウイル
ス(Anntiny)に感染したため
• ウイルス自身がWebサーバとして機能し、ハードディス
クの内容が公開されることもある。(例: 山田オルタナ
ティブウイルス)
• 個人のパソコンを業務に用いることの是非が問われる
情報セキュリティ読本 – プレゼンテーション資料 -
4
第1章 > ITの落とし穴
実例2: SQLインジェクション
■サイト閉鎖で大きな被害
• 2005年5月、不正アクセスによって多数のWebサイトが一
時閉鎖に追い込まれる事件が多発
• アクセスしたユーザがウイルスに感染した事例も確認
• 企業の信用が低下し、復旧費用がかかる
• 原因は、 Web アプリケーションにSQLインジェクションの
脆弱性があり、 それを悪用した不正アクセスを受けたため
• 脆弱性の解消と不正アクセス対策は必須
⇔ 脆弱性については読本 p.21-25参照
SQLインジェクションについては読本 p.25参照
情報セキュリティ読本 – プレゼンテーション資料 -
5
第1章 > 1. ITの落とし穴
実例3: フィッシング詐欺
■信じるものは騙される?
• 金融機関などを装ったメールを送り、偽のサイトに
ユーザを誘導し、カード番号などの個人情報を不
正に取得する行為はフィッシング詐欺と呼ばれる
• フィッシング詐欺により情報を盗まれると、その情
報を悪用され、クレジットカードの不正利用、不正
送金などの被害に遭うことがある
• メールの文言を鵜呑みにせず、Webで個人情報
を入力するときは十分な注意を払う
⇔フィッシング詐欺への対策は読本 p.62-65参照
情報セキュリティ読本 – プレゼンテーション資料 -
6
第1章 > ITの落とし穴
実例4: スパイウェア
■コンピュータに潜むスパイ
• 2005年夏、国内ネット銀行口座のIDやパスワード
が盗まれ、預金を不正に引き出される事件が発生。
• これに使用されたのがスパイウェア
• スパイウェアは、ユーザに気づかれずにコン
ピュータに侵入し、個人情報やユーザのアクセス
履歴などの情報を収集する不正プログラム
• Web閲覧、ファイルのダウンロード、添付ファイル
の取り扱いなどに注意する
⇔スパイウエアへの対策は読本 p.44-49参照
情報セキュリティ読本 – プレゼンテーション資料 -
7
第1章 > ITの落とし穴
実例5: ワンクリック不正請求
■身に覚えのない請求
• アダルトサイトなどで、画像をクリックしただけで、勝
手に入会登録され、登録料などの身に覚えのない
請求をされる
• 個人情報を知っているかのような文面
– 「登録ありがとうございます。料金は△△円です。あなた
のIPアドレスはx.x.x.x、プロバイダは○○です。」などと、
脅しの画面を表示される
• 実際には個人情報は取得されていない
• 基本的には無視することが一番
⇔ワンクリック不正請求への対策は読本 p.66-67参照
情報セキュリティ読本 – プレゼンテーション資料 -
8
第1章 > ITの落とし穴
実例5: ワンクリック不正請求
請求書が!!
情報セキュリティ読本 – プレゼンテーション資料 -
9
第1章
2. 危険の認識と対策
1)インターネットに潜む危険
2)メールに潜む危険
3)日常業務に潜む危険
4)危険への対処法
情報セキュリティ読本 – プレゼンテーション資料 -
10
第1章 > 2. 危険の認識と対策
1)インターネットに潜む危険
• Webページを閲覧しただけで不正プログラム
に感染してしまう
• リンクをクリックしただけで不正な請求をされ
たり、個人情報を盗まれるなどの被害に遭う
ことがある
• 不正なプログラムを誤ってダウンロードしてし
まう
情報セキュリティ読本 – プレゼンテーション資料 -
11
第1章 > 2. 危険の認識と対策
2)メールに潜む危険
• スパムメール(迷惑メール)
• 不正プログラムへの感染
• フィッシングメール
情報セキュリティ読本 – プレゼンテーション資料 -
12
第1章 > 2. 危険の認識と対策
3)日常業務に潜む危険
• 外出や出張時に資料を持ち出す、不要に
なった書類を廃棄する、歓談時に仕事の話
をする、といった何気ない行為が、情報漏え
いの原因となることがあります。
⇔情報漏えいを防ぐための心得は読本 p.74-77参照
情報セキュリティ読本 – プレゼンテーション資料 -
13
第1章 > 2. 危険の認識と対策
4)危険への対処法
•
•
•
•
情報セキュリティの基本を知ろう
不正プログラムについて理解しよう
実際のセキュリティ対策を施そう
情報セキュリティに使われている技術を理解
しよう
• 法律について認識しよう
情報セキュリティ読本 – プレゼンテーション資料 -
14
本資料の利用条件
1.
著作権は独立行政法人 情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2.
本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。
セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい
ただいても結構です。
3.
営利目的の使用はご遠慮下さい。
4.
授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは
行っていただいて結構です。
5.
本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。
外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6.
上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は
ありません。
なお、参考までに、 [email protected] まで以下をお知らせ下さい。
・使用する方もしくは組織の名称
・使用目的
・教育への参加人数
7.
ご質問、ご要望等は、 [email protected] までお知らせ下さい。
情報セキュリティ読本 – プレゼンテーション資料 -
15
ダウンロード

情報セキュリティ読本 - IPA 独立行政法人 情報処理推進機構