1. 情報セキュリティの概念

三大要素

情報資産
脅威
脆弱性

企業における情報セキュリティ確保の手順

意識付けと体制の整備
- 基本方針
- 情報セキュリティ委員会設置
全社的にルールを決める
- 情報セキュリティポリシの作成
そのルールを全社に浸透させる
- セキュリティ教育
- 周知活動
定期的に評価・監査、必要に応じて見直し

情報セキュリティ確保時の留意点

抑止効果を狙う
予防的対策
事後対策
- 検知
- 復旧
再発防止策

情報セキュリティの三要素

Confidentiality；機密性
Integrity；完全性
Availability；可用性

2. 国の動向

重要な動き

サイバーセキュリティ基本法
- サイバーセキュリティ戦略本部を設置
- NISC（内閣サイバーセキュリティセンター）に改組
- サイバーセキュリティ戦略の作成及び実施（3年ごと）
サイバーセキュリティ経営ガイドライン（Ver2.0）
- 経済産業省が企業の経営者向けに公表したガイドライン
中小企業の情報セキュリティ対策ガイドライン　第3版
- IPAが公表している
割賦販売法の改正
- クレジットカード番号等の適切な管理
  - カード情報の非保持化
  - カード情報を保持する場合PCI DSS準拠
- 不正利用の防止策を講じることを義務付け
  - 加盟店の信用照会端末はICカード決済対応を義務化
ECサイトはリスクに応じた多面的・重層的な不正使用対策の導入（パスワードによる本人認証、属性・行動分析等）

3. 情報セキュリティマネジメント

情報セキュリティの推進体制

情報セキュリティ推進組織
- CISO
各部門
- 情報セキュリティ管理者

制度

情報セキュリティマネジメント試験
ISMS適合性評価制度
- ISMS
  - 情報のCIAを保護するための体系的な仕組み
- ISMS構築手順
  - ISMSの適用範囲を定義
  - ISMSの情報セキュリティ方針を確立
  - リスクアセスメント
    - リスク基準を確立
    - 一貫性及び妥当性を確保
    - リスク特定
    - リスク分析
    - リスク評価
  - リスク対応
    - リスク対応の選択肢を選定
    - リスク対応の選択肢に対するすべての管理策を決定
    - 管理策を付属書Aに対して比較
    - 適用宣言書を作成
    - リスク対応計画を策定
    - 残留リスクの承認
    - ISMSの導入・運用を許可
システム監査制度
- システム監査の手順
  - 監査計画
    - 中長期計画
    - 基本計画
    - 個別計画
  - 監査実施
    - 予備調査
    - 本調査
    - 評価・結論
  - 監査報告
  - フォローアップ
- 関連用語
  - 監査手続
    - 予備調査で確定させ、監査手続書にまとめられる
  - 監査調書
    - 監査人の監査意見の正当性を証明するための調書
  - 監査証跡
    - 一連の処理過程を途中で確認できるような仕組みのこと
    - これがあって初めて監査証拠が取れる
  - 監査証拠
    - 本調査で収集する
    - 物理的証拠
    - 文書的証拠
    - 口頭的証拠
  - 監査報告書
  - システム監査基準
    - システム監査人の行為規範
  - システム管理基準
    - システム管理の実践規範
情報セキュリティ監査制度
- 保証型監査
- 助言型監査
- 2つの基準
  - 情報セキュリティ監査基準
  - 情報セキュリティ管理基準
- 7つのガイドライン
プライバシーマーク制度
- JIS Q 15001:2017
- PMS
  - 個人情報保護マネジメントシステム
- プライバシーマーク構築手順
  - 個人情報保護方針の作成
  - 個人情報保護体制の整備
    - 個人情報保護管理者
    - 監査責任者
  - PMSの内部規定作成
    - 取得
    - 利用
    - 提供
    - 委託
  - 苦情相談窓口の設置
  - 教育
  - 監査
    - 個人情報保護監査責任者
- 個人情報保護法
  - 民間分野
    - 4~7章
  - 個人情報保護委員会
  - 保有個人データ
    - 事業者が開示等の権限を有し6か月以上にわたって保有する個人情報
  - 要配慮個人情報
    - 人種
    - 信条
    - 社会的身分
    - 病歴
    - 犯罪の経歴
    - 犯罪によって害を被った事実
  - 匿名加工情報
    - 本人の同意を取らなくても自由に利活用できる
  - 小規模取扱事業者
    - 第三者への提供はオプトアウト手続きで可能
内部統制制度
- 金融商品取引法
- 財務報告に係る内部統制の評価及び監査に関する実施基準
  - 金融庁
- 目的
  - 業務の有効性及び効率性
  - 財務報告の信頼性
  - 事業活動にかかわる法令などの厳守
  - 資産の保全
- 内部統制の基本的要素
  - 統制環境
  - リスクの評価と対応
  - 統制活動
  - 情報と伝達
  - モニタリング
  - ITへの対応
    - 全般統制
    - 業務処理統制
- 内部統制構築
  - 業務記述書
  - 業務フローチャート
  - RCM

4. セキュリティ関連規格

セキュリティ関連規格

JIS Q 27001
- ISMSの要求事項
JIS Q 27002
- ISMSの実践のための規範
ISO/IEC15408
- 製品のセキュリティ評価基準
- JISEC
  - この基準に基づく日本の評価認証制度
PCI DSS
- グローバルなクレジットカード情報を取り扱う企業におけるセキュリティ基準
- 要件
  - 安全なネットワークとシステムの構築の維持
    - ファイアウォールを導入
    - デフォルトパスワードは使用しない
  - カード会員データの保護
    - データを安全に保護すること
    - 暗号化
  - 脆弱性管理プログラムの維持
    - ウイルス対策ソフト
    - 安全性の高いシステムとAP
  - 強力なアクセス制御手法の導入
    - 必要範囲内のアクセス制限
    - アクセス確認と許可
    - 物理的アクセス制限
  - ネットワークの定期的な監視およびテスト
    - アクセスを追跡監視
    - 定期的にテスト
  - 情報セキュリティポリシーの整備
    - ポリシを整備・維持する

5. 脅威

攻撃の種類

マルウェア
- コンピュータウイルス
  - 以下のいずれかを有するもの
    - 自己伝染機能
    - 潜伏機能
    - 発病機能
  - ワーム
    - ネットワークを通じて他のコンピュータに拡散する
  - トロイの木馬
    - ひっそりと常駐し、特定の日時や外部からの指示で破壊活動を開始する
  - ボット
    - 遠隔操作を目的とする
- 攻撃ツール
- スパイウェア
  - コンピュータ内部の情報を自動的に通知する目的で常駐するプログラム
- ランサムウェア
- ドライブ・バイ・ダウンロード攻撃
  - ウェブサイトを閲覧しただけで、ウイルスなどをPCにダウンロードさせる
不正アクセス
- 事前調査
  - ポートスキャン
- 身元の隠蔽
  - なりすまし
- 攻撃
  - 目的
    - 利用者権限の奪取
    - 管理者権限の奪取
  - 手段
    - 盗聴
    - パスワードクラッキング
    - Exploitコード
    - ゼロディアタック
- バックドア、ログの改ざん
ソーシャルエンジニアリング（社会工学）
- スキャベンジング
  - 捨てられた重要な情報を探し出す
サービス不能攻撃
- Dos
- DDos
- DNS amp、DNS reflection
- EDoS
  - 経済的損失を与えることを狙ったDoS
- Smurf
  - ICMPの応答パケットを大量に送り付ける
- TSP SYN Flood
  - TCP接続要求であるSYNパケットを大量に発生させる
- ICMP Flood
  - pingコマンドを大量に発生させる
- UDP Storm
  - サイズの大きいUDPパケットを大量に送信する
フィッシング
テンペスト
なりすまし
- IPスプーフィング
  - 送信元IPアドレスを偽造
- ARPスプーフィング
  - IPアドレスに対するMACアドレスの不正な対応関係を作り、不正のMACアドレスを持つ端末が正当な端末になりすます
- Man-in-the-middle攻撃
  - メール受信者が交換鍵を送信したときに、横取りする
  - メール送信者に新たに作成した鍵ペアの交換鍵を送付する
  - 受信者と送信者の間に入って情報を詐取する
- フィッシング
- SEOポイズニング
標的型攻撃
- 段階
  - 計画立案段階
    - 調査、情報収集
  - 攻撃準備段階
    - 騙されやすい文面の作成
    - C&Cサーバの設置
  - 初期潜入段階
    - 標的型攻撃メールの送信
    - 添付ファイルやURLのクリックによるマルウェア感染
  - 基盤構築段階
    - C&Cサーバからコネクトバック通信を開始
    - より強力なウイルスへのパワーアップ
    - 周囲への感染拡大
  - 目的遂行段階
    - 外部からのコントロールによる情報収集や破壊活動
- 標的型攻撃の初期潜入方法
  - 標的型メール（ばらまき型）
  - 標的型メール（やり取り型）
  - 水飲み場型攻撃
- 標的型攻撃のキーワード
  - APT
    - 標的型攻撃はAPTの一部、もしくは別名
  - 高度標的型攻撃
  - C&Cサーバ
    - コネクトバック通信
      - マルウェアに感染した内部の端末からの外部のC&Cサーバへのアクセス
- 標的型攻撃対策
  - 入口対策
  - 内部対策（出口対策）
調査
- ウォードライビング
  - 街の中のセキュリティの甘いAPを探す
- スニファ
  - ネットワーク上を流れる特定のパケットをキャッチする行為

6. 暗号化

共通鍵暗号方式

鍵が同じ
鍵の管理が複雑
鍵の配送が難しい
代表的なアルゴリズム
- AES
  - DESの後継規格
  - 128/192/256ビット
  - 暗号化の段数は鍵長によって決まる
- DES
  - レガシー
  - 56ビット
- トリプルDES
- RC4
  - レガシー
  - 鍵長不変のストリーム方式
- Camellia
  - 共通鍵ブロック暗号
  - 128/192/256ビット
  - AESより高い攻撃耐性と高速処理
Diffie-Hellman鍵共有プロトコル
- 共通鍵を安全に共有するアルゴリズム

公開鍵暗号方式

鍵が異なる
処理が遅い
代表的なアルゴリズム
- RSA
  - Diffie-Hellman鍵交換方式を基に
  - 素因数分解の難しさ
- DSA
  - ディジタル署名のアルゴリズム
  - 離散対数問題の難しさ
- ECC
  - 楕円曲線暗号
  - ECRSA
  - ECDSA

ハイブリッド暗号方式

暗号鍵を公開鍵暗号方式で暗号
本文は共通鍵暗号方式で暗号

安全性

米国国立標準技術研究所
- NIST
CRYPTREC暗号リスト
- 電子政府推奨暗号リスト

暗号解読法

ブルートフォースアタック
- 総当たり法
既知平文攻撃
- 与えられた平文と暗号文を使用
選択平文攻撃
- 自分で作成した平文と暗号文を使用
差分解読法
- 平文の差、暗号文の差を利用
線形解読法
- 線形近似式を利用

7. ハッシュ関数

ハッシュ関数の特徴と代表的なハッシュ関数

一方向性
衝突回避性
- 異なる値からは同じハッシュ値になりにくい
固定長になる
処理が速い
ハッシュ関数の性質～困難性
- 原像計算困難性
  - ハッシュ値→元の値が困難
- 衝突発見困難性、強衝突耐性
  - 同じハッシュ値になる二つの値を求めることが困難
- 第二原像計算困難性、弱衝突耐性
  - 既知の値とハッシュ値があっても、異なる値から同じハッシュ値を求めることが困難
代表的なハッシュ関数
- SHA-3
  - 224、256、384、512ビット
  - これから
- SHA-2
  - 224、256、384、512ビット
  - 主流
- SHA-1
  - 160ビット
- MD5
  - 128ビット

8. ディジタル署名

ディジタル署名の手順

ハッシュ関数を使って、平文からMDを作成
MDに送信者の秘密鍵で暗号化する（署名する）
送信
受信者は、ハッシュ関数を使って平文からMDを作成
受信者は、受信したディジタル署名を送信者の公開鍵を使ってMDに復号
二つのMDを比較。改ざんの有無、本人確認

lu100101の日記

勉強の記録

基礎知識

1. 情報セキュリティの概念

三大要素

企業における情報セキュリティ確保の手順

情報セキュリティ確保時の留意点

情報セキュリティの三要素

2. 国の動向

重要な動き

3. 情報セキュリティマネジメント

情報セキュリティの推進体制

制度

4. セキュリティ関連規格

セキュリティ関連規格

5. 脅威

攻撃の種類

6. 暗号化

共通鍵暗号方式

公開鍵暗号方式

ハイブリッド暗号方式

安全性

暗号解読法

7. ハッシュ関数

ハッシュ関数の特徴と代表的なハッシュ関数

8. ディジタル署名

ディジタル署名の手順