情報セキュリティ(基礎)
TOP >暗号化
■機密情報の流出経路
個人情報や営業秘密等を含む機密情報が流出するケースとして主なものは次のものが考えられる。
1.外部媒体
FD, MO, DVD, USBなど外部記憶媒体によりデータをコピーして持ち出す。
→ネットワークトラフィックを監視して、大量データがコピーされた時に
検知する仕組みを導入。ただし、個人毎の通常データの計測が必要。
→重要情報は一度で大量に持ち出せない仕組みとする(例:1度に10件のみ抽出可能)
→USB無効化ツールなどPCに外部媒体を接続できないようにする(周辺機器の接続を禁止)。
→セキュリティ区画※では外部媒体の持ち込み禁止とする。
※セキュリティ区画:セキュリティの重要性にあわせて、物理的に空間を定義する。
1) セキュリティ制限区画 :重要サーバなどコンピュータを設置
2) 業務区画 :業務フロアなど
3) 一般区画 :ロビーや受付など
2.ファイル交換ソフト
ファイル交換ソフト※により意図せずにパソコン内の重要情報が流出することがある。
※Winnyや山田オルタナティブ、Share(シャレと読む)
→ファイル交換ソフトはインストールしない運用手順として徹底する。
また、個人所有のPCを会社のネットワークに接続しない。
自宅で個人所有PCをネット接続中に、ファイル交換ソフトが勝手にインストールされる
ケースもある。
3.メール
メールに重要データを添付することで重要データが流出する。
→抑止効果としてメールアーカイブ※を事前に広報する。
※メールアーカイブ:送信メールと受信メールのすべてをサーバ上で
記録(ロギング)し、データ流出などインシデントが
発生した時に、調査し流出経路を特定する。
→検出機能として、メールアーカイブなどを使いキーワードを設定し
合致(ヒット)した時に、そのメールを送信しないようにする。
意図的な機密情報流出に加えて、誤送信などの防止にも役立つ。
検出対象・・・メールヘッダ、サブジェクト(題名)、メール本文
4.メール以外(ftp, telnetなど)
あるコンピュータにあるデータをネットワークと通じて別のコンピュータに
送付するツール(コマンド)によってデータがコピーされてしまう。
→社内ネットワークとインターネットとの間にはファイアーウォールが
設置(通常)されセキュリティを確保している。このファイアーウォールの
フィルタリング設定でFTPサービスを遮断するのも一つの手段である。
5.盗難・紛失・置き忘れ
持ち出したPCなどを紛失・盗難などにより外部へ流出する。
営業活動などノートPCを持ち出すことは不可避となっているため可能性は高い。
→紛失・盗難・置き忘れなどに気をつけることがまず大事。
しかし、人が持ち歩きするものであるから、避けることはできない。
パスワード認証を設定する。段階として次のことが考えられる。
・BIOSでのパスワード設定
・ハードディスクのパスワード設定※
・OSのパスワード設定
・ファイル毎のパスワード設定(リード・ライト設定など)
→承認者の事前承認、持ち出し管理簿の運用など、持ち出しと返却の徹底を図る。
※ハードディスクを物理的にとりだして、別のPCに接続してデータを読み出す方法への対策
6.一般区画における会話
公共の場(公開区画・一般区画)で交わされる会話が第三者に聞かれてしまうと重要な情報が
漏れる可能性がある。社内であってもロビーなど一般区画とされる場所での会話も同様である。
→重要な情報を話す際には十分に気をつける。
実状にあったセキュリティ教育※などを継続的に開催し、社員への徹底を図る。
※セキュリティ教育:情報セキュリティポリシをベースとして、定期的に
実施する教育。1度やればOKというものではない。
7.ショルダーハッキング
昼休みなどで離席する際に、重要ファイルを開いたままにすると、
第三者にそのデータを見られてしまうことがある(ショルダーハッキング、覗き見)
同じことが設計書などの文書にも言える。
→クリアデスク※やクリアスクリーン※を徹底する。
※クリアデスク :机の上の文書を開いたままにせずに引き出しにしまうなど
整頓された状態にすることで、他の人に見せないようにする
※クリアスクリーン:クリアデスクと同様にパソコン上の文書を開いたままに
せずにアプリケーション等を閉じた状態にする
離席時の安全策として、スクリーンセーバーの「スタンバイ復帰パスワード」の設定をする。
8.印刷出力
重要データをプリントアウトして持ち出す。
→印刷記録を残す機能があるプリンタの場合は設定を有効にする。
記録内容・・・印刷者、内容、時刻、印刷理由
また、共有プリンタに出力してとりに行くまでに、第三者の手に渡る。
→セキュリティプリント※を利用する。
※セキュリティプリント:プリンタの高機能として印刷する前に本人に暗証番号
入力を求めるもの。本人がプリンタの前に行った時に
出力されるので、他の人には見せたくない場合などに有効である。
9.FAX誤送信
重要データをFAXで送信する際に、別の番号へ送信してしまう。
→送信後は、送信相手にFAXが到着したことを必ず確認する。
10.廃棄PCや廃棄用紙
不要となったPCや印刷ミスなどのコピー用紙などを処分する際は十分注意が必要となる。
廃棄PCのハーディスクは物理的に破壊するか、専用のデータ消去ツールを用いて消す。
※1111ばかり等意味のないデータを上書きするツール。OSの削除コマンドは実態が残り、
データ復元ツールにより簡単に取り出すことができるようになるため、この対策が必要。
印刷ミスなどの紙ベースの文書は、細断処理をするか専門の業者に委託する。
委託業者とは秘密保持契約(NDA)などを締結することが求められる。
暗号
共通鍵暗号方式 ブロック暗号 ストリーム暗号
Diffie-Hellman鍵交換 無線LANにおける通信 ICV MIC PSK キーエスクロー プレマスターシークレット
PEM ICカード CBC-MAC WebDAV FEAL ハッシュ関数 MISTY1 SSH IDEA 3DES RSA
楕円曲線暗号方式 暗号基礎T ストリーム暗号 ブロック暗号 CRYPTREC 秘密分散 Camellia
量子暗号 RC4 ElGamal WPA ハイブリッドかぎ暗号方式 PGP S/MIME 公開かぎ暗号方式
X.509ディジタル証明書 CSR CRL ブロック暗号の操作モード TKIP WEP SSL TLS DES AES
認証
HTTPベーシック認証 HTTPダイジェスト認証 IEEE802.1X PEAP 画像認証 セキュアサイトシール RADIUS
ルート証明書 DSA 真正性の確保 MAC 発信者番号通知 SAML EAPOL コードサイニング認証
ユーザ認証の迂回 本人認証 ロックアウト機能 USB トークン 送信ドメイン認証 トークン方式 サーバ認証 IKE
耐タンパ性 ASN.1記法 仮パスワード APOP POP before SMTP SMTP-AUTH Domain Keys Sender ID
コールバック OP25B IPsec Kerberos MD5 メッセージ認証コード ステガノグラフィ バイオメトリクスによる認証
SAML CA シード ディジタル署名 SSO ユーザIDとパスワードによる認証の利用者負担 PSK CHAP S/Key PPP
PKI EAP ゼロ知識証明 チャレンジレスポンス方式によるOTP認証 ワンタイムパスワード HMAC 認証VLAN SHA1
データリンクレベルでのユーザ認証 SET 電子透かし メッセージ認証
コンピュータ基礎
パディング 基礎技術 テンペスト技術 電子メールの仕組み レグレッションテスト 年明けのセキュリティ対策 ブラウザ設定
コードサイニング証明書 リポジトリ CORBA RAID ユビキタスコンピューティング SET-UID 基礎3 プロトコルスタック
基礎2 基礎5 オブジェクト指向T アセンブリ言語 CRC EDI FCS PCM XML
暗号技術
認証
◆ プロなら知っておきたい最新セキュリティ技術 (アスキームック) (アスキームック)
◆ プロなら知っておきたいネットワークの最新知識 (ゼロからはじめる)