企業に求められる情報モラル と人権・個人情報保護 · 2017-10-25 ·...
TRANSCRIPT
1
企業に求められる情報モラル
と人権・個人情報保護〜企業に求められる情報管理の徹底とリスク回避について〜
情報安全保障研究所
山崎 文明
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
2
深刻なプライバシー侵害や誹謗中傷、いじめ
増加傾向にあるインターネット上の人権侵害
【出典】法務省人権擁護局 平成24年中の「人権侵犯事件」の状況について 2013年3月1日
【出典】法務省人権擁護局 平成27年度版「人権教育・啓発白書」
インターネット上の人権侵害情報に関する人権侵犯事件の推移
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
3
ソーシャルメディアへの不適切な書き込み
誹謗中傷、部下の中傷(パワハラ)、プライバシー侵害
信用失墜、イメージダウン
投稿者自身に跳ね返る制裁
インターネットが引き起こす人権侵害
「お泊まり暴露」ウェスティンホテル謝罪Jリーガーの■■■■選手 (31)とモデルの■■■■さん(28)について「今夜は2人で泊
まるらしい」などとホテル関係者がツイッターに書き込んだ問題で、従業員が勤務していたウェスティンホテル東京は「アルバイト従業員がお客様のレストランご来店情報をブログなどで流出させていた」などとする文書をウェ
ブサイトに掲載した。
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
4
SNSから特定できる個人
公開情報から特定される個人
5時間でプロファイリング終了アカウント、氏名、生年月日、顔写真、
住所、自宅の外観、学歴、趣味、
就職希望先・・・・・・・等々
取り返しがつかない人権侵害
PC遠隔操作・・?もし、誤りだったら
いまだに公開されている過去の過ち
関係者全員が不幸な事件
第一の被害者はカップル
第二の被害者はホテル
第三の、第四の・・・・・
大切な従業員教育
インターネットが引き起こす人権侵害
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
5
【出典】情報処理推進機構コンピュータウイルス・不正アクセスの届出状況および相談状況[2017年第2四半期(4月~6月)]
ランサムウェアのまん延
急増しているランサムウェアの被害
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
6
【出典】トレンドマイクロ 2016年6月に、企業・組織においてITに関する意思決定者および関与者534名を対象に「企業におけるランサムウェア実態調査 2016」結果
以外と多い?身代金支払い企業
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
7
4つ星ホテルでランサムウェア被害
カードキーシステムがダウンでチェックインできず身代金1500ユーロ支払ってシステム復旧
制御系のシステムはインターネットと分離することが原則
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
8
ランサムウェアを装う「Ranscam」 感染した時点で全てファイル削除
こまめなバックアップとパッチワーク オフラインの媒体へのこまめなバックアップ OSやアプリケーションの最新バージョンを維持
マルウェア作者でも不可能な復元
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
9
ランサムウェアより恐ろしいドクスウェア
doxing(ドクシング)
doxingとは、個人攻撃のためにその人の個人情報をWeb上で公開する、いわゆる「晒し」を意味する英語のインターネットスラングである。 日本語では「晒し」。
Doxware(ドクスウェア)
ランサムウェア(ransomware)の反対語。 ランサムウェア攻撃では、マルウェアは被害者のデータを暗号化し、支払いを要求して必要な解読鍵を提供します。 ドクスウェア攻撃では、攻撃者またはマルウェアは被害者のデータを盗み、手数料が支払われない限り公開すると脅かします。
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
10
知らない人の家に泊まる・・・
今、話題の民泊
知らない人を愛車に乗せる
知らない人の車に乗って・・・・・・
知らない人を自宅に泊める
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
11
世界最大のデータブローカーLexisNexis
http://www.lexisnexis.com/risk/
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
12
名寄せされる個人情報
米国企業に見る個人情報ブローカーの実態増加し続けるデータマッチング・キー
• 携帯電話番号、クレジットカード番号、電子マネー番号、社会保険番号、
商品として扱われる個人情報 データブローカー世界最大の個人情報販売会社 Choice Point社
• 売上 1000億円 NYSE上場 従業員5千名以上• 2億2千万人 170億レコード 250テラバイト• DBT「AutoTrackXP」
問われるセキュリティとプライバシーのバランス Nanny
• 目指すはサイバー空間上のnanny
村化する社会が安心・安全をもたらす
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
13
万引犯罪を発見した後の基本的な処理方針
【出典】平成27年6月「第10回全国小売業万引き被害実態調査報告書」
年間4615億円、毎日12億6千万円の万引被害
復活する村八分 犯罪歴 勤務評価
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
14
NoChoice
ChoicePoint社は自社のデータを保護しているが,その保
護の範囲は同社が「価値を生み出す」と見なす対象にしか及ばない。同社のデータベースに個人情報が保存されている何億人もの人々は,同社の顧客でない。こうした人々には,信用調査会社を変えるすべがない。問題改善につながる経済的圧力を加えることもできない。
ChoicePoint社は社名を“NoChoicePoint(選択の余地なし)”に変更すべきだろう。
ジャーナリスト Bruce Schneier
企業による個人の格付け情報区別が差別に繋がる脅威
15
事例から学ぶ情報漏えい対策日本年金機構の事案を例に
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
16
機構職員が規則通りパスワードを設定していればこの事件は起こらなかった?
脅威の認識は正しいか 日本年金機構の事例
マスコミの批判が殺到したパスワード運用の不備 内部調査報告書でも厳しく指摘
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
17
遠隔操作型マルウェアBackdoor.Emdivi
2012年5月30日4時49分
www.summitship.co.jp
125.206.115.79
C&C サーバー(Command & Control Server) / C2サーバー
犯人からは丸見えのパスワード
PC画面やキーボードストロークは丸見え状態
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
18
発見できて当然の攻撃IPアドレス 本気の攻撃なら攻撃に未使用のIPアドレスでやってくる
ウイルス感染から10分以内で遠隔操作開始 伝言ゲーム 遅すぎる連絡体「5月8日 内閣サイバーセキュリティセンター(NISC)から厚生労働省情報政策参事官室、年金局を通じて「不正な通信を検知」との通報を受領。当該端末を特定し、抜線。」
「ウイルス発見」→「遮断」→「検討」
脅威の認識は正しいか 日本年金機構の事例
ネットワーク監視の限界
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
19
問題の本質は同根
2015年6月
2013年3月
2015年7月
2016年6月
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
20
事件の端緒はウイルスが仕込まれた偽装メール 容易に想像できる職員のメールアドレス
ハッキングの初手はWHOIS検索から
公開されているシステム管理者のメールアドレス
メールアドレスは漏えいしたのか?
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
21
基幹システム開発部の職員のメールアドレス 姓名から容易に想像がつくメールアドレス 「苗字−名前@nenkin.go.jp」
氏名
苗字-名前
苗字-名前
メールアドレスは漏えいしたのか?
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
22
推測できないメールアドレス体系にしていればこの事件は起こらなかった?
かもしれない!公開されているメールアドレス
お客様お問い合わせメールアドレス 別ドメインとしていれば感染は広がらなかった
売買されているメールアドレス セミナー参加申込者のメールアドレス
メールアドレスは漏えいしたのか?
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
23
そもそも偽メールが届かない仕組み構築
DMARC(Domain-based Message Authentication, Reporting & Conformance) 米国を中心に急速に広まっているメールの判別システム 率先導入して社会インフラとして整備しましょう
【出典】http://www.cuenote.jp/library/marketing/dmarc.html
SPF(Sender Policy Framework)送信元のIPアドレスが送信者名と整合するか確認する仕組み
DKIM(DomainKeys Identified Mail)電子メールに電子署名を行なって詐称を防止する仕組み
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
24
セキュリティ専門家が囃し立てる「高度な標的型攻撃」の実態
20年前から変わらないハッキング手法 問題は確実な修正プログラムの適用が行われていなかったこと
攻撃手法は高度化しているのか?
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
25
ゼロデイ攻撃(ZERO-day Attack)
ゼロデイ攻撃とはソフトウェアの脆弱性(セキュリティホール)を標的とした攻撃のうち、脆弱性が発見されてから、開発者によって修正プログラムなどの対策が提供されるまでの時間差を利用して行われる攻撃のことである。【出典】IT用語辞典
【出典】https://direct.fujixerox.co.jp/ap1/sc/beat/ja/trend/031318.html
脆弱性情報が公表されない期間
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
26
• 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
• 公開日:2014年11月13日
• 概要
弊社ジャストシステムの一部製品に脆弱性の存在を確認いたしました。この
脆弱性が悪用されると任意のコードが実行され、パソコンが不正に操作される危険性があります。この問題の影響を受ける製品と、その対策方法、回避策を以下にご案内いたしますので、ご確認の上、ご対応をお願いいたします。
• 脆弱性の内容
今回の脆弱性を悪用することを目的に改ざんされた文書ファイルを直接開いた場合、悪意のあるプログラムを実行しようとします。
• 脆弱性がもたらす脅威
この脆弱性を悪用した攻撃が「成功」すると、悪意のある第三者によってコンピュータを完全に制御されてしまう可能性があります。これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、システム管理者の権限でコンピュータを任意に操作できる可能性があります。
一太郎の脆弱性を悪用した不正なプログラム
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
27
セキュリティ専門家が囃し立てる「高度な標的型攻撃」の実態
20年前から変わらないハッキング手法 問題は確実な修正プログラムの適用が行われていなかったこと
一太郎を最新状態にしていればこの事件は起こらなかった!
攻撃手法は高度化しているのか?
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
28
1. 個人情報の漏えいは思わぬ人権侵害の元凶となる 個人情報の収集は自分に置き換えて判断 区別と差別は紙一重
2. 「高度な標的型攻撃」も対策の本質は変わらない 使用しているアプリケーションの確実な把握 不要なアプリケーションの削除 確実な更新プログラム(修正パッチ)の適用
3. メールの運用を見直す 偽装メールを不可能にするDMRAC対応 メールアドレスの推測を不可能に 公開アドレスは別ドメインに
まとめ
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
29
困ったときは法務省ホームページへ
Copyright ©2017 Fumiaki Yamasaki All rights reserved.
30
山崎 文明(やまさき ふみあき) 情報安全ん保障研究所 首席研究員
メディカルITセキュリティフォーラム理事/PCISSC PO Japan 連絡会会長/IT-ADRセンター専門委員
システム監査技術者(経済産業省)/医療情報システム監査技術者/医療情報技師
英国規格協会認定BS7799情報セキュリティ・スペシャリスト/CISM
システム監査、ネットワークセキュリティ、セキュリティポリシーに関する専門家。大手会計監査法人にてシステム監査に永年従事。
【政府関連委員会委員就任歴】
(現任)文部科学省
「2020年代に向けた教育の情報化に関する懇談会」スマートスクール構想検討WG委員
(現任)内閣官房情報セキュリティセンター
情報セキュリティ社会推進協議会産学官人材育成WG委員
内閣官房 安全保障危機管理室 情報セキュリティ対策推進室WG委員
警察庁不正アクセス犯罪等対策専科講師
学校セキュリティ検討委員会委員
経済産業省サイバーテロ実験評価委員
警察庁不正プログラム調査研究委員会委員
警察庁サイバーセキュリティ調査研究委員会委員 他
【加盟学会】
警察政策学会正会員/日本セキュリティ・マネジメント学会正会員/日本安全保障・危機管理学会正会員
【著書】「情報立国・日本の戦争」(角川新書)「PCIデータセキュリティ基準 完全対策」(日経BP社)、「すべてわかる個人情報保護」(日経BP社)、「情報セキュリティハンドブック」(オーム社)、「情報セキュリティと個人情報保護 完全対策」(日経BP社) 、「システム監査の方法」(中央経済社)、「コンティンジェンシー・プランニング」(日経BP社)、「セキュリティマネジメント・ハンドブック」(日刊工業新聞社)等。
自己紹介
ADR: Alternative Dispute Resolution 「裁判外紛争解決手続の利用の促進に関する法律」