Document Actions

情報セキュリティのCI○

by kzslim — posted at 2007-02-13 10:29 last modified 2007-02-14 01:30

情報セキュリティの3要素ってなんだっけ? 電車のなかで、ふと思った。

まず、機密性(confidentiality)。
それと、完全性(integrity)。
最後は、可用性。可用性は、英語でなんていうんだっけ?

えーと、たしか、頭文字がCIOだから、Oで始まる単語。んー、そんなのないな(と、気持ち悪い時間を小一時間過ごす)。

いや、CIOじゃなくて、CIAだから＞自分

cf. http://itpro.nikkeibp.co.jp/article/COLUMN/20060214/229276/

Category(s): security

CMUJ武田圭史セキュリティ講演

by kzslim — posted at 2007-06-15 14:48 last modified 2007-06-18 13:41

「見える化」による情報セキュリティー整備を聴きにいった。

目的は、セキュリティを俯瞰する全体像の体系化や軸の参考さがし。あとは、岡村弁護士や宮崎緑の顔を生で見るという野次馬発想も少しあった。

結論からいうと、CMUJの武田圭史さんのプレゼン「未知の脅威に対抗する組織のセキュリティー力」は、いろいろな軸の呈示がありなかなか面白かった。

【参考リンク】武田圭史, 武田圭史のセキュアーで行こう

武田圭史氏プレゼン:

情報セキュリティ事故のトレンド
- 2006年はP2Pソフトによる情報漏洩が多発した年。2000年の省庁Webサイト改竄に次いで、顕著な年。
- インシデント傾向、時系列・網羅的に把握することは重要。
  事例に学び、将来の事故を低減することに寄与する。しかし、網羅的に定点観測されていない現状(警察は犯罪に繫がるもの、IPAは情報システムに係わるもの、...)。
- 2007年は、2次被害抑制のため、情報漏洩を報道発表しない傾向になった。
  - P2Pソフト経由漏洩は依然1位。不正アクセス, 内部犯行, サービス妨害等が増加。
  - 2007年1～6月情報セキュリティ事故発生比率
    48% Winny/Shareによる情報漏洩
    
    13% 不正アクセス↑
    
    7% 情報紛失
    
    7% 内部犯行↑
    
    7% 設定ミス
    
    5% ML関連ミス
    
    5% サービス妨害↑
    
    2% Webアプリ脆弱性
    
    2% フィッシング
    
    2% 業務ミス
    
    2% その他
組織のセキュリティ力
- 情報セキュリティ(定義) = Confidentiality(機密性), Integrity(完全性), Availability(可用性)
- 情報リスク = 資産 x 脅威 x 脆弱性
- 組織のセキュリティ力(3R+A)
  - 抵抗力(Resistance): FW/認証/アクセス制御/暗号
  - 認知力(Recognition): IDS/ログ/モニタリング/監査
  - 回復力(Recovery): バックアップ/多重化/インシデントレスポンス
  - 適応力(Adaptation): パッチ適用/PDCA
- IPAから、セキュリティインシデントの認識・リカバリ方を分析した文書が、近々公開される予定。
情報セキュリティの見える化
- 資産の見える化
  いわゆる、ISMSでいう、資産目録の作成/情報管理種別の定義とラベリング/取り扱い方法に同じ。
  - 情報資産の洗い出しと集中
  - 保護要件の定義とラベリング: 保護レベルに、機密性(C)だけでなくI, Aも。
  - 管理要領の定義と確認: 保管期限・破棄方法も明確に
- 脅威の見える化
  - 周辺脅威動向の分析: source IPA, @police, 武田圭史のセキュアーで行こう
  - 発生脅威の分析
    - 侵入検知(Intrusion Detection): OS/APログ, ウイルス対策ソフト/パーソナルFW, IDS, IPS, FW
    - 侵出検知(Extrusion Detection): 内部犯行やターゲッテドアタックの脅威を検知するため
  - 脅威対抗策の確認
- 脆弱性の見える化
  - 脆弱性動向の把握: source 脅威の見える化のリンクのほか Japan Vulnerability Notes, セキュリティホールmemo
  - パッチ適用・設定変更による対応
  - 脆弱性スキャナ等管理ツールによる確認
- 管理の見える化
  ポリシー理解度/ポリシー違反のグラフ化/ヒヤリハット事例収集。
  
  ベンチマーキングの例: IPA
  - セキュリティポリシー運用状況の把握
  - 発生リスクに基づく脅威分析
  - 不備の改善、リスク対抗策の実施
- 投資対効果の見える化
  - リスク毎予想損失の決定: セキュリティROIを試算し、数値化。
  - セキュリティ投資オプションの決定
  - リスク毎投資オプションの選択: (例)リスク発生確率xリスク発生時の被害見積から、対応のセグメント化。
未知の脅威への対応
- ゼロデイ、マイナスデイ: Vistaは脆弱性が枯れるまで(SP1?)待ったほうが良いとの意見も
- ターゲッテド・アタック(標的型攻撃)
- アプリケーションレイヤの脅威
  - アプリ固有の脆弱性攻撃: SQLインジェクション, ブルーとフォース攻撃
  - オンラインゲーム, P2P経由攻撃: P2P暴露ウイルス, RMT目的のアカウント搾取
  - blog, SNS, 掲示板等を介した情報流出
まとめ
- 目的志向のセキュリティ対策
- セキュリティ力向上
  - 3R+A(対抗・認識・回復・適応)
  - 既知の脅威から、未知の脅威の順に対応

その他:

岡村氏資料より、ISO/IEC 27002:2007の予定があることを知る。
宮崎緑氏曰く、「人には、性善説や性悪説ではなく、性弱説というものがある」との発言。ふむ。
同日実施の、MacAfee CSOのプレゼンと同様の内容が、【レポート】McAfeeのCSO、ユーザーの立場から最新のセキュリティ動向を語るにレポートされているようだ。