KB-IPA独立行政法人情报処理推进机构.PPT

情報セキュリティ読本　　　- IT時代の危機管理入門 - プレゼンテーション資料 （第1章 IT（情報技術）に潜む危険） 第1章　IT（情報技術）に潜む危険 ITの落とし穴 危険の認識と対策 1. ITの落とし穴 実例1: P2Pファイル交換ソフトを介した情報漏えい 実例2: SQLインジェクション 実例3: フィッシング詐欺 実例4: スパイウェア 実例5: ワンクリック不正請求 実例1: P2Pファイル交換ソフトを介した情報漏えい 2006年2月、自衛隊の資料がネットに流出するなど、情報漏えい事件が多発 原因は、個人所有のパソコンでWinnyを利用し、ウイルス（Anntiny）に感染したため ウイルス自身がWebサーバとして機能し、ハードディスクの内容が公開されることもある。（例: 山田オルタナティブウイルス） 個人のパソコンを業務に用いることの是非が問われる 実例2: SQLインジェクション 2005年5月、不正アクセスによって多数のWebサイトが一時閉鎖に追い込まれる事件が多発 アクセスしたユーザがウイルスに感染した事例も確認 企業の信用が低下し、復旧費用がかかる 原因は、 Web アプリケーションにSQLインジェクションの脆弱性があり、 それを悪用した不正アクセスを受けたため 脆弱性の解消と不正アクセス対策は必須　 実例3: フィッシング詐欺 金融機関などを装ったメールを送り、偽のサイトにユーザを誘導し、カード番号などの個人情報を不正に取得する行為はフィッシング詐欺と呼ばれる フィッシング詐欺により情報を盗まれると、その情報を悪用され、クレジットカードの不正利用、不正送金などの被害に遭うことがある メールの文言を鵜呑みにせず、Webで個人情報を入力するときは十分な注意を払う 実例4: スパイウェア 2005年夏、国内ネット銀行口座のIDやパスワードが盗まれ、預金を不正に引き出される事件が発生。 これに使用されたのがスパイウェア スパイウェアは、ユーザに気づかれずにコンピュータに侵入し、個人情報やユーザのアクセス履歴などの情報を収集する不正プログラム Web閲覧、ファイルのダウンロード、添付ファイルの取り扱いなどに注意する 実例5: ワンクリック不正請求 アダルトサイトなどで、画像をクリックしただけで、勝手に入会登録され、登録料などの身に覚えのない請求をされる 個人情報を知っているかのような文面 「登録ありがとうございます。料金は△△円です。あなたのIPアドレスはｘ.ｘ.ｘ.ｘ、プロバイダは○○です。」などと、脅しの画面を表示される 実際には個人情報は取得されていない 基本的には無視することが一番 実例5: ワンクリック不正請求 2. 危険の認識と対策 1）インターネットに潜む危険 2）メールに潜む危険 3）日常業務に潜む危険 4）危険への対処法 1）インターネットに潜む危険 Webページを閲覧しただけで不正プログラムに感染してしまう リンクをクリックしただけで不正な請求をされたり、個人情報を盗まれるなどの被害に遭うことがある 不正なプログラムを誤ってダウンロードしてしまう 2）メールに潜む危険 スパムメール（迷惑メール） 不正プログラムへの感染 フィッシングメール 3）日常業務に潜む危険 外出や出張時に資料を持ち出す、不要になった書類を廃棄する、歓談時に仕事の話をする、といった何気ない行為が、情報漏えいの原因となることがあります。 4）危険への対処法 情報セキュリティの基本を知ろう 不正プログラムについて理解しよう 実際のセキュリティ対策を施そう 情報セキュリティに使われている技術を理解しよう 法律について認識しよう 本資料の利用条件 著作権は独立行政法人 情報処理推進機構に帰属します。著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 　 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。なお、参考までに、 isec-info@ipa.go.jp まで以下をお知らせ下さい。　 ?使用する方もしくは組織の名称　 ?使用目的　 ?教育への参加人数 ご質問、