O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.

知ることから始めるセキュリティ対策

1.979 visualizações

Publicada em

Security Best Practices for Translators | 日本翻訳者協会 で行ったセッション資料です。

http://project.jat.org/ja/kyoto/2015/security_best_practices

Publicada em: Internet
  • Seja o primeiro a comentar

知ることから始めるセキュリティ対策

  1. 1. @safewebkids 知ることから始めるセキュリティ対策 子供とネットを考える会 山口 あゆみ
  2. 2. @safewebkids 山口 あゆみ • 子供とネットを考える会 代表 • 京都府警ネット安心アドバイザー • SPREAD情報セキュリティサポーター • Microsoft MVP Consumer Security(10年連続) • e-ネットキャラバン認定講師 • ホットライン運用ガイドライン検討協議会委員 • コラム/記事執筆 – はなずきんの「IT勉強会に行こう!」 全9回:@IT – 竹内和雄著 家庭や学級で語り合う スマホ時代のリスクとスキル 寄稿 – 2014年、2015年 内閣府情報セキュリティ月間 寄稿 他
  3. 3. @safewebkids 子供とネットを考える会 • 加盟団体 – STOP. THINK. CONNECT.™ 普及啓発WG – SPREADセキュリティ対策推進協議会協働団体 • 「知らなかった」から「聞いたことがある」へ 「知らなかった」 「聞いたことがある」
  4. 4. @safewebkids アジェンダ • バックアップ・PC同期 • データの消去依頼 • パスワード管理、多要素認証について • ウイルス対策全般について • セキュリティに役立つWebサービス • PC紛失やウイルス感染、ファイル誤送信などの対 応についてと、それを防ぐ為には • Webサービス利用時の情報漏洩に関する注意
  5. 5. @safewebkids もしもに備えよう
  6. 6. @safewebkids データ復旧にかかる費用は? • 大阪データ復旧の場合 http://www.daillo.com/jp/service/recovery/price.html – 初期診断 :無料 – PATA, SATA :49,800~(Win, Mac, Linux) – SCSI, SAS :99,800~ (各種RAIDにも対応) • 故障したHDDからのデータ復旧費 平均的故障の場合:10~30万 プラッタダメージ対処の目安:50万~ – 緊急対応 :即日~ ※完全自社対応で重度物理障害も即日可 – TeraStationやNAS、 サーバ(HP, Dell, IBM, NEC, Fujitsu 等)実績多数
  7. 7. @safewebkids バックアップが役立つとき • 急な起動不良 – ソフトウェア障害 – ハードウェアの故障 – 落下や停電、洪水などの災害 • 人的ミス – ファイルやフォルダを誤って削除・上書き • 盗難、紛失 • ウイルス感染
  8. 8. @safewebkids バックアップをどこにとる? • ローカル – HDD、SSD – USBメモリ、SDカード – NAS(Network Attached Storage) – 光学ディスク • オンライン – クラウドサービス – オンラインストレージ
  9. 9. @safewebkids バックアップをなにでとる? 既存機能 Windows Backup Time Machine 無料 専用ソフト Acronis True Image HD革命/BackUp Next 有料 機能組合せ タスクスケジューラ+bat 標準カレンダー+シェル 技あり
  10. 10. @safewebkids バックアップを取れば安全? • バックアップメディアの消失 – 盗難・紛失・劣化 • オンラインバックアップの消失 – 悪意のあるハッカー – 規約違反で消去 • 情報の廃棄順守が困難? – マイナンバー関連での保管期間に要注意 • 特定個人情報等を含むファイルの削除・廃棄
  11. 11. @safewebkids データ消去を依頼されたら? • 紙書類 – 返却 – シュレッダー使用 – 廃棄・溶解処理業者を利用→廃棄証明書受領 • データ – 返却 – 物理的破壊、媒体用シュレッダー – データ完全消去ツール – 廃棄業者を利用→廃棄証明書受領
  12. 12. @safewebkids データ消去・廃棄証明書の締結 データ消去・破棄証明書 ○○○○株式会社 御中 1.下記に記載するデータについて、消去・破棄したことを証明します。 「(消去した情報資産名)」 データ消去・破棄した日:〇〇〇〇年〇月〇日 ① (媒体毎の詳細・部数等を記入) ② … 2.データの消去・破棄の不備により、機密情報の漏えいが発生した場合は、 別途締結した「機密保持契約書」と「業務委託契約書」に従い、損害賠償金 を支払います。 ○○○○年〇月〇日 株式会社○○○○○○○○○ データ消去・破棄責任者 ○○○○○○○○○ 印 :JNSA: すぐに使える! 情報セキュリティ様式集
  13. 13. @safewebkids パスワードについて考えよう
  14. 14. @safewebkids パスワードが流出したらどうなるの? • 金銭的被害 – ポイントサイト、通販サイトで買い物 – RMTに悪用 • 個人情報流出・情報漏洩 – 非公開情報の流出で他の犯罪に悪用 • なりすまし – SNSやメールなどへの投稿、送信(加害者へ) – なりすましアカウントの作成
  15. 15. @safewebkids パスワードの管理をしていますか? • 2014年の最悪のパスワードランキング – 123456 – password – 12345 – 12345678 – Qwerty "123456" Maintains the Top Spot on SplashData's Annual "Worst Passwords" List http://splashdata.com/press/worst-passwords-of-2014.htm
  16. 16. @safewebkids • プロフィールから推測 – 8mada875 – 19880805 – 1192 – 1173 • ソーシャルハッキング • 辞書攻撃、総当たり攻撃 • アカウントリスト攻撃 • リバース攻撃 推測されやすいパスワード? 山田花子 1988年08月05日 鎌倉在住 サーフィン趣味
  17. 17. @safewebkids パスワードはどう作る? • パスワード生成サービス – メリット:推測されにくい – デメリット: 覚えにくい、サービスが罠 – そのまま利用しない • PGcYgdmS、HVj5L7Y6 → PGj5YgY6 • PGcYgdmS → %GcYgdmS
  18. 18. @safewebkids パスワードはどう作る? • パスフレーズという考え方 – 好きな歌からパスワードを作る • 夕焼け小焼けの赤とんぼ • Y u Ya k e K o Ya k e N o A k a To n b o • u 8 k e 5 8 k e - A k a T o n b o • 8 5 8 - A T • 基本の文字列(Kihon+)+自分のルール – Yahooのサービスの場合 • Ykihon+o • 使いまわさないことが大切
  19. 19. @safewebkids パスワードの管理方法 • 覚える • メモを取る – ただし、人に見える場所に置かない・貼らない • パスワード管理ソフトを使う • パスワード管理サービスを使う • 人に教えない、共有しない
  20. 20. @safewebkids 「あなた」であることを証明する要素 • 知っているもの: – パスワード認証(IDとパスワードの組合せ) • 持っているもの: – 免許証などの公的証明書、ICカード • 自分自身: – 生体認証(指紋、静脈、顔、声紋)
  21. 21. @safewebkids 多要素認証を利用しよう • 知っているもの+持っているもの • 持っているもの+自分自身 • 知っているもの+自分自身 ⇒要素の組合せ
  22. 22. @safewebkids 多要素認証が可能なWebサービス • Apple ID • Microsoft アカウント • Google アカウント • Yahoo Japan ID • Facebook • Twitter • DropBox 専用アプリやSMSを利用
  23. 23. @safewebkids 多要素認証のデメリット • 認証用要素(スマホ)を紛失時の対応 – バックアップコードを取得しているか? • スマートフォンで利用するブラウザを、 同じスマートフォンで二段階認証 – それって二段階?
  24. 24. @safewebkids 不要なサービスは退会しておこう! • 退会前に登録情報をすべて変更し退会を行う ⇒退会後も情報が保持されている場合の対処 • 退会方法がわからない! – Just Delete Me http://justdelete.me/ – Delete Your Account http://deleteyouraccount.com/
  25. 25. @safewebkids ウイルス対策について考えよう
  26. 26. @safewebkids ウイルス対策をどうする? • 最新のソフトウェア・OSを利用する • ウイルス対策ソフトを導入する
  27. 27. @safewebkids 最新のソフトウェア・OSを利用する • OS ⇒ アップデートサービスを利用 – Windows Update • 日本では毎月第 2 火曜日の翌日 • Microsoft UpdateからのWindowsと他の製品 – Mac/iOS ソフトウェア・アップデート – Android システムアップデート • ソフトウェア ⇒ 個別に確認が必要 – ブラウザ(Chrome、Firefoxなど) – Adobe、Java、その他 自動更新設定がお勧め
  28. 28. @safewebkids Windowsの場合 • MyJVNバージョンチェッカを利用しよう – http://jvndb.jvn.jp/apis/myjvn/personal.html
  29. 29. @safewebkids ウイルス対策ソフトの導入 • パッケージ販売 – 確実に正規の製品 • ダウンロード販売 – ダウンロードサイトは正規のサイトか – パッケージ版より安価なことも • 無料 – ダウンロードサイトは正規のサイトか – ウイルス対策機能があるのか – サポートはどうか
  30. 30. @safewebkids スマートフォンは改造しない • Androidのroot化 • iOS(iPhone)のJailbreak
  31. 31. @safewebkids その仕事依頼メールは本物か • 送信元、文面、添付ファイル 山田花子様 お世話です,子供とネットを考える会 山口です. 標記の件, 詳細を添付いたしますの,確認お願いします. 添付ファイルが開けない場合したのアドレスをクリック. http://www.example.com/safewebkids.com 差出人:info@safewebkids.example.com 件 名:翻訳依頼 ドメイン名が正しいか? 日本語が正しいか? ファイルは正しいか? リンク先は正しいか?
  32. 32. @safewebkids そのWebサイトは本物か • アドレスは正しい? • 情報収集をしよう – フィッシング対策協議会 https://www.antiphishing.jp/
  33. 33. @safewebkids もしもウイルス感染したら?(Windows) • ネットワークから切断する – ネットワークケーブルを抜く – 無線LAN接続をオフにする • ウイルスを特定・駆除する – システムクリーナー自動ツール(Trendmicro) http://esupport.trendmicro.com/solution/ja-jp/1306361.aspx – Stinger(McAfee) http://www.mcafee.com/japan/security/stinger.asp – Microsoft Security Essentials(Microsoft) http://windows.microsoft.com/ja-jp/windows/security- essentials-download MSEの記述は、JATセッション時に 質疑応答を頂いたため追加しました
  34. 34. @safewebkids もしもウイルス感染したら?(Mac) • ネットワークから切断する – ネットワークケーブルを抜く – 無線LAN接続をオフにする • ウイルスを特定・駆除する – Antivirus for Mac(Sophos) https://www.sophos.com/ja-jp/products/free- tools/sophos-antivirus-for-mac-home-edition.aspx – Avast! for Mac(Avast) https://www.avast.co.jp/free-mac-security
  35. 35. @safewebkids ウイルス対応方法がわからない! • 情報セキュリティ安心相談窓口(IPA) https://www.ipa.go.jp/security/anshin/
  36. 36. @safewebkids セキュリティに役立つWebサービス① • agus GATEWAY https://gw.aguse.jp/ • どんなサイト? を調べるサービス
  37. 37. @safewebkids セキュリティに役立つWebサービス② • virustotal https://www.virustotal.com/#url • ウィルスチェック – URL:63社 – ファイル:56社
  38. 38. @safewebkids セキュリティに役立つWebサービス③ • GetLinkInfo http://www.getlinkinfo.com/ • 短縮URLチェック – bit.ly – goo.gl – t.co など
  39. 39. @safewebkids 情報漏えいを起こさないために
  40. 40. @safewebkids 紛失対策 • カフェに放置しない • セキュアワイヤーを活用 • 盗難防止アラームを活用 • 暗号化 – データ、ディスク、BIOS • パスワードの設定 • 機密情報を持ち出さない • 不要なアカウントの削除
  41. 41. @safewebkids グッズを活用しよう • セキュリティワイヤー – ノートPCを動かない机などに固定 • Bluetooth置き忘れ防止アラーム「BT-NUDGE」 (エアージェイ) • デジタルまいごひも (キングジム) • セキュリティUSB
  42. 42. @safewebkids 暗号化 • ドライブ全体の暗号化 – BitLocker(Windows標準) – FileVault(Mac標準) • ファイルやフォルダの暗号化 – 128ビットAES暗号化(Mac標準) – 暗号化ファイル システム (EFS)(Windows標準) • TrueCrypt(無償)⇒開発終了のためVeraCrypt推奨
  43. 43. @safewebkids 暗号化の注意点 • ディスククラッシュ時にデータ救済が困難 • 暗号製品として、入国前に申請が必要な場合も – 参考:コンピュータ・ハードウェアおよび ソフトウェアの現地輸入管理制度:中国向け輸出 https://www.jetro.go.jp/world/qa/04A-001122.html 「コンピュータ、ソフトウェアが暗号技術を含む場合、 輸入には暗号輸入許可証を取得する必要があります。」
  44. 44. @safewebkids ドキュメントを検査して情報漏洩を防ごう
  45. 45. @safewebkids Wordファイルに含まれる情報 • 文書に手を加えた人の名前、校閲者のコメント、 文書に加えられた変更(編集履歴)、 バージョン情報 • 作成者、表題、タイトル、文書の詳細情報、 文書を最後に保存した人の名前、 文書が作成された日付 • Word 文書のヘッダーやフッター、透かし • 隠し文字
  46. 46. @safewebkids ドキュメントの精査で消えない情報 • Microsoft Office における情報漏えいの問題 – JVN#20459920 – Microsoft Office で は、Office ドキュメ ントにクリップアー トなどのファイルを 挿入した際、「代替 テキスト」にローカ ルファイルの絶対パ スが保存されます。 個別に削除するしかない?
  47. 47. @safewebkids 電子メールの誤送信 • 誤送信で漏れるもの – CCやTOに含まれるメールアドレス – 本文・添付ファイルに含まれる情報 – シグネチャ(署名)に含まれる情報 – A社に送る内容をB社に送信した場合 • 関係者以外へ機微・重要な情報 • ライバル社にも送信してるのか!!
  48. 48. @safewebkids 誤送信対策 • 送信先はアドレス帳から選択する – 取引先企業別にアドレスフォルダを分類 – 会社名+個人名 というニックネームを付与 • アドレス入力補完機能を利用しない • 上長承認システムを導入(チェック二重化) • メール送信の一定期間保留機能を導入 • 添付ファイルの暗号化 – 事前にパスワード取り決め、別経路連絡 • オンラインファイルサーバの活用
  49. 49. @safewebkids 誤送信時の対応 • 誤送信判明時点に、 速やかに電話やメールで連絡 • 誤送信先や本来の送信先に謝罪 • メールの削除を依頼 • 誤送信の経緯や原因を突き止め、 社内で原因・対策を情報共有
  50. 50. @safewebkids Webサービスを利用時の注意事項 • 2012/04/20 ネットマイルの調査結果 – http://pr.netmile.co.jp/voluntary/2012/pdf/201204_1.pdf – 利用前に読む人は15% – 読まない理由は面倒くさいが88% • 過去に起こった利用規約問題 – スクエニメンバーズ • 第10条5項「本サービスに対する不満を流布する行為」 ⇒削除済 – ユニクロ(UTme!) • ユーザーは、投稿データについて、その著作物に関する全ての 権利(著作権法第27条及び第28条に定める権利を含みます) を、投稿その他送信時に、当社に対し、無償で譲渡します。 ⇒削除済
  51. 51. @safewebkids 翻訳サイトで情報漏洩? ☑ Involved in the translation results improvement plan (Save the results to a server) ・読まない問題
  52. 52. @safewebkids メーリングリストで情報漏洩? • Googleグループによる情報漏洩 • 設定ミス
  53. 53. @safewebkids セキュリティは何のためにあるのか? • 守りたいものは何か? – 企業、事業、顧客、資産、情報 • セキュリティ対策が負担を与えないか? – 保有リスク • 機密性、完全性、可用性のバランスが大切 知ること、気づくことがセキュリティ対策の第一歩

×