2005年10月27日

越後湯沢3日目メモ

10月6日〜8日にあった「ネットワークセキュリティ・ワークショップin越後湯沢」の3日目のメモ。

1日目のメモ
http://animemo.seesaa.net/article/7994802.html

2日目のメモ
http://animemo.seesaa.net/article/8438725.html

-------------
個人・情報・セキュリティ
警察庁生活安全局情報技術犯罪対策課(サイバー犯罪対策課)課長
坂明

○サイバー犯罪に関する相談受理件数
 届出を含む認知件数で普通見るが
 普通(の犯罪)でも届出は半分
 サイバー犯罪はそれよりもはるかに少ない

 不正アクセスなどは認知件数では十分ではないということで
 →相談受理件数を見る

○警察庁・平成17年上半期のサイバー犯罪の検挙及び相談受理状況等について
 http://www.npa.go.jp/cyber/statics/h17/image/pdf25.pdf

 平成16年7万件など。1年で倍倍になってきている。

 主な相談事例
 →詐欺・悪質商法に関する情報

○サイバー犯罪とは
 ●不正アクセス禁止法違反
 ●コンピュータ・電磁的記録対象犯罪(刑法)
   データを書き換えたりなど
  刑法・第161条の2:電磁的記録不正作出罪
      (5年以下の懲役又は50万円以下の罰金)
  刑法・第234条の2:電子計算機損壊等業務妨害罪
      (5年以下の懲役又は100万円以下の罰金)
  刑法・第246条の2:電子計算機使用詐欺
      (10年以下の懲役)
  刑法・第258条:公用電磁的記毀棄罪
      (3年以上7年以下の懲役)
  刑法・第259条:私用電磁的記録毀棄罪
      (5年以下の懲役)

 (※ググってみたら、この辺がよくまとまっている)
  RHC・コンピュータ・ネットワーク犯罪法
  http://www.rhc.co.jp/it-law/law_02.html

 ●ネットワーク利用犯罪

○不正アクセス禁止法
 不正アクセス行為の禁止等に関する法律の概要(警察庁)
 http://www.npa.go.jp/cyber/legislation/gaiyou/main.htm

 不正アクセス行為の禁止等に関する法律(警察庁)
 http://www.npa.go.jp/cyber/legislation/hou/kosshi.htm

 不正アクセス行為の再発を防止するための都道府県公安委員会による援助に関する規定(警察庁)
 http://www.npa.go.jp/cyber/legislation/kitei/enjyo_kitei.htm

○サイバー犯罪の検挙件数推移
 5年間で単調増加
 平成16年の上半期と平成17年上半期で5割増加

○サイバー犯罪検挙状況
 不正アクセス禁止法違反
 ネットワーク利用犯罪
  特に詐欺が増えている
  児童ポルノ法は、減少している。
   青少年保護育成条例は同じ内容で、こちらが増えている
   →児童を補導したときに出てくる
   お子さんが被害にあうことがおおい印象
  わいせつ物
  著作権

○不正アクセス禁止法違反事件の検挙状況
 増加傾向
 今年の上半期はきわめて増加

○不正アクセス認知件数
 昨年の上半期198→119件増加
 アクセス管理者からの届出
 利用権者からの届出→非常に多くなっている

○不正アクセス行為後の行動
 インターネットオークションの不正利用 177件
 オンラインゲームのアイテム等の不正取得、消去など 114件

○不正アクセス禁止法違反検挙 手口別
 ID,パスワード不正取得がおおい

○不正アクセス禁止法違反
 利用権者のパスワード管理の甘さ
 他人から購入したものが増えている

○サイバー犯罪をめぐる情勢
 ●経済的な利益を目的が多発
  ICPOの国際会議9月でもそういう話。
  ボットネットなども
 ●違法・有害情報
  非常に増加。弱者が被害を受けやすい
 ●知的財産侵害、名誉毀損
  情報セキュリティ会議、安心会議で対策を進めていく
 ●自殺サイトの問題
  日本の自殺は世界で最も多い
  攻撃がいるのと違う。どのような対応をするか?
  プロバイダの情報開示の話は問題の一部
  自殺をしたい人が助けてくれる人にであるかも
  検索されてどういうサイトに繋がるか
 ●青少年の健全育成
 ●知罪戦略→世界的に大きくとりあげられて
  犯罪のハードルが低くなっている

○出会いサイト規制法の整備
 インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関数る法律

○被疑者の出会い系サイトへのアクセス手段の年別推移
 携帯電話が主流になっている

○サイバー犯罪検挙事例
 オレオレだけでないので振り込め詐欺全体:26億円
  有料サイトが2000件で20億、1件平均100万円
  恐喝も6000万円で60件、1件100万円

○フィッシング対策
 基本方針
  詐欺に至らない段階で防止
  取り締まり強化
  国際的に対応が必要
 対応
  フィッシング110番を開設
  講習会などで広報

○緊急対応システムへの脅威
 古い話ですが
 携帯に爆弾マーク、勇気があるなら押してみろと
 →110番に繋がる
 トラフィックがあがって大変。
 専門学校生のいたずらだったが。
 →テロの犯人が警察の対応能力を落としてやろうということもできる
  対応考えているが

○ボットネット
 国際的な問題
 形成していく過程を押さえたい
 本格的に対応しないと
 平成17年1月 ボットネット観測システムを運用開始

○違法有害情報
 出会い系。
 違法コンテンツ
 犯罪のときに仲間を募る
検挙事例
 麻薬取引、銃刀法の取引
 銃刀法事件の4分の1はネット関連
 従来型の犯罪でもネットを通じた捜査能力が必要に

○警察における違法、有害情報対策
 サイバーパトロールの強化
  モニターとしてボランティア
  自主的なパトロールなども
 フィルタリングソフト利用の普及啓発


○警察庁・インターネット安全・安心相談システム
 http://www.cybersafety.go.jp/

○高度情報通信ネットワーク社会推進本部(首相官邸)
 http://www.kantei.go.jp/jp/singi/it/index.html

○IT安心会議(首相官邸・IT戦略本部)
 http://www.kantei.go.jp/jp/singi/it2/others/itanshin.html
 インターネット上における違法・有害情報対策について
 プロバイダの削除の判断基準作成
 モラル教育

○東京都青少年の健全な育成に関する条例
 http://www.seikatubunka.metro.tokyo.jp/index9files/jyourei.htm
 インターネット事業者がフィルタリングソフトの開発の提供と努力義務
 インターネットカフェ事業者の責務

○自殺予告事案への対応
 プロバイダ等関係団体との連携

-------------

ネットワークセキュリティ技術と監査ポイント
河端宇一郎
情報システムコントロール協会(ISACA)東京支部CISM理事
新日本監査法人 システム監査部ITA室長

○セキュリティポリシー
 地震についてどれくらい耐えなければならないか、書いているのを見たことがない
 →地震はどうでもいいのか?
  なにが重要化をしっかり考えること

 BS7799の計算:脆弱性はあいまい。
 固有のリスクはビジネスインパクトがどれくらいか?
 →一定のコントロールがあれば、低減される。
  残余リスクが脆弱性

○セキュリティは利用性とのトレードオフは間違い
 セキュリティは要件の1つにすぎない。

○ネットワークセキュリティ
 ●個人識別が重要
  コンピュータセンタでは出前の人がコードを知っているなどの問題。
  ランク別に分ける→ランク高いと何でも出来るのでまったくナンセンス

 ●本人確認
  バイオメトリックスが問題。FARとFRRのトレードオフ
   他人受け入れ率を甘くするとセキュリティ的に問題。
   調節のある製品がある。つまみとか
   スタンダードがない。メーカーを信じるしかない
   実用に達していない
   電子署名で義務付けているのは非常に問題

○監査のポイント
接続・ネットワーク
 ●Netポート管理(IPスキャン、ポートスキャン)
   使っていないポートを閉める
 ●Netデバイスの耐攻撃性(DoS、DDoS)
   DoSなど、既知の対策はとっているか
 ●セキュリティドメイン
   レベル。パラメータ設定、出入りをチェック
 ●ファイアウォール、ルータ、モデム、サーバなどの監視
   ログへのアクセスコントロールも

OS,プラットフォーム
 ●サーバのバックアップ・リカバリ
 ●システムコンソールへのアクセスコントロール
   サーバールームはちゃんとできているが、事務室からアクセスできたり
 ●サーバの未保護リソース
   ファイルシステム、ディレクトリ、などの共有禁止
   プリンタも共有しないほうがいい
 ●HTTP,HTTPSユーザのディレクトリパーミッション
 ●機密情報を記録している媒体の管理
 ●OSのメンテナンス(セキュリティパッチ)
 ●ユーザ認証とリモートアクセス管理
 ●パスワードポリシー

サービス、アプリケーション
 ●いらないCGIは全部削除。デフォルトのものを削除
  IPAのセキュリティセンタには脆弱なCGIのリスト
  (※これかな?http://www.ipa.go.jp/security/ciadr/cm01.html#cgi
 ●安全なCGIの開発
  開発、検査、導入ポリシ
 ●CGIの改ざん防止(Tripwireなど)
 ●クッキーを第三者へ仕向けるときのビジタの了解
   アメリカの州法では義務づけも
 ●機密情報は暗号化
  たとえ専用でも
 Netサーバ
 ●NetサーバのDB制御禁止、DBAパスワード保管禁止

-------------

posted by 端っこなひと at 23:33| Comment(0) | TrackBack(0) | セミナー・勉強会 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/8668892

この記事へのトラックバック