情報セキュリティポリシとは

情報セキュリティポリシとは組織の情報資産を守るための方針や基準を明文化したもの。

※情報セキュリティポリシに厳密な定義はないため、あくまで情報処理試験の標準的な構成についてまとめる。

文書構成

情報セキュリティポリシを策定するとき、「情報セキュリティ基本方針」「情報セキュリティ対策基準」「情報セキュリティ実施手順」の3つを作成する。

「情報セキュリティポリシ」という言葉は、このうち、「情報セキュリティ基本方針」「情報セキュリティ対策基準」の2つを指す。

情報セキュリティ基本方針

情報セキュリティ対策に対する根本的な考え方を表すものであり、情報セキュリティに対する取組み姿勢を示すものである。

目的・対象範囲・維持管理体制・義務・罰則など。

業界標準、該当する法令、政府規制への準拠を宣言する場合がある。

情報セキュリティマネジメントシステム(ISMS)における情報セキュリティ基本方針に関する記述

①情報セキュリティのための方針群

情報セキュリティのための方針群は，これを定義し，管理層が承認し， 発行し，従業員及び関連する外部関係者に通知しなければならない。

②情報セキュリティのための方針群のレビュー

情報セキュリティのための方針群は，あらかじめ定めた間隔で，又は重大な変化が発生した場合に，それが引き続き適切，妥当かつ有効であることを確実にするためにレビューしなければならない。

情報セキュリティ対策基準

基本方針で定められた情報セキュリティを確保するため に必要な、遵守すべき行為や判断などの基準。

実際に守るべき規程を具体的に記述し、適用範囲や対象者を明確にする。

情報セキュリティ実施手順

情報セキュリティ対策基準を実施するため の詳細な手続・手順のこと。

それぞれの情報システムや部署固有の事情を考慮したうえで作成する。

策定・運用による効果

• セキュリティレベルを明確にすることによるセキュリティレベルの向上
• リスクアセスメントを行い、全社最適化するので、セキュリティ対策の費用対効果が向上する
• 取り組みをアピールすることで対外的な信用を得られる

その他留意事項

• 情報セキュリティポリシの品質を高めるため、各種の外部専門家の活用する
• 策定においては目的・範囲・行為・罰則の明確化をする
• PDCAサイクルによって改善していく

ボットとは

ボット（bot）とは、コンピュータを外部から遠隔操作を行う不正プログラムである。 ロボット（Robot）のように、対象コンピュータを意のままに操ることができることが名前の由来。有名なものにSdbotやGaobot（Agobot）がある。

ボットにおける最大の特徴はボットネットワークを構成することである。 ボットネットワークとは、ボット感染に感染した複数のコンピュータを攻撃者が一括して遠隔操作できる仕組のこと。構成するPCの数は数百～数千・数万に及ぶこともある。

用語

C&C（command and control server）サーバ

ボットネットワークに対して指令（command）を出し、制御（control）するサーバー。通信の手段としてIRCが用いられることが多い。

IRC（Internet Relay Chat）

サーバを介して会話（チャット）をする枠組みの名称である。 TCPプロトコルとして主に用いる。

ハーダー

ボットを操る攻撃者のこと。

ゾンビPC

ボットに感染したパソコンのこと。

攻撃の内容

• 情報の盗窃・改ざん
• ネットワーク内のほかのコンピュータへの感染活動
• 大量のスパムメールやフィッシングメールの送信、DDoS攻撃などを、ボットネットワークを用いて高効率に行う

特徴・問題点

• 遠隔操作が可能なので、ファイル操作やプロセス操作、ほかのサーバへの攻撃などさまざまなことができる。

• 感染したコンピュータを不正なメールの送信やDDoS攻撃に利用するので、被害者が加害者にもなりうる。

• また、C&Cサーバとの通信の中で、自身のアップデートを行い、ウイルス対策ソフトウェアによる検出を免れたり、攻撃に必要な機能を追加することができる。

• 命令の実行まで待機して、すぐに被害を出さないことも多く、感染に気が付きにくい。

• 自己隠蔽のためにHostsファイルの改ざんを試みることが多い。

• 他のマルウェアでもいえることだが、より多くの亜種を作るためのソースコードが公開されている。（ex:Sdbot、Gaobot）

感染経路

1. ウイルスメールの添付ファイルの実行による感染
2. 不正な(ウイルスの埋め込まれた)Webページの参照による感染
3. スパムメールに示されたリンク(URL)のクリックにより不正なサイトに導かれて感染
4. コンピュータの 脆弱性*1 を突く、ネットワークを通じた不正アクセスによる感染
5. 他のウイルスに感染した際に設定される バックドアを通じてネットワークから感染
6. ファイル交換(PtoP)ソフトの利用による感染
7. IM(インスタントメッセンジャ)サービスの利用による感染

対策

ユーザー

• コンピュータのOSやアプリケーションを最新状態にしておく。
• ウイルス対策ソフトを最新の状態に保つ。
• Hostsファイルの改ざんを確認する

管理者

• 外部不正サイトへのアクセスをブロックする。
• ネットワーク内の不審な通信や挙動を可視化する。

Webサイトなどの運営者

• 侵入されてWebページなどがボットの感染用に改ざん(ウイルスの埋め込みなど)されないよう、対策をする。
• ホストのOSやアプリケーションを最新状態にしておく。
• 異常が見つかったら、即座にWebを閉鎖するなど被害拡大防止の措置をとる。

標的型攻撃とは

特定の組織や団体をターゲットとした攻撃。取引先などの関係者や、公的機関を装ってマルウェアや不正なリンクが埋め込まれたメールを送ることによって、知的財産や金銭を盗むもうとする。「プロの犯罪者」による攻撃といえる。

標的型攻撃のメールの特徴

• 受信者の業務に関係のありそうな件名と本文
• 送信者の署名欄は、公的機関や組織内の管理部門を装っている
• 本文の内容に沿った添付ファイル名
• 社会情勢を反映した内容
• イベント、ニュース、注意喚起、報告書を装う
• 文書ファイルを装ったマルウェアを添付

ウイルス対策ソフトによる検知について

しばしばその攻撃専用のマルウェアが用いられるため、ウイルス対策ソフトによる検知が困難である。

また、攻撃対象の組織で使用されているウイルス対策ソフトを調査した上で、当該ソフトでは検出されないマルウェアが使われることがある。

さらに、被害の範囲が限定的であるため、ウイルス対策ソフトのベンダにマルウェアの情報が伝わらず、ウイルス定義ファイルに登録されないという問題もある。

「新しいタイプの攻撃」

複数の既存攻撃を組み合わせ、長期間にわたり執拗かつ巧妙に攻撃を繰り返し情報盗み出す行為。『新しいタイプの攻撃』はIPAによる呼称であり、海外ではAPT（Advanced Persistent Threats）と呼ばれている。

添付されているマルウェアの具体的な偽装方法

実行形式（.exe）のファイルであることをどのようにして隠すか→

• アイコンを文書ファイルに見せかける。
• 本来の拡張子の前に空白文字を並べて別の拡張子であるかのように見せかける。「議事録.doc .exe」
• 文字の並びを右から左に読むように変更するUnicodeの制御文字[RLO]を利用する。「議事録[RLO]cod.exe」→「議事録exe.doc」

対策

• 教育によるリテラシーの向上（実際に擬似的に標的型攻撃メールを従業員に送信し、対処を測定・評価する手法がある！）
• 標的型攻撃に対する、組織の体制・ルール作り
• ウイルス対策ソフトなど、一般的なマルウェア対策はあくまで必要（入口対策）
• 通信の監視や、以上を検知した際の遮断（出口対策）