情報処理安全確保支援士 - SE娘の剣 -

情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。

カテゴリ:10.クライアントセキュリティ > 10.9 その他

PCのハードディスクやUSBメモリをそのまま廃棄しては情報漏えいになります。また、フォーマットしただけでは、完全にデータが消えていない場合があり、専用のツールで復元できる場合があります。
そこで、データを廃棄する場合には慎重にする必要があります。全領域を0埋めするような専用ツールを使ったり、物理的に廃棄する必要があります。

過去問(H28春SG午前問17)を見てみましょう。
機密ファイルが格納されていて,正常に動作するPCの磁気ディスクを産業廃棄物処理業者に引き渡して廃棄する場合の情報漏えい対策のうち,適切なものはどれか。
ア 異なる圧縮方式で,機密ファイルを複数回圧縮する。
イ 専用の消去ツールで,磁気ディスクのマスタブートレコードを複数回消去する。
ウ 特定のビット列で,磁気ディスクの全領域を複数回上書きする。
エ ランダムな文字列で,機密ファイルのファイル名を複数回変更する。
【正解】 ウ

----参考
情報セキュリティスペシャリスト試験を目指す女性SE

かつては、1回のフォーマットでは消えない可能性があるので、
3回くらい繰り返すように言われた気がします。
現在は、その必要はないですね。以下、IPAの資料を参考にしてください。
https://www.ipa.go.jp/files/000025355.pdf

------以下が引用です。
技術の高度化により、磁気ディスクタイプの記憶媒体に関する従来のベストプラクティスが様変わりする状況が生まれた。基本的には、記憶媒体のトラック密度の変化やそれに伴う変化によって、媒体の消去と除去が同一になる状況が生まれた。つまり、2001 年以降に製造されたATA ディスクドライブ(15 GB 超)では、キーボード攻撃と実験環境室のどちらから媒体を保護するにも、媒体を一回上書きすることによる消去で十分である。

 IoTの機器は、たとえば、ゲーム機やスマホ、監視カメラ、家庭用ルータなど、インターネットに接続される機器です。また、最近では自動車、家電、工場などの制御系システムなどもインターネットに接続されることがあり、これらの機器も攻撃される懸念があります。

■H27秋AP
問70 IoT (Internet of Things)の実用例として,適切でないものはどれか。
ア インターネットにおけるセキュリティの問題を回避する目的で,サーバに接続せず,単独でファイルの管理や演算処理,印刷処理などの作業を行うコンピュータ
イ 大型の機械などにセンサと通信機能を内蔵して,稼働状況や故障箇所,交換が必要な部品などを,製造元がインターネットを介してリアルタイムに把握できるシステム
ウ 自動車同士及び自動車と路側機が通信することによって,自動車の位置情報をリアルタイムに収集して,渋滞情報を配信するシステム
エ 検針員に代わって,電力会社と通信して電力使用量を申告する電力メータ



【正解】ア

IPAからは、「IoT開発におけるセキュリティ設計の手引き」が出されています。
 https://www.ipa.go.jp/files/000052459.pdf
 
IoTのセキュリティ対策といっても、普通のセキュリティ対策と同じです。外部からの攻撃をFWで守り、通信を暗号化し、認証を許可し、攻撃されないように脆弱性を塞ぐこと(ソフトウェアのアップデート)です。
ただ、IoT機器にセキュリティ機器を導入するなどの対策をするのが難しいことです。
とはいえ、それほど難しいことをしているわけではない(サーバを公開したり、インターネットから注文を受けたりしていない)ので、対策もシンプルです。
基本的には以下でしょう。
・パスワードを複雑にする(最低限、デフォルトから変える)
・ソフトウェアを最新にする(脆弱性を塞ぐ)
・インターネットへの接続は、FW(ルータでも効果あり)経由にする。つまり、外部からIoTデバイスへの直接攻撃をできないようにする
・通信を暗号化する
その他、IoTデバイス特有のものとしては、たとえば以下があります。
・遠隔ロック(スマホなどを紛失した場合に、遠隔から操作できないようにロックをします)

また、IoTの脆弱性を放置すると、攻撃者に加担する例もあります。
事例としては、2016年10月21日米国のDyn社のDNSサーバーに対し、大規模なDDoS攻撃が発生。攻撃に加担したIoT機器は10万台と言われています。このDNSを使っていたTwitterなどのサービスが停止しました。
https://www.nisc.go.jp/conference/cs/dai16/pdf/16sankou01.pdf
これを懸念した総務省が、IoT機器調査及び利用者への注意喚起の取組「NOTICE」を実施。平成31年2月20日(水)から容易に推測されるパスワードを入力することなどにより、サイバー攻撃に悪用されるおそれのある機器を調査。結果をISPに通知し、ISPから利用者に通知します。
http://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00011.html
NICTなら不正アクセス行為をしてもいいのか?ということで、不正アクセス禁止法に違反しないように、改正NICT法で対応。

オーストラリア政府がハッカーからの攻撃を大幅に減らしたセキュリティ対策が掲載されています。
http://www.theregister.co.uk/2015/06/02/patchcrazy_aust_govt_fought_off_every_hacker_since_2013/

それは、「Top 4 security controls」記載され、以下のたった4つのことです。
①アプリケーションのホワイトリスト
②アプリケーションへの定期的なパッチ
③OSへの定期的なパッチ
④管理者権限の最小化

なんともシンプルな対策ですね。
グラフを見ると、数字は書かれてありませんが、攻撃を90%以上防御したように見えます。
実際の対策としては、それ以外もあるとのことですが、ベースとなるのはこの4つだそうです。セキュリティ対策は、このような基本的な対策が大事だと考えております。

スポンサードリンク

↑このページのトップヘ