2010 IPA

Ⅰ

Copyright © 2011 2010 IPA

pdf

http://www.ipa.go.jp/security/event/2010/isec-semi/kaisai.html

Ⅰ

�

�

�

Copyright © 2011 2010 IPA

�

� 200910

2

Ⅰ

1. 2010 102.

Copyright © 2011 2010 IPA 3

1. 2010 10

Copyright © 2011 2010 IPA

1.1 2010 101.2 1.3 101.4 10

Copyright © 2011 2010 IPA

1.4 101.5 10

5

� 1 2009

� 22009

2009200920092009年事例年事例年事例年事例

10101010大脅威大脅威大脅威大脅威

運営者運営者運営者運営者・・・・開発者向開発者向開発者向開発者向けけけけ：：：： 経営者向経営者向経営者向経営者向けけけけ：：：：

2010201020102010年版年版年版年版 10101010大脅威大脅威大脅威大脅威

2010年版 10大脅威対象

1.1 2010 10

Copyright © 2011 2010 IPA

10

� 310

6

URL http://www.ipa.go.jp/security/vuln/10threats2010.html

運営者運営者運営者運営者・・・・開発者向開発者向開発者向開発者向けけけけ：：：：

リスク・リスク・リスク・リスク・影響影響影響影響・・・・対策対策対策対策

経営者向経営者向経営者向経営者向けけけけ：：：：

リスク・リスク・リスク・リスク・影響影響影響影響・・・・対策対策対策対策

1.2

�

�

①①①①

•

Copyright © 2011 2010 IPA

•

②②②②

•

③③③③

•

7

1.2

�

•

•

•

Copyright © 2011 2010 IPA

•

•

•

•

8

1.2

�

� 2009 9

70

•A

B

Copyright © 2011 2010 IPA

•

→

•

9

1.2

�

• →

•

•

Copyright © 2011 2010 IPA 10

• → →

• →

•

• → →

1.3 10

� 2009 IPA

� 10

順位順位順位順位 10101010大脅威大脅威大脅威大脅威

Copyright © 2011 2010 IPA 11

1位 変化を続けるウェブサイト改ざんの手口

2位 アップデートしていないクライアントソフト

3位 悪質なウイルスやボットの多目的化

4位 対策をしていないサーバ製品の脆弱性

5位 あわせて事後対応を！情報漏えい事件

6位 被害に気づけない標的型攻撃

7位 深刻なDDoS攻撃

8位 正規のアカウントを悪用される脅威

9位 クラウド・コンピューティングのセキュリティ問題

10位 インターネットインフラを支えるプロトコルの脆弱性

1

Copyright © 2011 2010 IPA 12

1

� SQL

SQL

�

Copyright © 2011 2010 IPA 13

FTP(File Transfer Protocol)FTP

SQL 2008 20092007

2010 2

1

�

•

•

Copyright © 2011 2010 IPA 14

FTP

�

(P43)(P44)

(P44)(P47)

(P47)

SQLSQLSQLSQL(P45)

(P46)

(P45)(P46)

2

Copyright © 2011 2010 IPA 15

2

• OS(Windows ) OS

•

Copyright © 2011 2010 IPA 16

IPA 2009

(42.5%)

2009 8 250 79.5Adobe Flash 83.5

Acrobat Adobe Reader

2

�

Copyright © 2011 2010 IPA 17

•

• DDoS

•

�

(P43)(P44)

(P44)

(P45)(P47)

(P47)

3

Copyright © 2011 2010 IPA 18

3

①

②

Copyright © 2011 2010 IPA 19

③

DDoS

④

①②③

⑤

�

3

2007 13 3 2008 90 2009 160

2007

�

1

Copyright © 2011 2010 IPA 20

�

(P43)(P44)

(P44)

(P45)(P47)

(P47)

4

Copyright © 2011 2010 IPA 21

4

①

Copyright © 2011 2010 IPA 22

②

• IPS

�

4

�

•

Copyright © 2011 2010 IPA 23

•

�

(P43)(P44)

(P44)

(P45) (P47))

(P47)

5

Copyright © 2011 2010 IPA 24

5

• SQL

•

•

Copyright © 2011 2010 IPA 25

•

•

•

•

5

ISP 2008 6 2009 5 1,583

• 18.3% 291 USB

�

Copyright © 2011 2010 IPA 26

�

•

•

�

(P43)(P44)

(P44)

(P47)(P47)

6

Copyright © 2011 2010 IPA 27

6�

�

2009 JPCERT/CC IT

• 2,600

•

Copyright © 2011 2010 IPA 28

• 1 45.4% → 2 14.0%

2009 1 5 663

(MS) Word, Excel, PowerPoint

• 2008 (1,968 ) MS 72% → 51%

Adobe Reader/Acrobat

• 2008 (1,968 ) Adobe 29% → 49%

6

�

•

•

•

Copyright © 2011 2010 IPA 29

•

�

(P43)(P44)

(P44)

(P45)(P47)

(P47)

7 DDoS

Copyright © 2011 2010 IPA 30

7 DDoS

DDoS( ) DoS ()

• DDoS 3

①

②

③ DDoS

Copyright © 2011 2010 IPA 31

③ DDoS

• 1 DoSDDoS

2009 7DDoS13

ASP

7 DDoS

�

• DDoS

•

• ISP DNS DDoSDNS

Copyright © 2011 2010 IPA 32

DNS

�(P43)

(P44)(P44)

(P47)(P47)

8

Copyright © 2011 2010 IPA 33

8

•

•

• SNS

•

Copyright © 2011 2010 IPA 34

• (ID )

•

•

2009 3

8

�

•

•

�

Copyright © 2011 2010 IPA 35

• ID

• ID

(P43)(P44)

(P44)

(P46)(P47)

(P47)

9

Copyright © 2011 2010 IPA 36

9

NIST

• SaaS Software as a Service

• PaaS Platform as a Service

• IaaS Infrastructure as a Service

Copyright © 2011 2010 IPA 37

• IaaS Infrastructure as a Service

9

�

SLA Service Level Agreement

Copyright © 2011 2010 IPA 38

�

(P43)(P44)

(P44)

(P47)(P47)

10

Copyright © 2011 2010 IPA 39

10

IP(Internet Protocol)DNS(Domain Name System)HTTP(HyperText Transfer Protocol)SMTP(Simple Mail Transfer Protocol)

POP3(Post Office Protocol)NTP(Network Time Protocol)SSL/TLS(Secure Sockets Layer/

Transport Layer Security)

Copyright © 2011 2010 IPA 40

2009

DNS BIND(Berkeley Internet Name Domain)(DoS)

TCP/IP (DoS)SSL/TLSNTP

10

�

• DNS

•

• ISP

Copyright © 2011 2010 IPA 41

•

�

(P43)(P44)

(P44)

(P45)(P47)

(P47)

1.4 10

対策のPDCAサイクル

経営者 システム

管理者

3.1 体制の整備・ルールの作成

3.2安全な運用のための企画・設計

3.3安全な運用のための契約

3.4サーバシステムへの対策3.5クライアントシステムへ

の対策3.6アカウント情報の管理・

運用

Copyright © 2011 2010 IPA 42

CA

システム

管理者 開発者

P

3.7セキュアプログラミング

3.8体制・ルール・システムの点検

システム

管理者

3.9体制・ルール・システムの見直し

D

経営者

システム

管理者

経営者

� [ ]

•

< >

•

•

•

1.4 10

••

•

Copyright © 2011 2010 IPA

•

•

< >

•

•

•

•

43

••

•

� [ ]

•

•

•

�

1.4 10

•••••

••••

Copyright © 2011 2010 IPA

� [ ]

•

•

•

•

•

44

� [ ]

•

•

�

• IDS/IPS WAF /

� IDS/IPS WAF

1.4 10

Copyright © 2011 2010 IPA

� IDS/IPS WAF

�

� [ ]

• OS

� IPA MyJVN

•

�

45

� [ ]

< >•

• IP

< >•

•

1.4 10

Copyright © 2011 2010 IPA

•

•

� [ ]

• IPA

•

�

�

46

� [ ]

•

�

�

� [ ]

•

1.4 10

Copyright © 2011 2010 IPA

•

•

•

•

47

1.5 10

56

3

2 PC

user

********user

********user

********

PC

A攻撃者は企業内部に顕在化している脅威を狙う

Copyright © 2011 2010 IPA 48

1

○○○○

○○○○○○○○

■■■■■■■■■■■■■■■■■■■■■■■■■■■■

■■■■■■

■■■■■■■■■■■■■■

■■■■■■■■■■■■■■■■■■■■

7 DDoS

8

4

9

10

2.

Copyright © 2011 2010 IPA

http://www.ipa.go.jp/security/vuln/vuln_contents/

� - -

http://www.ipa.go.jp/security/vuln/documents/website_security.pdf

� 4

Copyright © 2011 2010 IPA

http://www.ipa.go.jp/security/awareness/vendor/programmingv2/

�

http://www.ipa.go.jp/security/vuln/vuln_TCPIP_Check.html

� TCP/IP V5.0

http://www.ipa.go.jp/security/vuln/documents/website_security.pdf

50

SQL

http://www.ipa.go.jp/security/vuln/documents/website_security_sql.pdf

� iLogScanner

�

MyJVN

http://jvndb.jvn.jp/apis/myjvn/#VCCHECK

Copyright © 2011 2010 IPA

http://www.ipa.go.jp/security/vuln/iLogScanner/

� iLogScanner

http://www.ipa.go.jp/security/ciadr/vuln_website_guide.pdf

�

http://www.ipa.go.jp/security/ciadr/vuln_announce_manual.pdf

�

51

�

http://www.ipa.go.jp/security/vuln/7incidents/

� 5

http://www.ipa.go.jp/security/manager/know/sme-guide/index.html

Copyright © 2011 2010 IPA 52

http://www.ipa.go.jp/security/manager/know/sme-guide/index.html

� 5

http://www.ipa.go.jp/security/vuln/5mins_point/index.html

�

�

http://www.ipa.go.jp/security/ciadr/

Copyright © 2011 2010 IPA

�

�

�

http://www.ipa.go.jp/security/fy18/reports/contents/

53

http://www.meti.go.jp/policy/netsecurity/is-kansa/

Copyright © 2011 2010 IPA 54

Copyright © 2011 2010 IPA

http://www.meti.go.jp/press/20070330012/20070330012.html 2007 3http://www.meti.go.jp/press/20080229015/20080229015.html 2008 2http://www.meti.go.jp/policy/it_policy/privacy/080229kaisei-guideline.pdf 2008 2

55

Copyright © 2011 2010 IPA 56http://www.ipa.go.jp/security/benchmark/

JVN Japan Vulnerability Notes JVN iPedia

JVNJVNhttp://jvn.jp/

Copyright © 2011 2010 IPA 57

JVN iPediahttp://jvndb.jvn.jp/

JVN iPedia

IPA/ISEChttp://www.ipa.go.jp/security/

Copyright © 2011 2010 IPA 58

★★★★

(IPA(IPA(IPA(IPA 10:0010:0010:0010:00----12:0012:0012:0012:00 13:3013:3013:3013:30----17:00)17:00)17:00)17:00)

EEEE----mailmailmailmail anshin@ipa.go.jpanshin@ipa.go.jpanshin@ipa.go.jpanshin@ipa.go.jp