平成15年度経営情報部会WG2活動成果報告
WG2 石油産業におけるセキュリティの現状調査とリスクマネジメントの考察
| 参加メンバー: | 朝守基夫(東洋エンジニアリング),神尾洋一(東洋エンジニアリング),渋井謙司郎(コスモ石油),田中修司(日揮),難波乗安(昭和シェル石油),服部暁紀(横河電機)(以上6名,敬称略,50音順。) |
*メンバーの所属および下記成果報告書は2004年3月現在のものです。
はじめに
石油元売会社および精製会社は従来からリスクマネジメントの一環としてセキュリティ対策に取り組んできた。しかしながらIT環境の変化により、従来では想像できなかったセキュリティ・インシデントが発生し、その対策に苦慮しているのが現状である。個人情報保護法の公布施行(平成15年5月30日)がなされたことなどから、セキュリティ・インシデントが発生した場合の緊急対策手順や、そのコストを含めた影響度調査に関する手順を確立するよう、石油各社のトップマネジメントから指示が出された。
当WGでは、セキュリティ・インシデントに関する情報収集と意見交換を行い、石油元売会社における情報漏えいインシデント発生時のリスクマネジメントシナリオとそのコストシミュレーションプログラムを作成し検討を行った。また実際に他業界で発生したインシデントへの適応と比較検討を行った
1. ソーシャル・エンジニアリング
1.1 ソーシャル・エンジニアリングとは?
ソーシャル・エンジニアリングとは、人間の心理的な弱点やすきを突いて攻撃を仕掛けたりする一種の犯罪行為である。たとえば、(1)上司などの内部の人間になりすまし重要な情報やパスワードなどを聞き出す、(2)清掃業者になりすましゴミ箱をあさり書類を持ち去る、(3)他人の書類やパソコンの表示をのぞき見する、(4)興味を引くようなタイトルのウィルス付きメールを送りつける、などが挙げられる。
上記に共通する攻め方は、精神的に脅威を与えたり、同情を引いたり、錯覚を起こさせたりすることであり、このような形で心理的に揺さぶられ攻撃された人間は、ついつい何らかの対応をしてしまうのである。
このような攻撃を受ける際には、最も弱い部分(Weakest Link)がつかれる。セキュリティに関して、何の防御策も取られていないような箇所や知識の備わっていない人や教育が行き届いていない人が、ターゲットとして狙われる。
1.2 事例
ソーシャル・エンジニアリングが実際に起こった有名な事例としては、数年前にIT系の米国企業が競合する企業のゴミ箱をあさった例がある。国内では、最近話題となった”おれおれ詐欺”や”住基カード不正取得事件”があり、これらの事件を振り返ってみても、本人確認を怠ったり名義を簡単に貸してしまったりと、セキュリティ意識の低さや初歩的なミスが事件につながっている。
本WGでこのような検討を行っている最中にも、あるメンバー宛てに有名な米国のオークションサイトからのシステム・メンテナンスのお知らせを装って、ユーザIDやメールIDのパスワードを盗むことを狙ったとみられるメールが届いた。
おれおれ詐欺や個人情報の漏えいなどの事件は、全国紙だけでなくスポーツ紙などでも報道され、問題は一般化・大衆化してきているとも言える。したがってこれらの事件を決して対岸の火事としてとらえるのではなく、我々の身近にいつでも起こりうる問題であると認識すべきである。
1.3 対策
それでは、企業としてソーシャルエンジニアリングへの対策として、どのようなことが考えられるだろうか?実のところ、これと言う決め手がないのが実情ではあるが、情報管理規定や情報アクセス手順を策定し徹底するとともに、教育・トレーニングを定期的に行うことしかないであろう。
2. 情報セキュリティ保険について
個人情報保護法が平成17年度より施行されるにあたり、損保各社は企業向けの専用保険の商品化に動き出した。日経新聞によると、損保ジャパンでは個人情報漏えい時の損害賠償費用や見舞金を最大1億円まで補償し、ニッセイ同和損害保険では年間保険料180万円で賠償金のみだが最大4億円まで補償される。以上の2社以外の他の損保各社も追随するようである。
昨年のコンビニエンス・ストアのカード会員情報が大量に漏えいした事件をきっかけに個人情報の漏えい事件が続発しており、多くの企業が何らかの対策を求められ、保険に対しても注目が集まっている。
また情報セキュリティ・インシデント全般に対応した保険も商品化されている。各社とも多少の違いはあるがほぼ共通した特徴がある。賠償責任保険であるため賠償責任を担保する部分が基本契約となっており、オプション特約で初期対応の臨時費用や示談金・和解金・争訟費用などが支払い可能となっている。
また各社とも見積りのためのセキュリティ診断は無料で行っており、BS7799に沿った診断や診断そのものに未公開のノウハウを有する会社もある。インターネット・ビジネス事業者向けの商品を別途用意し、より補償内容を特化しているのも各社の共通した特長である。詳細については表1を参照いただきたい。
表1 情報セキュリティ保険一覧表
| 保険会社名 | AIU保険 | 東京海上火災保険 | 三井住友海上火災保険 | ||
| 保険名 | ネットアドバンテージセキュリティ (一般事業者向け) | ネットワーク総合保険 | NETガード (一般事業者向け) | ||
| ネットワーク中断保険 | コンピュータ総合保険 | ネットワーク賠償責任保険 | |||
| 特徴 | 海外でのインシデントにも対応したグローバル型保険 | 自由設計型総合保険 | オールリスク保障型 | ||
| (1) 海外のインシデント(ネットワーク中断の事故事由)にも適用できるか? | ○ 適用可能 | × 原則国内に所在し所有、使用、または管理するネットワークが対象で、国内において生じた事由に限定される | △ 原則国内に所在するネットワーク・システムを構成する機器および情報メディアのうち被保険者が所有するものに限る | △ 原則国内に所在し所有、使用、または管理するネットワークが対象で、国内において生じた賠償提起に限定される(ネットワークの範囲については個別相談) | × 日本国内のみ。保険対象物件、保険事故発生場所のいずれも日本国内が対象となる。 |
| (2) 従業員の不正アクセスは補償の対象となるか? | × 免責 | ○ ※契約者の経営者層の不正アクセスについては免責 | ○※契約者の経営者層の不正アクセスについては免責 | ○※契約者の経営者層の不正アクセスについては免責 | × 使用人の不正アクセスは免責。 |
| (3) 民法上の賠償責任がなくても保険は支払われるか? | × 免責 | ○ | ○ | × 賠償責任保険は民法上の賠償責任を担保する商品のため対象外となる | × 賠償責任保険の部分に関しては法律上の責任が前提となる。○但し、NETガードのその他の部分(情報機器の保険、情報メディアの保険、営業継続費用の保険、利益の保険部分等)については、法律上の責任の問題は関係ない。 |
| (4) メールの誤送信なども対象となるか? | ○ | − | ○ | ○ | △ メールの誤送信自体は事故ではなく、誤送信してしまったことにより個人情報が漏洩して、法律上の損害賠償責任を負ったケースについては、対象とすることは可能。 |
| (5) 不正アクセス,ウィルスが原因により発生する情報資産破損時の再作成費用,インターネット業務停止時の逸失利益にも支払われるか? | ○※情報資産担保及び所得保護担保特約を付帯する必要あり | △ネットワーク中断により生じた利益喪失損害を担保する | ○ネットワーク・システムを構成する機器および情報メディアが、偶然な事由により損傷した場合に生じる修復費用等を担保する | − | △ コンピュータウイルスによる損害は免責。不正アクセスによる情報メディアの損害の場合、ネットワーク情報メディア条項にて再作成費用を支払う。更にネットワーク機能の停止によって生じた喪失利益等をネットワーク利益条項にて支払う。 |
| (6)トレードシークレットやセンシティブな個人情報の漏洩などにも対応可能か? | ○ | − | − | △法律上の賠償責任の範囲内で支払が可能(但し漏洩と損害との因果関係、漏洩による損害額の立証が必要となる) | − |
| (7) 名誉毀損,プライバシー侵害,著作権・商標権の侵害等についても支払われるか? | 名誉毀損、プライバシー侵害については○ その他の知的財産権については、ホームページ上のコンテンツに起因する損害賠償責任※のみ○ ※メディア賠償責任担保特約を付帯する必要あり |
− | − | △特許権・商標権等の知的財産権の侵害については対象外となる | 不当な身体の拘束による自由の侵害または名誉毀損、口頭・文書・図面その他これらに類する表示行為による名誉毀損またはプライバシーの侵害は担保可能。著作権・商標権については対象外。 |
| (8) プレスリリース・記者会見・問答集の作成費用などにも支払われるか? | ○(危機管理費用:上限350万円) | △一部特約付帯により支払いが可能 | ○初期対応等の臨時費用として損害保険金の30%(保険期間中300万円限度)の支払いが可能 | ×賠償責任保険では対象外となる | ○再発防止条項(オプション)に加入すれば、問答集の作成費用が対象になる。但し、NETガードPROは対象外。 |
| (9) 示談金・和解金・争訟費用も支払われるか? | ○ | − | − | ○弊社の事前の同意が必要となる | ○ 保険会社の事前の承認が必要。 |
| (10) 保険料の見積手順の概略を教えて下さい。 | (1)企業情報ヒアリング,(2)セキュリティ調査,(3)概算見積 | @必要な補償内容の選定(ヒアリング)→A補償内容の説明→Bリスク評価シートの作成→C契約条件の確定、期間としては約2〜6ヶ月。ネットワークの内容によってはそれ以上の時間を要する場合もあり | (1)保険概要の説明と対象ネットワークの特定,(2)リスク評価シートの記入,(3)セキュリティに対する総合格付評価,(4)保険条件の設定と保険料の算定,(5)見積の提示,(6)成約。但し、セキュリティの状況により、引き受けできない場合がある。 | ||
| (11) 保険料の金額の目安を教えて下さい。 | てん補限度額1億円、免責金額250万円、基本契約(セキュリティ賠償責任担保および危機管理費用担保特約のみ)の場合の年間保険料 売上高 100億円:210〜290万円 300億円:300〜400万円 ※あくまでも個別対応。上記は目安。 |
対象ネットワークの規模や業種等により変動するため、個別に見積りをとる必要がある | 売上規模、対象ネットワークの範囲、セキュリティの状態、等々により、保険料は変動する。 | ||
| (12) システムセキュリティ調査の結果やISMSの認証が取れているかなどにより,料率はどの程度変動するか? | 20〜30%以上(個別対応) | セキュリティレベルが高いほど、保険料率に与えるインパクトも大きくなる | ISMSの認証で自動的に減額されるということはない。見積りの前にネットワークの申告書があり、 ISMSの認証が取れている企業においては、その申告書のセキュリティ評価が高くなる可能性がある。 | ||
| @セキュリティレベルの診断(簡易版) | BS7799の管理項目に対応したような簡易調査表がある | 保険料見積りのための作業は無償 | 無料 | ||
| Aセキュリティレベルの診断(本格版) | 個別対応 | 提案や対策等のコンサルは有償の場合あり | 有料 | ||
| (13)その他 | インターネットビジネス事業者向けの”ネットアドバンテージプロ”あり | 中小企業を対象とした簡易版”eリスク保険”あり | インターネット事業者向けの”NETガードPRO (ネット事業者全般向け)”がある。 | ||
| ネットワーク総合保険はネットワーク中断保険、コンピュータ総合保険、ネットワーク賠償責任保険をセットにした総合保険。各条項毎に、担保範囲が異なる為詳細は個別に相談をする必要がある | |||||
備考
- 一般的にトレードシークレット(営業秘密)とは,「秘密として管理されている生産方法,販売方法,その他の事業活動に有用な技術上または営業上の情報であって,公然と知られていないものをいう」(不正競争防止法)とされている。
- JIS Q 15001では、下記のような情報をセンシティブな個人情報とし、情報の収集を禁止している。
(1)思想、信条及び宗教に関する事項
(2)人種、民族、門地、本籍地(所在都道府県に関する情報を除く)、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項
(3)勤労者の団結権、団体交渉、及びその他団体行動の行為に関する事項
(4)集団示威行為への参加、請願権の行使、及びその他の政治的権利の行使に関する事項
(5)保健医療及び性生活
3. リスクマネジメントシナリオ
3.1 はじめに
一般に組織が取り組むリスクマネジメントの内容は、投資可能なコストや人的・物的資源の制約から有限とならざるを得ない。それにより通常リスクマネジメントの内容はセキュリティ・インシデントに伴う被害規模(主に金銭的被害)に対する費用対効果の判断のもと、実施内容が決定されることとなる。以上より、セキュリティ・インシデントに対するリスクマネジメントを考える上で、まず必要なのはセキュリティ・インシデントがもたらす実際の被害規模の想定ということになるが、実際にはセキュリティ・インシデントの被害規模は、攻撃手段、被害者側組織規模や脆弱性、インシデント発生後の対応やインシデントがもたらす社会的影響範囲等により大きく変動し、一概に被害金額を想定算出することは困難である。
今回当WGでは、セキュリティ・インシデントおよびそれに対するリスクマネジメントの仮想シナリオを作成し、あるインシデントがもたらす被害金額を算出するためのパラメータの洗い出しを行い、ある一定のインシデントシナリオの下で発生する被害金額の想定を実施した。
3.2 シナリオ前提条件
今回のシナリオでは、WGメンバーが想定しやすいケースとして、石油元売業の所有するハウスカード情報の漏えいをインシデントの対象とした。またカード情報の漏えいが直接顧客側の被害をもたらすケースを想定するため、当該カードの情報でインターネットオンラインショップ決済が可能である状況を仮定した。また顧客被害の発生がインシデント発覚のトリガーとした。
(対象データ)
石油元売が所有しているハウスカードデータ
(漏えいの原因)
メール添付のデータが漏えい
社内to社内でデータ転送したときに宛先を間違えてしまう(外部へ転送)
(ハウスカードの会員数)
100万人
(データ項目)
カード番号、購買履歴、前月売上金額、住所、氏名、電話番号、生年月日
(データ量)
エクセルファイルごと(1,000件のデータを含む)
購買履歴などを検索し、優良顧客のみを記載したデータファイル
(実被害内容)
被害者数: 10人
被害額平均: 4,000円
- 自社のオンラインショップにてカード番号を利用され、身に覚えのない請求書が送られてくる。
- ダウンロード販売のソフトウェアを購入され、身に覚えのない請求書が送られてくる。
3.3 シナリオ1「事件の発覚」
1日目 事件発生を認識
(1)ユーザからカスタマーセンターに連絡(クレーム)が来る。
(2)データ照会をして請求内容を確認
データ照会内容:購入者の登録メールアドレスが10件すべて同一
2日目 対策の開始
(3)企業内で対応組織(実態調査等)、緊急体制を整備(情報システム部主体)
<組織体制>:(担当者ベース、総勢7名)
情報システム部(社員2名)
IT子会社(SE PJT1名、SE1名)
オンラインショップ担当部署(社員1名)
監査室(社員1名)
カスタマーセンター(社員1名)
3〜4日目 事件概要の把握
(4)オンラインショップのアクセスログに300人分のユーザ名でアタックされた形跡が見つかる。
アタック内容:非常に大量なアタックが短時間にあった。この時点で法務部・広報部が対応組織に参加。
(5)マネジメントに報告
現時点では原因、事実関係は一切不明。この段階ではマスコミには報告しないと判断。マネジメントの指示で警察に届け出る(アタックされた300人中10人が被害にあった)。
3.4 シナリオ2「社内対策」
5〜7日目 事件詳細の把握
(1)アタック被害者300人のデータ特性を調べる。リバースマイニングをかけて情報分布が判明する。(購買履歴に関連性がある)
(2)マネジメントに報告する
1)特性調査の結果、マイニングデータだと判明した(社内にて加工された業務データの疑いが強い)。
2)漏えい元は不明
(3)調査範囲の特定
1)マイニングされたデータの利用先は販売部で、業務担当者数人を特定される。
2)20日前の送信メールのログで漏えい元と漏えいデータ内容が判明
3)送信先は不明
8〜10日目 対外的事件処理
(4)対象者となる1,000人分のサービスを停止する。
1)マネジメントからマスコミに公表およびサイト告知
『当社オンラインショップの顧客情報が業務ミスにより外部に漏えいしました』
2)対象者全員に番号切替を行うことを告知し、新規カードを郵送する。
(5)事件処理実施
1)990人には御詫び文+金券500円添付
2)実被害者10人には慰謝料10万円および御詫び文+菓子折り+直接訪問
3)カード作成費:1,000円/枚(会員獲得費、作成費含む)
4)クレーマー対策(オペレーターの増員etc.)
5)カードデータ再登録作業
このほかに株価の低下(ブランドイメージ、企業信用度、カードに対する信用度の低下、機会損失)の可能性がある。
3.5 シナリオ3「社内対応」
1〜20日目 社内セキュリティ強化
(1)カード情報を扱っている関係部署すべてを調査するようマネジメントから命令が出る。5部署から1名4時間、聞き取りおよびセキュリティコンサルタント3名
(2)カード情報、個人情報等に対する権限の見直し、運用ルールの作成(規定など)。文書管理規定、セキュリティ規則等の変更およびその他コンサル指摘事項。
<コンサル指摘事項例>
- メールシステムの見直し(フィルター機能など)
- アクセス監視の運用強化
- 社員教育の徹底
3.6 被害額の算出
以上のシナリオから、被害額算出のためのパラメータを以下の通り抽出した。
(1)件数パラメータ
- 漏えい情報数
- 実被害者発生件数
(2)金額パラメータ
- 実被害者慰謝料(損害賠償金額)
- 情報漏えい被害者への慰謝料
- 謝罪文作成金額
- 実被害額
(3)対応人員コストパラメータ
- 一人あたりの作業コスト
- インシデント調査工数
- 苦情処理工数
- 事後処理作業工数(データ再登録等)
(4)その他パラメータ
- セキュリティコンサルタント費
- 臨時雇員コスト
- ITエンジニア支援費
- クレーム対策費
3.7 実際の被害金額試算
101,270千円(詳細は表2参照)。
表2
| 項 目 | 内 容 | 単 位 | 入力パラメータ | |
| 件数 | 漏えい情報数 | 件 | a | 1,000 |
| 実被害者発生件数 | 件 | b | 10 | |
| 金額 | 実被害者慰謝料(損害賠償金額) | 円 | c | 100,000 |
| 情報漏えい被害者への慰謝料 | 円 | d | 1,500 | |
| お詫び文の1件あたりの金額 | ||||
| 実被害額 | 円 | e | 4,000 | |
| 対応人員 | 一人あたりの作業コスト(週) | 円 | f | 1,000,000 |
| 漏えい実態調査 | 週 | g | 4 | |
| 調査人数 | 人 | h | 10 | |
| 苦情処理期間 | 週 | i | 8 | |
| 苦情処理 | 人 | j | 5 | |
| カードデータ再登録作業 | 週 | k | 1 | |
| 再登録作業人数 | 人 | l | 2 | |
| その他 | セキュリティコンサルタント費 | 日 | m | 10 |
| 人数 | n | 3 | ||
| 単価(日額) | o | 90,000 | ||
| お詫び文作成用アルバイト | 時間 | p | 171 | |
| 人数 | q | 6 | ||
| 単価(自給) | r | 1,000 | ||
| ITエンジニア支援費 | 日 | s | 20 | |
| 人数 | t | 2 | ||
| SE PJT単価(日額) | u | 90,000 | ||
| SE単価(日額) | v | 60,000 | ||
| クレーム対策人員 | 日 | w | 20 | |
| 人数 | x | 10 | ||
| 単価(日額) | y | 50,000 | ||
| 実被害額 | b*(c+e)+a*d | 円 | 2,540,000 | |
| 漏えい調査費用 | f*g*h | 円 | 40,000,000 | |
| 苦情処理費用 | f*i*j | 円 | 40,000,000 | |
| カードデータ再登録 | f*k*l | 円 | 2,000,000 | |
| 対応人員 合計 | 円 | 82,000,000 | ||
| コンサル費 | m*n*o | 円 | 2,700,000 | |
| アルバイト費 | p*q*r | 円 | 1,030,000 | |
| ITエンジニア支援費 | (s*1*u)+{s*(t-1)*v} | 円 | 3,000,000 | |
| クレーム対策 | w*x*y | 円 | 10,000,000 | |
| その他費用 | 円 | 16,730,000 | ||
| 合計被害額 | 円 | 101,270,000 | ||
3.8 実際に発生したインシデントとの整合性
上記パラメータの抽出による被害総額試算結果について、現実のインシデントとその被害総額と比較して、現実との乖離がないかを確認した。なお現実のインシデントとその対応については、新聞報道等から情報を入手し、不明なパラメータについては類推を行っている。
| 事件発生企業: | ADSL事業会社、連結社員数800人 |
| 対象データ: | ADSLサービス顧客データ |
| 漏えいの原因: | 内部犯行。悪意の社員がデータを持ち出し。 |
| 顧客会員数: | 590万人 |
| データ項目: | 住所、氏名、電話番号、申込日、メールアドレス、会員ID(クレジットカード番号等は漏洩せず) |
| 漏洩データ量: | 4,517,039名分 |
| 実被害内容: | 被害者数,被害金額は不明。 |
| 被害金額試算: | 3,536,950千円(詳細は表3参照) |
表3
| 項 目 | 内 容 | 単 位 | 入力パラメータ | |
| 件数 | 全漏えい件数(流出が確認できた件数) | 件 | a | 4,517,039 |
| 実加入者数 | 件 | b | 2,403,617 | |
| 無料体験申込者数 | 件 | c | 1,473,774 | |
| 加入手続き中 | 件 | d | 9,843 | |
| 解約者 | 件 | e | 629,814 | |
| 金額 | 情報漏えい被害者への慰謝料 | 円 | f | 600 |
| お詫び文及び送料1件あたりの金額 | ||||
| 実被害額 | 円 | g | 0 | |
| 対応人員 | 1人あたりの作業コスト(1日) | 円 | h | 50,000 |
| 漏えい実態調査 | 日 | i | 40 | |
| 調査人数 | 人 | j | 5 | |
| 苦情処理期間 | 日 | k | 40 | |
| 苦情処理 | 人 | l | 5 | |
| メール再登録依頼人数(全登録者割合) | % | m | 30 | |
| 再登録費(1件) | 円 | n | 200 | |
| その他 | セキュリティコンサルタント費 | 日 | o | 10 |
| 人数 | p | 3 | ||
| 単価(日額) | q | 90,000 | ||
| ITエンジニア支援費 | 日 | r | 20 | |
| 人数 | s | 2 | ||
| SE PJT単価(日額) | t | 90,000 | ||
| SE単価(日額) | u | 60,000 | ||
| クレーム対策人員 | 日 | v | 60 | |
| 人数 | w | 10 | ||
| 単価(日額) | x | 50,000 | ||
| ITシステム投資 (システム基盤強化など) |
円 | y | 500,000,000 | |
| 実被害額 | a*f | 円 | 2,710,220,000 | |
| 漏えい調査費用 | h*i*j | 円 | 10,000,000 | |
| 苦情処理費用 | h*k*l | 円 | 10,000,000 | |
| メールアドレス再登録 | a*m*n | 円 | 271,020,000 | |
| 対応人員 合計 | 円 | 291,020,000 | ||
| コンサル費 | o*p*q | 円 | 2,700,000 | |
| ITエンジニア支援費 | (r*1*t)+{r*(s-1)*u} | 円 | 3,000,000 | |
| クレーム対策 | v*w*x | 円 | 30,000,000 | |
| ITシステム投資 | y | 円 | 500,000,000 | |
| その他費用 | 円 | 535,700,000 | ||
| 合計被害額 | 円 | 3,536,940,000 | ||
3.9 まとめ
セキュリティ・インシデントの特性として、その発生の容易性に比べ、状態回復の困難さと被害規模の巨大さが顕著であるという点があり、今回のケーススタディでも同様の結論を導く結果となった。
現実のインシデントにおいては、今回の試算ロジックでは考慮外の様々な追加対策コストが発生するため、一概に今回の試算ロジックを当てはめることは難しいと思われる。また現実には日々セキュリティ・インシデントにかかるコストは増大の傾向にあり、その意味でも被害額試算パラメータについては、今後さらなる追加、改善の必要があると思われる。
以上を前提に、実際のリスクマネジメントを行う上で、今回の被害額試算ロジックがその一つの参考となれば幸いである。
4. あとがき
当WG開始時点では、実際のセキュリティ事故情報は少なくコスト計算のシミュレーションプログラムのパラメータ設定に苦慮したが、いみじくもWG活動中に他業界で世間を騒がす大量の個人情報漏えい事故が相次いで発生した。現実の対応コストが判明しシミュレーションを実行した結果、その金額の大きさに驚かざるを得ない。
我々石油業界も各種カードシステムやオンラインショップなどのシステムを稼動させているため、インシデント発生時に備え緊急対策手順の確立が急務である。
最後に、当WGの活動に際し、情報提供などにご協力頂いた各社に感謝いたします。
なお,本内容は平成15年4月〜平成16年3月までの調査・検討成果をまとめたものである。
参考文献
- ケビン・ミトニック,「欺術 The Art of Deception - 史上最強のハッカーが明かす禁断の技法」.
- マイク・シフマン,「ハッカーの挑戦 - 20のシナリオで学ぶ不正侵入の手口と対策」.
- IPA ,「国内におけるソーシャルエンジニアリングの実態調査」.
調査協力会社:AIU保険,東京海上火災保険,三井住友海上火災保険.
 |
| |部会活動|経営情報部会|トップページへ |