日本語タイトル | 仮名化による個人情報の保護に配慮したパブリッククラウド型フィッシングメール対応訓練システムの実装と運用 |
---|---|
著者 | |
論文誌 | 第21回学術情報処理研究集会発表論文集 |
巻 | |
号 | |
ページ | pp. 69-74 |
出版年 | 2017年9月 |
概要 | 近年,特定の組織を対象としたフィッシングメールが脅威となっている.フィッシングメールによる攻撃手段の1つとして,電子メールにより攻撃対象者を偽物のウェブサイトへ誘導し偽物のログイン画面にユーザ名やパスワードを入力させることで情報システムへ不正アクセスするための情報を収集する方法がある.この対策としてフィッシングメールに対する訓練が多くの組織で実施されている.攻撃対象者がフィッシングメールにより誘導されるウェブサイトを偽物であると判断するためには,ウェブサイトのドメイン名が正しいことの確認に加えサーバ証明書も正しいことを確認できる情報セキュリティに係るリテラシを養成する必要がある.より現実の攻撃に似た状況で訓練を実施して教育効果を高めるには,組織内よりも組織外のドメイン及びサーバ証明書を用いて訓練用のフィッシングサイトを運用することが望ましいと考えられる.しかし,多くのオープンソースソフトウェアのフィッシングメール対応訓練システムでは,サーバに訓練対象者のメールアドレスを保存する実装になっており,組織外のサーバに個人情報を保存することは情報漏洩に係る運用リスクを高めてしまう.そこで本研究では,組織外のパブリッククラウドに配置可能なフィッシングメール対応訓練システムでありながら,訓練対象者の氏名,役職,メールアドレスといった個人情報は仮名化により管理主体を分離することで,訓練システムに係る情報セキュリティインシデント発生時に個人情報の漏洩対策を講じられるシステムを開発している.本稿ではシステムの実装と運用について述べる. |
ファイル | BibTeX |