トップ 　城の科学 　陰暦 　異表記外来語 　チェス 　和錠 　中国旅行 　しごと 　便利帳 　リンク

　2009 年度に使ったページ

情報セキュリティ A/B 　YeStudy: 水６ 木５

この授業では，大学の eラーニングシステム YeStudy を使って小テスト時の出席を取ったり，講師からの連絡をしたりします． 携帯などに メールの転送設定 もしておくことを強く奨めます．

質問の メール を受け付けます．ただし，試験直前に多数のメールがきた場合，応答できない可能性があります．

会って質問したい学生諸君も，まず メール などで予約してください．（講師の 時間割）

講義内容 A / 講義内容 B

授業で用いる資料

参照先の方々に： 利用させていただきありがとうございます．皆で似たような教材を作らず互いに利用しようというのが私のポリシーです．私は，Wikipedia に書くことなどで貢献しているつもりです．私が作った教材で役にたつものがあれば，ご自由にリンクなさってください．

↓別ページが開く．オンライン百科事典 Wikipedia の参照が多い．

Category: コンピュータセキュリティ， インターネットセキュリティ

情報セキュリティ A

0. ガイダンス

0.0 戦略デザインコースの履修順序.pdf

0.1 自己紹介； この Web ページへのたどり着き方

0.2 過去の授業評価，サンプル問題，持込み

0.3 情報セキュリティアドミニストレータ試験, 過去問題

0.4 シラバスの説明（成績評価の方法）， 参考図書の紹介

0.5 成績発表の方法， 抜き打ちテスト

0.6 暗号技術の重要性 （投票，電子署名法）

0.7 情報セキュリティ基盤([0.7 ノート]), +

0.8 事前知識アンケート → 結果.xlw

0.9 犯罪の例： 簡単！やさしいセキュリティ教室 （三井住友銀行）

• 個人データ流出事件（神奈川新聞）
• 個人データ流出事件（三菱ＵＦＪ証券）→ 逮捕 → 罪状
• DDoS 攻撃（韓米に被害） → 対策
• 歌で覚える情報セキュリティ

1. 情報

1.1 情報とは何か

認識の変化： 経営の対象＝人・物・金・情報
事例： APOLLO 13 の救出
言葉： 情報，情報産業の例 +； 情報量（C. シャノン）
外国語　中: 信息 xin-xi（訊息）
英: (1) information (> inform) / (2) intelligence → 企業情報学部

1.2 通信の歴史

ディジタル → アナログ → ディジタル

1.3 情報の資産価値, 資産価値の評価（例）

事例： 評価サービス

2. 情報セキュリティ

2.0 セキュリティ

語源： secure (securely) → security ＝ 保安，保全
定義： security（英語版 Wikipedia）

2.1 情報セキュリティ

定義： 情報セキュリティ
参考： コンピュータセキュリティ（日本語版 Wikipedia）
用語： リスク, 脆弱性 +, 脅威 +, インシデント, 対策 +
脅威： 災害，障害； 破壊，不正使用，DoS攻撃，サイバーテロ
資料： メールヘッダ (header) の読み方, [2. ノート]

2.2 リスク管理： リスク分析 → リスクアセスメント
対応方針： 回避・転嫁（移転）・軽減・受容（保有）

2.3 情報管理の手法： 物理的統制，技術的統制，法的統制，人的統制

2.4 歴史： 孫子 +, 国際規格化, 脆弱性の公開 +

FeliCa は安全か ― 脆弱性を見つけたらどうすべきか？ (FeliCa)

3. 組織の取組み

3.1 国の取組み

内閣官房情報セキュリティセンター (NISC),
サイバークリーンセンター（CCC, 総務省＋経産省），
国民のための情報セキュリティサイト（総務省）,
@police（警視庁），プライバシーマーク（JIPDEC），
ISMS適合性認証（日本情報処理開発協会 JIPDEC），
各種届出と対策（情報処理推進機構 IPA）

3.2 民間の取組み： CSIRT, JPCERT/CC

3.3 企業の取組み

企業の情報セキュリティのあり方に関する提言（経団連）

3.4 国際規格 +： ISO/IEC 27000 シリーズ, PDCAサイクル

情報セキュリティマネジメントシステム (ISMS) +
国際規格の戦略的な利用.pdf

4. プライバシー

4.1 プライバシー保護の現状： 情報流出, +,

(2008)事故調査報告書.pdf (2007)

4.2 個人情報保護法 (Q&A) ＜ Safe Harbor 原則 ＜ EU指令 +

本人の同意：（オプトアウト +）Opt-out → Opt-in → Double opt-in

4.3 個人情報保護マネジメントシステム (PMS) JIS Q 15001

資料： OECD プライバシー8原則, [4. ノート]

5. 情報セキュリティポリシー (policy)

5.1 最高情報セキュリティ責任者 (CISO), CIO, CSO

5.2 情報セキュリティポリシー（基本方針，対策基準，実施手順）

ガイドライン, PDCAサイクル
セキュリティポリシーの作成価格 （作成は数百万円 ＜ 数億円の損失）

5.3 事業継続計画 (BCP) からの要請

BS 25999 (BCM), ISO/PAS 22399, +, ++

5.4 企業の社会的責任 (CSR) からの要請

6. 情報セキュリティマネジメントシステム (ISMS) + ++

(1) ISO/IEC 27001 "ISMS - Requirements"

(2) ISO/IEC 27002 "Code of practice for information security management"

日本工業規格 ↓

(1') JIS Q 27001“ISMS ― 要求事項”（旧：ISMS認証基準）

(2') JIS Q 27002“情報セキュリティマネジメントの実践のための規範”（旧 JIS X 5080）

日本工業規格／管理システム の一覧 セキュリティ技術 の一覧

(3') JIS Q 13335-1“情報通信技術セキュリティのマネジメント ― 第1部：情報通信技術のセキュリティマネジメントのための概念及びモデル”

7. 情報セキュリティ監査

7.0 コンピュータ犯罪の特徴： 速い，多い，遠い +

犯罪 ＝ 犯意ある者 × 狙いやすい標的 × 監視者の不在

7.1 背景： 監査 +， コンプライアンス (comply) +, SOX法, 日本版SOX法

内部統制, コーポレート・ガバナンス (govern)
情報セキュリティガバナンス

7.2 情報セキュリティにおけるコンプライアンス

不作為の責任 → 説明責任 (accountability) [7. ノート]

7.3 情報セキュリティ監査： 制度, 監査人

日本セキュリティ監査人協会 (JASA)
監査証拠，時系列の証拠 ＝ 監査証跡

7.4 コンピュータ・フォレンシクス (forensics +) I.E.

文書→バックアップ，記録→アーカイブ
文書管理システム, 記録管理システム, 電子メール, 踏み台

資料： [7. ノート]（担保）

8. 情報セキュリティガバナンス

8.1 実際の組織の取組み

例： サイト利用規約, プライバシー・ポリシー +,
ISO 27001 認証取得大学 +, プライバシーマーク認定事業者;
日本版SOX法への対応, コンプライアンス事業

8.2 情報セキュリティガバナンス： 情報セキュリティ報告書 +

9. 情報セキュリティ文化

9.1 従業者教育の必要性： PPT 現状.pdf (NPOISEF 2006) + メル訓

9.2 情報倫理： これって違法？ (ACCS)

14.1 SSL

参考授業： 情報セキュリティ (2008) （村川先生/和歌山大学）

後記

事後知識アンケート → 結果.xls

情報セキュリティ B

B0. ガイダンス

B0.0 戦略デザインコースの履修順序.pdf

B0.1 自己紹介； この Web ページへのたどり着き方

B0.2 過去の授業評価，サンプル問題，持込み

B0.3 情報セキュリティアドミニストレータ試験, 過去問題

B0.4 シラバスの説明（成績評価の方法）， 参考図書の紹介

B0.5 成績発表の方法， 抜き打ちテスト

B0.6 暗号技術の重要性 （投票，電子署名法）

B0.7 情報セキュリティ基盤 （東大 佐藤周行先生）

B0.8 知識アンケート（参考）

10. 危機管理における情報セキュリティ

10.0 速報の重要性

災害： 北海道南西沖地震， 阪神・淡路大震災 (1.17)
テロ： アメリカ同時多発テロ事件 (2001年 9.11)

10.1 危機管理（情報の可用性と完全性）

9.11 での危機管理（通信途絶）, ヘリコプターの利用
(1)有効な指揮統制 (2)異なった組織間の連動体制 (3)明確な行動指針
対策： 米 国土安全保障省， 内閣安全保障室（内調）

10.2 機密性と可用性のトレードオフ

パスワードの作り方ほか, バックドア

11. 法律による保護

11.0 条文の読み方： 及び・並びに ／ 又は・若しくは, +
法律におけるＩＴ用語（後半） ／（前半）

11.1 情報セキュリティに関する国内法規（総覧）, +

ネットワーク社会の情報倫理（第6章 前編 後編）

11.2 刑法 （全文）

第234条の二（電子計算機損壊等業務妨害）， 第246条の二（電子計算機使用詐欺）， 第161条の二（電磁的記録不正作出及び供用）, 第163条の二〜五（支払用カード電磁的記録不正作出等，不正電磁的記録カード所持，支払用カード電磁的記録不正作出準備，未遂罪）， 第258条（公用文書等毀棄），第259条（私用文書等毀棄）

11.3 不正アクセス禁止法

11.4 個人情報保護法

11.5 著作権法（全文）, 問題

11.6 その他 関連する主な法律（電波法など＋事例）

12. アクセス制御（access, 物理的，コンピュータ，ネットワーク）

12.1 物理的： 警備員，ID カード, 虹彩認識 +

12.2 アクセス制御行列（アクセス制御リスト, +, パーミッション -）

どの能動体 (subject) からどの受動体 (object) への
どのアクセス（読み／書き／実行）が許可されているか．+

13. 暗号 - 概要

13.0 情報機関 (intelligence)： HUMINT, SIGINT (エシュロン)

13.1 暗号の価値： 解読事実の秘匿

13.2 暗号とは： 暗号理論， 暗号系と用語 （クリプトン）

13.3 共通鍵暗号

13.3.0 共通鍵暗号
13.3.1 換え字式暗号
　(1) 単換え字式暗号： “踊る人形”の解読
　(2) 多表式暗号 ＝ 複数の単換え字式暗号を周期的に用いる．
　　　　機械式暗号 （パープル暗号）
13.3.2 転置式暗号 （アナグラム）
13.3.3 暗号解読
　(1) 単換え字式暗号の解読（文字頻度）
　(2) 多表式暗号の解読（周期）
　(3) 転置式暗号の解読（連接確率）日本における漢字
　(4) 解読不可能な暗号，実例
　(5) 暗号解読技術の利用 （ロゼッタ・ストーンの解読, +, -） 外国語
13.3.4 ブロック暗号(+) の利用モード（動画, 図） と ストリーム暗号
　　　　[線形帰還シフトレジスタ(LFSR) +]
13.3.5 AES (Rijndael) …… 現代的な共通鍵暗号
[13章前半のノート] +

13.4 公開鍵暗号

13.4.0 公開鍵暗号
13.4.1 剰余演算 +（べき乗剰余，フェルマーの小定理）
13.4.2 RSA方式 （べき乗算の高速化）+
13.4.3 認証： （署名と花押，歴代首相の花押），
　　　 電子署名，印鑑証明と電子署名，+ 署名つきの暗号文
　　　 知識アンケート
13.4.4 暗号技術を使ってできること， 電子マネー
[13.4 のノート] +

13.5 ハッシュ関数（一方向性関数）

　　 木曜 5 時限のクラスの試験範囲はここまで

　　 水曜 6 時限のクラスの試験範囲はここまで

13.6 量子暗号

14. 暗号プロトコル

14.1 チャレンジ応答プロトコル

14.2 SSL

15. 情報セキュリティ基盤

15.1 公開鍵基盤 (PKI), 認証局, +

15.2 情報セキュリティ・サービス

α. 情報セキュリティ評価基準 (CC)

ISO/IEC 15408 (JIS X 5070)

α.1 認証製品リスト, +

β. 符号

β.1 符号： データコード， モールス符号， Ｇコード

β.2 文字符号： ASCII→ISO 646→JIS X 0201，

JIS漢字符号（日本における漢字）， 国際符号化文字集合 (UCS)

β.3 誤り耐性： 検査数字 (チェックディジット＝CD, ISBN)，

レーベンシュタイン距離， 誤り検出訂正

γ. その他

γ.1 ２進法： 位取り記数法， ２進法， ビット

γ.2 標本化定理， ビット速度， データ圧縮

成績発表

	ひとつ戻る
	西村和夫のページ に戻る
2008	昨年度のページ