定義：情報セキュリティ
参考：コンピュータセキュリティ（日本語版 Wikipedia）
用語：リスク, 脆弱性, 脅威 (+), インシデント, 対策, 一覧 +
住宅の例：火災, 可燃物質, タバコ, 　昨晩の火事,　　難燃物質（禁煙）
情報の例：漏洩, 持ち運ぶ, 置き忘れ, 先日の漏洩未遂, 禁帯出（暗号化）
脅威：災害，障害；不正使用，DDoS攻撃（サイバーテロ）
資料：メールヘッダ (header) の読み方, [2. ノート]

2.2 機密性と可用性のトレードオフ

迷惑メール拒否・携帯編
安全なパスワードの作り方 +, バックドア

2.3 インシデント管理（9.3 ITIL 参照）

2.4 リスク管理：リスク分析 → リスクアセスメント, + ++

対応方針：回避，転嫁（移転），軽減（最適化），受容（保有）, + ++

2.5 情報管理の手法：物理的統制，技術的統制，法的統制，人的統制

2.6 歴史：孫子 +, 国際規格化, 脆弱性の公開 +

FeliCa は安全か ― 脆弱性を見つけたらどうすべきか？ (FeliCa とは)

3. 危機管理における情報セキュリティ

3.0 速報（可用性と完全性）の重要性

災害：北海道南西沖地震，阪神・淡路大震災 (1.17)
テロ：アメリカ同時多発テロ事件 (2001年 9.11)
対応：米国土安全保障省，内閣安全保障室（内調）

3.1 危機管理：予防 → 把握 → 評価 → 検討 → 発動 → 再評価

9.11 での危機管理（通信途絶 +）, ヘリコプターの利用 +
危機発生時に，組織的な行動を取るための要点：
　(1)有効な指揮統制 (2)異なった組織間の連動体制 + (3)明確な行動指針

防災用シャベル 10 本は，警備室脇の駐車場の奥にある“防災”と書かれた倉庫にあります．

6.3 事業継続計画 (BCP)

4. 組織の取組み

4.1 国の取組み

内閣官房情報セキュリティセンター (NISC),
サイバークリーンセンター（CCC, 総務省＋経産省），
国民のための情報セキュリティサイト（総務省）,
@police（警視庁），プライバシーマーク（JIPDEC），
ISMS適合性評価制度（日本情報処理開発協会 JIPDEC），
各種届出と対策（情報処理推進機構 IPA）

4.2 民間の取組み： CSIRT ∋ JPCERT/CC

4.3 企業の取組み

企業の情報セキュリティのあり方に関する提言（経団連）

4.4 国際規格 +： ISO/IEC 27000 シリーズ, PDCAサイクル

+ 情報セキュリティマネジメントシステム (ISMS)
国際規格の戦略的な利用.pdf, EUの国際規格化戦略 +

5. プライバシー

5.0 盗聴： Street View

5.1 情報漏洩の現状：情報流出, 一覧,

2009 インシデント調査報告書 (2008, 2007)

5.2 法制化の起源： OECD プライバシー8原則（原文）, 個人情報

5.3 個人情報保護法＜ Safe Harbor 原則＜ EU指令 [5. ノート]

本人の同意：（オプトアウト +）Opt-out → Opt-in → Double opt-in

5.4 個人情報保護マネジメントシステム (PMS) JIS Q 15001, +

6. 情報セキュリティポリシー (policy) Q7～Q9

6.1 最高情報セキュリティ責任者 (CISO), CIO, CSO

6.2 情報セキュリティポリシー（基本方針，対策基準），実施手順

ガイドライン（具体例）+, PDCAサイクル
セキュリティポリシーの作成価格（製作費＝数百万円＜数億円の損失）

6.3 事業継続計画 (BCP) からの要請

BS 25999 (BCM), ISO/PAS 22399, +, ++

6.4 企業の社会的責任 (CSR) からの要請

ここはむつかしいので，注意して聴いてください．

7. 情報セキュリティマネジメントシステム (ISMS) + ++

(1) ISO/IEC 27001 "ISMS. - Requirements"

(2) ISO/IEC 27002 "Code of practice for information security management"

日本工業規格 ↓（翻訳）

(1') JIS Q 27001“ISMS. ― 要求事項”（旧: ISMS認証基準）

(2') JIS Q 27002“情報セキュリティマネジメントの実践のための規範”（旧: JIS X 5080）

日本工業規格／管理システムの一覧

(3') JIS Q 13335-1“情報通信技術セキュリティのマネジメント ― 第1部：情報通信技術のセキュリティマネジメントのための概念及びモデル”

セキュリティ技術の一覧

(4') JIS X 5070-*“セキュリティ技術 ― 情報技術セキュリティの評価基準”

8. 情報セキュリティ監査

8.0 コンピュータ犯罪の特徴：多い，速い，遠い，判らない +

犯罪＝犯意ある者 × 狙いやすい標的 × 監視者の不在

9. 情報セキュリティガバナンス

9.1 実際の組織の取組み

例：サイト利用規約, プライバシー・ポリシー +,
ISO 27001 認証取得大学 +, プライバシーマーク認定事業者;
日本版SOX法への対応, コンプライアンス事業

9.2 情報セキュリティガバナンス：情報セキュリティ報告書 +

9.3 ITIL (ISO/IEC 20000)

10. 情報セキュリティ文化

10.1 従業者教育の必要性： PPT 現状 (NPOISEF 2006) + メル訓

10.2 情報倫理：これって違法？ (ACCS)

参考授業：情報セキュリティ (2009, 2008) （村川先生/和歌山大学）

後記

情報セキュリティ B

B0. ガイダンス

B0.0 戦略デザインコースの履修順序.pdf

B0.1 自己紹介；この Web ページへのたどり着き方

B0.2 過去の授業評価，サンプル問題，持込み

B0.3 情報セキュリティアドミニストレータ試験, 過去問題

B0.4 シラバスの説明（成績評価の方法），参考図書の紹介

B0.5 成績発表の方法，抜き打ちテスト

B0.6 暗号技術の重要性（投票，電子署名法）

B0.7 情報セキュリティ基盤（東大佐藤周行先生）

B0.8 知識アンケート（参考）

11. 法律による保護

11.0 条文の読み方：及び・並びに／又は・若しくは, +
法律におけるＩＴ用語（後半）／（前半）

11.1 情報セキュリティに関する国内法規（総覧）, +

ネットワーク社会の情報倫理（第6章前編後編）

11.2 刑法（全文）

第234条の二（電子計算機損壊等業務妨害），第246条の二（電子計算機使用詐欺），第161条の二（電磁的記録不正作出及び供用）, 第163条の二～五（支払用カード電磁的記録不正作出等，不正電磁的記録カード所持，支払用カード電磁的記録不正作出準備，未遂罪），第258条（公用文書等毀棄），第259条（私用文書等毀棄）