トップ 城の科学 陰暦 異表記外来語 チェス 和錠 中国紀行 インド紀行 しごと 便利帳 リンク
トップ > しごと > 情報セキュリティこの授業では,大学の eラーニングシステム YeStudy を使って出席を取ったり,講師からの連絡をしたりします. 携帯などに Gmail 画面右上のギアからメールの転送設定 もしておくことを奨めます.
参照先の方々に: 利用させていただきありがとうございます.皆で似たような教材を作らず互いに利用しようというのが,教材についての私のポリシーです.私は,Wikipedia に書くことなどで貢献しているつもりです.私が作った教材でお役に立つものがあれば,自由にリンクなさってください.
↓別ページが開く.オンライン百科事典 Wikipedia の参照が多い.
★ IT パスポート試験(情報セキュリティに関する出題の強化・拡充)
CAPTCHA,
トークン.
14.3 SSL/TLS
例: 三井住友銀行 にログイン.
到達目標: CAPTCHA の使用目的を知っている. ブラウザに鍵マークが現れた状態が何かを知っている.SSL/TLS の用途を知っている. 信頼できない Web ページの見分け方を知っている. スパイウェアの挙動と感染経路を知っている.
システム障害
情報の漏洩と紛失
国家間のサイバー戦争
興味のある人だけが読めばよい.
興味のある人だけが読めばよい.
到達目標: 個人情報漏洩事件事故の例を見たことがあり,頻度が高いことを知っている.
事例: 評価サービス
到達目標: 情報は資産の一つであり,資産価値があることを知っている. 情報資産の例をいくつか挙げることができる.
語源:
secure (securely) →
security =
保安,保全.
[2. ノート]
定義:
情報セキュリティ
… CIA を維持すること.
参考:
コンピュータセキュリティ
用語: | リスク | 脆弱性 | 脅威 + | インシデント | 対抗策 + | |
例 | 住宅 | 火災 | 可燃物質 | タバコ + | 昨晩の火事 | 難燃物質, 禁煙 |
情報 | 漏洩 | 運搬 | 置き忘れ | 先日の漏洩未遂 | 暗号化, 禁帯出 |
FeliCa は安全か ― 脆弱性を見つけたらどうすべきか? (FeliCa とは)
到達目標: リスク,脆弱性,脅威,インシデント,対抗策の定義を述べ,例を挙げて説明できる. 情報セキュリティの3要素を挙げ,その内容が説明できる. DDoS 攻撃の概要が説明できる. ボットウイルスの概要を知っている. 電子メールの脆弱性を知っている. 機密性と可用性のトレードオフを知っている. リスク管理の流れが説明できる. リスク管理の要素の概要が説明できる. リスク対応の4方針が説明できる. 情報管理の4手法を知っている. 世界と日本の情報セキュリティの歴史の概略を知っている. 脆弱性の公開についての経緯と現在の主流を知っている.
災害:
北海道南西沖地震,
阪神・淡路大震災,
東北地方太平洋沖地震
9.11 での危機管理
+(通信途絶),
ヘリコプターの利用
+
危機状態では,拙速は巧遅に優る.
危機状態で,組織的な行動をするための要点:
(1)有効な指揮統制
(2)異なった組織間の連動体制
+
(3)明確な行動指針
(*)権限の委譲
駒澤大学 緊急連絡先(正門守衛室): 03-3418-9021
防災用シャベル 10 本は,警備室脇の駐車場の奥にある“防災”と書かれたプレハブ倉庫にあります.(学校での災害時のトイレ対策,
駒沢公園の非常用トイレ
+)
実践的な,非常用 枕元+携行+備蓄品
到達目標: 危機発生時における速報の重要性を知っている. 日本での危機対応組織を知っている. 危機管理の手順が説明できる. 危機状態における即断・即実行の重要性を知っている. 危機状態において組織的な行動をするための要点を知っている.
内閣官房情報セキュリティセンター (NISC),
サイバークリーンセンター(CCC, 総務省+経産省),
国民のための情報セキュリティサイト(総務省),
@police(警視庁)
プライバシーマーク(JIPDEC),
ISMS適合性評価制度(日本情報経済社会推進協会 JIPDEC),
CSIRT ∋
JPCERT/CC,
企業の情報セキュリティのあり方に関する提言(経団連)
+ 情報セキュリティマネジメントシステム (ISMS), PDCAサイクル
国際規格の戦略的な利用.pdf,
EUの国際規格化戦略
到達目標: 国と民間の情報セキュリティに取り組んでいる組織の概要を知っている. 情報セキュリティインシデントが発生したときの届け先を知っている. プライバシーマークの意味と,その取得のしかたを知っている. 情報セキュリティマネジメントシステム (ISMS) の存在と,適合性評価制度のしくみを知っている. 日付の表記の国際規格を知っている. 国際標準化機構が発行した ISO/IEC 27000 シリーズを知っている.
2012 インシデント調査報告書 (2011, 2010, 2009, 2008, 2007)
本人の同意:(オプトアウト +)Opt-out
→ Opt-in
→ Double opt-in
忘れられる権利
到達目標: “積極的プライバシー権”の定義が説明できる. 情報漏洩事件・事故の多さを知っている. OECD のプライバシー 8 原則について,知見がある. 個人情報保護法における“個人情報”の定義が説明できる. 個人情報の所有者,提供者,利用者の違いを知っている. 個人情報保護法と EU 指令の厳しさの違いを知っている. オプトアウト,オプトインについて,説明できる. 個人情報保護マネジメントシステムと,プライバシーマーク,JIS Q 15001 の関係について説明できる.
ガイドライン(具体例)+
++,
PDCAサイクル
セキュリティポリシーの作成価格
(製作費=数百万円 < 数億円の損失)
BS 25999 (BCM),
ISO/PAS 22399,
+,
++
到達目標: CISO が果たす役割が説明できる. 情報セキュリティポリシーの構成と内容が説明できる.
(1) ISO/IEC 27001 "ISMS - Requirements"
(2) ISO/IEC 27002 "Code of practice for information security management"
日本工業規格 ↓(翻訳)
(1') JIS Q 27001“ISMS ― 要求事項”(旧: ISMS認証基準)
規格票
(2') JIS Q 27002“情報セキュリティマネジメントの実践のための規範”(旧: JIS X 5080)
規格票
(3') JIS Q 13335-1“情報通信技術セキュリティのマネジメント ― 第1部:情報通信技術のセキュリティマネジメントのための概念及びモデル”
(4') JIS X 5070-*“セキュリティ技術 ― 情報技術セキュリティの評価基準”
到達目標: 情報セキュリティマネジメントシステムの概要が説明できる. PDCA の各過程で具体的に何をすべきかを知っている. 各組織の ISMS と JIS Q 27001 との関係が説明できる.
犯罪 = 犯意ある者 × 狙いやすい標的 × 監視者の不在
サイバー犯罪の現状 2012 上半期
+
内部統制,
コーポレート・ガバナンス
(govern)
情報セキュリティガバナンス
不作為の責任 → 説明責任
(accountability)
[8. ノート]
日本セキュリティ監査人協会 (JASA)
監査証拠,時系列の証拠 = 監査証跡
文書→バックアップ,記録→アーカイブ
文書管理システム,
記録管理システム,
電子メール,
踏み台
到達目標: コンプライアンスとガバナンスが説明できる. SOX 法が生まれた背景を知っている. 日本版 SOX 法の概略を知っている. 内部統制の 4 つの目的と 6 つの基本的要素を知っている. コンピュータ・フォレンシクスの概要と三つの目的が説明できる. 監査証拠と監査証跡について説明できる. 文書と記録,バックアップとアーカイブの差が説明できる.
例: サイト利用規約,
プライバシー・ポリシー
+,
ISO 27001 認証取得大学 +,
プライバシーマーク認定事業者;
日本版SOX法への対応,
コンプライアンス事業
到達目標: 情報セキュリティガバナンスの定義を知っている. 情報セキュリティ報告書の作成が推奨されていることを知っている. 情報セキュリティ報告書モデルの存在を知っている. 情報セキュリティ報告書を見たことがある. ITIL が何かを知っている. ISO/IEC 20000 を知っている.
到達目標: 用語“情報セキュリティ文化”を知っている. 用語“従業者”が説明できる. 従業者教育の重要性を知っている. 情報倫理の重要性を知っている.
到達目標: 授業の進行の概要と,成績評価の方法を知っている.
ネットワーク社会の情報倫理(第6章 前編 {2} 後編)
第234条の二(電子計算機損壊等業務妨害),
第246条の二(電子計算機使用詐欺),
第161条の二(電磁的記録不正作出及び供用),
第163条の二〜五(支払用カード電磁的記録不正作出等,不正電磁的記録カード所持,支払用カード電磁的記録不正作出準備,未遂罪),
第168条の二,三(不正指令電磁的記録作成等),
第258条(公用文書等毀棄),第259条(私用文書等毀棄)
サイバー刑法
+
++(法務省)
補足
(2013-10-15)
著作権問題の解答: 一部だけを,出典を明記して 引用しているので,合法でしょう.
到達目標: 公用文において“及び・並びに / 又は・若しくは”の使い分けがあることを知っている. 情報セキュリティに関連する 4 つの法規の名称を示すことができ,それらの概要が説明でき,簡単な事例の違法性が判断できる. それら以外の法律を 2 つ以上挙げることができる. 日本における著作権の保護期間を具体例を用いて正確に示すことができる. OSS のライセンス方式と内容について,基本的な事項(共通部分+α)を理解している.
どの能動体 (subject) から,どの受動体 (object) への,
どのアクセス(読み/書き/実行)が許可されているか.+
FFFTP によるファイル属性の変更の実習.
{5}
{6'}
到達目標: 物理的なアクセス制御方式の代表例を知っている. アクセス制御行列の概念が説明できる. アクセス制御リストの方式と機能が説明できる. 用語“ファイルパーミッション”を知っている. アクセス制御の 3 手法(強制,任意,ロールベース)が説明できる.
13.4.4 暗号技術を使ってできること(再掲: 概要)
到達目標: 世界の諜報機関の現状の概要を知っている. 暗号の定義を知っている. 暗号系の基本的な用語が説明できる. 暗号解読の 3 段階の状況が説明できる. 暗号解読の成功を秘匿した例をいくつか知っている. 暗号技術を使って実現できることが 3 つ以上,例を挙げて説明できる.
13.3.0
共通鍵暗号
13.3.1
換え字式暗号
(1) 単換え字式暗号:
{7}
{8'}
“踊る人形”の解読;
Q14〜Q16, Q19
{8}
{9'}
(2) 多表式暗号 =
複数の単換え字式暗号を周期的に用いる.
機械式暗号 (パープル暗号)
(3) ビット単位の多表式暗号 → バーナム暗号
13.3.2 転置式暗号
(アナグラム)
{9}
{10'}
13.3.3 暗号解読
(0) 鍵の総数
(1) 単換え字式暗号の解読(文字頻度)
(2) 多表式暗号の解読(周期)
(3) 転置式暗号の解読(連接確率)日本における漢字
(4) 解読不可能な暗号,実例
(5) 暗号解読技術の利用 (ロゼッタ・ストーンの解読, +, -)
外国語
{10}
{11'}
13.3.4 ブロック暗号(+)
の利用モード(動画, 図)
と ストリーム暗号
[線形帰還シフトレジスタ(LFSR) +]
13.3.5 AES (Rijndael) … 現代的な共通鍵暗号
[13章前半のノート]
+
{12'}
到達目標: 共通鍵暗号系の概念が説明できる. 単換え字式暗号が,例を挙げて説明できる. 多表式暗号を知っている. 転置式暗号が,例を挙げて説明できる. 具体的な古典的暗号を,(1)単換え字式暗号,(2)多表式暗号,(3)転置式暗号 に分類することができる. (1) と (3) とブロック暗号に属する各暗号方式の鍵の総数が示せる. (1), (2), (3) の暗号化と復号のしかた,および解読のしかたを知っている. 解読不可能な暗号が,例を挙げて説明できる. ブロック暗号の利用モードのうち,ECB, CBC, OFB を知っている. AES の外部仕様が説明できる.
13.4.0 公開鍵暗号
{11}
13.4.1 剰余演算(べき乗剰余,フェルマーの小定理)
13.4.2 RSA方式
(べき乗算の高速化)+
{12}
{13'}
13.4.3 認証:
(署名と花押,歴代首相の花押),
電子署名,印鑑証明と電子署名,+
署名つきの暗号文
13.4.4 暗号技術を使ってできること(概要 5.)
{13}
13.4.5 ハッシュ関数
[13.4 のノート]
+
{14'}
到達目標: 公開鍵暗号系の概念が説明できる. 剰余演算での加算と乗算と累乗ができる. RSA 方式の概要が説明できる. 公開鍵認証系の概念が説明でき,何が実現できるかが示せる. 秘匿と認証において,誰のどの鍵を使うかが区別できる. 署名つきの暗号文の作り方を知っている. 暗号技術を使ってできることの例をいくつか知っている. ハッシュ関数の概要を知っている. 一方向性関数の概念を知っている. 量子暗号を知っている.
到達目標: 暗号プロトコルのいくつかを知っている. チャレンジ応答プロトコルの目的と概要を知っている. 電子マネーの概要を知っている. TLS の概要を知っている.
到達目標: 公開鍵基盤の概要を知っている. 認証局の機能が説明できる. 情報セキュリティ・サービスのいくつかを知っている.
JIS X 5070 (ISO/IEC 15408) 規格群“セキュリティ技術 ― 情報技術セキュリティの評価基準”
JIS漢字符号(日本における漢字),
国際符号化文字集合 (UCS)
高校生向けの模擬授業
ひとつ戻る | |
西村和夫のページ に戻る | |
2013 | 昨年度のページ |