トップ　城の科学　陰暦　異表記外来語　チェス　和錠　中国紀行　インド紀行　しごと　便利帳　リンク

トップ > しごと > 情報セキュリティ

情報セキュリティ A/B YeStudy(水2)

　駒澤大学経営学部（市略 2 選必／営A 234 選） 2014 年度

2014 年度は在外研究をするので，授業は小松文子先生が代講しています．

例年の講師：西村和夫

この授業では，大学の eラーニングシステム YeStudy を使って出席を取ったり，講師からの連絡をしたりします．携帯などに Gmail 画面右上のギアからメールの転送設定もしておくことを奨めます．

授業で用いる資料

参照先の方々に：利用させていただきありがとうございます．皆で似たような教材を作らず互いに利用しようというのが，教材についての私のポリシーです．私は，Wikipedia に書くことなどで貢献しているつもりです．私が作った教材でお役に立つものがあれば，自由にリンクなさってください．

↓別ページが開く．オンライン百科事典 Wikipedia の参照が多い．

情報セキュリティ A

0. ガイダンス

0.0 履修順序（戦略デザインコース）

0.1 この Web ページへのたどり着き方

0.2 何を学ぶか

情報セキュリティの必要性
どんな脅威やインシデントが起きているか
どのようにして防ぐか：組織の対策など

0.3 情報セキュリティ A の目標

情報セキュリティにおけるリスク，脅威について説明できる。
情報セキュリティの CIA が説明できる。
近年発生している情報セキュリティ事故（インシデント）を知っていて，組織・個人としてどのような対策が有効かが説明できる。
政策として，どのような機関が情報セキュリティの推進をしているかを知っている。

0.4 参考書

『情報セキュリティ白書』IPA, 2013, 2014（7月上旬出版予定）.
『情報セキュリティ読本』四訂版, IPA, 2013.

0.9 成績評価

試験： 60％
小テスト： 20％（ほぼ毎回アンケートやテストを行います）
平常点： 20％

0.6 情報セキュリティリテラシー +

0.6.1 最近の話題となった事件

0.6.2 簡単！やさしいセキュリティ教室（問題 4～6）

CAPTCHA, トークン.
14.3 SSL/TLS 　例：三井住友銀行にログイン．

到達目標： CAPTCHA の使用目的を知っている．ブラウザに鍵マークが現れた状態が何かを知っている．SSL/TLS の用途を知っている．信頼できない Web ページの見分け方を知っている．スパイウェアの挙動と感染経路を知っている．

0.6.3 事例と対策

システム障害

2007 全日空 (ANA) のシステム障害

情報の漏洩と紛失

国家間のサイバー戦争

興味のある人だけが読めばよい．

0.8 参考となる授業

興味のある人だけが読めばよい．

インターネットにおけるセキュリティ管理＋
情報セキュリティ 2013, 2012, 2011, 2010, 2009, 2008（村川先生/和歌山大学）

到達目標：個人情報漏洩事件事故の例を見たことがあり，頻度が高いことを知っている．

1. 情報

1.3 情報の資産価値：資産価値の評価

事例：評価サービス

到達目標：情報は資産の一つであり，資産価値があることを知っている．情報資産の例をいくつか挙げることができる．

2. 情報セキュリティ

2.0 セキュリティ

語源： secure (securely) → security ＝保安，保全． [2. ノート]

2.1 情報セキュリティの定義と用語

定義：情報セキュリティ … CIA を維持すること．

参考：コンピュータセキュリティ

用語：		リスク	脆弱性	脅威 +	インシデント	対抗策 +
例	住宅	火災	可燃物質	タバコ +	昨晩の火事	難燃物質, 禁煙
例	情報	漏洩	運搬	置き忘れ	先日の漏洩未遂	暗号化, 禁帯出

脆弱性：推測しやすいパスワード +；
メール発信者の偽装可 [メールヘッダ (header) の読み方]，管理者の盗視可．
脅威：災害，障害；漏洩，盗聴，なりすまし，否認，破壊，不正アクセス，マルウェア，改ざん，不正プログラムの埋込み，踏み台, 部内者の不正, DoS攻撃（ボットウイルス, サイバーテロ＋）．
- 情報セキュリティ 10 大脅威（2014年版）
インシデント：大学の学務情報システムを偽装したフィッシングサイト．
対抗策：暗号化，電子署名，生体認証，電子署名（質問応答型）．

2.2 機密性と可用性のトレードオフ

パスワードチェッカ： How Secure Is My Password?, (MSJ).
安全なパスワードの作り方 +, バックドア＋

迷惑メール拒否・携帯編

2.3 パスワードへの攻撃

総当たり攻撃 …… パスワードの候補数＝ (文字の種類数)^桁数
＝ブルート・フォース・アタック (Brute-force attack)
コンピュータによる解読時間
辞書攻撃
アカウントリスト攻撃
逆総当たり攻撃 +
2014 ANA と JAL の事例
レインボー攻撃（パスワードをハッシュ値に変換して保管している場合）

授業はここまで

2.4 リスク管理：リスクアセスメント, + ++ → リスク対応

対応方針：回避，低減（軽減），共有（転嫁，移転），保有（受容）, +
（リスク管理の用語： JIS Q 0073）
情報管理の手法：物理的統制，技術的統制，法的統制，人的統制

2.6 歴史：孫子 +, 国際規格化, 脆弱性の公開 +

FeliCa は安全か ― 脆弱性を見つけたらどうすべきか？ (FeliCa とは)

到達目標：リスク，脆弱性，脅威，インシデント，対抗策の定義を述べ，例を挙げて説明できる．情報セキュリティの３要素を挙げ，その内容が説明できる． DDoS 攻撃の概要が説明できる．ボットウイルスの概要を知っている．電子メールの脆弱性を知っている．機密性と可用性のトレードオフを知っている．リスク管理の流れが説明できる．リスク管理の要素の概要が説明できる．リスク対応の４方針が説明できる．情報管理の４手法を知っている．世界と日本の情報セキュリティの歴史の概略を知っている．脆弱性の公開についての経緯と現在の主流を知っている．

3. 危機管理における情報セキュリティ

詳細

3.0 速報（可用性と完全性）の重要性

災害：北海道南西沖地震, 阪神・淡路大震災, 東北地方太平洋沖地震

テロ：アメリカ同時多発テロ事件 (2001年 9.11)

対応：米国土安全保障省, 内閣安全保障室（内調）

3.1 危機管理：（予防 → 把握 → 評価 → 検討 → 発動 → 再評価）

9.11 での危機管理 +（通信途絶）, ヘリコプターの利用 +
危機状態では，拙速は巧遅に優る．
危機状態で，組織的な行動をするための要点：
　(1)有効な指揮統制 (2)異なった組織間の連動体制 + (3)明確な行動指針
　(*)権限の委譲

駒澤大学緊急連絡先（正門守衛室）： 03-3418-9021

防災用シャベル 10 本は，警備室脇の駐車場の奥にある“防災”と書かれたプレハブ倉庫にあります．（学校での災害時のトイレ対策, 駒沢公園の非常用トイレ +）

実践的な，非常用枕元＋携行＋備蓄品

6.3 事業継続計画 (BCP) +

到達目標：危機発生時における速報の重要性を知っている．日本での危機対応組織を知っている．危機管理の手順が説明できる．危機状態における即断・即実行の重要性を知っている．危機状態において組織的な行動をするための要点を知っている．

4. 組織の取組み

到達目標：国と民間の情報セキュリティに取り組んでいる組織の概要を知っている．情報セキュリティインシデントが発生したときの届け先を知っている．プライバシーマークの意味と，その取得のしかたを知っている．情報セキュリティマネジメントシステム (ISMS) の存在と，適合性評価制度のしくみを知っている．日付の表記の国際規格を知っている．国際標準化機構が発行した ISO/IEC 27000 シリーズを知っている．

5. プライバシー

5.0 盗聴： Street View

5.1 情報漏洩の現状：情報流出, 一覧,

2012 インシデント調査報告書 (2011, 2010, 2009, 2008, 2007)

5.2 法制化の起源： OECD プライバシー8原則（原文）, 個人情報

5.3 個人情報保護法＜ Safe Harbor 原則＜ EU指令 [5. ノート]
個人情報保護法の詳細については，情報セキュリティ B で講義する．

本人の同意：（オプトアウト +）Opt-out → Opt-in → Double opt-in
忘れられる権利

5.4 個人情報保護マネジメントシステム (PMS) JIS Q 15001, +

到達目標： “積極的プライバシー権”の定義が説明できる．情報漏洩事件・事故の多さを知っている． OECD のプライバシー 8 原則について，知見がある．個人情報保護法における“個人情報”の定義が説明できる．個人情報の所有者，提供者，利用者の違いを知っている．個人情報保護法と EU 指令の厳しさの違いを知っている．オプトアウト，オプトインについて，説明できる．個人情報保護マネジメントシステムと，プライバシーマーク，JIS Q 15001 の関係について説明できる．

6. 情報セキュリティポリシー (policy) Q14～Q16, Q19

6.1 最高情報セキュリティ責任者 (CISO), CIO, CSO

6.2 情報セキュリティポリシー（基本方針，対策基準），実施手順

ガイドライン（具体例）+ ++, PDCAサイクル
セキュリティポリシーの作成価格（製作費＝数百万円＜数億円の損失）

6.3 事業継続計画 (BCP) からの要請

BS 25999 (BCM), ISO/PAS 22399, +, ++

6.4 社会的責任 (SR) からの要請

到達目標： CISO が果たす役割が説明できる．情報セキュリティポリシーの構成と内容が説明できる．

ここは難しいので，注意して聴いてください（独習は困難でしょう）．

7. 情報セキュリティマネジメントシステム (ISMS) + ++

(1) ISO/IEC 27001 "ISMS - Requirements"

(2) ISO/IEC 27002 "Code of practice for information security management"

日本工業規格 ↓（翻訳）

(1') JIS Q 27001“ISMS ― 要求事項”（旧: ISMS認証基準）規格票

(2') JIS Q 27002“情報セキュリティマネジメントの実践のための規範”（旧: JIS X 5080）規格票

日本工業規格／管理システムの一覧

(3') JIS Q 13335-1“情報通信技術セキュリティのマネジメント ― 第1部：情報通信技術のセキュリティマネジメントのための概念及びモデル”

セキュリティ技術の一覧

(4') JIS X 5070-*“セキュリティ技術 ― 情報技術セキュリティの評価基準”

到達目標：情報セキュリティマネジメントシステムの概要が説明できる． PDCA の各過程で具体的に何をすべきかを知っている．各組織の ISMS と JIS Q 27001 との関係が説明できる．

8. 情報セキュリティ監査

試験範囲から除く

8.0 サイバー犯罪の特徴：多い，速い，遠い，気付かない，匿名性 +

犯罪＝犯意ある者 × 狙いやすい標的 × 監視者の不在
サイバー犯罪の現状 2012 上半期＋

8.1 背景：監査 +，コンプライアンス (comply) +
SOX法, 日本版SOX法

内部統制, コーポレート・ガバナンス (govern)
情報セキュリティガバナンス
 不作為の責任 → 説明責任 (accountability) [8. ノート]

8.3 情報セキュリティ監査：制度, 監査人

日本セキュリティ監査人協会 (JASA)
監査証拠，時系列の証拠＝監査証跡

8.4 コンピュータ・フォレンシクス.pdf + (forensics +)

文書→バックアップ，記録→アーカイブ
 文書管理システム, 記録管理システム, 電子メール, 踏み台

資料： [8. ノート]（担保）

到達目標：コンプライアンスとガバナンスが説明できる． SOX 法が生まれた背景を知っている．日本版 SOX 法の概略を知っている．内部統制の 4 つの目的と 6 つの基本的要素を知っている．コンピュータ・フォレンシクスの概要と三つの目的が説明できる．監査証拠と監査証跡について説明できる．文書と記録，バックアップとアーカイブの差が説明できる．

9. 情報セキュリティガバナンス

9.1 実際の組織の取組み

例：サイト利用規約, プライバシー・ポリシー +,
ISO 27001 認証取得大学 +, プライバシーマーク認定事業者;
日本版SOX法への対応, コンプライアンス事業

9.2 情報セキュリティガバナンス：情報セキュリティ報告書 -, R

9.3 ITIL → ISO/IEC 20000

到達目標：情報セキュリティガバナンスの定義を知っている．情報セキュリティ報告書の作成が推奨されていることを知っている．情報セキュリティ報告書モデルの存在を知っている．情報セキュリティ報告書を見たことがある． ITIL が何かを知っている． ISO/IEC 20000 を知っている．

10. 情報セキュリティ文化

10.1 従業者教育の必要性： PPT 現状 分析と提言 (メル訓)

10.2 情報倫理：著作権侵害事件

到達目標：用語“情報セキュリティ文化”を知っている．用語“従業者”が説明できる．従業者教育の重要性を知っている．情報倫理の重要性を知っている．

事後知識アンケート → 結果

後記

情報セキュリティ B

B0. ガイダンス

B0.0 履修順序（戦略デザインコース）

B0.1 自己紹介；この Web ページへのたどり着き方

B0.2 過去の授業評価，サンプル問題，持込み

B0.3 情報セキュリティスペシャリスト試験, 過去問題

B0.4 シラバスの説明（成績評価の方法），参考図書の紹介

B0.5 成績発表の方法，抜き打ちテスト

B0.6 暗号技術の重要性（投票，電子署名法）

B0.7 情報セキュリティ基盤 [0.7 ノート]（東大佐藤周行先生）

B0.8 知識アンケート（YeStudyによる） {1} {1'}

到達目標：授業の進行の概要と，成績評価の方法を知っている．

11. 法律による保護

11.0 条文の読み方：及び・並びに／又は・若しくは, +
法律におけるＩＴ用語（後半）／（前半）
成文法と権利の導入：江戸時代の協調 → 現代の自己主張，自己負罪拒否特権

11.1 情報セキュリティに関する国内法規（総覧）, {2'} +, 未遂

ネットワーク社会の情報倫理（第6章前編 {2} 後編）

11.2 刑法（全文） {3'}

第234条の二（電子計算機損壊等業務妨害），第246条の二（電子計算機使用詐欺），第161条の二（電磁的記録不正作出及び供用）, 第163条の二～五（支払用カード電磁的記録不正作出等，不正電磁的記録カード所持，支払用カード電磁的記録不正作出準備，未遂罪），第168条の二，三（不正指令電磁的記録作成等），第258条（公用文書等毀棄），第259条（私用文書等毀棄）
サイバー刑法＋ ++（法務省）

11.3 不正アクセス禁止法

11.4 個人情報保護法

11.5 著作権法（全文, {3} 学校での複製, 保護期間）, 問題, {4'} 改正著作権法

11.6 その他関連する主な法律（電波法など＋事例）

11.7 オープンソース｛ソフトウェア，ライセンス｝, GFDL, {5'} 比較 +

補足 (2013-10-15)

著作権問題の解答：一部だけを，出典を明記して引用しているので，合法でしょう．

到達目標：公用文において“及び・並びに／又は・若しくは”の使い分けがあることを知っている．情報セキュリティに関連する 4 つの法規の名称を示すことができ，それらの概要が説明でき，簡単な事例の違法性が判断できる．それら以外の法律を 2 つ以上挙げることができる．日本における著作権の保護期間を具体例を用いて正確に示すことができる． OSS のライセンス方式と内容について，基本的な事項（共通部分＋α）を理解している．

12. アクセス制御（access, 物理的，コンピュータ，ネットワーク）

12.1 物理的：警備員，ID カード, 虹彩認識 + {4}

12.2 アクセス制御行列（アクセス制御リスト, +, パーミッション -）

どの能動体 (subject) から，どの受動体 (object) への，
どのアクセス（読み／書き／実行）が許可されているか．+

FFFTP によるファイル属性の変更の実習． {5} {6'}

到達目標：物理的なアクセス制御方式の代表例を知っている．アクセス制御行列の概念が説明できる．アクセス制御リストの方式と機能が説明できる．用語“ファイルパーミッション”を知っている．アクセス制御の 3 手法（強制，任意，ロールベース）が説明できる．

13. 暗号 - 概要

13.0 情報機関 (intelligence)： HUMINT, SIGINT (Echelon, PRISM) {6}
米 NSA が各国首相や一般市民の通信を盗聴 +

13.1 暗号の価値：解読事実の秘匿 {7'}

13.2 暗号とは：暗号理論，暗号系と用語（クリプトン）

13.4.4 暗号技術を使ってできること（再掲: 概要）

到達目標：世界の諜報機関の現状の概要を知っている．暗号の定義を知っている．暗号系の基本的な用語が説明できる．暗号解読の 3 段階の状況が説明できる．暗号解読の成功を秘匿した例をいくつか知っている．暗号技術を使って実現できることが 3 つ以上，例を挙げて説明できる．

13.3 共通鍵暗号

13.3.0 共通鍵暗号
13.3.1 換え字式暗号
　(1) 単換え字式暗号： {7} {8'} “踊る人形”の解読; Q14～Q16, Q19 {8} {9'}
　(2) 多表式暗号＝複数の単換え字式暗号を周期的に用いる．
　　　　機械式暗号（パープル暗号）
　(3) ビット単位の多表式暗号 → バーナム暗号
13.3.2 転置式暗号（アナグラム） {9} {10'}
13.3.3 暗号解読
　(0) 鍵の総数
　(1) 単換え字式暗号の解読（文字頻度）
　(2) 多表式暗号の解読（周期）
　(3) 転置式暗号の解読（連接確率）日本における漢字
　(4) 解読不可能な暗号，実例
　(5) 暗号解読技術の利用（ロゼッタ・ストーンの解読, +, -）外国語 {10} {11'}
13.3.4 ブロック暗号(+) の利用モード（動画, 図）とストリーム暗号
　　　　[線形帰還シフトレジスタ(LFSR) +]
13.3.5 AES (Rijndael) … 現代的な共通鍵暗号 [13章前半のノート] + {12'}

到達目標：共通鍵暗号系の概念が説明できる．単換え字式暗号が，例を挙げて説明できる．多表式暗号を知っている．転置式暗号が，例を挙げて説明できる．具体的な古典的暗号を，(1)単換え字式暗号，(2)多表式暗号，(3)転置式暗号に分類することができる． (1) と (3) とブロック暗号に属する各暗号方式の鍵の総数が示せる． (1), (2), (3) の暗号化と復号のしかた，および解読のしかたを知っている．解読不可能な暗号が，例を挙げて説明できる．ブロック暗号の利用モードのうち，ECB, CBC, OFB を知っている． AES の外部仕様が説明できる．

13.4 公開鍵暗号

13.4.0 公開鍵暗号 {11}
13.4.1 剰余演算（べき乗剰余，フェルマーの小定理）
13.4.2 RSA方式（べき乗算の高速化）+ {12} {13'}
13.4.3 認証：（署名と花押，歴代首相の花押），
　　　電子署名，印鑑証明と電子署名，+ 署名つきの暗号文
13.4.4 暗号技術を使ってできること（概要 5.） {13}
13.4.5 ハッシュ関数
[13.4 のノート] + {14'}

13.5 一方向性関数

13.6 量子暗号

知識アンケート

到達目標：公開鍵暗号系の概念が説明できる．剰余演算での加算と乗算と累乗ができる． RSA 方式の概要が説明できる．公開鍵認証系の概念が説明でき，何が実現できるかが示せる．秘匿と認証において，誰のどの鍵を使うかが区別できる．署名つきの暗号文の作り方を知っている．暗号技術を使ってできることの例をいくつか知っている．ハッシュ関数の概要を知っている．一方向性関数の概念を知っている．量子暗号を知っている．

14. 暗号プロトコル

14.1 チャレンジ応答プロトコル

14.2 電子マネー

14.3 SSL/TLS {14}

到達目標：暗号プロトコルのいくつかを知っている．チャレンジ応答プロトコルの目的と概要を知っている．電子マネーの概要を知っている． TLS の概要を知っている．

15. 情報セキュリティ基盤

15.1 公開鍵基盤 (PKI), 認証局 (CA), +

15.2 情報セキュリティ・サービス

到達目標：公開鍵基盤の概要を知っている．認証局の機能が説明できる．情報セキュリティ・サービスのいくつかを知っている．

α. 情報セキュリティ評価基準 (Common Criteria)

JIS X 5070 (ISO/IEC 15408) 規格群“セキュリティ技術 ― 情報技術セキュリティの評価基準”

α.1 認証製品リスト, +

β. 符号

β.1 符号：データコード，モールス符号，Ｇコード

β.2 文字符号： ASCII→ISO 646→JIS X 0201，

JIS漢字符号（日本における漢字），国際符号化文字集合 (UCS)

β.3 誤り耐性：検査数字 (チェックディジット＝CD, ISBN)，

ハミング距離，誤り検出訂正

γ. その他

γ.1 ２進法：位取り記数法，２進法，ビット

γ.2 標本化定理，ビット速度，データ圧縮

高校生向けの模擬授業

成績発表

（学内向け）暗号化した成績の発表
掲載： 2014年2月4日

	ひとつ戻る
	西村和夫のページに戻る
2013	昨年度のページ

NISHIMURA, Kazuo　nishimura@komazawa-u.ac.jp