トップ 城の科学 陰暦 異表記外来語 チェス 和錠 中国紀行 ベトナム紀行 インド紀行 しごと 便利帳 リンク
トップ > しごと > 情報セキュリティ > 今日の授業2021 年度 ← | → 2023 年度 |
この授業では,大学の eラーニングシステム YeStudy を使って出席を確認したり,講師からの連絡をしたりします. スマフォに gmail アプリ をインストールしておくことを強く奨めます.
授業中は,ほかの人の迷惑にならない限り,何をしても構わない というのが私の受講者に対するポリシーです.
質問は YeStudy の Q&A で受け付けます.
予習として各項目を眺め,到達目標を読んでおくことを勧めます({回数} は今年度,{回数'} は前年度,{回数''} は前々年度の授業進度例です).欠席した場合にも,リンク先を読めば補えるでしょう.ただし,文章量が多いので,試験直前に全部を読むのは無理でしょう.授業中に,どこが重要か,どこに誤りがあるかを話します.
参照先の方々に: 利用させていただきありがとうございます.皆で似たような教材を作らず互いに利用しようというのが,教材についての私のポリシーです.私は,Wikipedia に書くことなどで貢献しているつもりです.私が作った教材でお役に立つものがあれば,自由にリンクなさってください.
Wikipedia 参照の適切性: 下記のリンク先には次第に Wikipedia の記事が多くなってきています.授業における Wikipedia 利用の適切性 を Wikipedia 上に書きました.
↓ 別ページが開く.
この色の枠の部分 の講義は簡単にしますが,試験範囲には入ります.きちんと自習してください.
到達目標: サンプル問題を見たことがあり,似た問題が出ることを知っている.情報処理技術者試験のどの分野の問題を参考にすればよいかを知っている. 授業の進行の概要と,成績評価の方法を知っている. 駒澤大学の学生データに対する教員の参照可能性を知っている.
到達目標: 電子署名法があることを知っている. 信頼できるメールの確認方法を知っている. 電子署名つきメールの確認要件3点が言える. ブラウザに鍵マークが現れた状態が何かを知っている.SSL/TLS の用途を知っている. 信頼できない Web ページの見分け方を知っている. フィッシングが説明できる. スパイウェアの挙動と感染経路を知っている.
興味のある人だけが読めばよい.
反転授業: 安心して対話するためのグランドルール
YeStudy のフォーラムでの議論(反転授業) {2} {2'} {2''}
到達目標: 個人情報漏洩事件・事故の例を見たことがあり,頻度の概数を知っている. 個人情報漏洩事件・事故の主要な原因を知っている. DDoS 攻撃の概要を知っている.
語源:
secure (securely) →
security =
保安,保全.
[2. ノート].pdf
定義:
情報セキュリティ
… CIA の維持.
参考(比較):
コンピュータセキュリティ,
ネットワークセキュリティ
用語 + | リスク | 脆弱性 | 脅威 | インシデント | 対抗策 | |
例 | 住宅 | 火災 | 可燃物質 | タバコ + | 昨晩の火事 | 難燃物質, 禁煙 |
情報 | 漏洩 | 運搬 | 置き忘れ | 先日の漏洩未遂 | 暗号化, 禁帯出 |
課題
の一部:用語の説明 (課題授業)
=
到達目標: 情報は資産の一つであり,資産価値があることを知っている. 情報資産の例をいくつか挙げることができる. リスク,脆弱性,脅威,インシデント,対抗策の定義を述べ,例を挙げて説明できる. 情報セキュリティの3要素を挙げ,その内容が説明できる. DDoS 攻撃の概要が説明できる. ボットウイルスの概要を知っている. 電子メールの脆弱性を知っている.
機密性(C) と可用性(A) とが相反する例:
リスクアセスメント
+
++
特定 → 分析 → 評価 |
→ | リスク対応 |
情報セキュリティマネジメントシステム ISMS(7. で詳述)の
国際規格化
{4'}
{4''}
脆弱性情報データベース,
ゼロデイ攻撃,
Bugtraq
FeliCa は安全か — 脆弱性を見つけたらどうすべきか?
(脆弱性は公開すべきか(議論)
グループの割当て
→ 座席表
+
{5'}
{5''}
到達目標: 機密性と可用性のトレードオフを知っている. CAPTCHA の使用目的を知っている. パスワードに対する攻撃手法の概要を知っている. リスク管理の流れが説明できる. リスク管理の要素の概要が説明できる. リスク対応の4方針が説明できる. 情報管理の4手法を知っている. 世界と日本の情報セキュリティの歴史の概略を知っている. 脆弱性の公開についての経緯と現在の主流を知っている.
準備: 実践的な,非常用 枕元+携行+備蓄品
緊急連絡先(正門守衛室): 03-3418-9021
災害時用シャベル 7 本は,
警備室脇の駐車場の奥にある“防災”と書かれたプレハブ倉庫
→ 記念講堂の地下
→
緑の丘1階(第2研究館 寄り)
にあります.(学校での災害時のトイレ対策,
駒沢公園の非常用トイレ
+)
{6'}
{6''}
到達目標: 多人数が集まるときにまず用意すべきことを知っている. 冠婚葬祭の中で日頃の準備が必要なものを知っている. 危機発生時における速報の重要性を知っている. 危機管理の3段階が説明できる. 危機状態における即断・即実行の重要性を知っている. また,そのための要点が言える. 危機状態において組織的な行動をするための要点が言える. 非常用の枕元と携行の備品が説明できる.
2003
国民のための情報セキュリティサイト(総務省),
2003
@police(警視庁),
2005
内閣サイバーセキュリティセンター (NISC)
1996
JPCERT/CC ∈
CSIRT
1998
プライバシーマーク制度(JIPDEC)
2002
ISMS 適合性評価制度(情報マネジメントシステム認定センター ISMS-AC)
2005
企業の情報セキュリティのあり方に関する提言(経団連)
− 情報セキュリティマネジメントシステム (ISMS) {7'}
国際規格の戦略的な利用.pdf,
EUの国際規格化戦略
{7''}
到達目標: 国と民間の情報セキュリティに取り組んでいる組織の概要を知っている. 情報セキュリティインシデントが発生したときの届け先を知っている. プライバシーマークの意味と,その取得のしかたを知っている. 情報セキュリティマネジメントシステム (ISMS) の存在と,適合性評価制度のしくみを知っている. 日付の表記の国際規格を知っている. 国際標準化機構が発行した ISO/IEC 27000 シリーズを知っている.
2018 JNSA インシデント調査報告書 (2017, 16, 15, 14, 13, 12, 11, 10, 09, 08, 07)
本人の同意:(オプトアウト)
Opt-out
< Opt-in
忘れられる権利(消去権)
… スマイリーキクチ中傷被害事件
積極的プライバシー権
PMS, JIS Q 15001, JIPDEC, Pマーク の 関係 {8'} {8''}
対象 | 管理システム | 認証基準 | 認定機関 | 使用許諾 |
個人情報 | PMS | JIS Q 15001 | JIPDEC | P マーク |
情報セキュリティ | ISMS | ISO/IEC 27001 (= JIS Q 27001) | ISMS-AC | IMS 認定シンボル |
到達目標: “積極的プライバシー権”の定義が説明できる. 情報漏洩事件・事故の多さを知っている. OECD のプライバシー 8 原則について,知見がある. 個人情報保護法における“個人情報”の定義が説明できる. 個人情報保護法,EU-US プライバシーシールド,EU 指令 の厳しさの違いを知っている. オプトアウト,オプトインについて,説明できる. 個人情報保護マネジメントシステムと,JIS Q 15001,プライバシーマーク の関係について説明できる.
ガイドライン(具体例)+
++,
PDCAサイクル
セキュリティポリシーの作成価格
(製作費=数百万円 < 数億円の損失)
ISO 22301 (BCMS) → JIS Q 22301(規格票) + +, ++ {9'} {9''}
到達目標: CISO が果たす役割が説明できる. 情報セキュリティポリシーの構成と内容が説明できる. 社会的責任 (SR) の概要と,関連する ISO を知っている. 事業継続マネジメント (BCM) と事業継続計画 (BCP),および関連する ISO を知っている.
概要.pdf(『情報セキュリティ対策ベンチマーク活用集』IPA, 2005, 付録2, p. 91 = 8 / 34):
P 確立(図付2.2) → D 導入・運用(図付2.6) → C 監視・レビュー(図付2.7) → A 維持・改善(図付2.8) → PDCA...
国際的な ISMS の認証基準
(0) ISO/IEC 27000 "Information security management systems — Overview and vocabulary"
(1) ISO/IEC 27001 "Information security management systems — Requirements"
(2) ISO/IEC 27002 "Code of practice for information security controls"
(3) ISO/IEC 27006 "Requirements for bodies providing audit and certification of information security management systems"
日本での ISMS の認証基準
日本産業規格 ↓(翻訳)
(0') JIS Q 27000 “情報セキュリティマネジメントシステム — 用語”
(規格票)
(1') JIS Q 27001 “情報セキュリティマネジメントシステム — 要求事項”
(規格票)
(2') JIS Q 27002 “情報セキュリティ管理策の実践のための規範” (規格票)
(3') JIS Q 27006 “情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項”
(規格票)
(*) 用語 “力量 (competence)”: 意図した結果を達成するために,知識及び技能を適用する能力.(JIS Q 27000, 3.9) {10'} {10''}
(3') JIS Q 13335-1 “情報通信技術セキュリティのマネジメント — 第1部:情報通信技術のセキュリティマネジメントのための概念及びモデル”
(4') JIS X 5070-1 “セキュリティ技術 — 情報技術セキュリティの評価基準”
到達目標: 情報セキュリティマネジメントシステムの概要が説明できる. PDCA の各過程で具体的に何をすべきかを知っている. 各組織の ISMS と JIS Q 27001 との関係が説明できる.
犯罪 = 犯意ある者 × 狙いやすい標的 × 監視者の不在
サイバー犯罪の現状 2021.pdf,
+
内部統制,
コーポレート・ガバナンス
(govern)
→ 情報セキュリティガバナンス (9.)
不作為の責任 → 説明責任
(accountability)
[8. ノート].pdf
日本セキュリティ監査人協会 (JASA)
監査証拠,時系列の証拠 = 監査証跡
文書 → バックアップ,記録 → アーカイブ
文書管理システム,
記録管理システム
+,
踏み台
資料: [8. ノート].pdf (担保する) {11'} {10''}
到達目標: 監査証拠と監査証跡について説明できる. コンピュータ・フォレンシクスの概要が説明できる. ログ取得の三つの目的が説明できる. 文書と記録,バックアップとアーカイブの差が説明できる.
例: サイト利用規約,
プライバシー・ポリシー
(駒大:
+
+)
ISO 27001 認証取得大学,
プライバシーマーク付与事業者;
情報セキュリティ格付;
到達目標: 情報セキュリティガバナンスの定義を知っている. 情報セキュリティ報告書の作成が推奨されていたことを知っている. 情報セキュリティ報告書モデルの存在を知っている. 情報セキュリティ報告書を見たことがある.
到達目標: 用語“情報セキュリティ文化”を知っている. 用語“従業者”が説明できる. 従業者教育の重要性を知っている. 情報倫理の重要性を知っている.
到達目標: ASCII, ISO 646, JIS X 0201 の関係と差異を知っている. JIS X 0208 と UNICODE, UCS との関係を知っている. 不等長符号があることを知っていて,例が挙げられる. チェックディジットの概要が説明できる. 誤り検出符号と誤り訂正符号の概要が説明できる.
この色の枠の部分 の講義は簡単にしますが,試験範囲には入ります.きちんと自習してください.
IoT セキュリティ
(吉岡「… IoT の衝撃的現状…」 −)
IT業界常識クイズ2021夏(セキュリティほか:
問題 3, 4, 8, 10)
{1}
{1''}
到達目標: 授業の進行の概要と,成績評価の方法を知っている.
成文法と権利の導入:(江戸時代)利他的な行動による協調 →(現代)自己の権利の主張,自己負罪拒否特権(憲法38条)
ネットワーク社会の情報倫理(第6章 前編.ppt
後編.ppt)
コンピュータ犯罪の概要 (古い)
第234条の二(電子計算機損壊等業務妨害),
第246条の二(電子計算機使用詐欺),
第161条の二(電磁的記録 不正作出及び供用),
第163条の二〜五(支払用カード電磁的記録不正作出等,不正電磁的記録カード所持,支払用カード電磁的記録不正作出準備,未遂罪),
第168条の二,三(不正指令電磁的記録作成等)
+,
第258条(公用文書等毀棄),第259条(私用文書等毀棄)
サイバー刑法
+
−
オープンソースソフトウェアのライセンス: GFDL, 比較 + {2''}
到達目標: 公用文において“及び・並びに / 又は・若しくは”の使い分けがあることを知っている. 情報セキュリティに関連する主要な 4 つの法規の名称を示すことができ,それらの概要が説明でき,簡単な事例の違法性が判断できる. それら以外の法律を 2 つ以上挙げることができる. 日本における著作権の保護期間を具体例を用いて正確に示すことができる. OSS のライセンス方式と内容について,基本的な事項(共通部分+α)を理解している.
判 定 | 備 考 | |||
受入 | 拒否 | |||
被 験 者 |
本人 | ○ | 本人拒否率 (第1種の誤り) |
本人拒否率 = FRR (False Rejection Rate) |
他人 | 他人受入率 (第2種の誤り) |
○ | 他人受入率
+
= FAR (False Acceptance Rate) |
本人拒否率 と 他人受入率 をともにゼロにすることはできない. (類似: 抜取り検査)
どの能動体 (subject) から,どの受動体 (object) への,
どのアクセス(読み/書き/実行)が許可されているか.
アクセス制御リスト, +, パーミッション −, + {3'} {3''}
ファイル属性の変更の実習(FFFTP による).
実習用ページ(学内用)
{4'}
{4''}
到達目標: 物理的なアクセス制御方式の代表例を知っている. アクセス制御行列の概念が説明できる. アクセス制御リストの方式と機能が説明できる. 用語“ファイルパーミッション”を知っている. アクセス制御の 3 方式(任意,強制,ロールベース)が説明できる.
13.4.4 暗号技術を使ってできること(再掲: 概要 5.) {6} {5''}
到達目標: 世界の諜報機関の現状の概要を知っている. 暗号の定義を知っている. 暗号系の基本的な用語が説明できる. 暗号解読の 3 段階の状況が説明できる. 暗号解読の成功を秘匿した例をいくつか知っている. 暗号技術を使って実現できることが 3 つ以上,例を挙げて説明できる.
13.3.0
共通鍵暗号
暗号を用いている小説
13.3.1
換え字式暗号
{6''}
(1) 単換え字式暗号:
“踊る人形”の解読
("The Cuckoo"
♪).
{7}
{7'}
{7''}
{8''}
(2) 多表式暗号 ≒ 複数の単換え字式暗号を周期的に用いる.
ビジュネル暗号,
機械式暗号
(パープル暗号)
(3) ビット単位の多表式暗号 → バーナム暗号
+
(4) 綴り字換え字式暗号 → Playfair 暗号
13.3.2 転置式暗号
(← 導入: アナグラム),
置換による表記
{8'}
{9''}
13.3.3 暗号解読
(0) 鍵の総数: 階乗
n !
, 2n
( n !
> 2n
)
(1) 単換え字式暗号の解読(文字頻度)
(2) 多表式暗号の解読(周期)
(3) 転置式暗号の解読(連接確率)日本における漢字
(4) 解読不可能な暗号,実例
(5) 暗号解読技術の利用 (ロゼッタ・ストーンの解読, +, −)
外国語
13.3.4 ブロック暗号
利用モード
(動画 0:39 ECB - 2:11 CBC - 4:01)
ストリーム暗号
(線形帰還シフトレジスタ LFSR +)
13.3.5 AES (Rijndael) … 現代的な共通鍵暗号
[13章前半のノート].pdf
+
{9'}
{10''}
到達目標: 共通鍵暗号系の概念が説明できる. 単換え字式暗号が,例を挙げて説明できる. 多表式暗号を知っている. 転置式暗号が,例を挙げて説明できる. 具体的な古典的暗号を,(1)単換え字式暗号,(2)多表式暗号,(3)転置式暗号 に分類することができる. (1) と (3) とブロック暗号に属する各暗号方式の鍵の総数が示せる. (1), (2), (3) の暗号化と復号のしかた,および解読のしかたを知っている. ビット演算 XOR(ビットごとの排他的論理和)ができる. 解読不可能な暗号が,例を挙げて説明できる. ブロック暗号の利用モードのうち,ECB, CBC, OFB を知っている. AES の外部仕様(データと鍵のビット数)が説明できる.
原論文:
Frank Arute, Kunal Arya, […] John M. Martinis, "Quantum supremacy using a programmable superconducting processor," Nature, vol. 574, pp. 505–510 (2019).
専門家の意見.
13.4.0
公開鍵暗号
+
公開鍵と秘密鍵との使い分け
鍵の必要数
13.4.1
剰余演算
{10'}
{11''}
べき剰余,フェルマーの小定理
13.4.2
RSA方式
{8}
{11'}
{12''}
(べき乗算の高速化)+
13.4.3 認証 (Authentication):
(署名と花押,歴代首相の花押),
電子署名,印鑑証明と電子署名,+
署名つきの暗号文.ppt
13.4.4 暗号技術を使ってできること(概要 5.)
13.4.5 ハッシュ関数
[13.4 のノート].pdf
情報処理技術者試験での出題
{12'}
{13''}
到達目標:
公開鍵暗号系の概念が説明できる.
剰余演算での加算と乗算と累乗ができる.
RSA 方式の概n要が説明できる.
公開鍵認証系の概念が説明でき,何が実現できるかが示せる.
秘匿と認証において,誰のどの鍵を使うかが区別できる.
署名つきの暗号文の作り方を知っている.
暗号技術を使ってできることの例をいくつか知っている.
ハッシュ関数の概要を知っている.
一方向性関数の概念を知っている.
量子暗号を知っている.
到達目標: 暗号プロトコルのいくつかを知っている. チャレンジ応答プロトコルの目的と概要を知っている. デジタル通貨の概要を知っている. TLS の概要を知っている.
到達目標: 公開鍵基盤の概要を知っている. 認証局の機能が説明できる. 情報セキュリティサービスのいくつかを知っている.
到達目標: 情報セキュリティ評価基準の概要を知っている. Common Criteria という単語を憶えている.
ひとつ戻る | |
西村和夫のページ に行く | |
2021 | 昨年度のページ |