トップ  城の科学  陰暦  異表記外来語  チェス  和錠  中国紀行  インド紀行  しごと  便利帳  リンク

トップ > しごと > 情報セキュリティ

情報セキュリティ A/B YeStudy

+ 今日の授業

 駒澤大学 経営学部(市略 2 選必) 2016 年度
講師: 西村和夫

この授業では,大学の eラーニングシステム YeStudy を使って出席を取ったり,講師からの連絡をしたりします. 携帯などに Gmail 画面右上のギアからメールの転送設定 もしておくことを奨めます.

授業中は,ほかの人の迷惑にならない限り,何をしても構わない というのが私の受講者に対するポリシーです.

質問の メール を受け付けます.ただし,試験直前に多数のメールがきた場合,応答できない可能性があります. オフィスアワー以外の時間に会って質問したい学生諸君も,まず メール などで予約してください.(講師の 時間割

講義内容 A / 講義内容 B

授業では,文字の大きさを 150〜200% に拡大して提示しています.

授業で用いる資料

予習として各項目を眺め,到達目標を読んでおくことを勧めます({回数} は過去の授業進度例です).欠席した場合にも,リンク先を読めば補えるでしょう.ただし,文章量が多いので,試験直前に全部を読むのは無理でしょう.授業中に,どこが重要か,どこに誤りがあるかを話します.

参照先の方々に: 利用させていただきありがとうございます.皆で似たような教材を作らず互いに利用しようというのが,教材についての私のポリシーです.私は,Wikipedia に書くことなどで貢献しているつもりです.私が作った教材でお役に立つものがあれば,自由にリンクなさってください.

Wikipedia 参照の適切性: 下記のリンク先には次第に Wikipedia の記事が多くなってきています.授業における Wikipedia 利用の適切性 を Wikipedia 上に書きました.

別ページが開く.

情報セキュリティ A

この色の枠の部分 の講義は簡単にしますが,試験範囲には入ります.きちんと自習してください.

0. ガイダンス

0.0 履修順序(戦略デザインコース) +

0.1 この Web ページへのたどり着き方

0.2 過去の授業評価 サンプル問題, 持込み

0.3 何を学ぶか

0.4 情報セキュリティ A の目標

0.5 参考書

0.6 情報セキュリティマネジメント試験, 試験区分, 過去問題

0.7 シラバスの説明,成績評価の方法

0.8 成績発表の方法 抜き打ちテスト {1} {1'} {1''}

0.9 なぜ昼食後に眠くなるのか

到達目標: サンプル問題を見たことがあり,似た問題が出ることを知っている.情報処理技術者試験のどの分野の問題を参考にすればよいかを知っている. 授業の進行の概要と,成績評価の方法を知っている. 駒澤大学の学生データに対する教員の参照可能性を知っている.

1. 情報セキュリティリテラシー +

1.1 最近の話題となった事件

1.2 簡単!やさしいセキュリティ教室(問題 4〜6) {2}

14.3 SSL/TLS  例: 三井住友銀行 にログイン. {2'} {2''}

到達目標: ブラウザに鍵マークが現れた状態が何かを知っている.SSL/TLS の用途を知っている. 信頼できない Web ページの見分け方を知っている. フィッシングが説明できる. スパイウェアの挙動と感染経路を知っている.

1.3 事例と対策

ランサムウェア(身代金要求)の流行

システム障害

情報の漏洩と紛失

国家間のサイバー戦争

興味のある人だけが読めばよい.

1.4 事前知識アンケートYeStudy

1.5 参考となる授業

興味のある人だけが読めばよい.

到達目標: 個人情報漏洩事件・事故の例を見たことがあり,頻度の概数を知っている. 個人情報漏洩事件・事故の主要な原因を知っている. DDoS 攻撃の概要を知っている. {4} {4'}

2. 情報セキュリティ

2.0 情報の資産価値情報の資産(p.24 まで)

事例: 評価サービス会社 → 消滅 {3''}

2.1 セキュリティ

語源: secure (securely)security保安,保全. [2. ノート]

2.2 情報セキュリティの定義と用語

定義: 情報セキュリティ … CIA を維持すること.

参考: コンピュータセキュリティ

用語 + リスク 脆弱性 脅威 インシデント 対抗策 + {5'}
住宅火災可燃物質タバコ +昨晩の火事難燃物質, 禁煙
情報漏洩運搬置き忘れ先日の漏洩未遂暗号化, 禁帯出

2.3 機密性と可用性のトレードオフ

迷惑メール拒否・携帯編

到達目標: 情報は資産の一つであり,資産価値があることを知っている. 情報資産の例をいくつか挙げることができる. リスク,脆弱性,脅威,インシデント,対抗策の定義を述べ,例を挙げて説明できる. 情報セキュリティの3要素を挙げ,その内容が説明できる. DDoS 攻撃の概要が説明できる. ボットウイルスの概要を知っている. 電子メールの脆弱性を知っている. 機密性と可用性のトレードオフを知っている. CAPTCHA の使用目的を知っている.

2.4 パスワードへの攻撃

2.6 SQL インジェクション 攻撃

2.5 リスク管理リスクアセスメント, + ++リスク対応

2.7 歴史 + 孫子 +, {8} 国際規格化, 脆弱性の公開

FeliCa は安全か ― 脆弱性を見つけたらどうすべきか? (FeliCa とは) {6''}

到達目標: リスク管理の流れが説明できる. リスク管理の要素の概要が説明できる. リスク対応の4方針が説明できる. 情報管理の4手法を知っている. 世界と日本の情報セキュリティの歴史の概略を知っている. 脆弱性の公開についての経緯と現在の主流を知っている.

3. 危機管理における情報セキュリティ

+ 詳細

3.0 速報(可用性と完全性)の重要性

災害: 北海道南西沖地震, 阪神・淡路大震災, 東北地方太平洋沖地震

テロ: アメリカ同時多発テロ事件 (2001年 9.11)

対応: 米 国土安全保障省, 官邸危機管理センター +

3.1 危機管理 (予防把握評価検討発動再評価)

9.11 での危機管理 +通信途絶, ヘリコプターの利用 +
危機状態では,拙速は巧遅に優る
危機状態で,組織的な行動をするための要点:
 (1)有効な指揮統制 (2)異なった組織間の連動体制 + (3)明確な行動指針
 (*)権限の委譲

+ 駒澤大学 緊急連絡先(正門守衛室): 03-3418-9021

+ 災害時用シャベル 7 本は,警備室脇の駐車場の奥にある“防災”と書かれたプレハブ倉庫 本部棟地下にあります.学校での災害時のトイレ対策, 駒沢公園の非常用トイレ +

実践的な,非常用 枕元+携行+備蓄品 {9} {9'} {7''}

6.3 事業継続計画 (BCP): JIS Q 22301

到達目標: 危機発生時における速報の重要性を知っている. 日本での危機対応組織を知っている. 危機管理の手順が説明できる. 危機状態における即断・即実行の重要性を知っている. 危機状態において組織的な行動をするための要点を知っている.

4. 組織の取組み

4.1 国の取組み

2003 国民のための情報セキュリティサイト(総務省),
2003 @police(警視庁),
2005 内閣サイバーセキュリティセンター (NISC)

1990 各種届出と対策情報処理推進機構 IPA) {10'}

4.2 民間の取組み

1996 JPCERT/CCCSIRT ,
1998 プライバシーマークJIPDEC), {10}
2002 ISMS適合性評価制度日本情報経済社会推進協会 JIPDEC), {8''}
2005 企業の情報セキュリティのあり方に関する提言経団連

4.3 各企業(組織)の取組み

+ 情報セキュリティマネジメントシステム (ISMS), PDCAサイクル {11'}

4.4 国際規格 {11} {9''} + +ISO/IEC 27000 シリーズ

国際規格の戦略的な利用.pdf, EUの国際規格化戦略

到達目標: 国と民間の情報セキュリティに取り組んでいる組織の概要を知っている. 情報セキュリティインシデントが発生したときの届け先を知っている. プライバシーマークの意味と,その取得のしかたを知っている. 情報セキュリティマネジメントシステム (ISMS) の存在と,適合性評価制度のしくみを知っている. 日付の表記の国際規格を知っている. 国際標準化機構が発行した ISO/IEC 27000 シリーズを知っている.

5. プライバシー

5.0 盗聴: Street View

5.1 情報漏洩の現状: 情報流出, 一覧,

2015 JNSA インシデント調査報告書 (2014 13, 12, 11, 10, 09, 08, 07) {12'}

5.2 法制化の起源: OECD プライバシー8原則原文, 個人情報 {12}

5.3 個人情報保護法 {10''} Safe Harbor 原則EU指令 [5. ノート]
個人情報保護法の詳細については,情報セキュリティ B で講義する.

本人の同意:(オプトアウト +Opt-out Opt-in Double opt-in

5.4 忘れられる権利 {13'}

5.5 個人情報保護マネジメントシステム (PMS) JIS Q 15001, +

到達目標: “積極的プライバシー権”の定義が説明できる. 情報漏洩事件・事故の多さを知っている. OECD のプライバシー 8 原則について,知見がある. 個人情報保護法における“個人情報”の定義が説明できる. 個人情報の所有者,提供者,利用者の違いを知っている. 個人情報保護法と EU 指令の厳しさの違いを知っている. オプトアウト,オプトインについて,説明できる. 個人情報保護マネジメントシステムと,プライバシーマーク,JIS Q 15001 の関係について説明できる.

6. 情報セキュリティポリシー (policy) Q14〜Q16, Q19

6.1 最高情報セキュリティ責任者 (CISO), CIO, CSO

6.2 情報セキュリティポリシー(基本方針,対策基準),実施手順

ガイドライン(具体例)+ ++, {13} PDCAサイクル
セキュリティポリシーの作成価格 (製作費=数百万円 < 数億円の損失) {11''}

6.3 事業継続計画 (BCP) からの要請

ISO 22301 (BCMS) +, ++ ISO/PAS 22399, BS 25999

6.4 社会的責任 (SR) からの要請

到達目標: CISO が果たす役割が説明できる. 情報セキュリティポリシーの構成と内容が説明できる.

ここは難しいので,注意して聴いてください(独習は困難でしょう).

7. 情報セキュリティマネジメントシステム (ISMS) + ++

概要(付録2, p.91): P 確立(図付2.2) → D 導入・運用(図付2.6) → C 監視・レビュー(図付2.7) → A 維持・改善(図付2.8) → PDCA...

国際的な ISMS の認証基準

(1) ISO/IEC 27001 "Information security management systems — Requirements"

(2) ISO/IEC 27002 "Code of practice for information security management"

日本工業規格 (翻訳)

(1') JIS Q 27001 “ISMS ― 要求事項” 規格票

(2') JIS Q 27002 “情報セキュリティマネジメントの実践のための規範” 規格票 {14'}

dot 日本工業規格/管理システム の一覧

(3') JIS Q 13335-1 “情報通信技術セキュリティのマネジメント ― 第1部:情報通信技術のセキュリティマネジメントのための概念及びモデル”

dot セキュリティ技術 の一覧

(4') JIS X 5070-1 “セキュリティ技術 ― 情報技術セキュリティの評価基準” {12''}

到達目標: 情報セキュリティマネジメントシステムの概要が説明できる. PDCA の各過程で具体的に何をすべきかを知っている. 各組織の ISMS と JIS Q 27001 との関係が説明できる.

8. 情報セキュリティ監査 +

試験範囲から除く

8.0 サイバー犯罪の特徴: 多い,速い,遠い,気付かない,匿名性 +

犯罪 = 犯意ある者 × 狙いやすい標的 × 監視者の不在
サイバー犯罪の現状 2012 上半期

8.1 背景: 監査 +コンプライアンス (comply) +
SOX法, 日本版SOX法

内部統制, コーポレート・ガバナンス (govern)
情報セキュリティガバナンス
不作為の責任 → 説明責任 (accountability) [8. ノート]

8.2 情報セキュリティ監査制度, 監査人

日本セキュリティ監査人協会 (JASA)
監査証拠,時系列の証拠 = 監査証跡 {14} {13''}

8.3 コンピュータ・フォレンシクス + (forensics +)

文書→バックアップ,記録→アーカイブ
文書管理システム, 記録管理システム, 電子メール, 踏み台

資料: [8. ノート]担保

到達目標: コンプライアンスとガバナンスが説明できる. SOX 法が生まれた背景を知っている. 日本版 SOX 法の概略を知っている. 内部統制の 4 つの目的と 6 つの基本的要素を知っている.   監査証拠と監査証跡について説明できる. コンピュータ・フォレンシクスの概要と三つの目的が説明できる. 文書と記録,バックアップとアーカイブの差が説明できる.

9. 情報セキュリティガバナンス

9.1 実際の組織の取組み

例: サイト利用規約, プライバシー・ポリシー +,
ISO 27001 認証取得大学, プライバシーマーク認定事業者;
日本版SOX法への対応, コンプライアンス事業;
情報セキュリティ格付

9.2 情報セキュリティガバナンス情報セキュリティ報告書 05, 10, R

9.3 ITILISO/IEC 20000

到達目標: 情報セキュリティガバナンスの定義を知っている. 情報セキュリティ報告書の作成が推奨されていることを知っている. 情報セキュリティ報告書モデルの存在を知っている. 情報セキュリティ報告書を見たことがある. ITIL が何かを知っている. ISO/IEC 20000 を知っている.

10. 情報セキュリティ文化

10.1 従業者教育必要性PPT 現状 分析と提言 (標的型メール訓練)

10.2 情報倫理 著作権侵害事件 {14''}

10.3 事後知識アンケートYeStudy {15} {15'}

到達目標: 用語“情報セキュリティ文化”を知っている. 用語“従業者”が説明できる. 従業者教育の重要性を知っている. 情報倫理の重要性を知っている.


情報セキュリティ B

B0. ガイダンス

B0.0 履修順序(戦略デザインコース) +

B0.1 自己紹介; この Web ページへのたどり着き方

B0.2 過去の授業評価 サンプル問題, 持込み

B0.3 情報セキュリティマネジメント試験, 過去問題

B0.4 シラバスの説明(成績評価の方法)参考図書の紹介

B0.5 成績発表の方法抜き打ちテスト

B0.6 暗号技術の重要性 電子投票電子署名法

B0.7 2016年上期のIT業界動向(セキュリティほか)

B0.8 事前知識アンケートYeStudy {1'} {1''}

* IoT セキュリティ: (吉岡「… IoT の衝撃的現状…」) +

到達目標: 授業の進行の概要と,成績評価の方法を知っている.

11. 法律による保護

11.0 条文の読み方: 及び・並びに / 又は・若しくは, +
法律におけるIT用語(後半)前半
成文法権利の導入: 江戸時代協調 → 現代の自己主張自己負罪拒否特権

11.1 情報セキュリティに関する国内法規(総覧), +, 未遂

ネットワーク社会の情報倫理(第6章 前編 {1} {2'} {2''} 後編

11.2 刑法 全文

第234条の二(電子計算機損壊等業務妨害), 第246条の二(電子計算機使用詐欺), 第161条の二(電磁的記録不正作出及び供用), 第163条の二〜五(支払用カード電磁的記録不正作出等,不正電磁的記録カード所持,支払用カード電磁的記録不正作出準備,未遂罪), 第168条の二,三不正指令電磁的記録作成等), 第258条(公用文書等毀棄),第259条(私用文書等毀棄)
サイバー刑法 ++法務省

11.3 不正アクセス禁止法

11.4 個人情報保護法 {3'} 改正部分

11.5 著作権法 全文, {3''} 学校での複製, 保護期間), 問題, 改正著作権法

11.6 サイバーセキュリティ基本法(施行: 2014-11-12)

11.7 その他 関連する主な法律(電波法など+事例) {2} {4'}

11.8 オープンソース{ソフトウェア,ライセンス}, GFDL, 比較 +

  ★ 国家試験「情報セキュリティマネジメント試験」の創設サンプル問題

到達目標: 公用文において“及び・並びに / 又は・若しくは”の使い分けがあることを知っている. 情報セキュリティに関連する 4 つの法規の名称を示すことができ,それらの概要が説明でき,簡単な事例の違法性が判断できる. それら以外の法律を 2 つ以上挙げることができる. 日本における著作権の保護期間を具体例を用いて正確に示すことができる. OSS のライセンス方式と内容について,基本的な事項(共通部分+α)を理解している.

12. アクセス制御access, 物理的,コンピュータ,ネットワーク)

12.1 物理的: 警備員,ID カード, 虹彩認識 + {4''}

12.2 アクセス制御行列アクセス制御リスト, {3} {5'} +, パーミッション -

どの能動体 (subject) から,どの受動体 (object) への,
どのアクセス(読み/書き/実行)が許可されているか.+

+ ファイル属性の変更の実習FFFTP による){5''}
  + 実習用ページ {4} {6'}

12.3 アクセス制御の代表的な 3 方式(任意,強制,ロールベース)

到達目標: 物理的なアクセス制御方式の代表例を知っている. アクセス制御行列の概念が説明できる. アクセス制御リストの方式と機能が説明できる. 用語“ファイルパーミッション”を知っている. アクセス制御の 3 方式(任意,強制,ロールベース)が説明できる.

13. 暗号 - 概要

13.0 情報機関 (intelligence): HUMINT, SIGINT (Echelon, PRISM) {6''}
米 NSA が各国首相や一般市民の通信を盗聴 +

13.1 暗号の価値: 解読事実の秘匿

13.2 暗号とは: 暗号理論, 暗号系と用語 クリプトン {5} {7'}

13.4.4 暗号技術を使ってできること再掲: 概要

到達目標: 世界の諜報機関の現状の概要を知っている. 暗号の定義を知っている. 暗号系の基本的な用語が説明できる. 暗号解読の 3 段階の状況が説明できる. 暗号解読の成功を秘匿した例をいくつか知っている. 暗号技術を使って実現できることが 3 つ以上,例を挙げて説明できる.

13.3 共通鍵暗号

13.3.0 共通鍵暗号
13.3.1 換え字式暗号
 (1) 単換え字式暗号: {6} {8'} {7''}踊る人形の解読 {9'} {8''}
 (2) 多表式暗号 = 複数の単換え字式暗号を周期的に用いる.
   ヴィジュネル暗号 機械式暗号  (パープル暗号 {7}
 (3) ビット単位の多表式暗号 → バーナム暗号
13.3.2 転置式暗号 アナグラム {10'} {9''}
13.3.3 暗号解読
 (0) 鍵の総数
 (1) 単換え字式暗号の解読(文字頻度)
 (2) 多表式暗号の解読(周期)
 (3) 転置式暗号の解読(連接確率)日本における漢字 {8}
 (4) 解読不可能な暗号実例
 (5) 暗号解読技術の利用 ロゼッタ・ストーンの解読, +, -) 外国語 {11'} {10''}
13.3.4 ブロック暗号(+)利用モード動画, ストリーム暗号
    [線形帰還シフトレジスタ(LFSR) +]
13.3.5 AES (Rijndael) … 現代的な共通鍵暗号 [13章前半のノート] + {9} {12'}

到達目標: 共通鍵暗号系の概念が説明できる. 単換え字式暗号が,例を挙げて説明できる. 多表式暗号を知っている. 転置式暗号が,例を挙げて説明できる. 具体的な古典的暗号を,(1)単換え字式暗号,(2)多表式暗号,(3)転置式暗号 に分類することができる. (1) と (3) とブロック暗号に属する各暗号方式の鍵の総数が示せる. (1), (2), (3) の暗号化と復号のしかた,および解読のしかたを知っている. 解読不可能な暗号が,例を挙げて説明できる. ブロック暗号の利用モードのうち,ECB, CBC, OFB を知っている. AES の外部仕様が説明できる.

13.4 公開鍵暗号

13.4.0 公開鍵暗号 {10} {11''}
13.4.1 剰余演算べき乗剰余フェルマーの小定理
13.4.2 RSA方式 べき乗算の高速化+ {11} {13'} {12''}
13.4.3 認証署名花押歴代首相の花押), {12}
    電子署名印鑑証明と電子署名+ 署名つきの暗号文
13.4.4 暗号技術を使ってできること概要 5. {14'} {13''}
13.4.5 ハッシュ関数
[13.4 のノート] +

13.5 一方向性関数

13.6 量子暗号

+ 事後知識アンケートYeStudy {13}   + 試験範囲はここまで

dot 追試験 … 2月14(火). 持込みについて

到達目標: 公開鍵暗号系の概念が説明できる. 剰余演算での加算と乗算と累乗ができる. RSA 方式の概要が説明できる. 公開鍵認証系の概念が説明でき,何が実現できるかが示せる. 秘匿と認証において,誰のどの鍵を使うかが区別できる. 署名つきの暗号文の作り方を知っている. 暗号技術を使ってできることの例をいくつか知っている. ハッシュ関数の概要を知っている. 一方向性関数の概念を知っている. 量子暗号を知っている.

14. 暗号プロトコル

14.1 チャレンジ応答プロトコル

14.2 電子マネー

14.3 SSL/TLS {14''}

到達目標: 暗号プロトコルのいくつかを知っている. チャレンジ応答プロトコルの目的と概要を知っている. 電子マネーの概要を知っている. TLS の概要を知っている.

15. 情報セキュリティ基盤

15.1 公開鍵基盤 (PKI), 認証局 (CA), +

15.2 情報セキュリティ・サービス

到達目標: 公開鍵基盤の概要を知っている. 認証局の機能が説明できる. 情報セキュリティ・サービスのいくつかを知っている.


α. 情報セキュリティ評価基準 (Common Criteria)

JIS X 5070 (ISO/IEC 15408) 規格群“セキュリティ技術 ― 情報技術セキュリティの評価基準”

α.1 認証製品リスト, +

β. 符号

β.1 符号: データコード, モールス符号Gコード

β.2 文字符号ASCIIISO 646JIS X 0201

JIS漢字符号日本における漢字), 国際符号化文字集合 (UCS)

β.3 誤り耐性: 検査数字 (チェックディジット=CD, ISBN),

ハミング距離誤り検出訂正

γ. その他

γ.1 2進法: 位取り記数法2進法ビット

γ.2 標本化定理ビット速度データ圧縮


高校生向けの模擬授業


成績発表

(学内向け)暗号化した成績の発表
掲載: 2017年1月28日

Valid HTML 4.01! Valid CSS!
back ひとつ戻る
Banner 西村和夫のページ に戻る
2015 昨年度のページ
NISHIMURA, Kazuo nishimura@komazawa-u.ac.jp