共通教育「情報セキュリティ・モラル」

第 3 週　情報セキュリティ

2222

学習内容

1. 　インターネットに潜む危険2. 　情報セキュリティ3. 　情報セキュリティマネジメント4. 　個人レベルの情報セキュリティ対策

333

本時の目標について

情報セキュリティの必要性とその強化のために自分たちにできることを認識すること。

自己の立場に相応しいやり方で情報セキュリティに対する責任を負うべきことを理解すること。

個人レベルの情報セキュリティ対策を確実に行うことができるようになること。

4444

1. 　インターネットに潜む危険

　 インターネットの普及によって，私たちの生活は大きく変化した。ほんの数年前であれば想像の世界でしかなかったことが， IT 技術の進展に伴い，次々と実現されている。しかし，利便性が高まる一方で，新しい技術を悪用する行為も後を絶たない。個人情報や機密情報の漏えい，ウイルス被害等は，社会基盤や生活環境を脅かす大きな要因となりつつある。

55

高水準で推移するウイルス被害 ウイルス届出件数は 1999 年より急増。 2002 年， 2003 年と減少したが， 2004 年から

再び増加に転じる。 巧妙化と凶悪化が最近の特徴。 ウイルス届出は IPA セキュリティセンターの Web

ページに毎月掲載。

　 コンピュータウイルスの届出状況については，次のWeb ページを参照すること。

http://www.ipa.go.jp/security/txt/list.html

66

コンピュータウイルスとは

コンピュータウイルスは，狭義には他のプログラムに寄生して自分自身の複製を作ることのできるプログラムのことであり，宿主を必要としないワームやトロイの木馬などとは区別されていたが，近年は，これらを区別せず，一括してウイルスと呼んでいる。

コンピュータウイルス，スパイウェア，クラックツール等を含む不正なプログラムを総称して，「マルウェア」という。

　 「コンピュータウイルス」又は単に「ウイルス」とは，コンピュータに被害を与えたり，コンピュータを利用して犯罪その他の不正行為を行ったりといった，不正な利用目的で作られたプログラムをいう。

77

増え続けるサイバー犯罪

　 「サイバー犯罪」とは，コンピュータやネットワークを攻撃する，又はそれらを利用した犯罪のことであるが，警察庁によると，その検挙件数は，増加の一途をたどっている。

（平成 20 年 2 月 29 日警察庁広報資料）

88

増え続けるサイバー犯罪（その2 ）

（平成 20 年 2 月 29 日警察庁広報資料）

99

不正アクセスとは

　 「不正アクセス」とは，不正な手段によりネットワークを介して情報にアクセスすることをいう。

　 不正アクセス行為の禁止等に関する法律（平成 11 年法律第 128号。「不正アクセス禁止法」と略す。）は，電気通信回線（ネットワーク）に接続しているコンピュータが処理する情報の機密性を保護するための法律である。不正アクセス行為又はそれを助長する行為をした者は， 1 年以下の懲役又は 50万円以下の罰金に処せられる（不正アクセス禁止法第 8条）。

101010

ID とパスワード

　 ID とパスワードは，本人認証（ある人が他者に自分が確かに本人であることを納得させること）のために用いる情報である。　 「ＩＤ」とは，ユーザを特定するために用いられる文字列をいい，「パスワード」とは，正規のユーザであることをコンピュータに通知するために用いられる，あらかじめ取り決めた文字列をいう。※　 ID を「ユーザアカウント」ということもあるが，「アカウント」と　 は，本来は，コンピュータやネットワークを利用するための資　 格のことである。

11

不正アクセス被害の例

DVD ビデオクリップ 「３．抗議殺到の原因はフィッシング ! 」 物語編 (2 分 ) 解説編 (5 分 ) => 確認問題「不正アクセス対策」

1212

不正アクセス行為の例（その1 ）

（ http://www.npa.go.jp/cyber/legislation/gaiyou/gaiyou.htm より引用）

ID ・パスワードは例えばフィッシング詐欺で取得

1313

不正アクセス行為の例（その2 ）

（ http://www.npa.go.jp/cyber/legislation/gaiyou/gaiyou.htm より引用）

（情報セキュリティ上の弱点）

1414

不正アクセスによる不正行為不正行為 内　容

盗聴 ネットワーク上のデータや保存データを不正に入手。情報窃盗。（例）・パスワードの盗用　　・企業データの漏えい　　　・個人データ（メール，日記等）の盗み見

改ざん データを書き換え。（例）・ Web ページの改ざん，設定書換え

なりすまし 別の個人を装い，さまざまな行為を行う。（例）・ ID とパスワードを盗み出し，正当なユーザーに見せか

けて侵入　　　・他人のクレジットカードでショッピング

破壊 　　データやプログラムの削除，ハードディスクの初期化など。

コンピュータ不正使用

コンピュータを不正に使用する。（例）・コンピュータを遠隔地から操作

不正プログラムの埋め込み

　　不正プログラムには，ユーザの知らない間に情報を入手して　　外部へ送信したり，ファイルを破壊するなど様々な悪さを働くもの　　がある。これらのプログラムを埋め込む。

踏み台 不正アクセスを行う際の中継地点として使用する。（例）・アカウントを不正使用し他のサイト攻撃の拠点とする　　　・スパムメール (spam mail) の中継

1515

不正行為の類型と内容

類　　型 内　　容

盗聴 データの密かな盗み見や情報窃盗

改ざん 内容の不当な書換え

なりすまし その人であるかのような振舞い

破壊データやプログラムの削除，ハードディスクの初期化

など

不正使用 遠隔操作による，権限のないコンピュータの使用

埋め込み 不正プログラムの密かなインストール

踏み台 不正な目的のためのコンピュータの一時的な利用

16161616

2. 　情報セキュリティ

　 情報セキュリティに関する国際的な関心の高まりを受けて， OECD （経済協力開発機構）は， 2002 年 7 月25 日の第 1037回会合で理事会勧告として，「情報システム及びネットワークのセキュリティのためのガイドライン（ OECD Guidelines for the Security of Information Systems and Networks ）」を採択した。このガイドラインの副題は，「セキュリティ文化の普及に向け　て（ Towards a Culture of Security ）」となっている。我が国で　も，セキュリティ文化の普及に向けた各種の活動が活発に行われており，情報セキュリティの必要性とその強化のために自分たちにできることを認識することが求められている。

171717

セキュリティとは

保安　 人，鉄道，航空等が対象。 警備　 人，企業，建物，場所等が対象。 治安　 社会が対象。 安全保障　 国家が対象。

　 「セキュリティ（ security ）」とは，対象を危険な状態から守り，その安全を保つことをいう。

　 セキュリティに対応する日本語は，保護する対象に応じてさまざまである。

18181818

情報セキュリティと CIA

　 「情報セキュリティ」とは，情報の機密性（ confidentiality ），完全性（ integrity ）及び可用性（ availability ）を維持することをいい，機密性，完全性及び可用性のことを，英語名の頭文字をとって「情報セキュリティの CIA 」と呼ぶ。機密性　アクセスを認可された者だけが情報にアクセスすること　 ができることを確実にすること。完全性　情報が正確であること及びその処理方法が完全である　 ことを保護すること。可用性　認可された利用者が必要なときに情報及び関連する資　 産にアクセスすることができることを確実にすること。

191919

CIA が維持できないと

機密性の喪失

完全性の喪失

可用性の喪失

個人情報流出漏えい

年金記録漏れ改ざん・誤記入

情報システムが機能しない

履修登録ができない

IT 社会の崩壊

202020

セキュリティ文化とは

　 「セキュリティ文化」とは，情報システムやネットワークを開発し，又は利用するすべての人（以下「参加者（ participants ）」という。）が，それらを開発し，又は利用するに当たり，セキュリティ意識をもって行動することで形成される，情報セキュリティを当り前のものとする文化をいう。ここで，

　 「セキュリティ意識」とは，情報セキュリティの必要性とその強化のために自分にすることができることとを認識し，自己の立場に相応しいやり方で情報セキュリティに対する責任を負い，義務を果たそうと考える心の働きのことである。

2121

情報システムとは（参考）

　 「情報システム」という言葉は，コンピュータ，ソフトウェアその他の情報を処理する仕組みをもつものの総称である。

（情報システムの例）

コンピュータ

ソフトウェア

通信機器

セキュリティ意識をもった行動

22

開発者

利用者

情報セキュリティを意識しなきゃ。強化に必要なことは．．．

情報セキュリティを意識しないと。強化に必要なことは．．．不正アクセスを防ぐ手段

を組み込んでおこう．．．

ID とパスワードを大事に管理しよう．．．

文化： 物の考え方や行動規範。セキュリティ意識をもった行動 = セキュリティ文化の普及

23232323

3. 　情報セキュリティマネジメント

　 セキュリティ文化の普及に向けて，すべての参加者はセキュリティ意識をもって行動するようにしなければならない。しかし，情報システムやネットワークを取り巻く環境の変化が激しく，絶えず新たな脅威が出現する高度情報通信ネットワーク社会においては，それだけでは十分といえず，情報セキュリティを確保するため，総合的な情報セキュリティ対策を選択して実施し，継続的に改善していくという情報セキュリティマネジメントの考え方を取り入れていく必要がある。

24242424

情報セキュリティマネジメントと ISMS

　 「マネジメント」は，経営管理を表す言葉であるが，より具体的には，ある目標を達成するために効率的な手段を選択し，それを実施することである。

　 「情報セキュリティマネジメント」とは，情報セキュリティを確保し強化するため，効率的な手段を選択し，それを実施することをいう。

　 情報セキュリティマネジメントの具体的な仕組みが「情報セキュリティマネジメントシステム（ Information Security Management System ）」であり，略して「 ISMS 」と呼ばれる。

25

セキュリティの管理って何？

DVD ビデオクリップ 「７．情報を守るにはポリシーを持って」　　物語編（ 3 分） => 確認問題「情報漏洩の危険はありませんか？」 解説編 (8 分 ) => 確認問題「情報セキュリティポリシーとは」

26262626

情報セキュリティポリシー

　 組織の情報セキュリティに関する方針を示すとともに，情報セキュリティマネジメントのための取組みを包括的に規定した文書を，「情報セキュリティポリシー」という。　 山口大学においても情報セキュリティポリシーが策定されており，構成員（職員及び学生）は，ポリシーが求める義務を果たすように務めなければならない。　 山口大学の情報セキュリティポリシー（基本方針）については，次の Web ページを参照すること。

http://www.cc.yamaguchi-u.ac.jp/security/housin.pdf

2727

情報セキュリティポリシーの文書構成　 情報セキュリティポリシーは，一般に「基本方針」，「対策基準」及び「実施手順」で構成される。

基本方針

対策基準

実施手順

(Why)

(What)

(How)

この部分を情報セキュリティポリシーと呼ぶこともある。

282828

ISMS について

情報セキュリティの確保と強化

　 ISMS は，プロセスアプローチに基づく PDCA サイクルとして構築される。

情報セキュリティの確保と強化

マネジメントの具体的な仕組み（ ISMS ）

　 ISMS は，情報セキュリティの確保と強化のための基盤である。

29292929

プロセスアプローチとは

　 「プロセス」とは，インプットをアウトプットに変換する活動のこと。

インプット　 プロセスによる変換の対象となるもの。

アウトプット　 プロセスによる変換の結果として得られるもの。　 組織が行う活動の全体を，相互に関連する一連のプロセスとして捉え，マネジメントするという考え方が，「プロセスアプローチ」である。

30303030

PDCA サイクルとは

　 「 PDCA サイクル」とは，一定の方針の下に何をどうするかを計画し（ Plan ），計画したことを実施し（ Do ），実施の状況を点検し（ Check ），点検の結果に基づき計画したことの維持や改善といった措置を講ずる（ Act ）ことを繰り返すプロセスをいう。

Plan

DoChec

kActイ

ンプッ

ト

アウトプッ

ト

O/I （アウトプット / インプット）

O/I O/I O/I

313131

ISMS と PDCA サイクル

情報セキュ

リティに対する要求と期待

情報セキュ

リティの確保と強化

PlanISMS の確

立

DoISMS の導入と運

用

ActISMS の維持と改

善

CheckISMS の監視とレ

ビュー

ISMS

32323232

4. 　個人レベルの情報セキュリティ対策

　 コンピュータウイルスや不正アクセスなど，インターネットには，情報セキュリティを脅かす要因がいろいろある。自己の立場に相応しいやり方で情報セキュリティに対する責任を負い，義務を果たすため，個人レベルの情報セキュリティ対策を確実に行う必要がある。　 個人レベルの情報セキュリティ対策の詳細については， IPA セキュリティセンターの次の Web ページを参照すること。

http://www.ipa.go.jp/security/personal/base/index.html

333333

これだけはやろう！ 情報セキュリティ対策

Ⅰ パソコン購入直後のセキュリティ設定　 　 購入したばかりのパソコンは，必ずしも安全な状態になっているわけで　 はない。情報セキュリティの設定をして，安心安全に利用しよう。

Ⅱ インターネット利用時のセキュリティ設定　 　 インターネットでいろいろな Web ページを見て楽しむためにも，安心して　 利用することができるよう，まずは情報セキュリティの設定をしておくことが　 大切である。

Ⅲ メール利用時のセキュリティ設定　 　 電子メールのやり取りは，とても楽しいものである。安心して楽しく電子　 メールのやり取りをすることができるよう，情報セキュリティの設定を確認し　 よう。

343434

パソコン購入直後のセキュリティ設定3 つのポイント①　 ID とパスワードの設定をする

　 　・安全なパスワードにしよう　～パスワードの心得～　 　・ ID とパスワードの設定　～後から設定する場合～

②　 OS やソフトウェアを常に最新の状態にする

　 　・自動的に修正プログラムを取り込むように設定する　 　・手動で修正プログラムを取り込む　～Windows Update～

③　ウイルス対策ソフトを導入する

　 　・ウイルス定義ファイルの自動更新　 　・コンピュータウイルスの侵入を常に監視

適切なパスワードを付けないと．．．

35

DVD ビデオクリップ 「２．安直なパスワードで重大事件」　　物語編（ 3 分）　　解説編（ 3 分） => 確認問題「パスワード大丈夫ですか？」

3636

パスワードの心得

ID ，生年月日，キーボード上の文字の並びといった容易に推測されるパスワードは，使用しない。

英単語や商品名を組み合わせただけ，又は数字だけのパスワードは，使用しない。

パスワードは， 8文字以上にする。 パスワードには，英数字以外の文字を少なくとも一

つは含めるようにする。 パスワードは，定期的に変更する。 パスワードは，秘匿し，他人に知られないようにす

る。

3737

ID とパスワードの設定

「スタート」→「コントロールパネル」 →「ユーザアカウント」をクリックすると，ユーザアカウントの設定画面が表示されるので，自分のアカウントをクリックする。

（ http://www.ipa.go.jp/security/personal/base/computer/point1.html より引用）

3838

ID とパスワードの設定（その2 ）

「パスワードを作成する」をクリックする。

（ http://www.ipa.go.jp/security/personal/base/computer/point1.html より引用）

3939

ID とパスワードの設定（その3 ）

「新しいパスワードの入力」と「新しいパスワードの確認入力」に同じパスワードを入力し，「パスワードの作成」をクリックする。

（ http://www.ipa.go.jp/security/personal/base/computer/point1.html より引用）

4040

自動的に修正プログラムを取り込むように設定する（参考）

「スタート」→「コントロールパネル」 →「セキュリティセンター」をクリックし，セキュリティセンターの画面が表示されたら，「自動更新」をクリックする。

（ http://www.ipa.go.jp/security/personal/base/computer/point2.html より引用）

4141

自動的に修正プログラムを取り込むように設定する（参考その 2 ）

「自動（推奨）」を選び，「 OK 」をクリックする。更新の頻度と時間は，自分のパソコンを使う頻度や時間を考えて，できるだけこまめに自動更新がされるように設定する。

（ http://www.ipa.go.jp/security/personal/base/computer/point2.html より引用）

4242

手動で修正プログラムを取り込む（参考）

「スタート」→「すべてのプログラム」→「 Microsoft Update 」又は「 Windows Update 」を選び，画面を表示させ，「高速」をクリックすると，自動的に修正プログラムの取込み（インストール）が始まる。

（ http://www.ipa.go.jp/security/personal/base/computer/point2.html より引用）

434343

インターネット利用時のセキュリティ設定3 つのポイント①　ブラウザ（ Internet Explorer ）のセキュリティ設定をする

　 　・インターネットオプションでセキュリティの設定　 　・ ActiveX ，スクリプトの設定　 　・クッキー，ポップアップの設定

②　怪しいサイトからのダウンロードはしない

　 　・ダウンロード時に警告メッセージが出たときには要注意

③　掲示板利用時の注意　 詳細については， IPA セキュリティセンターの次のWeb ページを参照すること。

http://www.ipa.go.jp/security/personal/base/internet/index.html

444444

メール利用時のセキュリティ設定4 つのポイント

①　メールソフトのセキュリティ設定をする

②　添付ファイルの取扱いに注意する

③　ファイルの拡張子をすべて表示させる

④　怪しいファイルを見分けよう

　 詳細については， IPA セキュリティセンターの次のWeb ページを参照すること。

http://www.ipa.go.jp/security/personal/base/mail/index.html

454545

最後に

　 コンピュータウイルスに感染したり，ハードディスクが破損したりしたため，あなたのパソコンに保存していた大事なデータ（作成した文書，取り込んだ音楽コンテンツや映像等）が利用できなくなってしまった。これは，可用性が喪失した状態である。このような事態に備え，どのような情報セキュリティ対策を採ればよいだろうか。

　 可用性を維持するための一つの手段は，こまめにバックアップを取ることである。「バックアップ」とは，一定時点のデータを他の記録媒体（例えば CD ， DVD 等）にコピーすること又はそのコピーされたものをいうが，バックアップがあれば，他のパソコンを利用することで，可用性を維持することができる。