Transcript 講演の資料 （PowerPointファイル 約6MB）

教育現場で必要とされる
情報セキュリティとは？
－個人情報保護法完全施行を控えて－
－情報セキュリティを知る －
日置慎治
帝塚山大学 経営情報学部／情報教育研究センター
（NPO法人なら情報セキュリティ総合研究所）
昨日のニュースから
札幌刑務所受刑者データ流出


受刑者データ８名分が流出
前科情報をＦＡＸで送信する際、宛先を間
違えた
昨日（2005/3/5）の日経記事から
携帯ウイルス日本上陸





Cabir(カビール)が日本上陸（Ｆ・セキュア社）
端末はボーダフォン
香港訪問の日本人が現地で感染した可能性
無線通信機能（Bluetooth)により近くの携帯
電話に複製を送り込む
「事実確認はまだだが、感染するとは考えら
れない」（ボーダフォン日本法人広報部）
昨日（2005/3/5）の日経記事から
狙われる子供の個人情報






１４０９件の相談 ３年で３０倍
（国民生活センターへのトラブル相談件数）
架空請求・ダイレクトメールなど
６－１７歳の子供の個人情報に関するトラブルは
ネット関連が約９割を占める
「無料」につられメールアドレスなど安易に登録
電話や路上アンケートで同級生や名前、電話番号
などを聞き出される子供も
「子供は大人に比べ個人情報に関する危機意識が
薄い。周囲の大人の目配りが必要」
教育現場で必要とされる
情報セキュリティとは？

教師（学校）としての情報セキュリティ問題
•
•
•
•
•

個人情報（成績、学生データ他）漏えい
機密情報（入試問題他）漏えい
情報の改ざん
学内ネットワーク停止
ウイルスによる被害・加害
もっとも大切
教育内容としての情報セキュリティ
だが、困難？
• 生徒に何をどう伝えていくか
• 情報倫理、被害者・加害者にならないために
• ウイルス被害、ネット詐欺などに対する正しい知識
自己紹介

日置って誰？
帝塚山大学(今年度２つのGPに採択)
• 経営情報学部にて「情報ネットワーク」担当
• 情報教育研究センター長、教育情報化コーディネータ、CCAI

NPO法人「なら情報セキュリティ総合研究所」
• 自治体等のセキュリティポリシー策定支援
• 情報セキュリティに関する啓発活動

専門は
• 素粒子物理学（計算物理学モンテカルロシミュレーション）
• 並列計算・ハイパフォーマンスコンピューティング
• コンピュータネットワーク
「情報ネットワーク」講義紹介 --講義のデジタル化と厳格な出席管理 --
多様な学生に対する具体的な対応

欠席による進度の遅れ
対応策：講義のデジタル化と厳格な出席管理
（１）講義のデジタル化
講義映像をデジタル化
したビデオ教材を用意
し、講義の翌日から学
生はサーバへアクセス
し臨場感あふれる講義
を「受講」することが可
能。
※帝塚山大学のＴＩＥＳを積極的に活用
ＴＩＥＳ（Tezukayama Internet Educational Service）
「情報ネットワーク」講義紹介 --講義のデジタル化と厳格な出席管理 --
ＴＩＥＳ講義「情報ネットワーク論」
http://www.tiesnet.jp
「情報ネットワーク」講義紹介 --講義のデジタル化と厳格な出席管理 --
（２）厳格な出席管理
•レポート提出が出席点に
講義を欠席した場合にはデジタル教材を学習し、レポー
ト課題を提出することにより出席した場合と同等に扱う
（現在のところ講義後、１ヶ月程度の猶予）
•出席を厳格化
欠席した回の内容を学習していないことによる学生の理
解不足が多少なりとも解消
１）授業中の質問の内容からまったく理解していないと思
われる学生の数が減った
２）「何度も繰り返し見たのですが、それでもここがわかり
ません」という質問の焦点が明確
学生証に印刷されたバーコードを読み取り、出席データを作
成する「バーコード出席管理システム」を活用
これは私と学生との共同制作（２００３年度卒業研究）
講義紹介
シスコネットワーキングアカデミー
http://www.cisco.com/japanese/warp/public/3/jp/event/training/academy/success/

ケーブル作成から、ルータの設定、ファイ
ヤーウオールによるアクセス制御などをルー
タ実習を通して学習（CCNA取得を目標）
access-list 100 permit tcp any any established
access-list 100 permit tcp any host 160.244.156.138 eq 80
access-list 100 permit tcp any host 160.244.156.139 eq 25
access-list 100 permit tcp any host 160.244.156.140 eq telnet
・・・

社会人（聴講生）、他大学の学生（単位互換）、
高校生（高大連携）なども受講中
NPO法人「なら情報セキュリティ総合研究所」
インターネット安全教室
平成１７年２月２４日
企業における情報漏えいとセキュリティ対策
奈良県警察本部生活安全部
高
橋
正
樹
Nara Prefectural Police
些細なことが大事に!!
・使っていたパソコンを買い取りに出した
・パソコンが盗難にあった
ハードディスクが復元され、情報が流出
【対策】
ハードディスクを復元できないように消去する
物理的に破壊する
パソコンだけではなく、フロッピーディスクや
USBメモリーなども置き忘れ、盗難にはご注意を!!
些細なことが大事に!!
セキュリティ対策製品の利用
最近では、コンピュータのBIOS認証やHDDのパスワード設定、
指紋認証、セキュリティチップ等不正使用を対策する製品もある
セキュリティポリシーと利用者への教育
最悪の場合を想定したセキュリティ対策が必要!!
情報漏えいの事例３ーウィルスの感染による情報漏えい
私物パソコンの公務利用
重要な情報を保存
持ち帰っていいの？
セキュリティポリシーは??
そのパソコンでインターネットに
繋いだ
ウィルス対策とかアップデートて??
セキュリティの認識不足
http://www.mainichi.co.jp/digital/network/archive/200403/29/5.html
Nara Prefectural Police
狙われる家庭内無線LAN
AP:アクセスポイント
＝接続点
野良AP
＝セキュリティの甘いAP
６４％が無防備状態
http://www.mainichi-msn.co.jp/search/html/news/2004/11/17/20041117org00m300105000c.html
不正アクセス行為対策等の実態調査
調査対象 全国の企業、情報通信関連、
医療関連、教育関連、
行政サービス機関から
2,000件を抽出
調査方法 郵送調査方式
（回答率３６．６％）
http://www.npa.go.jp/hightech/cyberterror/nsresearch07/index.htm
Nara Prefectural Police
無線LANのセキュリティ対策
全体の３７．９％の事業体で利用されている
盗聴対策
WEPの暗号化
５８．２％
ESS-IDの適切な設定
４１．８％
MACアドレス認証
３５．３％
磁気遮蔽
特に行っていない
０．４％
１３．５％
３つのすべての対策を行っている事業体は１４．９％
Nara Prefectural Police
無防備な無線LANの問題点
ある日、あやしい人物がTさんの家の前で、車を止め、何かはじめました。
ほうら、ここにもいたよ。
鍵の掛けていない無線LAN！
早速、つないでみるか
・・・・・
使えそうだ！地図に落としておかなきゃ
Nara Prefectural Police
無防備な無線LANの問題点
数日後、あやしい人物が車を止めて、中でコンピュータを使っていました。
今日は、ここの家から不正アクセスして
やろう。
オークションに出品して、あとはカモが
引っかかるのを待つだけだ。
ついでにイタメールを送ってやるか・・・・
クラッカー
Nara Prefectural Police
無防備な無線LANの問題点
無防備な基地局
セキュリティのかかっていない
無線LANは、匿名アクセスの温床
インターネットが使い放題
掲示板への書込、オークション詐欺、ウィルスの送付
内部のコンピュータへの侵入
情報漏洩、不正アクセス
Nara Prefectural Police
野良APをどうやって探すか！？
インターネット上のフリーソフト「Network Stumbler」を利用する
無線LANに接続できるかできないか一目瞭然
暗号化されている基地局
無線ＬＡＮのセキュリティ設定
無線ＬＡＮのセキュリティは、あまり高くありません。
しかし、何もしないわけにはいかないのです。
最低限、次の３つの設定をする必要があります。
①ＥＳＳ－ＩＤの設定
無線基地局の名前です。
②ＭＡＣアドレスのフィルタリング
接続するコンピュータを制限します。
③ＷＥＰによるデータの暗号化
データを覗かれないように暗号化します。
無線ＬＡＮ製品の殆どは初期状態で使うことは、危険です。
Nara Prefectural Police
無線ＬＡＮのセキュリティ設定
無線ＬＡＮのセキュリティは、あまり高くありません。
しかし、何もしないわけにはいかないのです。
最低限、次の３つの設定をする必要があります。
①ＥＳＳ－ＩＤの設定
無線基地局の名前です。
②ＭＡＣアドレスのフィルタリング
接続するコンピュータを制限します。
③ＷＥＰによるデータの暗号化
データを覗かれないように暗号化します。
無線ＬＡＮ製品の殆どは初期状態で使うことは、危険です。
Nara Prefectural Police
新たなサイバー犯罪の手口 フィッシング（Phishing）
フィッシングとは
Yahooなどの企業を騙って、偽のメールを送りつけ、人のクレジットカード番号
などを盗む手口のひとつとして、最近流行しています。
フィッシングは外来語で、しかも、造語です。
Phishing
＝ sophisticate
（洗練された手口）
＋ fishing
（魚釣り：獲物を釣る）
警察庁では
「フィッシング（Phishing）」とは、銀行等の企業からのメールを装い、メールの
受信者に偽のホームページにアクセスするよう仕向け、そのページにおいて
個人の金融情報（クレジットカード番号、ＩＤ、パスワード等）を入力させるなど
して個人の金融情報を不正に入手するような行為であり、その情報を元に
金銭をだまし取られる被害が欧米を中心に広まっています。
今後、日本においても同種の形態による被害が発生するものと思われます。
Nara Prefectural Police
日本でのフィッシング被害
日本でも次の企業が、名前を語られたと公表しています。
○JCB
○Yahoo! JAPAN
○イーバンク
○ビザ、インターナショナル
これらのメールのように不特定多数
に大手企業を騙って送信し、
個人情報を入力させようとします。
クリックすると・・・
IDとパスワードを入力させま す
要注意
あたかも信頼できるように偽装していま す
クレジットカード番号を入力
させます
Yahooを騙ったメールの例
偽のページへ誘導！
Nara Prefectural Police
フィッシングの被害にあわないために
○宛名に注意
宛名に、個人を識別するもの（自分の名前、ID、口座番号等）が記載されていない
場合には、不特定多数に配信している詐欺メールのおそれがありますので注意しま
しょう。
○検索サイトや「お気に入り」からアクセス
メールに記載されているURL(偽のホームページへ誘導する）をクリックするのではな
く、自分であらかじめ登録しておいたURLやインターネットの検索サイト等の信頼の
おけるところから当該企業のＨＰ（ホームページ）へアクセスするようにしましょう。
また、個人情報を入力する際は、ブラウザの鍵マーク（SSLで保護されたページか）
や、警告が表示されないか確認しましょう。
○企業の実際の窓口に確認
個人情報・金融情報を聞き出そうとするメールに対しては、送信元の企業の実際の
窓口に電話等で問い合わせ、メールを配信したかどうかを確認しましょう。
Nara Prefectural Police
新たなサイバー犯罪の手口 ファーミング（Pharming）
フィッシングの進化形!?
種さえまけば、
えさをまかなくても
収穫できる
偽のサイトへの誘導
・ウィルス・ワームを使う
・DNSサーバに虚偽の情報
を書き込む
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/
Nara Prefectural Police
サイバー犯罪に対する警察の体制
都道府県警察
警 察 庁
情報技術犯罪対策課
情報技術解析課
技術センター
◇
◇
◇
◇
◇
都道府県警
察間の連絡・
調整、指導
情報技術の
解析に関する
技術支援
サイバー犯罪対策
プロジェクト
● サイバー犯罪捜査官
● 情報セキュリティ
・アドバイザー
● サイバー犯罪に
対応できる装備資機材
サイバー犯罪の取締り
情報セキュリティに関する広報啓発
産業界等との連携の強化
サイバーパトロール
サイバー犯罪等に関する相談への対応
Nara Prefectural Police
セキュリティポータルサイト
http://www.cyberpolice.go.jp
ご静聴ありがとうございました
４月から施行
個人情報保護法に不安６割
個人情報保護法とは？
・個人情報は組織のものではなく、「本人」のもの
「本人」には自分の個人情報をコントロールする権利がある
・「本人」からの開示要求に応える必要
窓口が必要、本人確認を厳密に、消去法も検討
・利用目的を「本人」に通知、またはＨＰなどで公開
目的外利用はダメ！
・情報漏えいがあれば、行政処分
明確な目的がない情報は、破棄するのがベター
・５０００名以下の組織は適用外？
安心するのではなく、あくまでも組織としてのモラルの問題と
考えよ。（「本人」の身になって考えればよいのでは？）
個人情報漏洩事故（数字は概数）

６６０万人分の顧客情報（プロバイダ）
• １４０万件のＩＰ電話通話記録も流出





１１６万人分の顧客情報（消費者金融）
９０万人分のカード会員情報（石油会社）
６０万人分の顧客情報（私鉄、旅行代理
店）
３０万人分の顧客情報（プロバイダ、通販）
…
情報漏えい事故データベース
（例：MIS月間情報セキュリティ）
http://www.monthlyiso.net/SITE1PUB/sun/7/news/report235.html
個人情報保護法にむけて
情報セキュリティ対策
セキュリティポリシーを軸に



物理的対策
• 盗難対策、施錠、隔離
人的対策
• 教育、啓発、相互監視、記録
ソフト的対策
• 認証（パスワード、指紋etc）
• ウイルス対策ソフト導入、保守
• 不正アクセス対策（IDS,FWなど）
• データの暗号化
• 無線LANの危険性
情報セキュリティ対策
物理的対策

盗難対策、施錠、隔離
• 機密情報は別室に保管
• ネットワークなど繋がない
• 鍵をかけるとともに、入退室チェック
• 監視カメラ
•
•
•
•
ＰＣはケーブル等で机と固定
ＵＳＢなど外部メディアの口を塞ぐ
使用時以外はロッカー等に保管
ＰＣ等持ち出しは厳禁とする
情報セキュリティ対策
人的対策


人的対策に勝るものなし！
教育、啓発
• 内部犯行を防ぐにはこれしかない！
• 無知ほど怖いものはない

記録（入退室記録、アクセス記録など）
• 古典的な手法であるがいざというとき役立つと同
時に、抑止力にもなる

相互監視
• 重要データにアクセスするときは複数で行う、
あるいは声を出すなど
情報セキュリティ対策
ソフト的対策





認証（パスワード、指紋etc）
ウイルス対策ソフト導入、保守（スパイウエア等も含む）
• 原則としてパターンファイルを越えられない
• 「前に導入した」では意味がない、保守を
不正アクセス対策
• ファイヤーウオール（FW）…プロトコルや宛先、送信元など
不正なパケットをアクセスリストにより遮断
• 不正検知システム（IDS）…Dos攻撃など上記では対応でき
ないような不正な動作を検知する
データの暗号化…持ち出しには義務づける
無線LANの危険性…安易な設置は命取り
セキュリティポリシー

情報セキュリティ対策として
• 技術的対策はもちろん重要であるが、加えて
• 組織の仕組みの整備が必要（トップダウンで！）
→ セキュリティポリシーを軸に

セキュリティポリシーのPDCAサイクル
•
•
•
•
Plan…策定、組織
Do…教育、運用
Check…検査、監査
Action…見直し
セキュリティポリシー３階層

セキュリティポリシーの３階層
• 基本方針…組織の方針を明示、憲法に相当
教育
• 対策基準…遵守するべきルール
• 実施手順…現場でおこなう具体的なマニュアル

組織によってはこれにこだわる必要はない
• 具体的に動ける仕組みがもっとも大切
• 絵に書いた餅では意味がない
セキュリティに関するニュース
（例：IT保険.com）
http://www.it-hoken.com/cat_eeeaei.html
教育内容としての情報セキュリティ
生徒に何をどう伝えていくか
•＠Ｐｏｌｉｃｅなどを積極的に活用
•データ記録の仕組み・消去
•情報を安全に取り扱うには、データの暗号化
•敵を知り、己をしれば…
知っておきたいウイルス情報
•実習を通した体験学習
ファイル削除やフォーマットでは
データは完全には消えない

ファイル削除は、ファイルの管理情報として「使
われていない」とするだけ。
• ファイル内容自体は消去しない。
• 復元ソフトを使えば復元可能
• ファイルのあった場所にランダムな
情報を上書きすることがある程度有効
（磁気情報は完全にはなくならない）
• 物理的に壊すのが最善？

米国におけるデータ消去基準
• 空軍（４回書き込み）
• 陸海軍（３回書き込み）
管理エリア
データエリア
データの暗号化

暗号化とは？
• シーザー暗号化実習
（情報ネットワーク1第７回）

便利な暗号化ツール
• アタッシュケース（フリー）
• http://www.vector.co.jp/soft/dl/
win95/util/se280871.html
複数回の書き込みに
よる完全削除機能
知っておきたいウイルス情報




携帯電話も感染（カビール, 2004/6）
PocketPCも感染（ダッツ,2004/7）
話をするウイルス（アムス,2004/9）
９割のＰＣにスパイウエアが
• 意図しないうちにＰＣに入り、害を及ぼす
• ソフトウエアのインストール許諾を装うものも

差出人詐称ウイルス
• 「はがき」の差出人は本当に正しい？

フィッシング、ファーミング
コンピュータウイルスについて
おさえておきたい３つの事

どこからでも感染する
• 有線のみならず、無線でも
• ＰＣ、携帯電話、ポケットPC…

ウイルスはどんなことでもできる
• ウイルス作成者が決めたことを実行するのが
ウイルスプログラム

放っておくと、自分が加害者になってしまう
• いつまでも被害者ではいられない
教育内容としての情報セキュリティ
例：実習授業
•ウイルス対策実習
•拡張子詐称ウイルス体験
•シーザー暗号を使った暗号化・解読実習
•講義「情報ネットワーク論」から抜粋
•暗号化、解読ＨＰ
•アタッシュケースを使った、ファイル暗号化実習・
実践のすすめ
何はともあれ、ウイルスの情報を知る


大事なことは、正確な情報を得るということ。
残念ながら、友人からの電子メールで得た情報
には、
• １）その友人の得た情報が正しいのかどうか？
• ２）本当にその友人からのメールなのかどうか？

など不確定要素があることは否定できない。

警察庁セキュリティポータルサイト@police
• http://www.cyberpolice.go.jp/
• ダウンロードしてビデオや講義を学習可能
ウイルスに感染してしまった
ら・・・？





あなたの目の前のパソコンが急に変なメッセージを
発したら？
あなたが予期しない動きをしはじめたら？
メール添付ファイルをクリックしたら急にパソコンが
不安定になったら？
ウイルスに感染している可能性が大です。
（問）そのとき、最初に何をすればいいでしょうか？
• パソコンの電源を切る
• パソコンショップに飛んで行き、
ウイルス対策ソフトを購入する
• ネットワークのケーブルを抜く
次に感染したウイルスに関する
情報を集めます



たとえば、「decrypt-password.exe」という添付
ファイルをクリックしてしまった場合を考えましょう。
感染しているパソコンはネットワークに接続でき
ませんから、ネットワーク接続できる他のパソコ
ンを使い、ブラウザで検索欄に
「decrypt-password.exe ウイルス」
などと入力して検索。
すると、これは有名な「FRETHEM」ウイルスであ
ることがわかりました。
ウイルスを駆除します



駆除ソフトをもっていなくても、無料ツールを利用
できます。
「トレンドマイクロウイルス駆除ツール」
http://www.trendmicro.com/jp/security/tool/ove
rview.htmに飛び、先ほど調べたウイルス名
「FRETHEM」の項に移動し、
説明に従ってダウンロードし
フロッピーディスクなどにコピーして、
感染したパソコンで駆除作業を実行
これで安心ではありません、これからはきちんと
ウイルス対策！
ウイルス対策
（１）オンラインサービスを利用してみよう！

（A）オンラインウイルススキャン
• ウイルスに感染したかどうかをチェックできる無料のツール。
オンラインで気軽にチェックできるところがよい。
（駆除は行わない。）
• 「シマンテックセキュリティチェック」（個人ユーザ向け）
http://www.symantec.com/region/jp/securitycheck/
をクリックし、ページ内「Security Check」から
「ウイルス検出」→「開始」
セキュリティ警告には「はい」と答えると、ActiveXを使ってパ
ソコン内を検査する。

(B)オンラインセキュリティスキャン
• ネットワークからのウイルスの進入を受けないために、セキュ
リティホールを検査する無料のツール。
上と同じ場所から、今度は
「セキュリティスキャン」→「開始」を選択、後は同じ
ウイルス対策
（２）無料お試し期間を活用してみよう！




ウイルス対策ソフトウエアの多くは、１ヶ月程度の無料
お試し期間を設けている。
従って、いろんなソフトウエアを試して比較検討すること
ができる。
ここでは１つを例に、インストール体験してみましょう。
ウイルスチェイサー
http://www.viruschaser.jp/download/download_vc.ht
ml
（３）気に入ったソフトは購入して継続的に対策
• 一度購入したからといって安心は禁物
• 常にパターンファイルを更新（契約更新も）
• 継続的なウイルス対策が必要
拡張子詐称（2重拡張子）ウイルスとは？
情報セキュリティ.doc
拡張子とは？ ファイル名のうち、後ろからみて最初のピリオド（．）までの文
字列（多くの場合は3文字、exe doc txt xls ppt htm など）を拡張子と呼び、
そのファイルの種類を表す。
たとえば、
exeは実行ファイル（プログラムなど）、
docはWORDで作成した文書ファイル、
xlsはエクセルファイル、
txtはメモ帳などで作成されたテキストファイル（文字のみのファイル）、
htmはホームページ関連のファイルである。
上記ファイルはＷＯＲＤで作成されたファイルであろうと推測される。
（なぜ、「である」ではなく、「推測される」なのか？）
拡張子詐称（2重拡張子）ウイルスとは？
情報セキュリティ.exe
exeはプログラムであるから、ファイル名を見ただけでは動作内容が不明確
である。
プログラムは何でもできてしまう。
メール添付で送られてきた場合、最も警戒するべき拡張子である。
逆に、文字のみのファイルであるtxtの拡張子は安心である（と思われる。）
つまり、「安全かどうかを見る簡単な方法はファイルの拡張子を見る」という
単純なことである。
しかしながら、フォルダ内のファイルを表示するときに
「登録されている拡張子は表示しない」がチェックされている場合が多い。
これがチェックされていると拡張子が見えないため、危険かどうかの判断が
難しい。
拡張子詐称（2重拡張子）ウイルスとは？
readme.txt.exe
どちらが本物？
たとえば、「readme.txt.exe」という（危険な）ファイルがあるとき、拡張子を表示させ
ていなければ、「readme.txt」となり、安全なテキストファイルであると錯覚してしまう。
これをダブルクリックしてしまうと、大変である。
このプログラムの実行を許可したことになり、結果は．．．．。
ファイルタイプの欄を見てみると、拡張子とプログラムの対応関係を確認することがで
きる。これは、その拡張子をもつファイルをダブルクリックしたときに、どのアプリケー
ションでファイルを開くのかを指定している。
（もちろん、自分で変更することも可能である。）
たとえば、docには「WORD」が対応付けられているし、
txtには通常「メモ帳」が対応づけられている。
拡張子を表示するには、フォルダをあけた状態で「ツール」→「フォルダオプション」→
「表示」から選択する。
拡張子詐称ウイルス体験
体験実習（あくまで体験だけです、本当のウイルスを使っているわけではありません）
準備：
「ツール」→「フォルダオプション」→「表示」から「登録されている拡張子は表示しな
い」をチェックする。
Aさんは以下のように判断しました。
１つめの「readme.exe」はプログラムなので危険そう。
２つめの「readme.htm」はホームページなのでいつも見ているのと同じくあまり危険
ではないかも？
３つめの「readme.txt」はテキストファイルなので危険ではない！
では、先ほどのチェックを外して、拡張子を表示させてみてください。こんどは危険な
ファイルはわかりますか？
拡張子に関する危険性
• フォルダオプションにより拡張子を常に表示
させておかないと危険なファイルとそうでな
いファイルの判断が難しい
• 例え表示させておいても、2重拡張子による
拡張子詐称の可能性があるので、しっかりと
ファイル名を（最後まで）チェックすることが
大切また、
• アイコンも詐称する可能性があるので、見た
だけで安易に判断することも危険である
情報ネットワークＩ
情報ネットワーク論
第7回
暗号と暗号化
月曜４限 Ｅ２０１
および
ｅ-ラーニング（www.tiesnet.jp)
経営情報学部
日置慎治
準備：アルファベットを環状に
ノートに書いておきましょう！
Ａ→Ｂ→Ｃ→Ｄ→Ｅ→Ｆ→Ｇ→Ｈ→Ｉ→Ｊ→Ｋ→Ｌ→Ｍ
↑
↓
Ｚ←Ｙ←Ｘ←Ｗ←Ｖ←Ｕ←Ｔ←Ｓ←Ｒ←Ｑ←Ｐ←Ｏ←Ｎ
暗号と暗号化
皆さんは、「暗号」と聞いて何を連想するでしょうか？
「通信内容を第三者にわからせないため、当事者の間で定めた仕方により平
文（＝普通の文章）を組織的に替えて表した記号」
（岩波「国語辞典」）
簡単にいうと・・・
？
メッセージ
たとえ見られたとしても、内容が分から
ないようにする仕組み
シーザー暗号
シーザー（カエサル、BC１０２－４４）
例えば、戦争をしているときに、前線にいる味方に戦法をつたえたいのだ
が、それを相手には知られてはならない。
シーザー暗号とは以下のような仕組み（アルゴリズム）で作成します。
アルファベットを３文字ずらして暗号とする。つまり、
Ａ，Ｂ，Ｃ，Ｄ，Ｅ，・・・，Ｚ を３文字ずつあとにずらして、それぞれを
Ｄ，Ｅ，Ｆ，Ｇ，Ｈ，・・・，Ｃ に置き換える。
以下のようになります。（Zを越えたらAに戻る）
Ａ→Ｂ→Ｃ→Ｄ→Ｅ→Ｆ→Ｇ→Ｈ→ Ｉ →Ｊ→Ｋ→Ｌ→Ｍ
↑
↓
Ｚ←Ｙ←Ｘ←Ｗ←Ｖ←Ｕ←Ｔ←Ｓ←Ｒ←Ｑ←Ｐ←Ｏ←Ｎ
３文字ずらすと
NARA
QDUD
伝えたいNARAを平文
奈良で待ち合わせ
暗号の方法
シーザー暗号を
暗号化アルゴリズム
QDUDを暗号文
待ち合わせは
NARA
３をカギ（キー）
３文字ずらして
QDUD
?
QDUD
３文字元に戻してNARAね
シーザー暗号化実習
空欄を埋めてみましょう
平文
NARA
NARA
HIOKI
鍵
3
4
8
25
暗号文
QDUD
HAL
共通カギ暗号方式
３文字元に戻してNARAね
３文字ずらして
QDUD
同じカギを使う方式
もしもカギが盗聴されたら…
弱点：事前にカギを渡して
おかなければならない
３
３文字元に戻してNARAだ！
共通カギの危険性
共通カギ暗号方式
Ｍ
Ｍ
カギまたはカギのコピーを
渡す必要がある
鍵配送問題
危険性
公開カギ暗号方式
暗号化と復号化で異なる２つの鍵を使う
片方で暗号化したものはもう片方でしか復号化
できない性質をもつ（重要！）
つまり、暗号化したのと同じ鍵では復号化できな
い！
秘密鍵
自分だけが持ち、
誰にも教えない
公開鍵
広くインターネットな
どで公開する
１人で２つの鍵を持つ
公開カギ暗号方式の安全性
ＡさんがＢさんに秘密のメッセージを送りたい
メッセージ
暗号化
Ｂさんの公開鍵
?
メッセージ
復号化
Ｂさんの秘密鍵
Ａさん
Ｂさん
公開カギ暗号方式と電子署名
本当に私が書いたのです（署名）
デジタル社会では？
従来は直筆や印鑑
•直筆は真似しにくい
•印鑑は持っているのが本人
容易にコピー（複製）が作成でき、
しかもオリジナルと完全に同じ！
本当にＡさんが署名したのか？の証明
その文書をＡさんの秘密鍵
で暗号化しておく
Ａさんの公開鍵で復号化できれ
ばこれは正しくＡさんのもの
これはＡさんにしかできない
復号化できなければ「偽物」
共通カギ暗号方式で
「カギを渡さずに安全に」は可能か？
カギを渡さずにメッセージを安全に送ることができれば…安全だ！
そんなことが可能か？
ＹＥＳ 可能である
暗号化・解読実習ＨＰ

シーザー暗号を使った暗号化・解読実習ＨＰ
• http://st.tezukayama-u.ac.jp/~hioki/angou/



暗号化
復号化
解読
ファイル暗号化実習
フリーソフト「アタッシュケース」を使って
http://www.vector.co.jp/soft/dl/win95/util/se280871.html





アタッシュケースを起動して、「動作設定」→「削除」にて
「暗号化した後、元ファイルを削除」をチェック、
「削除設定」にて「完全削除を行う」をチェックし、
乱数およびゼロ書き込み回数を指定する。
暗号化したいファイルをアタッシュケースにドラッグ＆ドロップ
実行形式出力を選ぶと、
元に戻すときにアタッシュケースは
不用（ダブルクリックするだけ）
パスワードを２度入力する。
ぜひ家庭・職場でも実践して下さい！
まとめ

学校におけるセキュリティポリシーを策定
• ＰＤＣＡサイクル

データには必ずセキュリティをかける
• 鍵のかかる場所に置く
• パスワードで保護
• （外部に持ち出す際は）暗号化する

セキュリティ教育を徹底させる
共通鍵暗号方式で
カギを渡さない方法
Ｍ
カギの受け渡しはない！
安全！