Transcript 「情報セキュリティマネジメント」とは

共通教育
「情報セキュリティ・モラル」
第3週 情報セキュリティ
学習内容
1.
2.
3.
4.
インターネットに潜む危険
情報セキュリティ
情報セキュリティマネジメント
個人レベルの情報セキュリティ対策
2
本時の目標について
 情報セキュリティの必要性とその強化のために
自分たちにできることを認識すること。
 自己の立場に相応しいやり方で情報セキュリティ
に対する責任を負うべきことを理解すること。
 個人レベルの情報セキュリティ対策を確実に行う
ことができるようになること。
3
1. インターネットに潜む危険
インターネットの普及によって，私たちの生活は大き
く変化した。ほんの数年前であれば想像の世界でしか
なかったことが，IT技術の進展に伴い，次々と実現され
ている。しかし，利便性が高まる一方で，新しい技術を
悪用する行為も後を絶たない。個人情報や機密情報の
漏えい，ウイルス被害等は，社会基盤や生活環境を脅
かす大きな要因となりつつある。
4
高水準で推移するウイルス被害
 ウイルス届出件数は1999年より急増。
 2002年，2003年と減少したが，2004年から再び増加に
転じる。
 巧妙化と凶悪化が最近の特徴。
 ウイルス届出はIPAセキュリティセンターのWebページに
毎月掲載。
コンピュータウイルスの届出状況については，次のWebページ
を参照すること。
http://www.ipa.go.jp/security/txt/list.html
5
コンピュータウイルスとは
「コンピュータウイルス」又は単に「ウイルス」とは，コンピュー
タに被害を与えたり，コンピュータを利用して犯罪その他の不正
行為を行ったりといった，不正な利用目的で作られたプログラム
をいう。
 コンピュータウイルスは，狭義には他のプログラムに寄生して自分
自身の複製を作ることのできるプログラムのことであり，宿主を必要
としないワームやトロイの木馬などとは区別されていたが，近年は，
これらを区別せず，一括してウイルスと呼んでいる。
 コンピュータウイルス，スパイウェア，クラックツール等を含む不正な
プログラムを総称して，「マルウェア」という。
6
増え続けるサイバー犯罪
「サイバー犯罪」とは，コ
ンピュータやネットワークを
攻撃する，又はそれらを利
用した犯罪のことであるが，
警察庁によると，その検挙
件数は，増加の一途をた
どっている。
（平成20年2月29日警察庁広報資料）
7
増え続けるサイバー犯罪（その2）
（平成20年2月29日警察庁広報資料）
8
不正アクセスとは
「不正アクセス」とは，不正な手段によりネットワークを介して
情報にアクセスすることをいう。
不正アクセス行為の禁止等に関する法律（平成11年法律第
128号。「不正アクセス禁止法」と略す。）は，電気通信回線（ネッ
トワーク）に接続しているコンピュータが処理する情報の機密性
を保護するための法律である。不正アクセス行為又はそれを助
長する行為をした者は，1年以下の懲役又は50万円以下の罰
金に処せられる（不正アクセス禁止法第8条）。
9
IDとパスワード
IDとパスワードは，本人認証（ある人が他者に自分が確かに
本人であることを納得させること）のために用いる情報である。
「ＩＤ」とは，ユーザを特定するために用いられる文字列をいい，
「パスワード」とは，正規のユーザであることをコンピュータに通
知するために用いられる，あらかじめ取り決めた文字列をいう。
※ IDを「ユーザアカウント」ということもあるが，「アカウント」と
は，本来は，コンピュータやネットワークを利用するための資
格のことである。
10
不正アクセス被害の例
DVD ビデオクリップ 「３．抗議殺到の原因はフィッシング!」
物語編 (2分)
解説編 (5分)
=> 確認問題「不正アクセス対策」
11
不正アクセス行為の例（その1）
ID・パスワードは例えば
フィッシング詐欺で取得
（http://www.npa.go.jp/cyber/legislation/gaiyou/gaiyou.htmより引用）
12
不正アクセス行為の例（その2）
（情報セキュリティ上の弱点）
（http://www.npa.go.jp/cyber/legislation/gaiyou/gaiyou.htmより引用）
13
不正アクセスによる不正行為
不正行為
内 容
盗聴
ネットワーク上のデータや保存データを不正に入手。情報窃盗。
（例）・パスワードの盗用 ・企業データの漏えい
・個人データ（メール，日記等）の盗み見
改ざん
データを書き換え。（例）・Webページの改ざん，設定書換え
なりすまし
別の個人を装い，さまざまな行為を行う。
（例）・IDとパスワードを盗み出し，正当なユーザーに見せかけて侵入
・他人のクレジットカードでショッピング
破壊
データやプログラムの削除，ハードディスクの初期化など。
コンピュータ不正
使用
コンピュータを不正に使用する。
（例）・コンピュータを遠隔地から操作
不正プログラムの
埋め込み
不正プログラムには，ユーザの知らない間に情報を入手して
外部へ送信したり，ファイルを破壊するなど様々な悪さを働くもの
がある。これらのプログラムを埋め込む。
踏み台
不正アクセスを行う際の中継地点として使用する。
（例）・アカウントを不正使用し他のサイト攻撃の拠点とする
・スパムメール(spam mail)の中継
14
不正行為の類型と内容
類
型
内
容
盗聴
データの密かな盗み見や情報窃盗
改ざん
内容の不当な書換え
なりすまし
その人であるかのような振舞い
破壊
データやプログラムの削除，ハードディスクの初期化など
不正使用
遠隔操作による，権限のないコンピュータの使用
埋め込み
不正プログラムの密かなインストール
踏み台
不正な目的のためのコンピュータの一時的な利用
15
2. 情報セキュリティ
情報セキュリティに関する国際的な関心の高まりを受けて，
OECD（経済協力開発機構）は，2002年7月25日の第1037回
会合で理事会勧告として，「情報システム及びネットワークの
セキュリティのためのガイドライン（OECD Guidelines for the
Security of Information Systems and Networks）」を採択した。
このガイドラインの副題は，「セキュリティ文化の普及に向け
て（Towards a Culture of Security）」となっている。我が国で
も，セキュリティ文化の普及に向けた各種の活動が活発に行
われており，情報セキュリティの必要性とその強化のために
自分たちにできることを認識することが求められている。
16
セキュリティとは
「セキュリティ（security）」とは，対象を危険な状態から守り，そ
の安全を保つことをいう。
セキュリティに対応する日本語は，保護する対象に応じてさまざ
まである。
 保安 人，鉄道，航空等が対象。
 警備 人，企業，建物，場所等が対象。
 治安 社会が対象。
 安全保障 国家が対象。
17
情報セキュリティとCIA
「情報セキュリティ」とは，情報の機密性（confidentiality），完全
性（integrity）及び可用性（availability）を維持することをいい，機密
性，完全性及び可用性のことを，英語名の頭文字をとって「情報
セキュリティのCIA」と呼ぶ。
機密性 アクセスを認可された者だけが情報にアクセスすること
ができることを確実にすること。
完全性 情報が正確であること及びその処理方法が完全である
ことを保護すること。
可用性 認可された利用者が必要なときに情報及び関連する資
産にアクセスすることができることを確実にすること。
18
CIAが維持できないと
機密性の喪失
漏えい
個人情報流出
完全性の喪失
改ざん・誤記入
年金記録漏れ
可用性の喪失
情報システムが機能
しない
IT社会の崩壊
履修登録ができな
い
19
セキュリティ文化とは
「セキュリティ文化」とは，情報システムやネットワークを開発
し，又は利用するすべての人（以下「参加者（participants）」とい
う。）が，それらを開発し，又は利用するに当たり，セキュリティ
意識をもって行動することで形成される，情報セキュリティを当
り前のものとする文化をいう。
ここで，
「セキュリティ意識」とは，情報セキュリティの必要性とその
強化のために自分にすることができることとを認識し，自己の
立場に相応しいやり方で情報セキュリティに対する責任を負
い，義務を果たそうと考える心の働きのことである。
20
情報システムとは（参考）
「情報システム」という言葉は，コンピュータ，ソフトウェアその
他の情報を処理する仕組みをもつものの総称である。
（情報システムの例）
コンピュータ
ソフトウェア
通信機器
21
セキュリティ意識をもった行動
情報セキュリティを意識しなきゃ。
強化に必要なことは．．．
情報セキュリティを意識しないと。
強化に必要なことは．．．
不正アクセスを防ぐ手段を
組み込んでおこう．．．
開発者
IDとパスワードを大事に
管理しよう．．．
文化： 物の考え方や行動規範。
セキュリティ意識をもった行動
=セキュリティ文化の普及
利用者
22
3. 情報セキュリティマネジメント
セキュリティ文化の普及に向けて，すべての参加者はセキュ
リティ意識をもって行動するようにしなければならない。しかし，
情報システムやネットワークを取り巻く環境の変化が激しく，絶
えず新たな脅威が出現する高度情報通信ネットワーク社会にお
いては，それだけでは十分といえず，情報セキュリティを確保す
るため，総合的な情報セキュリティ対策を選択して実施し，継続
的に改善していくという情報セキュリティマネジメントの考え方を
取り入れていく必要がある。
23
情報セキュリティマネジメントとISMS
「マネジメント」は，経営管理を表す言葉であるが，より具体的
には，ある目標を達成するために効率的な手段を選択し，それ
を実施することである。
「情報セキュリティマネジメント」とは，情報セキュリティを確保し
強化するため，効率的な手段を選択し，それを実施することをい
う。
情報セキュリティマネジメントの具体的な仕組みが「情報セキュ
リティマネジメントシステム（Information Security Management
System）」であり，略して「ISMS」と呼ばれる。
24
セキュリティの管理って何？
DVD ビデオクリップ 「７．情報を守るにはポリシーを持って」
物語編（3分）
=> 確認問題「情報漏洩の危険はありませんか？」
解説編(8分)
=> 確認問題「情報セキュリティポリシーとは」
25
情報セキュリティポリシー
組織の情報セキュリティに関する方針を示すとともに，
情報セキュリティマネジメントのための取組みを包括的
に規定した文書を，「情報セキュリティポリシー」という。
山口大学においても情報セキュリティポリシーが策定されて
おり，構成員（職員及び学生）は，ポリシーが求める義務を果た
すように務めなければならない。
山口大学の情報セキュリティポリシー（基本方針）については，次のWeb
ページを参照すること。
http://www.cc.yamaguchi-u.ac.jp/security/housin.pdf
26
情報セキュリティポリシーの文書構成
情報セキュリティポリシーは，一般に「基本方針」，「対策基準」
及び「実施手順」で構成される。
(Why)
基本方針
この部分を情報セキュリティ
ポリシーと呼ぶこともある。
(What)
対策基準
(How)
実施手順
27
ISMSについて
ISMSは，情報セキュリティの確保と強化のための基盤である。
情報セキュリティの確保と強化
情報セキュリティの確保と強化
マネジメントの具体的な仕組み（ISMS）
ISMSは，プロセスアプローチに基づくPDCAサイクルとして構
築される。
28
プロセスアプローチとは
「プロセス」とは，インプットをアウトプットに変換する活動のこと。
インプット プロセスによる変換の対象となるもの。
アウトプット プロセスによる変換の結果として得られるもの。
組織が行う活動の全体を，相互に関連する一連のプロセスと
して捉え，マネジメントするという考え方が，「プロセスアプロー
チ」である。
29
PDCAサイクルとは
「PDCAサイクル」とは，一定の方針の下に何をどうするかを
計画し（Plan），計画したことを実施し（Do），実施の状況を点検
し（Check），点検の結果に基づき計画したことの維持や改善と
いった措置を講ずる（Act）ことを繰り返すプロセスをいう。
O/I （アウトプット/インプット）
イ
ン
プ
ッ
ト
Plan
Do
O/I
Check
O/I
Act
O/I
ア
ウ
ト
プ
ッ
ト
30
ISMSとPDCAサイクル
情
報
セ
キ
ュ
リ
テ
ィ
に
対
す
る
要
求
と
期
待
Act
ISMSの維持と改善
Check
ISMSの監視とレビュー
ISMS
Plan
ISMSの確立
Do
ISMSの導入と運用
情
報
セ
キ
ュ
リ
テ
ィ
の
確
保
と
強
化
31
4. 個人レベルの情報セキュリティ対策
コンピュータウイルスや不正アクセスなど，インター
ネットには，情報セキュリティを脅かす要因がいろいろ
ある。自己の立場に相応しいやり方で情報セキュリティ
に対する責任を負い，義務を果たすため，個人レベル
の情報セキュリティ対策を確実に行う必要がある。
個人レベルの情報セキュリティ対策の詳細については，IPA
セキュリティセンターの次のWebページを参照すること。
http://www.ipa.go.jp/security/personal/base/index.html
32
これだけはやろう！ 情報セキュリティ対策
Ⅰ パソコン購入直後のセキュリティ設定
購入したばかりのパソコンは，必ずしも安全な状態になっているわけで
はない。情報セキュリティの設定をして，安心安全に利用しよう。
Ⅱ インターネット利用時のセキュリティ設定
インターネットでいろいろなWebページを見て楽しむためにも，安心して
利用することができるよう，まずは情報セキュリティの設定をしておくことが
大切である。
Ⅲ メール利用時のセキュリティ設定
電子メールのやり取りは，とても楽しいものである。安心して楽しく電子
メールのやり取りをすることができるよう，情報セキュリティの設定を確認し
よう。
33
パソコン購入直後のセキュリティ設定
3つのポイント
① IDとパスワードの設定をする
・安全なパスワードにしよう ～パスワードの心得～
・IDとパスワードの設定 ～後から設定する場合～
② OSやソフトウェアを常に最新の状態にする
・自動的に修正プログラムを取り込むように設定する
・手動で修正プログラムを取り込む ～Windows Update～
③ ウイルス対策ソフトを導入する
・ウイルス定義ファイルの自動更新
・コンピュータウイルスの侵入を常に監視
34
適切なパスワードを付けないと．．．
DVD ビデオクリップ 「２．安直なパスワードで重大事件」
物語編（3分）
解説編（3分）
=> 確認問題「パスワード大丈夫ですか？」
35
パスワードの心得
 ID，生年月日，キーボード上の文字の並びといった容易
に推測されるパスワードは，使用しない。
 英単語や商品名を組み合わせただけ，又は数字だけの
パスワードは，使用しない。
 パスワードは，8文字以上にする。
 パスワードには，英数字以外の文字を少なくとも一つは
含めるようにする。
 パスワードは，定期的に変更する。
 パスワードは，秘匿し，他人に知られないようにする。
36
IDとパスワードの設定
「スタート」→
「コントロールパネル」 →
「ユーザアカウント」
をクリックすると，ユーザ
アカウントの設定画面が
表示されるので，自分の
アカウントをクリックする。
（http://www.ipa.go.jp/security/personal/base/computer/point1.htmlより引用）
37
IDとパスワードの設定（その2）
「パスワードを作成する」
をクリックする。
（http://www.ipa.go.jp/security/personal/base/computer/point1.htmlより引用）
38
IDとパスワードの設定（その3）
「新しいパスワードの入
力」と「新しいパスワード
の確認入力」に同じパス
ワードを入力し，「パス
ワードの作成」をクリック
する。
（http://www.ipa.go.jp/security/personal/base/computer/point1.htmlより引用）
39
自動的に修正プログラムを取り込む
ように設定する（参考）
「スタート」→
「コントロールパネル」 →
「セキュリティセンター」
をクリックし，セキュリティ
センターの画面が表示さ
れたら，「自動更新」をク
リックする。
（http://www.ipa.go.jp/security/personal/base/computer/point2.htmlより引用）
40
自動的に修正プログラムを取り込む
ように設定する（参考その2）
「自動（推奨）」を選び，「OK」を
クリックする。更新の頻度と時
間は，自分のパソコンを使う頻
度や時間を考えて，できるだ
けこまめに自動更新がされる
ように設定する。
（http://www.ipa.go.jp/security/personal/base/computer/point2.htmlより引用）
41
手動で修正プログラムを取り込む（参考）
「スタート」→
「すべてのプログラム」→
「Microsoft Update」又は
「Windows Update」
を選び，画面を表示させ，「高
速」をクリックすると，自動的に
修正プログラムの取込み（イン
ストール）が始まる。
（http://www.ipa.go.jp/security/personal/base/computer/point2.htmlより引用）
42
インターネット利用時のセキュリティ設定
3つのポイント
① ブラウザ（Internet Explorer）のセキュリティ設定をする
・インターネットオプションでセキュリティの設定
・ActiveX，スクリプトの設定
・クッキー，ポップアップの設定
② 怪しいサイトからのダウンロードはしない
・ダウンロード時に警告メッセージが出たときには要注意
③ 掲示板利用時の注意
詳細については，IPAセキュリティセンターの次のWebページを
参照すること。
43
http://www.ipa.go.jp/security/personal/base/internet/index.html
メール利用時のセキュリティ設定
4つのポイント
① メールソフトのセキュリティ設定をする
② 添付ファイルの取扱いに注意する
③ ファイルの拡張子をすべて表示させる
④ 怪しいファイルを見分けよう
詳細については，IPAセキュリティセンターの次のWebページを
参照すること。
http://www.ipa.go.jp/security/personal/base/mail/index.html
44
最後に
コンピュータウイルスに感染したり，ハードディスクが破損した
りしたため，あなたのパソコンに保存していた大事なデータ（作成
した文書，取り込んだ音楽コンテンツや映像等）が利用できなく
なってしまった。これは，可用性が喪失した状態である。このよう
な事態に備え，どのような情報セキュリティ対策を採ればよいだ
ろうか。
可用性を維持するための一つの手段は，こまめにバックアップを取ること
である。「バックアップ」とは，一定時点のデータを他の記録媒体（例えばCD，
DVD等）にコピーすること又はそのコピーされたものをいうが，バックアップが
あれば，他のパソコンを利用することで，可用性を維持することができる。 45