共通教育「情報セキュリティ・モラル」第 3 週　情報セキュリティ

共通教育「情報セキュリティ・モラル」第3週　情報セキュリティ共通教育「情報セキュリティ・モラル」第3週　情報セキュリティ

学習内容 1.　インターネットに潜む危険 2.　情報セキュリティ 3.　情報セキュリティマネジメント 4.　個人レベルの情報セキュリティ対策 2 2 2

本時の目標について • 情報セキュリティの必要性とその強化のために自分たちにできることを認識すること。 • 自己の立場に相応しいやり方で情報セキュリティに対する責任を負うべきことを理解すること。 • 個人レベルの情報セキュリティ対策を確実に行うことができるようになること。 3 3

1.　インターネットに潜む危険 　インターネットの普及によって，私たちの生活は大きく変化した。ほんの数年前であれば想像の世界でしかなかったことが，IT技術の進展に伴い，次々と実現されている。しかし，利便性が高まる一方で，新しい技術を悪用する行為も後を絶たない。個人情報や機密情報の漏えい，ウイルス被害等は，社会基盤や生活環境を脅かす大きな要因となりつつある。 4 4 4

高水準で推移するウイルス被害 ウイルス届出件数は1999年より急増。 2002年，2003年と減少したが，2004年から再び増加に転じる。巧妙化と凶悪化が最近の特徴。ウイルス届出はIPAセキュリティセンターのWebページに毎月掲載。　コンピュータウイルスの届出状況については，次のWebページを参照すること。 http://www.ipa.go.jp/security/txt/list.html 5

　「コンピュータウイルス」又は単に「ウイルス」とは，コンピュータに被害を与えたり，コンピュータを利用して犯罪その他の不正行為を行ったりといった，不正な利用目的で作られたプログラムをいう。コンピュータウイルスとは • コンピュータウイルスは，狭義には他のプログラムに寄生して自分自身の複製を作ることのできるプログラムのことであり，宿主を必要としないワームやトロイの木馬などとは区別されていたが，近年は，これらを区別せず，一括してウイルスと呼んでいる。 • コンピュータウイルス，スパイウェア，クラックツール等を含む不正なプログラムを総称して，「マルウェア」という。 6

増え続けるサイバー犯罪 　「サイバー犯罪」とは，コンピュータやネットワークを攻撃する，又はそれらを利用した犯罪のことであるが，警察庁によると，その検挙件数は，増加の一途をたどっている。（平成20年2月29日警察庁広報資料） 7

増え続けるサイバー犯罪（その2） （平成20年2月29日警察庁広報資料） 8

　「不正アクセス」とは，不正な手段によりネットワークを介して情報にアクセスすることをいう。不正アクセスとは　不正アクセス行為の禁止等に関する法律（平成11年法律第128号。「不正アクセス禁止法」と略す。）は，電気通信回線（ネットワーク）に接続しているコンピュータが処理する情報の機密性を保護するための法律である。不正アクセス行為又はそれを助長する行為をした者は，1年以下の懲役又は50万円以下の罰金に処せられる（不正アクセス禁止法第8条）。 9

IDとパスワード 　「ＩＤ」とは，ユーザを特定するために用いられる文字列をいい，「パスワード」とは，正規のユーザであることをコンピュータに通知するために用いられる，あらかじめ取り決めた文字列をいう。 IDとパスワードは，本人認証（ある人が他者に自分が確かに本人であることを納得させること）のために用いる情報である。 ※IDを「ユーザアカウント」ということもあるが，「アカウント」と　は，本来は，コンピュータやネットワークを利用するための資　格のことである。 10 10

不正アクセス被害の例 DVD ビデオクリップ「３．抗議殺到の原因はフィッシング!」物語編 (2分) 解説編 (5分) => 確認問題「不正アクセス対策」

不正アクセス行為の例（その1） ID・パスワードは例えばフィッシング詐欺で取得（http://www.npa.go.jp/cyber/legislation/gaiyou/gaiyou.htmより引用） 12

不正アクセス行為の例（その2） （情報セキュリティ上の弱点）（http://www.npa.go.jp/cyber/legislation/gaiyou/gaiyou.htmより引用） 13

不正アクセスによる不正行為 14

不正行為の類型と内容 15

2.　情報セキュリティ 情報セキュリティに関する国際的な関心の高まりを受けて，OECD（経済協力開発機構）は，2002年7月25日の第1037回会合で理事会勧告として，「情報システム及びネットワークのセキュリティのためのガイドライン（OECD Guidelines for the Security of Information Systems and Networks）」を採択した。このガイドラインの副題は，「セキュリティ文化の普及に向け　て（Towards a Culture of Security）」となっている。我が国で　も，セキュリティ文化の普及に向けた各種の活動が活発に行われており，情報セキュリティの必要性とその強化のために自分たちにできることを認識することが求められている。 16 16 16

　「セキュリティ（security）」とは，対象を危険な状態から守り，その安全を保つことをいう。セキュリティとは • 保安　人，鉄道，航空等が対象。 • 警備　人，企業，建物，場所等が対象。 • 治安　社会が対象。 • 安全保障　国家が対象。　セキュリティに対応する日本語は，保護する対象に応じてさまざまである。 17 17

情報セキュリティとCIA 　「情報セキュリティ」とは，情報の機密性（confidentiality），完全性（integrity）及び可用性（availability）を維持することをいい，機密性，完全性及び可用性のことを，英語名の頭文字をとって「情報セキュリティのCIA」と呼ぶ。機密性　アクセスを認可された者だけが情報にアクセスすること　ができることを確実にすること。完全性　情報が正確であること及びその処理方法が完全である　ことを保護すること。可用性　認可された利用者が必要なときに情報及び関連する資　産にアクセスすることができることを確実にすること。 18 18 18

漏えい 個人情報流出機密性の喪失完全性の喪失年金記録漏れ改ざん・誤記入可用性の喪失情報システムが機能しない履修登録ができない IT社会の崩壊 CIAが維持できないと 19 19

　「セキュリティ文化」とは，情報システムやネットワークを開発し，又は利用するすべての人（以下「参加者（participants）」という。）が，それらを開発し，又は利用するに当たり，セキュリティ意識をもって行動することで形成される，情報セキュリティを当り前のものとする文化をいう。　「セキュリティ意識」とは，情報セキュリティの必要性とその強化のために自分にすることができることとを認識し，自己の立場に相応しいやり方で情報セキュリティに対する責任を負い，義務を果たそうと考える心の働きのことである。セキュリティ文化とはここで， 20 20

　「情報システム」という言葉は，コンピュータ，ソフトウェアその他の情報を処理する仕組みをもつものの総称である。ソフトウェアコンピュータ通信機器情報システムとは（参考）（情報システムの例） 21

セキュリティ意識をもった行動 情報セキュリティを意識しなきゃ。強化に必要なことは．．．情報セキュリティを意識しないと。強化に必要なことは．．．不正アクセスを防ぐ手段を組み込んでおこう．．． IDとパスワードを大事に管理しよう．．．開発者利用者文化：物の考え方や行動規範。セキュリティ意識をもった行動 =セキュリティ文化の普及 22

3.　情報セキュリティマネジメント 　セキュリティ文化の普及に向けて，すべての参加者はセキュリティ意識をもって行動するようにしなければならない。しかし，情報システムやネットワークを取り巻く環境の変化が激しく，絶えず新たな脅威が出現する高度情報通信ネットワーク社会においては，それだけでは十分といえず，情報セキュリティを確保するため，総合的な情報セキュリティ対策を選択して実施し，継続的に改善していくという情報セキュリティマネジメントの考え方を取り入れていく必要がある。 23 23 23

情報セキュリティマネジメントとISMS 　「情報セキュリティマネジメント」とは，情報セキュリティを確保し強化するため，効率的な手段を選択し，それを実施することをいう。　「マネジメント」は，経営管理を表す言葉であるが，より具体的には，ある目標を達成するために効率的な手段を選択し，それを実施することである。　情報セキュリティマネジメントの具体的な仕組みが「情報セキュリティマネジメントシステム（Information Security Management System）」であり，略して「ISMS」と呼ばれる。 24 24 24

セキュリティの管理って何？ DVD ビデオクリップ「７．情報を守るにはポリシーを持って」物語編（3分） => 確認問題「情報漏洩の危険はありませんか？」解説編(8分) => 確認問題「情報セキュリティポリシーとは」

情報セキュリティポリシー 　組織の情報セキュリティに関する方針を示すとともに，情報セキュリティマネジメントのための取組みを包括的に規定した文書を，「情報セキュリティポリシー」という。　山口大学においても情報セキュリティポリシーが策定されており，構成員（職員及び学生）は，ポリシーが求める義務を果たすように務めなければならない。　山口大学の情報セキュリティポリシー（基本方針）については，次のWebページを参照すること。 http://www.cc.yamaguchi-u.ac.jp/security/housin.pdf 26 26 26

この部分を情報セキュリティポリシーと呼ぶこともある。この部分を情報セキュリティポリシーと呼ぶこともある。基本方針対策基準実施手順情報セキュリティポリシーの文書構成　情報セキュリティポリシーは，一般に「基本方針」，「対策基準」及び「実施手順」で構成される。 (Why) (What) (How) 27

情報セキュリティの確保と強化 マネジメントの具体的な仕組み（ISMS） ISMSは，プロセスアプローチに基づくPDCAサイクルとして構築される。 ISMSについて ISMSは，情報セキュリティの確保と強化のための基盤である。情報セキュリティの確保と強化 28 28

プロセスアプローチとは 　「プロセス」とは，インプットをアウトプットに変換する活動のこと。　組織が行う活動の全体を，相互に関連する一連のプロセスとして捉え，マネジメントするという考え方が，「プロセスアプローチ」である。インプット　プロセスによる変換の対象となるもの。アウトプット　プロセスによる変換の結果として得られるもの。 29 29 29

PDCAサイクルとは 　「PDCAサイクル」とは，一定の方針の下に何をどうするかを計画し（Plan），計画したことを実施し（Do），実施の状況を点検し（Check），点検の結果に基づき計画したことの維持や改善といった措置を講ずる（Act）ことを繰り返すプロセスをいう。 O/I （アウトプット/インプット） O/I O/I O/I アウトプットインプット 30 30 30

ISMS ISMSとPDCAサイクル情報セキュリティに対する要求と期待情報セキュリティの確保と強化 Check ISMSの監視とレビュー Plan ISMSの確立 Do ISMSの導入と運用 Act ISMSの維持と改善 31 31

4.　個人レベルの情報セキュリティ対策 　コンピュータウイルスや不正アクセスなど，インターネットには，情報セキュリティを脅かす要因がいろいろある。自己の立場に相応しいやり方で情報セキュリティに対する責任を負い，義務を果たすため，個人レベルの情報セキュリティ対策を確実に行う必要がある。　個人レベルの情報セキュリティ対策の詳細については，IPAセキュリティセンターの次のWebページを参照すること。 http://www.ipa.go.jp/security/personal/base/index.html 32 32 32

これだけはやろう！情報セキュリティ対策 Ⅰ パソコン購入直後のセキュリティ設定　　購入したばかりのパソコンは，必ずしも安全な状態になっているわけで　はない。情報セキュリティの設定をして，安心安全に利用しよう。 Ⅱ インターネット利用時のセキュリティ設定　　インターネットでいろいろなWebページを見て楽しむためにも，安心して　利用することができるよう，まずは情報セキュリティの設定をしておくことが　大切である。 Ⅲ メール利用時のセキュリティ設定　　電子メールのやり取りは，とても楽しいものである。安心して楽しく電子　メールのやり取りをすることができるよう，情報セキュリティの設定を確認し　よう。 33 33

パソコン購入直後のセキュリティ設定3つのポイントパソコン購入直後のセキュリティ設定3つのポイント ①　IDとパスワードの設定をする　　・安全なパスワードにしよう　～パスワードの心得～　　・IDとパスワードの設定　～後から設定する場合～ ②OSやソフトウェアを常に最新の状態にする　　・自動的に修正プログラムを取り込むように設定する　　・手動で修正プログラムを取り込む　～Windows Update～ ③　ウイルス対策ソフトを導入する　　・ウイルス定義ファイルの自動更新　　・コンピュータウイルスの侵入を常に監視 34 34

適切なパスワードを付けないと．．． DVD ビデオクリップ「２．安直なパスワードで重大事件」　物語編（3分）　　解説編（3分） => 確認問題「パスワード大丈夫ですか？」 35

パスワードの心得 • ID，生年月日，キーボード上の文字の並びといった容易に推測されるパスワードは，使用しない。 • 英単語や商品名を組み合わせただけ，又は数字だけのパスワードは，使用しない。 • パスワードは，8文字以上にする。 • パスワードには，英数字以外の文字を少なくとも一つは含めるようにする。 • パスワードは，定期的に変更する。 • パスワードは，秘匿し，他人に知られないようにする。 36

IDとパスワードの設定 「スタート」→ 「コントロールパネル」 → 「ユーザアカウント」をクリックすると，ユーザアカウントの設定画面が表示されるので，自分のアカウントをクリックする。 37 （http://www.ipa.go.jp/security/personal/base/computer/point1.htmlより引用）

IDとパスワードの設定（その2） 「パスワードを作成する」をクリックする。 38 （http://www.ipa.go.jp/security/personal/base/computer/point1.htmlより引用）

IDとパスワードの設定（その3） 「新しいパスワードの入力」と「新しいパスワードの確認入力」に同じパスワードを入力し，「パスワードの作成」をクリックする。 39 （http://www.ipa.go.jp/security/personal/base/computer/point1.htmlより引用）

自動的に修正プログラムを取り込むように設定する（参考）自動的に修正プログラムを取り込むように設定する（参考）「スタート」→ 「コントロールパネル」 →「セキュリティセンター」をクリックし，セキュリティセンターの画面が表示されたら，「自動更新」をクリックする。（http://www.ipa.go.jp/security/personal/base/computer/point2.htmlより引用） 40

自動的に修正プログラムを取り込むように設定する（参考その2）自動的に修正プログラムを取り込むように設定する（参考その2）「自動（推奨）」を選び，「OK」をクリックする。更新の頻度と時間は，自分のパソコンを使う頻度や時間を考えて，できるだけこまめに自動更新がされるように設定する。 41 （http://www.ipa.go.jp/security/personal/base/computer/point2.htmlより引用）

手動で修正プログラムを取り込む（参考） 「スタート」→ 「すべてのプログラム」→「Microsoft Update」又は「Windows Update」を選び，画面を表示させ，「高速」をクリックすると，自動的に修正プログラムの取込み（インストール）が始まる。（http://www.ipa.go.jp/security/personal/base/computer/point2.htmlより引用） 42

インターネット利用時のセキュリティ設定3つのポイントインターネット利用時のセキュリティ設定3つのポイント ①　ブラウザ（Internet Explorer）のセキュリティ設定をする　　・インターネットオプションでセキュリティの設定　　・ActiveX，スクリプトの設定　　・クッキー，ポップアップの設定 ②　怪しいサイトからのダウンロードはしない　　・ダウンロード時に警告メッセージが出たときには要注意 ③　掲示板利用時の注意　詳細については，IPAセキュリティセンターの次のWebページを参照すること。 http://www.ipa.go.jp/security/personal/base/internet/index.html 43 43

メール利用時のセキュリティ設定4つのポイントメール利用時のセキュリティ設定4つのポイント ①　メールソフトのセキュリティ設定をする ②　添付ファイルの取扱いに注意する ③　ファイルの拡張子をすべて表示させる ④　怪しいファイルを見分けよう　詳細については，IPAセキュリティセンターの次のWebページを参照すること。 http://www.ipa.go.jp/security/personal/base/mail/index.html 44 44

　コンピュータウイルスに感染したり，ハードディスクが破損したりしたため，あなたのパソコンに保存していた大事なデータ（作成した文書，取り込んだ音楽コンテンツや映像等）が利用できなくなってしまった。これは，可用性が喪失した状態である。このような事態に備え，どのような情報セキュリティ対策を採ればよいだろうか。最後に　可用性を維持するための一つの手段は，こまめにバックアップを取ることである。「バックアップ」とは，一定時点のデータを他の記録媒体（例えばCD，DVD等）にコピーすること又はそのコピーされたものをいうが，バックアップがあれば，他のパソコンを利用することで，可用性を維持することができる。 45 45

共通教育 「情報セキュリティ・モラル」 第 3 週 情報セキュリティ