情報セキュリティ論
近年のコンピュータとインターネットの発展により,従来とは比べられないほど,組織から個人にいたるまでの利便性が向上しているが,それと同時に,情報の漏洩,改ざんなどの様々な脅威にもさらされることとなった.しかしながら,現在のところ,一般利用者の多くが,これらの脅威に対するセキュリティ知識を身につけておらず,たとえ知っていたとしても,正しく理解していない場合も多い.
本講義では,情報セキュリティの概念や考え方,世の中に存在する数多くの脅威,セキュリティを維持するためのフレームワーク(マネジメント)や基本技術・応用技術,セキュリティに関係する法律など,本来は多岐にわたる情報セキュリティの内容を,情報処理安全確保支援士でもある担当教員が,俯瞰的に解説する.また,コンピュータに対して必要とされるセキュリティ対策をより深く理解するため,暗号解読などの演習や実システム・実物の紹介(例:クラッキングツール,生体認証システム,UPS)も行う.さらに,2020年以降の大きく変化した環境下で求められるようになった「ゼロトラスト」にも触れる.
到達目標
1)知識・技能の観点
- 情報セキュリティの基本となる考え方やそのマネジメント法,世の中に存在する様々な脅威を理解することができる.
- 一般的に使われている情報セキュリティ対策の内容(技術的対策・人的対策・物理的対策・組織的対策)を正しく理解することができる.
- 情報セキュリティにかかわる様々な法律を理解することができる.
2)思考力・判断力・表現力等の能力の観点
- 授業全体を通して説明する様々な脅威やその対策,マネジメント,法律を体系的に捉えることができる.
- 情報セキュリティ分野の幅広い内容を正しく理解し,論理的かつわかりやすく文章で説明することができる.
3)主体的な態度の観点
- 情報セキュリティ分野の最先端の内容を知るために,時事を通して課題を主体的に見つけ,改善点を挙げることができる.
授業計画
| 第1回 | ガイダンス(講義計画,成績評価の方法),情報セキュリティの概要 |
|---|---|
| 第2回 | 情報セキュリティの考え方 |
| 第3回 | 情報資産に対する脅威(1)―不正アクセスの概要,パスワードクラッキング,様々なサイバー攻撃①ー |
| 第4回 | 情報資産に対する脅威(2)―様々なサイバー攻撃②,マルウェア,フィッシング詐欺・不正請求― |
| 第5回 | 情報資産に対する脅威(3)―標的型攻撃,ソーシャルエンジニアリング,話題のサイバー攻撃―,情報漏えいの原因と対策 |
| 第6回 | 情報セキュリティマネジメントシステム(1)―ポリシー,ISMSの基本的な考え方― |
| 第7回 | 情報セキュリティマネジメントシステム(2)―ISMSの具体的な実施方法―,演習:暗号解読 |
| 第8回 | セキュリティを提供する要素技術:暗号・署名(1)―共通鍵暗号― |
| 第9回 | セキュリティを提供する要素技術:暗号・署名(2)―公開鍵暗号― |
| 第10回 | セキュリティを提供する要素技術:暗号・署名(3)―ハッシュ関数,デジタル署名,PKI― |
| 第11回 | 技術的セキュリティ対策(1)―SSL,アンチウィルス― |
| 第12回 | 技術的セキュリティ対策(2)―ファイアウォール,アクセス制御,認証― |
| 第13回 | 可用性対策・物理的対策・人的対策・組織的対策,ゼロトラスト |
| 第14回 | 情報法(1)―国際基準と国内法― |
| 第15回 | 情報法(2)―知的財産権とその他の法律― |
時間外学習
デジタル情報やパソコン,インターネットの仕組みが出てくるため,基礎知識が足りない人は,あらかじめ勉強する必要がある(IPアドレスやポート番号,DNS、ルータ、メモリなどの言葉が何を指しているかわからない人は,勉強を必要とする).
暗号・署名技術では数学的な話もある.
内容が多岐にわたり,様々な分野の考え方が求められる関係上,講義内で話す内容だけで完全に理解することは難しく,事前学習や事後学習が必要となる.事前学習では,参考となる書籍やURLを事前に関大LMSにアップするため,それらの内容の確認,事後学習では講義の内容をより理解するための任意課題の提出や,情報処理技術者試験を基にした問題を関大LMSにて公開する.
授業内容は,復習用のため録画し,後日配信予定なため,必要に応じて学習に利用すること.
講義で触れる内容は,セキュリティの基本的な内容である.そのため,2020年以降の大きく変化した環境下では,この内容では対応できないところも多々ある.新しい考え方である「ゼロトラスト」も含め,これからの「DX時代」「アフターコロナ時代」に求められるセキュリティについても軽く触れるが,基本的には時間外学習となる.
成績評価の方法・基準・評価
定期試験(筆記試験)の成績と平常成績で総合評価する.
「定期試験(100%)+α」で評価する.「+α」の部分は平常成績部分であるが,あくまで+αであるため積極的には評価せず,原則,定期試験の結果で評価する.
※定期試験の問題形式等,詳細は第1回目で説明する.
定期試験の問題を解くためには,情報セキュリティとは何かを俯瞰的に理解しているか(全体像を正しく理解できているか)どうかが必要となる.また,定期試験の問題は基本的に選択式であり記述式ではないため,6割以上の正解が必要となる. 以上より,各観点からの評価は次の通りである.
1)知識・技能の観点
- 情報セキュリティに対する理解度を問う定期試験(100%)
- 各講義内容に関連した,講義後に出される情報処理技術者試験を基にした任意の問題(+α)
2)思考力・判断力・表現力等の能力の観点
- 各講義後に出される,情報セキュリティに対する思考力や判断力を問う任意課題(+α)
3)主体的な態度の観点
- ミニッツペーパーの内容(+α)
教科書
特定の教科書は使用しない.なお,講義で使用する資料は事前に関大LMSにて公開・配布するため,適宜ダウンロード・印刷しておくこと.
参考書
- 情報処理推進機構 『情報セキュリティ読本 六訂版 - IT時代の危機管理入門 -』 (実教出版,2022年)978-4407361179
- 相戸浩志 『図解入門 よくわかる最新情報セキュリティの基本と仕組み―基礎から学ぶセキュリティリテラシー[第3版]』 (秀和システム,2010年)978-4798025582
- 中村行宏,若尾靖和,林静香 『図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書』 (技術評論社,2021年)978-4297121068
- 株式会社SCC 教育事業推進本部 セキュリティ教育部 『最新 わかりすぎる情報セキュリティの教科書~マイナンバー制度/改正個人情報保護法対応~』 (エスシーシー,2016年) 978-4886472410
- 若狭直道 『図解入門 よくわかる最新情報セキュリティの技術と対策』 (秀和システム,2021年)978-4798064635
- 結城浩 『暗号技術入門 第3版 ー秘密の国のアリス』(ソフトバンククリエイティブ,2015年)978-4797382228
- 佐々木良一(著,編集) 『ITリスク学 ―「情報セキュリティ」を超えて』 (共立出版,2013年)978-4320123304
- 勝村幸博 『ゼロトラスト Googleが選んだ最強のセキュリティー』 (日経BP社,2021年) 978-4296108992
- きたみりゅうじ 『改訂5版 図解でよくわかる ネットワークの重要用語解説』 (技術評論社,2020年) 978-4297111717
- 株式会社わくわくスタディワールド 『徹底攻略 情報セキュリティマネジメント教科書』 (インプレス) ※どの年度でも可
- きたみりゅうじ 『キタミ式イラストIT塾 ITパスポート』『キタミ式イラストIT塾 基本情報技術者』 (技術評論社) ※どの年度でも可
- 高橋京介 『いちばんやさしいITパスポート 絶対合格の教科書+出る順問題集』 (ソフトバンククリエイティブ) ※どの年度でも可
- より専門的な他の参考書については,講義中に適時,紹介する.
フィードバックの方法
ミニッツペーパーでの質問や問い合わせは,次回授業時に返答する.各任意課題についても,提出者に対してはコメントを入れた上で,教員による模範解答を渡す.
担任者への問合せ方法
オフィスアワー
・授業の前後で対応する.
その他
・学部HPに公開されているメールアドレスもしくは関大LMSの機能を利用すること.
備考
講義の性質上,情報機器やインターネットに関する一般的な知識,さらには数学的な考え方・知識が必要となる.講義中でも簡単な説明はするが,それらの知識が不十分な履修者は,事前学習・事後学習が必須である.
本講義は,情報セキュリティ全体を説明することから,幅広い知識が必要となり,総合力が問われる科目であることに注意する必要がある.出席は単位認定条件に入っていないが,各回が連動している関係上,出席しないと体系立てて理解できず,間違いなく話についていけない.
例えば,要素技術を説明する第8回~第10回で説明すれば,第8回・第9回を欠席して,第10回に出席しても,第8回・第9回の内容を知らない状態では第10回の内容は絶対に理解できない.同様に,第9回の内容も,第8回の内容が必須である.さらに,これらがなぜ必要かきちんと理解しようと思えば,それまでの講義内容(~第7回)への俯瞰的な理解が必要となる.
そこで,学生の理解度向上の一助として,授業はリアルタイム配信およびその内容を録画したオンデマンド配信(一週間限定)する予定である.対面が前提であるものの,一度では理解が難しい場合は復習用として利用すること.
最後に,本講義は情報セキュリティを体系的に学ぶことができる講義科目である.参考文献に,情報処理技術者試験である「ITパスポート試験」「情報セキュリティマネジメント試験」「基本情報技術者試験」に関する書籍があるように,これらの試験内容のうち,セキュリティに関わる部分はほぼすべて含むような内容になっており,間接的にネットワークなどのIT全般の知識も簡潔ながら習得することもできる.これらは国家資格であり,新卒採用活動(エントリーシート)や研修などに幅広く活用されている.これらの資格を取ろうと考えている学生には,それらの知識を身に着ける機会となる.
※BYOD[ノートPC]の必要性について
- BYOD[ノートPC]を使用する場合がある.
- PCのOSは問わないが,推奨仕様のOSであるWindowsもしくはMacOSを前提とする.
- 情報セキュリティの必要性や技術の使われ方をより理解するため,各種演習・実験で利用したり,自身のPCでの設定を確認したりする予定である.ノートPCがない場合は,後日,自身で確認・検証すること.