情報セキュリティ論(2019年度)
近年のコンピュータとインターネットの発展により,従来とは比べられないほど,組織から個人にいたるまでの利便性が向上しているが,それと同時に,情報の漏洩,改ざんなどの様々な脅威にもさらされることとなった.しかしながら,現在のところ,一般利用者の多くが,これらの脅威に対するセキュリティ知識を身につけておらず,たとえ知っていたとしても,正しく理解していない場合も多い.
本講義では,情報セキュリティの概念や考え方,世の中に存在する数多くの脅威,セキュリティを維持するためのフレームワーク(マネジメント)や基本技術・応用技術,セキュリティに関係する法律など,本来は多岐にわたる情報セキュリティの内容を,情報処理安全確保支援士である担当教員が,俯瞰的に解説する.また,コンピュータに対して必要とされるセキュリティ対策をより深く理解するため,暗号解読などの演習や実システム・実物の紹介(例:クラッキングツール,生体認証システム,UPS)も行う.
到達目標
1)知識・技能の観点
- 情報セキュリティの基本となる考え方やそのマネジメント法,世の中に存在する様々な脅威を理解することができる.
- 一般的に使われている情報セキュリティ技術の内容を正しく理解することができる.
- 情報セキュリティにかかわる様々な法律を理解することができる.
2)思考力・判断力・表現力等の能力の観点
- 授業全体を通して説明する様々な脅威やその対策,マネジメント,法律を体系的に捉えることができる.
- 情報セキュリティ分野の幅広い内容をを正しく理解し,論理的かつわかりやすく文章で説明することができる.
3)主体的な態度の観点
- 情報セキュリティ分野の最先端の内容を知るために,時事を通して課題を主体的に見つけ,改善点を挙げることができる.
授業計画
| 第1回 | ガイダンス(講義計画,成績評価の方法),情報セキュリティの概要 |
|---|---|
| 第2回 | 情報セキュリティの考え方 |
| 第3回 | 情報資産に対する脅威(1) |
| 第4回 | 情報資産に対する脅威(2) |
| 第5回 | 情報資産に対する脅威(3),情報漏えいの原因及び対策 |
| 第6回 | 情報セキュリティマネジメントシステム(1) |
| 第7回 | 情報セキュリティマネジメントシステム(2),演習:暗号解読 |
| 第8回 | セキュリティを提供する要素技術:暗号・署名(1)―共通鍵暗号― |
| 第9回 | セキュリティを提供する要素技術:暗号・署名(2)―公開鍵暗号― |
| 第10回 | セキュリティを提供する要素技術:暗号・署名(3)―ハッシュ関数,デジタル署名,PKI― |
| 第11回 | 技術的セキュリティ対策(1)―アンチウィルス・ファイアウォール― |
| 第12回 | 技術的セキュリティ対策(2)+物理的セキュリティ対策―アクセス制御・認証・可用性対策― |
| 第13回 | 人的セキュリティ対策+組織的セキュリティ対策―運用面・実用面・ポリシー面での対策― |
| 第14回 | 情報法(1)―国際基準と国内法― |
| 第15回 | 情報法(2)―知的財産権とその他の法律― |
時間外学習
デジタル情報やパソコン,インターネットの仕組みが出てくるため,基礎知識が足りない人は,あらかじめ勉強する必要がある(IPアドレスやポート番号,DNS,ルータ,メモリなどの言葉が何を指しているかわからない人は,勉強を必要とする).
暗号・署名技術では数学的な話もある.
内容が多岐にわたり,様々な分野の考え方が求められる関係上,講義内で話す内容だけで完全に理解することは難しく,事前学習や事後学習が必要となる.事前学習では,参考となる書籍やURLを事前に関大LMSにアップするため,それらの内容の確認,事後学習では講義の内容をより理解するための任意課題の提出や,情報処理技術者試験を基にした問題を関大LMSにて公開する.
成績評価の方法・基準・評価
「定期試験(70%),レポートも含めた平常点(30%)」もしくは「定期試験(100%)」で評価する.定期試験の問題形式等,詳細は第1回目で説明する.
定期試験の問題を解くためには,情報セキュリティとは何かを俯瞰的に理解しているか(全体像を正しく理解できているか)どうかが必要となる.また,定期試験の問題は基本的に選択式であり記述式ではないため,6割以上の正解が必要となる. 以上より,各観点からの評価は次の通りである.
1)知識・技能の観点
- 情報セキュリティに対する理解度を問う定期試験(100% もしくは 70%)
- 各講義内容に関連した,情報処理技術者試験を基にした問題(+α)
2)思考力・判断力・表現力等の能力の観点
- 情報セキュリティに対する思考力・判断力を問うレポート課題(選択した場合のみ,30%)
- 各講義後に出される任意課題(+α)
3)主体的な態度の観点
- ミニッツペーパーの内容(+α)
教科書
特定の教科書は使用しない.ただし,参考書にあげてある,『情報セキュリティ読本 五訂版 - IT時代の危機管理入門 -』『図解入門 よくわかる最新情報セキュリティの基本と仕組み―基礎から学ぶセキュリティリテラシー』『徹底攻略 情報セキュリティマネジメント教科書』が準教科書に近く,この書籍の内容に,様々な書籍の内容を付け加えた資料を用いて講義を実施する.
なお,講義で使用する資料は事前に関大LMSにて公開・配布するため,適宜ダウンロード・印刷しておくこと.
参考書
- 情報処理推進機構 『情報セキュリティ読本 五訂版 - IT時代の危機管理入門 -』 (実教出版)
- 相戸浩志 『図解入門 よくわかる最新情報セキュリティの基本と仕組み―基礎から学ぶセキュリティリテラシー[第3版]』 (秀和システム)
- 情報処理推進機構 『情報セキュリティ教本 改訂版 -組織の情報セキュリティ対策実践の手引き』 (実教出版)
- 結城浩 『暗号技術入門 第3版 ー秘密の国のアリス』(ソフトバンククリエイティブ)
- 株式会社SCC 教育事業推進本部 セキュリティ教育部 『最新 わかりすぎる情報セキュリティの教科書~マイナンバー制度/改正個人情報保護法対応~』 (エスシーシー)
- 榎原博之(編著) 『改訂版基礎から学ぶ情報処理』 (培風館)
- 佐々木良一(著,編集) 『ITリスク学 ―「情報セキュリティ」を超えて』 (共立出版)
- きたみりゅうじ 『改定4版 図解でよくわかる ネットワークの重要用語解説』 (技術評論社)
- 株式会社わくわくスタディワールド 『徹底攻略 情報セキュリティマネジメント教科書』 (インプレス) ※どの年度でも可
- きたみりゅうじ 『キタミ式イラストIT塾 ITパスポート』『キタミ式イラストIT塾 基本情報技術者』 (技術評論社) ※どの年度でも可
- より専門的な他の参考書については,講義中に適時,紹介する.
フィードバックの方法
ミニッツペーパーでの質問や問い合わせは,次回授業時に返答する.各任意課題についても,提出者に対してはコメントを入れた上で,教員による模範解答を渡す.
備考
講義の性質上,情報機器やインターネットに関する一般的な知識,さらには数学的な考え方・知識が必要となる.講義中でも簡単な説明はするが,正しく理解するためには,事前学習・事後学習が必須である.
履修予定者は,1)初回から出席すること,2)情報セキュリティ全体を説明することから,幅広い知識が必要となり、かなり難しい科目であること、3)簡単に単位は取ることができないこと(毎年半数近くが不認定になっている)に注意する必要がある.特に,ほぼ欠席の学生の単位取得率は1割にも満たない.
出席は単位認定条件に入っていないが,各回が連動している関係上,出席しないと体系立てて理解できず,間違いなく話についていけない.例えば,要素技術を説明する第8回~第10回で説明すれば,第8回・第9回を欠席して,第10回に出席しても,内容は絶対に理解できない(第8回・第9回を前提に進めているため).同様に,第9回の内容も,第8回の内容が必須である.さらに,これらがなぜ必要かきちんと理解しようと思えば,それまでの講義内容(~第7回)が必要となる.
前もって必ず履修すべき科目は特にないが,法の問題や人のモラル,マネジメントといった幅広い分野を横断的に扱うため,『安全と法制度』『法学概論』『倫理学』『心理学』といった基礎科目,『コンプライアンス論』『リスクマネジメント論』『危機管理とリーダーシップ』『リスク評価法』『リスクコミュニケーション』等の専門科目,『道徳教育の理論と方法』などの自由科目など,幅広い分野の知識を修得しておいた方が理解が進む可能性が高い.
最後に,本講義は情報セキュリティを体系的に学ぶことができる講義科目である.参考文献に,情報処理技術者試験である「ITパスポート試験」「情報セキュリティマネジメント試験」「基本情報技術者試験」に関する書籍があるように,これらの試験内容のうち,セキュリティに関わる部分はほぼすべて含むような内容になっており,間接的にネットワークなどのIT全般の知識も簡潔ながら習得することもできる.これらは国家資格であり,新卒採用活動(エントリーシート)や研修などに幅広く活用されている.これらの資格を取ろうと考えている学生には,それらの知識を身に着ける機会となる.