見出し画像

【高校情報Ⅰ 問題集・教科書】情報セキュリティ 法規による安全対策/マルウェアとウィルス/教科書準拠・共通テスト

情報セキュリティ 法規による安全対策

情報Ⅰ共通テスト対策 書籍出版します!


資料ダウンロード

情報教育の底上げが目的なので、資料を修正して、
学校・塾(営利目的含む)の授業等で利用して頂いて問題ありません。
私への連絡不要ですが、利用する際には、
YouTubeチャンネル・情報Ⅰ動画教科書・IT用語動画辞典を
紹介してもらえると嬉しいです。

■問題集
PDF
https://toppakou.com/info1/download/03_法規による安全対策/03_【問題】法規による安全対策.pdf

GoodNotes
https://toppakou.com/info1/download/03_法規による安全対策/03_【問題】法規による安全対策.goodnotes

■答え
https://toppakou.com/info1/download/03_法規による安全対策/03_【答え】法規による安全対策.docx

■パワーポイント
https://toppakou.com/info1/download/03_法規による安全対策/03_法規による安全対策.pptx

■学習指導案
https://toppakou.com/info1/download/03_法規による安全対策/【学習指導案】03_法規による安全対策.docx

文字おこし

最近、個人情報流出、不正アクセスなど情報セキュリティ関連のニュース多いと思いませんか。
今日は、セキュリティ対策の難関国家資格を保持している
情報処理安全確保支援士のがっき~に
情報セキュリティとは何か?どんな法律があるかについて聞いてみたいと思います。

情報セキュリティは、例えば 人のパソコンやスマートフォンの情報を盗み見たり、、データを書き換えたり破壊したりする不正行為や不慮の事故に対して、個人的、組織的、技術的双方から安全対策を講じることになります。

専門的な言い方では、情報のCIAを維持すること になります。
CはConfidentialityの略で、機密性。
IはIntegrityの略で、完全性
AはAvailabilityの略で可用性
これらを纏めて情報セキュリティの3要素と言います。

それぞれの項目の内容を具体例を説明していきます。

まず、機密性は、許可されている人、モノだけが使用できることになります。
たとえば、IDとパスワードが知っている人だけが利用できる Webページなどがありますよね。
現実社会で例えると、人気アイドルグループのコンサートを見るためには、入場チケットが必要ですよね。
最近は、IDやパスワードが流出して、機密情報を盗まれたりする事件、つまり機密性が脅かされる事件が多発しています。

次に、完全性は、内容が正しい状態が維持されていることになります。
たとえば、A君からBさんにメールを送った場合、途中で書き換えられたら大変ですよね。
この情報が書き換えられる行為のことを、改ざんと言います。
つまり、完全性は情報が改ざんされないようにすることになります。

最後に、可用性は、使いたいときにいつでも使えるようにする ことになります。

たとえば、テレビで紹介された企業のホームページにアクセスが集中して、内容がみれなかったりすることがあると思います。これは、可用性が失われていることになります。
大量にアクセスが来ても使えること、通信経路の機器が故障しても迂回路を使って通信できるようにすることが可用性を担保することになります。

情報漏洩などのセキュリティ事故が起こってから慌てて対応するのではなく、機密情報を扱うものは常にこのCIAを意識しなければいけません。
このような、情報の機密性や完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたものを情報セキュリティポリシーと言います。

最近は、情報漏洩という言葉がニュースをにぎわせています。
つぎは、どのような方法で情報が漏洩するのかについて説明していきます。

情報漏洩は、企業など限られた組織や個人だけに公開が許可されている情報が、何らかの理由で外部に流出してしまうことになります。
漏洩経路は様々ありますが、コンピュータウィルスに感染して情報漏洩する場合も多いです。

===
今、ウイルスと言って思い浮かぶのが新型コロナウィルスだとおもいます。
一般的な病気としてのウイルスの特徴は
ウイルスを吸い込むことで体内に入る

体内に入って増殖する

症状が出る
という段階が考えられます。
コンピュータウイルスも、病気のウイルスと同じような意味合いで、名付けられています。

経済産業省のコンピュータウイルスの対策基準では
次の機能を1つ以上有するものとしています。

自己伝染機能
 自らを複製して他のシステムに伝染する機能

潜伏機能
 発病まで ユーザーに察知させないように、特定の時刻や時間、処理回数になるまで症状を出さない機能。

発病機能
 プログラムやデータ等のファイル破壊を行ったり、利用者の意図しない動作をする機能


今説明した、コンピュータウイルスはマルウェアと呼ばれるものの一種になります。
マルウェアは悪意のあるソフトウェアの総称になります。

マルウェアの種類について説明していきます。

まずはワームです。ワームは虫という意味ですが、虫は1匹でも独立して生きていけますよね。ワームは、ウイルスのように他のプログラムに寄生せずに自立して存在してネットワークを経由して自身を複製しながら自己拡散するマルウエアのことです。

次にトロイの木馬です。
ウイルスやワームは増殖しますが、トロイの木馬は増殖しないマルウェアです。
利用者からは、便利な普通のツールソフトの様に見えますが、実際には裏では攻撃活動を行うものがあり、感染に気付かずに被害が長引く可能性があります。

このトロイの木馬の一種に、バックドアがあります。
 直訳すると裏口の意味で侵入したシステム内のコンピュータと攻撃者が通信を行う為のマルウェアになります。このバックドアを利用して、外部から攻撃の指示を行ったり、機密情報を送信したりします。

このバックドアを利用して、攻撃者から指令を受けて、さらに他のコンピュータやネットワークに対して攻撃することが特徴のマルウェアを、ボットと言います。

感染したコンピュータを含むシステムの情報を盗むことを目的としたマルウェアをスパイウェアといいます。

このスパイウェアの一種で、キーボードの操作履歴を記録して打ち込んだID,パスワードなどの機密情報入手するマルウエアがあります。これをキーロガーと言います。
ディスプレイに映っている情報丸ごとスクリーンショットを取得して情報を窃取するマルウエアをスクリーンロガーと言います。

====

最近は、ランサムウェアと呼ばれるマルウェアによる被害が多くなってきています。
ファイルを暗号化して読めない状態にしてしまい、復号してほしければお金つまり身代金を要求するマルウェアになります。

マルウェアはコンピュータのセキュリティ的な弱点を狙ってくることが多いです。
このような、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを脆弱性と言います。
他の用語でセキュリティホールと言われることもあります。

情報が漏洩しても、暗号化していれば盗まれても解読できないから大丈夫と思われるかもしれません。
ただ、暗号化技術の発展とともに、いたちごっこのように解読技術も発展しています。
実際数年前まで安全と言われてた暗号化技術が今は見破られる可能性があるといわれているものがあります。
このように、技術の発展と共に、暗号アルゴリズムの安全性のレベルが相対的に低下した状況を危殆化といいます。


マルウエアの分類について話していきます。
先ほどコンピュータウイルスについて話しましたが、
狭義の意味でコンピュータウイルスとされています。

トロイの木馬、ワーム、狭義の意味でのコンピュータウイルスのことを「広義のコンピュータウイルス」といいます。

==
マルウェアの他にも情報が盗まれる経路は沢山あります。

まずは、フイッシングです。
フィッシングは、正規のメールやWebページを装って、ユーザーID、パスワード、クレジットカード情報等を入力させて、それらを盗み取って悪用する詐欺のことになります。

これは、実際私に届いたフィッシングメールです。
見た目はアマゾンの様に見えます。差出人はアマゾンと書かれていますが、この部分はだれでも偽装することができます。

そして、このURLをクリックするとAmazonそっくりなページに飛んで
ID、パスワード、クレジット情報等を入力を促されます。入力すると本人になりすまして物が買われたり、クレジットカードが不正利用される可能性があります。

URLのこの部分は偽装することは難しいので、クリックする前に本物のAmazon.co.jpのURLと一致するかを確認することで被害を防げる可能性があります。

他には、ソーシャルエンジニアリングという人間心理に付け込む手法があります。
パスワードを知っている人を信用させて、パスワードを聞き出したり、盗み見たりする手法で、日常生活の中から人為的に機密情報を入手して、コンピュータを不正利用する手法になります。

聞き出すだけではなくて、ゴミ箱に機密情報が捨てられていた場合、それを盗むスキャベンジングという手法もあります。
紙媒体の機密情報はシュレッダーにかけて破棄するようにしましょう。
シュレッダーは量が多くなると手間ですが、企業によっては、セキュリティボックスと言って一度中にいれたら取り出し不可能なボックスに入れて、専門の破棄業者に依頼することも多いです。

他にはコンピュータの誤操作、メールの誤送信など人為的な過失によって情報漏洩は起こります。これをヒューマンエラーと言います。
技術的な対策はもちろんですが、人為的なミスを防ぐための教育も行うことが大切になります。

コンピューターやネットワーク、ネットワークに接続された端末を標的とした犯罪のことをサイバー犯罪と言います。
今度は、サイバー犯罪を罰する法律にはどのようなものがあるかということを見ていきましょう。

他の人のIDやパスワードを不正に利用したり、データの改ざん、コンピュータへの不正侵入などを行うことを禁止する法律を、不正アクセス禁止法といいます。
正式名称は、不正アクセス行為の禁止などに関する法律といいます。

不正アクセス禁止法は、2000年2月13日に施行された法律で、2021年9月現在は、不正アクセス行為をした者は、3年以下の懲役または百万円以下の罰金が科せられます。

その他、2003 年に成立した「個人情報の保護に関する法律」略して「個人情報保護法」があります。
例えば、AmazonやYahoo等でものを買ったり、何かのサービスに加入する場合も住所氏名電話番号などが必要になることが多いです。
個人情報保護法では個人情報を
 「生存する個人に関する情報であって,当該情報に含まれる氏名,生年月日その他の記述などによって特定の個人を識別できるもの(他の情報と容易に照合することができ,それによって特定の個人を識別することができることとなるものを含む。),または個人識別符号が含まれるもの。」と定義しています。

特に、氏名、住所、生年月日、性別の4つを「基本四情報」といいます。
個人識別符号とは、マイナンバーや免許証やパスポートの番号などのことを言います。
個人情報については、次回の単元でさらに詳しく説明していきます。

不正アクセス禁止法、個人情報保護法については、情報セキュリティに関する技術変化と共に、法律の内容が変更される可能性があります。
最新の情報は総務省が運営するイーガブという電子政府の総合窓口で詳しく調べることができます。

他には、電子消費者契約法があります。
電子消費者契約法とは、正式には「電子消費者契約及び電子承諾通知に関する民法の特例に関する法律」といいます。

たとえば、契約するつもりはなかったのに、間違ってマウスを一回クリックするだけで契約済になってしまったなどのワンクリック詐欺などから被害者を保護する法律になります。

―――――

【解説重要用語】
情報セキュリティの3要素、機密性、完全性、可用性、CIA、コンピュータウイルス
、自己伝染機能、潜伏機能、発病機能、マルウェア、ワーム、トロイの木馬、バックドア、ボット、スパイウェア、キーロガー、スクリーンロガー、ランサムウェア、危殆化、脆弱性、ソーシャルエンジニアリング、ヒューマンエラー、個人情報保護法、不正アクセス禁止法、電子消費者契約法

★私の目標
「とある男が授業をしてみた」 の葉一さん
https://www.youtube.com/user/toaruotokohaichi
※Google社に招待頂いた、「YouTube教育クリエイターサミット2020」で
 葉一さんと文部科学省・Google役員の対談セッションに感銘を受けて、高校情報講座スタートしています。

【参考サイト・参考文献】
大阪市消費者センター:電子消費者契約法って、なに? (消費者関係法) (osaka.lg.jp)
https://www.city.osaka.lg.jp/lnet/page/0000002409.html

文部科学省 「情報Ⅰ」教員研修用教材
https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/1416756.htm

詳細(情I703 高校情報I Python)|情報|高等学校 教科書・副教材|実教出版 (jikkyo.co.jp) 検定通過版
https://www.jikkyo.co.jp/book/detail/22023322

令和4年度新版教科書「情報Ⅰ」|高等学校 情報|日本文教出版 (nichibun-g.co.jp)検定通過版
https://www.nichibun-g.co.jp/textbooks/joho/2022_joho01_1/textbook/

その他、情報処理技術者試験(全レベル1~4)/IT企業15年勤務(システム技術部 部長)経験から培った知識を交えながら解説しています。

かわいいフリー素材集 いらすとや (irasutoya.com)


いいなと思ったら応援しよう!