教科書の指導要領.indb

目　　次

第 1 章　情報セキュリティ技術基礎

1-1　情報セキュリティ概論...2 1-2　TCP/IP モデルとそのセキュリティ...3 1-3　ネットワークセキュリティ（1）...4 1-4　ネットワークセキュリティ（2）...5 1-5　ネットワークセキュリティ（3）...6

第 2 章　情報セキュリティ上のリスク

2-1　ネットワークへの攻撃（1）...8 2-2　ネットワークへの攻撃（2）...9 2-3　ネットワークへの攻撃（3）...10 2-4　ネットワーク障害...11

第 3 章　情報セキュリティの運用、対策

3-1　情報セキュリティマネジメント...13 3-2　認証技術...14 3-3　暗号の基本技術...15 3-4　暗号の応用技術...16 3-5　ネットワークセキュリティ対策...17 3-6　セキュリティ運用技術...18

情報セキュリティ

技術基礎

2 1-1 情報セキュリティ概論

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

情報セキュリティ概論

1-1

概念と定義、アプローチ、リスク、脅威、脆弱性、対策等

履修目標

情報セキュリティの基本的な概念や定義を理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント 概念や定義は、このあとに出てくる知識や技術に共通する重要な要素です。説明する際は、単に読み上げ るのではなく、どの技術にかかわってくるかなども説明しましょう。 たとえば、「機密性」や「否認防止」は暗号、「完全性」はログ管理、「可用性」は事業継続計画、「責任追跡性（ア カウンタビリティ）」は認証などの技術で説明するとわかりやすいでしょう。 最新の定義に関しては、JIS.Q.27000 シリーズや一般財団法人日本情報経済社会推進協会（JIPDEC）の ISMS 関連資料等を参照してください。

ISMS 適合性評価制度・ISMS 認証に関するガイド類～JIPDEC

https://www.isms.jipdec.or.jp/std/index.html 「脅威」に関しては、IPA セキュリティセンターで公開されている「10 大脅威」の最新版や最近起こった情 報セキュリティインシデント事例などと併せて説明するとわかりやすいでしょう。 2016 年版「10 大脅威」～IPA セキュリティセンター https://www.ipa.go.jp/security/vuln/10threats2016.html 「脆弱性」に関しては、最近公開された脆弱性を「JVN（Japan.Vulnerability.Notes）」などの情報をもと に説明するとわかりやすいでしょう。

JVN（Japan Vulnerability Notes）

3 1-2 そのセキュリティ

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

TCP/IP モデルと

そのセキュリティ

1-2

TCP/IP7 層の機能と特徴、DoD モデル、IPv4/v6、トポロジー等

履修目標

ネットワーク技術の基本となるTCP/IPの基本的な機能について理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント ネットワークや TCP/IP の基本的な機能を丁寧に説明してください。詳細については、公開されている RFC などを参考にしてください。 インターネットセキュリティに関する RFC は、下記を参照してください。 「インターネットセキュリティに関する RFC」～IPA セキュリティセンター https://www.ipa.go.jp/security/rfc/RFC.html

4 1-3 ネットワークセキュリティ（1）

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

ネットワークセキュリティ（1）

1-3

主なプロトコル（ARP、ICMP、HTTP、FTP、DNS、SMTP）の機能とリスク①

履修目標

ネットワーク技術の基本となる TCP/IP の基本的な機能について理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント 単にプロトコルやサービスの説明をするだけではなく、ネットワークやクラウドコンピューティングでど のように使われるかを説明するようにしましょう。

5 1-4 ネットワークセキュリティ（2）

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

ネットワークセキュリティ（2）

1-4

主なプロトコル（ARP、ICMP、HTTP、FTP、DNS、SMTP）の機能とリスク②

履修目標

ネットワークの主なプロトコルの基本的な機能について理解する（1-3 と同様）。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント 1-3 と同様に、単にプロトコルやサービスの説明をするだけではなく、ネットワークやクラウドコンピュー ティングでどのように使われるかを説明するようにしましょう。

6 1-5 ネットワークセキュリティ（3）

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

ネットワークセキュリティ（3）

1-5

主なネットワーク機器（HUB、スイッチ、ルータ、無線ネットワーク）の機能と

リスク

履修目標

主なネットワーク機器の基本的な機能について理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント ネットワーク機器の種類とその役割や機能を説明しましょう。ネットワーク機器の実物を見てもらったり、 機器の写真などで見てもらったりすると、さらに理解を深めることができるでしょう。ネットワークやクラ ウドコンピューティングでどのように使われるかを説明するようにしましょう。

情報セキュリティ上の

リスク

8 2-1 ネットワークへの攻撃（1）

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

ネットワークへの攻撃（1）

2-1

攻撃のプロセス、攻撃者の類型とプロファイル、攻撃の目的と動機等

履修目標

ネットワークに対する攻撃のプロセスと、それを行う攻撃者やその目的と動機につい て理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント ここでは、攻撃者の種類や目的と動機等を説明しています。最近実際に起こったサイバー攻撃やサイバー 犯罪の事件などを取り上げ、それに当てはめて説明したり、逆に受講者に説明させたりしてみましょう。 また、攻撃の手法やプロセスに関しては、決して悪用しないよう注意と倫理教育を行ってください。イン ターネットの倫理については、RFC.1087「倫理とインターネット」が一般的です。RFC.1087 では、以下の 5 つの項目が非倫理的であり、許容できない行為であるとされています。 (a). インターネットの資源への認可されていないアクセスを得ようとすること (b). インターネットの意図された利用を混乱させること (c). そのような活動を通じて資源（人、能力およびコンピュータ）を無駄にすること (d). コンピュータベースの情報のインテグリティ（完全性）を破壊すること (e). ユーザのプライバシーを侵すこと 日本語訳全文等の詳細は、下記を参照してください。

RFC 1087 ”Ethics and the Internet” （日本語訳「倫理とインターネット」）

9 2-2 ネットワークへの攻撃（2）

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

ネットワークへの攻撃（2）

2-2

情報収集・偵察行為（ポートスキャン、バナーチェック、Whois サービス、

Google ハッキング等）

履修目標

ネットワークに対する攻撃のプロセスのうち、侵入や攻撃の具体的な手法について理 解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント 可能であれば、取り上げられているネットワークコマンドを使った実演デモや演習などをしてください。 主なツールやサービスは、以下の通りです。 nmap https://nmap.org/ 「Whois サービス」～株式会社日本レジストリサービス（JPRS） http://whois.jprs.jp/ Google 詳細検索 https://www.google.co.jp/advanced_search

10 2-3 ネットワークへの攻撃（3）

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

ネットワークへの攻撃（3）

2-3

侵入・攻撃（不正アクセス、DoS/DDoS、ウイルス、盗聴、なりすまし等）

履修目標

ネットワークに対する攻撃のプロセスのうち、侵入や攻撃の具体的な手法について理 解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント ここでも、2-1 と同様に、最近実際に起こったサイバー攻撃やサイバー犯罪の事件などを取り上げ、それに 当てはめて説明したり、逆に受講者に説明させたりしてみましょう。 その事件をもとに、その原因や防止や検知の方法等を検討するとよいでしょう。

11 2-4 ネットワーク障害

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

ネットワーク障害

2-4

主なネットワーク障害とその原因（設計ミス、設定ミス、運用ミス、H/W 障害、

S/W 障害等）

履修目標

ネットワーク障害の主な種類や原因について理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント ここでは、最近実際に起こったネットワーク障害の事故などを取り上げ、それに当てはめて説明したり、 逆に受講者に説明させたりしてみましょう。ネットワーク障害の事故は、身の回りに起こっていることも多 いと思います。実際に、自分が体験したネットワーク障害の事故があれば、それを事例に説明をするとよい でしょう。または、受講者の中にネットワーク障害の事故を体験している人がいれば、説明してもらうのも いいでしょう。 その事例をもとに、その原因の分析や障害の対応の方法や手順を検討してみましょう。

情報セキュリティの運用、

対策

13 3-1 マネジメント

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

情報セキュリティ

マネジメント

3-1

リスク分析、リスク評価、リスク対応、情報資産の分類

履修目標

情報セキュリティマネジメントの全体のプロセスとリスクマネジメントの作業の概要 について理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント 情報セキュリティマネジメントのプロセスやリスクアセスメントの手法やそのプロセスを説明するだけで はなく、仮想ケースなどの題材を使い、リスクアセスメント等を擬似的に行ってみるなどするとさらに理解 が深まるでしょう。 情報セキュリティマネジメントのプロセスやリスクアセスメントの手法やそのプロセスに関しては、JIS.Q. 27000 シリーズや一般財団法人日本情報経済社会推進協会（JIPDEC）の ISMS 関連資料等を参照してくださ い。

ISMS 適合性評価制度・ISMS 認証に関するガイド類～JIPDEC

14 3-2 認証技術

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

認証技術

3-2

アクセス制御方式、識別、認証、認可、フィルタリング等

履修目標

アクセス制御の方式と認証のプロセス、基本的な機能について理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント 認証技術は、クラウドコンピューティングでは利用者を識別する重要な技術です。ここで学んだ技術を、 実際のクラウドコンピューティングサービス（Google、AWS、Microsoft、Yahoo! 等）での認証に、当ては めて説明してみましょう。

15 3-3 暗号の基本技術

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

暗号の基本技術

3-3

定義、共通鍵暗号、公開鍵暗号、ハッシュ関数、ハイブリッド方式等

履修目標

暗号の用語の定義、基本的技術の方式とそのプロセスについて理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント 暗号技術は、暗号化そのものだけではなく、3-2 の認証や電子証明書、電子署名等に使われている要素技術 です。そのため、用語や定義、基本的な技術、プロセスを丁寧に説明してください。

16 3-4 暗号の応用技術

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

暗号の応用技術

3-4

VPN、PKI、電子証明書、電子署名、電子透かし等

履修目標

暗号の用語の定義、応用技術の方式とそのプロセスについて理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント 3-3 で学んだ暗号の基本的な技術をもとに、PKI や電子証明書、電子署名、VPN などを説明してください。 さらに、これらの技術がクラウドコンピューティングでは、どこにどういう目的で使われているか説明して ください。

17 3-5 セキュリティ対策

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

ネットワーク

セキュリティ対策

3-5

ファイアウォール、IDS/IPS、ウイルス対策

履修目標

ネットワークセキュリティ対策の基本的な機能について理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント ここでは、ネットワークセキュリティの基本的な対策技術を説明します。単に対策技術を説明するだけで はなく、第 2 章で学んだ攻撃や障害などに対してどのように機能するのかを説明してください。

18 3-6 セキュリティ運用技術

1

情報セキュリティ技術基礎

2

情報セキュリティ上のリスク

3

情報セキュリティの運用、対策

セキュリティ運用技術

3-6

脆弱性検査、インシデント対応、リカバリー等

履修目標

ネットワーク運用技術の基本的なプロセスと機能について理解する。 標準学習時間 90 分 ※　授業時間が 50 分の場合は、2 回に分けて実施してください。 指導のポイント ここでは、セキュリティの運用技術について説明します。単に対策技術を説明するだけではなく、第 2 章 で学んだ攻撃や障害などに対してどのように機能するのかを説明してください。また、実際の攻撃や障害の 事例などを使い、実際にどのように使えるのかを検討してみましょう。

平成 28 年度文部科学省委託「成長分野等における中核的専門人材養成等の戦略的推進事業」 情報セキュリティ分野の中核的専門人材養成の新たな学習システム構築推進プロジェクト

情報セキュリティ基礎【学習指導要領】

平成 29 年 2 月 学校法人岩崎学園 情報科学専門学校 〒 221-0835　神奈川県横浜市神奈川区鶴屋町 2-17 電話：045-311-5562 ●本書の内容を無断で転記、掲載することは禁じます。