1
統計と情報処理 第 07 回 情報セキュリティ
大久保誠也 静岡県立大学経営情報学部
2/30
はじめに
はじめに
情報倫理
人的なセキュリティとは
セキュリティ的な脅威の代表例
セキュリティポリシー、セキュリティ対策基準3/30
情報倫理
4/30
情報倫理とは何か
情報を扱う上で、守らなければならないルール。
ネット上に限らず、守らなければならないルールが多 い。ex:著作権、プライバシーの侵害等々
ネットワークを介することで、何か問題が起きたとき の影響が、非常に大きいことに!ex:張り紙→ 影響は近所だけ
ネット→ 世界中に影響が!5/30
著作権
レポート作成
そのままコピーしたりすると、
著作権侵害になります ネットで情報収集だ
インターネットで容易 に情報が集まります。
しかし、それにも著作 権が存在しています。駄目です
面倒だから、そのまま文 章を写しちゃおうかな...
6/30
誹謗中傷
他人の名誉を 傷つけることは してはいけません
Aのやつの悪口を
書き込んでやる!
!! なにか酷いこと 書かれてる!?
A
って悪いやつなんだなぁ 駄目です
7/30
個人情報
この情報は有益だ
から公開しよう! 無許可で 自分の情報が 掲載されてる!
駄目です
個人を特定できる情報を個人情報と言います
個人情報保護法違反 事業形態により、適用される法律は 変わります 個人情報を無目的に集めたり、目的外利用してはいけません。
そして、適切に扱う必要があります。 8/30
情報倫理のまとめ
情報を扱う上で、守るべきルール。
ネット上に限らず、守るべきルールが多い。
ネットワークを介することで、何か問題が起きたとき の影響が、非常に大きいことに!
その行動の結果、何が起きるかを想定してから、個々の行動を行うことが重要。
基本的に、モラル(と法律)に従っていれば大丈夫9/30
情報セキュリティ
10/30
セキュリティの重要性
どんなに技術がすぐれていても、それを扱っているの は、あくまでも「人」。
「人」は、最大のセキュリティホールになりうる。
セキュリティパッチの当て忘れ
情報のずさんな管理セキュリティを維持するためには、
技術だけではなく、運用等も大事
11/30
セキュリティ的な事故のニュース
Googleで「情報流出 原因」で検索してみよう。
ニュースになる多くの事件は、「人」が「問題になる行 動」を起こした結果、生じてしまうことも多い。12/30
パソコンの盗難
あれ? パソコンがない
しめしめ、
上手く盗めたぞ
重要な情報は持ち出さない。
持ち出したら目を離さない。
パソコンを外に持ち出て、物理的に盗まれることも 例:車上荒らし
パソコンは持ち出し禁止にする会社も。13/30
例:物品の廃棄
ゴミから情報 もういらないや 入手!
情報はきちんと削除する
物品を捨てるときは、その中に「重要な情報」が含まれていない かに注意する。
ハードディスク等は、OS
の機能で削除していても、データを復元 できることも。14/30
日常生活と情報セキュリティ
現在では、多くの媒体がネットワークに繋がっている。
日常生活で、メールやブラウジング、携帯電話やパソ コン等、さまざまな情報機器を日常的に利用している。
これからの社会を安全に過ごしていくためには、これ らのことを理解し身につけておく必要がある。
企業の不祥事等が報道されている。個人も様々な危 険にさらされている。
これらのことを踏まえて、学生生活を送る際に必要と なる、基本的な情報セキュリティと情報倫理の考え方 についてまとめて復習する。15/30
使用している情報機器等の問題
我々は様々な機器やソフトウェアを利用している。こ れらの機器が安全であるか否かは、非常に重要。
セキュリティホール:
自分は何を使っているのか?
パッチは当てているか?
機械の故障
形在る物はいつかは壊れる
バックアップはとってある?16/30
パソコンの故障
データのバックアップや、計算機の冗長化等で 被害を防止できます。
故障や災害は、どうしても発生してしまいます パソコンから異音が!
火山が噴火して、
計算機が燃えた!
17/30
人の不注意や無理解による 情報流出
ソフトウェア自体には問題がなくとも、我々の理解不 足や不適切利用は、大きな問題を引き起こす
情報の管理の仕方
人の不注意や意識の低さは、それそのものが脆弱 性である。
その行動が何を引き起こすのか、理解していない。
「パスワード書いた紙を落としてしまった」「メールの 宛先を間違えてしまった」「不用意に個人情報を書 いてしまった」「セキュリティパッチを面倒であてな かった」等々18/30
例:
「初音ミク
T
カード アップロード」で検索。
問題の流れ:
初音ミクのTカードをゲットし、
喜び勇んで画像を
アップロードする人が続出。
ところがTカード番号は、
個人情報的に重要。
会社が警告を出す。
http://tsite.jp/cp/index.pl?xpg=PCIC0102&cp_id=6433 http://mikut.jp/
考えて行動する
19/30
情報の流れる範囲の無理解
twitter や mixi、facebook
等、身近な話題や日頃の出来事を簡単に外部に発信することができる。
"つぶやき" などと呼ばれているため言葉的には限定
された範囲を想像するが、実際には全世界に叫んで いるのに等しい場合がある。
その行動により情報が流れる範囲を常に意識して行 うべきである。20/30
発信する情報の内容 (1)
あまり考えず、思ったままに書き込みを行ってしまう 人が、この世の中には存在している。
個人情報やプライベートな、はては無免許運転、万 引き、カンニング等の犯罪行為までが存在している。
そもそも犯罪行為自体が問題外だが、全世界 に向けて告白してしまうことにより、問題を大きくして しまう場合がある。21/30
例:
「
沢山出てきます。
22/30
情報セキュリティのまとめ
情報は電子の海を勢いよく広がっていき、一度放っ てしまうと回収することは困難。
「その情報は流して大丈夫なのか」「情報はどの範囲 で流れるのか」をよくよく検討することが重要。23/30
情報を守るための方策
24/30
情報セキュリティポリシー
組織におけるセキュリティ対策を実施するため、
「基本的なセキュリティ方針」を明確にしたもの。
関連文章は次の
3
つ: 情報セキュリティ基本方針
情報セキュリティ対策基準
情報セキュリティ実施手順
セキュリティ ポリシー
25/30
個々の文章
情報セキュリティ基本方針:
情報セキュリティに対する、基本的な立場(目的)や、用語の定義、文章構成等を示す。
情報セキュリティ対策基準:
基本方針の目的を達成するために、「何を守るの か」「どのような組織体制で臨むのか」「どのぐら い守るのか」の基準を示す。
情報セキュリティ実施手順:
具体的にどのように行動するかを示す。26/30
県大の情報セキュリティポリシー
情報セキュリティ基本方針:
策定済み
情報セキュリティ対策基準:
策定済み
情報セキュリティ実施手順:
対策基準策定後に作成する(?)
27/30
ファイルのダウンロード (1)
県大のTOPページにアクセスし、左側のメ ニューにある[法人情報]をクリックする。
28/30
ファイルのダウンロード (2)
上から9番目の項目[法人情報]の一番最後に ある[情報セキュリティ基本方針]をクリック。
開いたページにある「情報セキュリティ基本方 針」をクリック
29/30
情報セキュリティ基本方針
第1条 :文章の位置づけ
第2条 :用語の定義
第3条~第4条 :適用される人
第5条 :何を脅威と見なすか
第6条~第8条 :策定、評価、見直しについて
第9条~第11条 :他の文章ならびに位置づけ
30/30
おわりに
情報セキュリティは技術とルールで保たれます。
技術は日々進歩しています。しかし、それを運用する のは人です。
人は最大のセキュリティホールです。
社会では、取扱注意の情報を扱うことが多々あります。
情報を取り扱う際にはどうしたらよいか、身につけて いってください。
