1. 情報セキュリティと標準化I
第4回
WEB公開版のため
内容は大幅に抜粋・省略しています。

2. 前期：第１５回
1 情報セキュリティの概要：基本概念、実装技術と対策方法
2 情報セキュリティの概要：脅威リスクの分類と評価、その対策方法
3 技術的セキュリティの技術と実装
4 人的・物理的セキュリティと技術的セキュリティの関係
5 対称暗号技術：秘密鍵技術と実装（セキュアプログラミング）
6 非対称暗号技術：公開鍵技術と実装（セキュアプログラミング）
7 セキュリティ監査と管理:セキュリティ技術評価 評価方法、保証レベル
8 セキュリティ監査と標準化:セキュリティ評価基準と標準化
9 リスクの分析評価と管理対策：情報資産とリスクの概要，
リスク分析評価
10 情報セキュリティのマネジメントとセキュリティポリシー:
IMIS、関連法規
11 デジタル認証技術と標準化: デジタル署名、メッセージ認証、認証基盤
12 物理的認証技術と標準化:利用者確認、生態認証、関連標準化動向
13 観測・基盤実装技術:セキュアOS，セキュアプログラミング
14 観測・応用実装技術:アプリケーションセキュリティ
15 情報セキュリティ技術、分析評価方法、管理対策、標準化動向まとめ

3. 第４回
人的・物理的セキュリティと技術的セキュリティの関係
情報セキュリティ対策は技術・物理的・人的組織的と３
種類に分類される。第４回では人的セキュリティ対策，
技術的セキュリティ対策（クラッキング対策，ウイルス
対策ほか），物理的セキュリティ対策などについて解
説する。また、人的物理的セキュリティと技術的セキュ
リティの関係として、システム管理と監査の観点から解
説を行う。

4. 基本情報処理技術者試験：
情報セキュリティ対策
①物理セキュリティ対策：物理的な脅威から情報資産
を保護する。
耐震設備、電源設備、入退室管理（IDカード）
②技術的セキュリティ管理：技術的な脅威から情報資
産をまもる。
コンピュータウィルス対策、WEB認証、アクセス制
御など
③人的セキュリティ対策：人的な脅威から情報資産を
保護する。
従業員、組織の人員の管理、セキュリティポリシー
を守らせる（周知させる）。

5. 情報セキュリティへの脅威の分類
①データセキュリティ
大事なデータ（個人情報など）が守られること。
②システムセキュリティ
個人のコンピュータやデバイスが守られること。
③ネットワークセキュリティ
複数の人が使うネットワークやサービスが安全に利用できる
こと。
④人的セキュリティ
悪意のある人が大事な情報やシステムにアクセスできないよう
にすること。

6. 情報セキュリティの３条件
CIA（秘匿性・完全性・可用性）
• 秘匿性 Confidentiality
許可されたものが情報にアクセスできる。
• 完全性 Integrity
情報が正確であり、改ざんされないこと。
• 可用性 Availability
許可されたユーザが情報にアクセスし利用できる。

7. 情報セキュリティのCIA
confidentiality
Integrity availability
機密性
情報が組織や個人に
よって定められたルール
通りに保護できること。
可用性
システムを必要に
応じて利用・制御ができ
ること。
完全性
情報が破壊、改ざん又
は消去されていない状
態を確保すること
暗号・認証
アクセス制御・認証
暗号・
アクセス制御

8. 情報セキュリティのCIA
C
I A
アクセス制御、パスワード認
証、暗号化、入退室管理
暗号化、デジタル署名、
ハッシュによる改ざん防止
情報漏洩
WEBクラッキング
パスワードが盗まれる
アクセス制御、冗長構成、認証
不正アクセス
WEBが改竄される
サイバー攻撃
WEB封鎖
アクセスできなくなる

9. 情報セキュリティのCIAと脅威
C
I
A
ソーシャル
エンジニアリング
盗難
漏洩
盗聴
ウィルス感染
踏み台
不正アクセスなりすまし
サービス停止

10. ３種類の情報セキュリティ
物理
技術
人的
耐震設備
防火設備
電源設備
回線設備
入隊室管理
認証
アクセス制御暗号
リスク分析
セキュリティポリシー

11. ３種類の情報セキュリティ
物理
技術
人的
耐震設備
防火設備
電源設備
回線設備
入隊室管理
認証
アクセス制御暗号
リスク分析
セキュリティポリシー

12. セキュリティ対策の実行上の
基本原則
プリベント
（回避）
プロテクト
（防御・防止）
レスポンド
（対応）
リカバリー
（復旧）

13. 暗号化：C（秘匿性）を守る
平文 暗号文 平文
暗号鍵 復号鍵
共通鍵暗号方式： 暗号鍵と復号鍵に同じ鍵を用いる
公開鍵暗号方式： 暗号鍵と復号鍵が違う
暗号鍵は公開する（多）。秘密鍵で復号する（一）。

14. 共通鍵は鍵の管理が大変
A
B
C
D
E
共通鍵で通信する場合
鍵の数はn×（n－1）÷2
B,C,D,Eの４人と通信する場合、
Aは４つの鍵を管理する必要がある。
送信側、受信側とも
鍵を第３者に教えてはいけない。

15. 公開鍵は鍵の数が少なくて済む。
A
B
C
D
E
悪意
公開鍵で通信する場合
鍵の数は2nで済む。
悪意のある
送信者に
鍵が渡っても
問題ない。

16. 公開鍵暗号と素因数分解
P*Q=Mを使って
秘密鍵Dを作成
P*Q=Mを使って
公開鍵Eを作成
公開鍵EとMを
送信者に送る。
公開鍵EとMが
悪意のある者に渡る
MをP*Qに分解することは
ほぼ不可能なので秘密鍵
を作成（再現）できない。
安全性：MをP*Qに
分解することが
非常に難しい。

17. 認証：完全性（I）を守る
送信
相手認証
通信相手が
本人かどうか
メッセージ認証
通信の途中で
メッセージが改ざんされ
ていないか
デジタル署名
送信する文書が
正当化かどうか

18. 基本情報処理試験
フィッシング
• 実在する金融機関や買い物サイトなどの正
規のメールやWEBをサイトを装い、ユーザを
そこに誘導させ、ユーザIDやパスワード、暗
証番号などを入手する手法
• 偽の電子メールを発信して、ユーザを誘導し、
実在する会社を装ったWEBサイトにアクセス
させ、ユーザに個人情報を入力させる。

19. 脆弱性管理：（A)を守る
リスク
脆弱性
脅威
発生する前の想定
脆弱性：リスクを発生
させる原因のこと。
プログラムを間違って
書くと発生する。
発生した後の事象

20. セキュリティポリシーと監査
専門家と素人
攻撃者
外部IT専門職
セキュリティ技術者
IT専門職
IT担当者
一般ユーザ
（素人）
とシステム
脅威・リスク分析
対策を立てる
セキュリティポリシー
（マニュアル）の実施 情報資産
セキュリティ監査
攻撃可能点がないか
調べる

21. 基本情報処理技術者試験
セキュリティ監査
• 情報セキュリティの確保のため、技術面、運用面双
方にわたる情報セキュリティ対策の実効性を第三者
により評価する監査（情報セキュリティ監査）のこと。
• IMIS（情報セキュリティマネジメントシステム）の
PDCAサイクルのうち、C（check：検査）の部分を担
当する。
• P（Plan） 計画 リスク分析、ポリシ策定
• D(Do) 実施 実際にシステムを運用してみる。
• C(Check) 検査 運用してみて問題がないか検査
• Act (Act) 改善 問題点を改善する

22. 基本情報処理技術者試験
セキュリティ監査
①予備調査：監査対象の現状把握のため、レビューや
チェックリストを持ちいて調査する。
②本調査：予備調査の結果を踏まえて、監査目的に
即した証拠の入手と評価を行う。
③評価・結論：システム監査担当者報告を、監査部門
全体で検討する
④フォローアップ：監査結果から、監査対象部門がど
のように業務プロセスを改善していくかモニタし、必
要とあらばフォローアップする。

23. 資料

24. 参考（参照）文献
【１】図解入門 よくわかる最新情報セキュリティの基本
と仕組み - 基礎から学ぶセキュリティリテラシー
相戸 浩志 秀和システム
【２】基本情報処理技術者試験
情報処理教科書 基本情報技術者 2013年版
日高 哲郎 （翔泳社）
情報処理教科書 応用情報技術者 2013年版
日高 哲郎 （翔泳社）
【３】ポケットスタディ 情報セキュリティスペシャリスト
村山 直紀 秀和システム

25. 基本情報処理技術者試験：認証
• 相手認証：通信相手が正しいか、本人かどうか確認
する技術
– コールバック、共通鍵、公開鍵暗号方式が使われる。
• メッセージ認証：通信文やファイルに改ざん（悪意の
ある変更）が加えられたかを検出する技術。
• デジタル署名：文書の正当性を保証する技術

26. 基本情報処理技術者試験：機密保護
①暗号化：一定の規則でデータを変換して第三
者にわからなくする。
共通鍵暗号方式
公開鍵暗号方式
②認証：アクセスしている人や通信先が本人で
あること、正当な利用者であることを確認する
こと。
③アクセス管理：コンピュータシステムの資源に
対する不正なアクセスを防ぐこと。

27. 脅威の種類
• 破壊：データやコンピュータを壊す
• 漏洩：組織の機密情報や個人情報を外部に漏らす
• 改ざん：ホームページなどが改ざんする
• 盗聴：メールなどが盗み見される
• 盗難：コンピュータやUSBメモリなどが盗まれる
• サービス停止：組織が提供しているサービスが落とされる
• 不正利用：組織のネットワークやシステムが別の目的で不正に
利用される。
• 踏み台：他の組織の情報システムを攻撃する手段に利用される。
• ウィルス感染：ウィルス感染により組織の大事なデータが破壊さ
れる。
• なりすまし：パスワードを盗まれ、本人のアカウントが情報を盗ま
れたり、買い物をされる。
• 否認：文書がメールで送信した内容を、否定される。

28. 基本情報処理技術者試験
セキュリティポリシー
情報セキュリティ
基本方針
情報セキュリティ
対策基準
情報セキュリティ対策手続き
規定類
情報セキュリティポリシは、経営層の同意に基づき、組織の保
有する情報資産（ハードウェア、ソフトウェア、ネットワーク、デー
タ、設備など）を脅威から守るために、組織の情報システムの機
密性、完全性、可用性を確保するために規定するきまりのこと。

29. 基本情報処理技術者試験
情報セキュリティ基本方針と対策基準
• 情報セキュリティ基本方針：組織のリスクマネ
ジメントの一貫として、情報セキュリティの方
針を、組織に属する人に伝達することを目的
に作成される。
• 情報セキュリティ対策基準：情報セキュリティ
基本方針に基づいて、組織に属する人に具
体的な基準を示して、実際の義務と責任を割
り当てるために作成される。

30. 基本情報処理技術者試験
情報セキュリティ管理と対策
• 情報セキュリティポリシーとISMS
IMIS (information security
management system)
• リスク管理
純粋リスクと投機的リスク
• 情報セキュリティ対策
物理的対策、技術的対策、人的対策

31. サイバースペース
Cyberspace = cybernetics + spaceの造語。
①オンラインによるコミュニケーションが行われるコンピュータ
ネットワークの電子媒体のこと
②相互接続された情報技術によって表現され、さまざまな通信
機能や制御機能を持つ製品やサービスで構成されたもの
③コンピュータやネットワークの中に広がるデータ領域を、多数
の利用者が自由に情報を流し、情報を得たりすることができ
る仮想的な空間のこと。
④物理的に存在する形があるものではなく、インターネットに接
続される機器やネットワークの技術的手段によって、インター
ネット上において、人、ソフトウェア、サービスの関わり合い
からもたらされる複合環境

32. 第５回
• 対称暗号技術：秘密鍵技術と実装（セキュアプログ
ラミング）
• 情報セキュリティを支える基幹技術に、対称暗号技
術がある。第５回では代表的な対称暗号技術である
DES, AESを中心に、CBC、CFB、OFB、CTRモー
ドの構造と実装方法を解説する。また、現在汎用に
使われているハッシュ関数と、乱数の実装について
学ぶ。
• またC言語やJAVAなどの実装例について紹介する。