【情報Ⅱ教科書】セキュリティの必要性~無線LANセキュリティ・サイバー犯罪・認証・セキュリティポリシー・情報モラル(学習2)
高校情報Ⅱ(情報2)解説動画
(セキュリティの必要性)
情報Ⅱ動画教科書
資料ダウンロード
文字おこし
今回は、情報セキュリティの必要性について
・無線LANセキュリティ
・情報セキュリティとは?(情報セキュリティの3要素と7要素)
・組織におけるセキュリティ対策(情報セキュリティポリシー)
・セキュリティ関連の法規
・情報モラル
などについて解説をしていきます。
LANはLocal Area Network の略で、その名の通りLocalつまり限られた範囲のネットワークになります。
LANでもケーブルにつながっている有線LANとケーブルの代わりに無線電波でデータをやり取りする、無線LANがあります。タブレット端末やスマートフォンなど持ち運ぶことが前提の機器については、無線LANは無くてはならないものになっています。
また、無線LANと相性が良いのがIoT家電です。スマートスピーカーやスマート電球が徐々に普及しています。手元のスマートフォンから家電を操作したり,音声で操作したりするため,無線LANで接続し,操作することになります。
https://note.com/toppakou/n/n127129ed51cc
このLANには国際的な規格があります
有線LANは、IEEE802.3に従った通信で
無線LANは、IEEE802.11で規格されています。
IEEE802.11の中でもこんな風にいくつも種類があります。
下に行くほど、歴史が新しく一度に多くのデータを送信できます。
最近主流なのはIEEE802.11nとIEEE802.11acで11nの最大通信速度は600Mbpsで一秒間に600Mビットのデータを転送できます。
11acは1秒間に6.9Gビットのデータを転送できます。
今後は更に通信速度を高めた、IEEE802.11axの普及が見込まれます。
周波数帯は大きく2.4GHzと5GHzがあります。
周波数帯 特徴
2.4GHz 【メリット】
壁や天井などの障害物に強く、離れた部屋でも比較的通信が届きやすい
【デメリット】
同じ周波数帯を利用する機器が多いため、電波干渉により接続状況が不安定になったり、通信速度が低下しやすい。分かりやすい例だと、電子レンジを近くで利用すると通信ができなくなくなることが多い。
5GHz 【メリット】
無線LAN専用の周波数帯のため近隣住居や他の家電製品の電波干渉を受けにくく、接続状況が安定しやすく、通信速度の向上を見込める
【デメリット】
壁や天井などの障害物に弱く、2.4GHzより通信距離が短い
★公衆無線LAN
最近は飲食店や駅などで、このようなWi-Fiスポットを見かけると思いますが、Wi-Fiは無線LANの中で相互接続を保証している規格を使った技術製品のことです。Wi-Fiと無線LANは同じ意味で使われることが多いです。
このような、多数の利用者である公衆を相手として、無線LANを利用したインターネットへの接続を提供するサービスのことを公衆無線LANといいます。
公衆無線LANを利用することで、場合によっては通信料金の節約ができたりします。
しかし、無線LANを利用する時に注意しなければならないのがセキュリティです。
通信を行う各端末は、無線LANアクセスポイントと通信を行います。
そして、無線LANアクセスポイントはルータを経由してインターネットの世界とつながっています。無線LANアクセスポイントは、ステーションとも言いますので合わせて覚えておきましょう。
無線LANアクセスポイントと各端末の間は、電波でやり取りするため、専用の機器を使えば容易に電波の通信内容が盗聴できます。
仮に盗聴されても、何を通信しているのかを分からないようにするために、この端末とアクセスポイントとの通信暗号化するセキュリティ規格があります。
代表的な、セキュリティ規格にWEP、WPA、WPA2、WPA3があります。
暗号化アルゴリズムは文字列を暗号化する方法と、元に戻す方法のことになります。
そして、暗号化方式は、「暗号化アルゴリズム」を用いて、どのように無線LANの通信を暗号化するかなどを規定したものになります。
似たような用語ですが、暗号化方式の中に、暗号アルゴリズムがあるようなイメージです。
【高校情報1】情報通信ネットワーク/LAN・情報セキュリティ・TCP/IPなど|高校情報科・情報処理技術者試験対策の突破口ドットコム|note
WEPは暗号化方式にWEP、暗号化アルゴリズムにRC4を使っています。
暗号化方式のWEPは、現在は非推奨のセキュリティ規格になります。
暗号化方式のWEPは、暗号通信が短時間で解析されてしまう方法が確立している為です。
この中では最も古い、セキュリティ規格になります。
公衆無線LANでWEPが使われている場合、多くの場合端末側で、セキュリティ的に危険な警告が出ます。
WPAはWEPのセキュリティ強度をあげた規格になりますが、これも非推奨です。
暗号化方式にTKIP、暗号化アルゴリズムはWEPと互換性を保つためにWEP同じくRC4を使っていますが、このRC4自体の暗号強度が低いため、暗号化した内容が見破られる可能性があります。
その弱点を補うために開発されたのが、WPA2のセキュリティ規格になります。
暗号化方式にCCMP、暗号化アルゴリズムにAESを使っていて、2022年現在の主流になっています。
このWPA2の暗号強度をさらに高めたものがWPA3の暗号化規格になります。暗号化方式にSAE、暗号化アルゴリズムにCNSAを使っています。
下にいくほど、見破られにくい方式なので、セキュリティ規格が選べる場合は出来るだけWPA2、WPA3を選ぶようにしてください。
機器が古いなどでWEPで接続せざるを得ない場合は、今話した盗聴リスクがあることを把握しておいてください。
セキュリティに関しては、今は安全でも技術の進歩とともにその解読方法が確立される場合がありますので、現在主流のWPA2に関しても、徐々にWPA3に移行していく可能性が高く、また、WPA3の後継も将来的には出てくる可能性がたかいです。
アクセスポイントと端末間の暗号化について話しをしましたが、アクセスポイント自体が偽物の悪意を持ったものの可能性もあります。
その場合、偽のWEBページを表示させられたり、マルウェア・ウイルスに感染させられたり、情報が盗み取られたりする可能性があります。
公衆無線LANを使う際は、信頼できるアクセスポイントかを確認して、無料だからという理由で、よくわからないアクセスポイントに不用意に接続することの無いようにしましょう。
家庭や会社等で自らがアクセスポイントの設定をする場合は、関係ない外部の悪意のある外部の者がネットワークに侵入し,内部情報を盗んだり機器を悪用したりするようなケースが考えられます。
例えば,ほかのPCやファイルサーバにあるデータが盗まれるだけでなく,監視カメラやスマート家電などに不正に接続され,外部からカメラの画像を見られたり,スマート家電を不正に操作されたりする危険が生じる可能性があります。
これらの原因として,家庭や企業で設置している無線LANのパスワードを設定していな
かったり,設定されていたとしても推測されやすい簡単なものであったりすることなどが考えられます。
このような被害を防ぐために、アクセスポイントの設定を行う際は、外部の人が推測しにくいパスワードを設定するようにする必要があります。
^^^^^^^^^
令和3年版 警察白書 (npa.go.jp)
https://www.npa.go.jp/hakusyo/r03/honbun/index.html
令和3年版警察白書より サイバー犯罪の件数は年々増加傾向です。
サイバー犯罪とは、
不正アクセス行為の禁止等に関する法律違反
コンピュータ・電磁的記録対象犯罪
不正指令電磁的記録に関する犯罪
ネットワーク利用犯罪
の4種類に該当する犯罪をいいます。
※高校情報の教員研修用教材など令和元年の警察白書ベースの少し古い資料だと、「不正指令電磁的記録に関する犯罪」の分類が無く、3類型としているものが多いですが、ここでは、令和4年9月現在の大阪府警察のホームページの内容をベースに4類型で説明を進めていきます。
https://www.police.pref.osaka.lg.jp/seikatsu/saiba/cyber_taisaku/6942.html
不正アクセス行為の禁止等に関する法律違反について
不正アクセス行為とは、他人のID・パスワードを悪用したり、コンピュータ・プログラムの欠陥をつくことにより、本来アクセスする権限のないコンピュータ(サーバ)を利用する犯罪です。
コンピュータ・電磁的記録対象犯罪は、
具体的には電子計算機損壊等業務妨害罪・電子計算機使用詐欺罪等です。
例示としては、
例えば、ホームページのデータを無断で書き換える。
金融機関などのオンライン端末を不正操作し、無断で他人の口座から自分の口座に預金を移すなどがあげられます。
不正指令電磁的記録に関する犯罪は、
コンピュータ・ウイルス(不正指令電磁的記録)の作成・供用罪等が不正指令電磁的記録に関する犯罪です。
例えば、
他人のパソコンのデータを破壊するためウイルスを作って保存する
ネット上で事情を知らない人にウイルスをばらまく
行為などが該当します。
ネットワーク利用犯罪は、 今話してきたものに当てはまらないネットワーク利用の犯罪で
ホームページ上で他人を誹謗中傷する名誉毀損事件
電子掲示板などで犯行予告を行う脅迫事件
インターネットオークションでの詐欺事件 などが該当します。
これらの脅威がある中,情報システムを安心して利用するには,情報セキュリティ対策がなによりも必要になってきます。
★
情報セキュリティは、例えば 人のパソコンやスマートフォンの情報を盗み見たり、、データを書き換えたり破壊したりする不正行為や不慮の事故に対して、個人的、組織的、技術的双方から安全対策を講じることになります。
専門的な言い方では、情報のCIAを維持すること になります。
CはConfidentialityの略で、機密性。
IはIntegrityの略で、完全性
AはAvailabilityの略で可用性
これらを纏めて情報セキュリティの3要素と言います。
それぞれの項目の内容を具体例を説明していきます。
まず、機密性は、許可されている人、モノだけが使用できることになります。
たとえば、IDとパスワードが知っている人だけが利用できる Webページなどがありますよね。
現実社会で例えると、人気アイドルグループのコンサートを見るためには、入場チケットが必要ですよね。
最近は、IDやパスワードが流出して、機密情報を盗まれたりする事件、つまり機密性が脅かされる事件が多発しています。
次に、完全性は、内容が正しい状態が維持されていることになります。
たとえば、A君からBさんにメールを送った場合、途中で書き換えられたら大変ですよね。
この情報が書き換えられる行為のことを、改ざんと言います。
つまり、完全性は情報が改ざんされないようにすることになります。
最後に、可用性は、使いたいときにいつでも使えるようにする ことになります。
たとえば、テレビで紹介された企業のホームページにアクセスが集中して、内容がみれなかったりすることがあると思います。これは、可用性が失われていることになります。
大量にアクセスが来ても使えること、通信経路の機器が故障しても迂回路を使って通信できるようにすることが可用性を担保することになります。
更に、2006年制定のJIS Q 13335-1から真正性,責任追跡性,信頼性,否認防止 を加えて情報セキュリティの7要素といいます。
真正性は、本人であることを証明します。
責任追跡性は、ログなどから動作を追跡できること
信頼性は、意図することが確実に実行できること
否認防止は、後で否認されないよう証明する機能を付けることになります。
★情報セキュリティポリシー
情報漏洩などのセキュリティ事故が起こってから慌てて対応するのではなく、機密情報を扱うものは常にこのCIAを意識しなければいけません。
このような、情報の機密性や完全性、可用性を維持していくために規定する組織の方針や行動指針をまとめたものを情報セキュリティポリシーと言います。
情報社会において,情報システムやネットワークは企業や組織の運営上なくてはならないものになっています。ネットワークやシステムが、何らかの影響で停止することで業務に多大な影響を与えることになります。
また,顧客の個人情報や機密情報が漏洩すると、それまで培ってきた企業や組織のイメージが一気に失墜することになりかねません。
情報セキュリティに対するリスクマネジメントは重要な経営課題の一つとなっていいます。そのため,責任者を明確にして,情報セキュリティポリシーを策定し,施行する必要があります。
情報セキュリティポリシー策定にあたって、総務省の情報セキュリティポリシー策定のための組織づくりの例が示されています。
情報セキュリティ委員会などの組織を立ち上げ委員長を社長が承認・任命します。
委員長は、経営層である取締役会に報告し、顧問弁護士に助言をもらったり、監査人にセキュリティ監査を依頼したり、外部コンサルタントから助言を得たりします。
そして、タスクフォースを立ちあげ、ポリシー策定、ポリシー監査、個人情報保護などを行います。
タスクフォースは組織内部で緊急性の高い問題の解決や企画の開発などを行うために一時的に構成された組織のことです。
―――
情報セキュリティポリシーは、「基本方針」、「対策基準」、「実施手順」の3つの階層で構成されることが一般的です。
基本方針には、組織や企業の代表者による「なぜ情報セキュリティが必要であるのか」や「どのような方針で情報セキュリティを考えるのか」、「顧客情報はどのような方針で取り扱うのか」といった宣言が含まれます。
対策基準には、実際に情報セキュリティ対策の指針を記述します。多くの場合、対策基準にはどのような対策を行うのかという一般的な規定のみを記述します。
実施手順には、それぞれの対策基準ごとに、実施すべき情報セキュリティ対策の内容を具体的に手順として記載します。
引用:総務省/国民のための情報セキュリティサイト (soumu.go.jp)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-3.html
策定の手順
情報セキュリティポリシーの策定手順は、業態、組織規模、目的、予算、期間などによって大きく異なりますが、ここでは代表的な策定手順を説明します。
1策定の組織決定(責任者、担当者の選出)
2目的、情報資産の対象範囲、期間、役割分担などの決定
3策定スケジュールの決定
4基本方針の策定
5情報資産の洗い出し、リスク分析とその対策
6対策基準と実施内容の策定
ここで気を付けたいのは,情報セキュリティポリシーを策定することだけが目的とならないことです。
守るべき情報資産を明確にし,誰が,どのようにしなければならないかを具体的に示す必要があります。
その際,実現可能な内容にしなければ、実施できずに形骸化してしまいます。
また,一度ポリシーを策定したからといって終わりではありません。
企業や組織の状況,新しい法律の施行といった状況の変化は常にあります。
そのたびにポリシーを見直し,常に適切なものにしておく必要があります。
総務省が例として出している、対策基準と対応する実施手順を紹介していきます。
対策基準 実施手順
入退出の管理基準 入退出管理マニュアル
施設内における管理 IDカード発行手順 ※などがあげられます。
セキュリティ教育基準 訓練手順・E-ラーニング実施手順
コンピュータウィルス対策基準 ウイルス対策ソフト導入手順
社内ネットワーク利用基準 クライアントのネットワーク設定マニュアル
今は、様々な企業がインターネット上でサービスを提供しています。
インターネット上でサービスを提供している場合には,適切にセキュリティ対策が行われていないと,外部から不正アクセスを受けることがあります。
システム開発は、動作確認用の検証環境で確認した後、本番環境に反映する手順がとられます。検証環境は、本番と同一のデータを保持している場合もあります。
本番環境に限らず、動作確認用環境が不正アクセスを受ける可能性もあります。
このような不正アクセスによる被害は情報セキュリティの不備が原因であることが多いです。
OSやソフトウェアなどのアップデートを実施せずに放置することによる脆弱性を利用されることが多いです。
他にも適切なアクセス権などを設定していないこと
ファイアウォールの未設置・ルールの最適化が行われていないということも不正アクセスの要因になり得えます。
不正アクセスの被害にあわないためにも,開発中のシステムであろうと情報セキュリティ対策をしっかりとするよう情報セキュリティポリシーを定め,適切な運用をしていく必要があります。
組織の一員として必要となるセキュリティ対策については,たった一人の不注意がウイルスへの感染や情報漏洩といった危険につながることがあると認識し,業務に携わることが大切です。
不正アクセスの他にも紛失・盗難による情報漏洩の危険性も考えなければいけません。
最近は、外出先に業務用のノートパソコンやタブレット等を持ち出して利用するケースが増えてきています。
しかし,情報セキュリティ対策を怠っていると情報端末やメディアの置き忘れによる紛失,盗難が発生した際に情報が漏洩してしまう可能性があります。
また、個人情報の保存されたUSBメモリを紛失するといった事例が後を絶ちません。外部メディアの利用についても適切に取り決めをし,利用者がその取り決めを守っていくような運用をしていく必要があります。
先程説明した無線LANについても、安全な無線LANではなく,誰が設置したのか分からないような無線LANを利用することでウイルス感染や情報を窃取される可能性もあります。
また,ショルダーハック といって、 技術的な手段によらずに、パスワードなどを入力する際のキー操作や画面を盗み見て、機密情報を盗み出す手口も報告されています。
情報保護のための取り決め例として
・盗難,紛失に備えて,持ち運ぶ必要のない機密情報,個人情報は保存しない。
・容易に推測されにくいログインパスワードを設定して,他人には利用できないようにする。
・ハードディスクを暗号化して利用する。
・ 持ち出し用の端末も,ソフトウェアの更新やウイルス対策ソフトの導入・更新などのメンテナンスを適切に行う。
・持ち出し用の端末が入ったかばんを電車の網棚などに置かない。かばんから目を離さない。
・持ち出し用の端末にパスワードを書いた紙などを貼り付けない。
・ファイルのバックアップを定期的に,かつ,世代ごとに行う。
また、メールの誤送信による情報漏洩も増えています。
メールアドレスも個人情報の1つです。
一斉に複数人にメールを送る場合、受信者に誰に送ったか知られたくない場合は、BCCの欄にメールアドレスを入れますが、間違ってTOやCCに入れてしまうと、他人のメールアドレスが漏洩してしまいます。
メールを送信する際には、送信する前に宛先をもう一度確認するなどの癖を付けましょう。
★認証
不正アクセスを防ぐためには、アクセスしてきた人が本物かを正しく判断する必要があります。
認証とは、人に限らず、対象の正しさを証明や確認する行為のことです。
ここでいう対象とは、人だったり、サーバーだったり、クライアントパソコンだったり様々です。
そして対象を特定する方法として、大きく3種類があります。
知識情報
生体情報
所持情報 です。
それぞれについて説明ししていきます。
まず、知識認証は、その情報を知っていればログインできる認証になります。
代表的な例としてIDとパスワードを知っていればログインできるサイトが多いですが、このIDとパスワードの認証も知識認証の代表例になります。
次に生体認証です。
生体認証という言葉は有名ですが、身体的特徴や行動的特徴(癖)の情報を用いて行う認証のことになります。
身体的特徴の具体的な例としては、指紋や顔、DNA、目の網膜、虹彩、音声などがあります。行動の特徴についての具体的な例としては、筆跡、まばたき、歩行などがあります。
次に所持認証です。
本人しか持っていない物で認証するというものです。
最近はスマートフォンの普及率が上がったことにより、とあるサイトにログインする場合は、スマートフォンのショートメッセージサービスであるSMSに認証コードを送って、その認証コードを入れさせるというパターンが増えています。
このコードは1回しか使えない、使い捨てパスワードの役割をします。この1回限りのパスワードのことをワンタイムパスワードどいいます。
最近問題になっているのが、知識認証で用いられるパスワードの使いまわしです。
とあるサイトAのIDとパスワードを他のサービスでも使いまわしている方は実際のところ多いと思います。
仮にサイトAのIDとパスワードが漏洩した場合、攻撃者はいろんなサイトでその組み合わせを試して不正アクセスに成功するパターンも増えてきています。
その対策として、2要素認証というものがあります。
先ほど説明した知識、生体、所持の2つの要素を組み合わせる認証になります。
例えば、まず知識認証のIDとパスワードを入力した後、所持認証としてスマートフォンに認証コードを送ってその認証が通ったら初めてログインできるというものです。
2要素認証は同じ要素内では2要素となりません。
例えば指紋と虹彩2つの認証でも、同じ生体認証の範囲なので2要素にはなりません。
ただ、似た言葉で、二段階認証というものがあります。
これは、二つの段階を経て認証を行うことで、これはID、パスワードによる認証と誕生日など同じ要素内でも使われる認証になります。
また、要素を2つ以上組み合わせる認証を多要素認証といいます。
2つ以上なので、2要素認証は多要素認証の一部となります。
★法規
技術が発展しサイバー犯罪が多様化するなか、その発生しうる問題に対応する法律や制度が整備され、時代の変化に合わせて見直しがおこなわれています。
代表的な法律を説明していきます。
著作権法は、知的財産権の一つである著作権の範囲と内容について定める法律です。
不正アクセス禁止法は不正アクセス行為の禁止等に関する法律の略称で、インターネット等のコンピュータネットワーク等での通信において、不正アクセス行為とその助長行為を規制する法律になります。
個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とした個人情報の取扱いに関連する法律になります。
サイバーセキュリティ基本法は、サイバーセキュリティに関する施策を推進するための基本理念や基礎事項などを政府が規定した法律になります。
情報機器や通信ネットワークを通じて社会や他者と情報をやり取りするにあたり、危険を回避し責任ある行動ができるようになるために身に付けるべき基本的な態度や考え方のことを情報モラルと言います。
私たちの身の回りには様々な情報が溢れています。情報を利用するだけではなく、SNSなどを通じて自らが発信者になることもあると思います。何気ない投稿で、人の感情を傷つけたりする可能性もあります。
他の人の権利や安全を侵害しないこと、周囲や相手に配慮するなど、より情報モラルを意識した行動が求められています。
今回の情報セキュリティの必要性の単元は以上になります。
最後までご視聴ありがとうございました。
【キーワード】
有線LAN、IEEE802.3、無線LAN、IEEE802.11、IoT、無線LANの規格、公衆無線LAN(Wi-Fiスポット)、無線LANのセキュリティ規格、サイバー犯罪、情報セキュリティの3要素、情報セキュリティの7要素、情報セキュリティポリシー、ショルダーハック、認証、二要素認証・多要素認証・二段階認証、情報モラル
【引用・参考文献一覧】
文部科学省 教員研修用教材
https://www.mext.go.jp/a_menu/shotou/zyouhou/detail/mext_00742.html
https://www.mext.go.jp/content/20200609-mxt_jogai01-000007843_002.pdf
出版各社 情報Ⅱ検定教科書(キーワードを抽出)
令和3年版 警察白書 (npa.go.jp)
https://www.npa.go.jp/hakusyo/r03/honbun/index.html
大阪府警察(サイバー犯罪とは?)
https://www.police.pref.osaka.lg.jp/seikatsu/saiba/cyber_taisaku/6942.html
「情報セキュリティポリシーの策定」(総務省)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-4.html
総務省/国民のための情報セキュリティサイト (soumu.go.jp)
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/executive/04-3.html
この記事が気に入ったらサポートをしてみませんか?