現代社会では、個人や企業、行政などが大量の情報を扱っています。
その情報が漏えいしたり、改ざんされたり、利用できなくなったりすると、社会生活に大きな影響を与えます。
このような被害を防ぐために重要なのが情報セキュリティです。
情報Ⅰでは、情報を安全に活用するための基礎的な考え方と具体的な対策を学びます。
情報セキュリティの定義
情報セキュリティとは、情報の安全性を確保することです。
具体的には、情報の機密性・完全性・可用性を維持することを指します。
情報の機密性・完全性・可用性
情報セキュリティの三要素は次のとおりです。
- 機密性
許可された者だけが情報にアクセスできること。 - 完全性
情報が正確であり、改ざんされていないこと。 - 可用性
必要なときに情報を利用できること。
それぞれの要素に対する主な対策は次のとおりです。
機密性を高める対策
- ファイアウォール
外部ネットワークとの通信を監視し、不正な通信を遮断します。 - 暗号化
情報を特定の規則に従って変換し、第三者が内容を読み取れないようにします。 - 個人認証
ユーザIDやパスワードなどを用いて、利用者が正当な本人であることを確認します。 - ウィルス対策ソフトウェア
マルウェアの侵入や実行を防ぎ、情報の漏えいを防止します。
完全性を保つ対策
- デジタル署名
送信者の真正性や、データが改ざんされていないことを確認します。 - 変更履歴の記録
いつ、誰が、どのように変更したかを記録し、不正な改ざんを検出できるようにします。 - ウィルス対策ソフトウェア
データの破壊や改ざんを行うマルウェアを検出し、防止します。
可用性を確保する対策
- バックアップ
データの複製を保存し、障害発生時に復元できるようにします。 - 冗長化
サーバや回線などを複数用意し、一部が故障しても継続して利用できるようにします。 - ウィルス対策ソフトウェア
システム停止を引き起こすマルウェアを防ぎ、サービスの継続を支えます。
例えば、成績データを暗号化して保存することは機密性の確保につながります。
デジタル署名を用いることで、レポートが改ざんされていないことを確認できます。
バックアップや冗長化により、サーバ障害が発生しても学習システムを継続利用できます。
情報セキュリティポリシーとは
情報セキュリティポリシーとは、組織が情報セキュリティを確保するための基本方針や行動基準をまとめたものです。
具体的には、情報の管理方法や利用者の責任、事故発生時の対応などを定めます。
情報セキュリティポリシーを定めることで、組織全体で統一した対策を実施できます。
不正アクセスと法的規制
不正アクセスとは何か
不正アクセスとは、許可されていない方法でコンピュータやネットワークに侵入することです。
例えば、他人のユーザIDやパスワードを無断で利用してログインする行為などが該当します。
このような行為は、情報の機密性や完全性を脅かします。具体的には、個人情報が盗まれたり、データが改ざんされるおそれがあります。
不正アクセス禁止法の概要
日本では、不正アクセス行為の禁止等に関する法律、いわゆる不正アクセス禁止法が制定されています。
この法律では、不正アクセス行為や他人の識別符号の不正入手などを禁止しています。
識別符号とは、ユーザIDやパスワードなど、利用者を識別するための符号のことです。
法律により、不正アクセスは刑罰の対象となります。
情報セキュリティを脅かす主な手口
フィッシング行為
フィッシング行為とは、実在する企業や金融機関などを装ったメールや偽のウェブサイトを用いて、利用者のユーザIDやパスワードなどをだまし取る行為です。
利用者が偽サイトに情報を入力すると、その情報が攻撃者に送られます。
近年では、偽のウェブサイトは、本物のウェブサイトとそっくりなこともあります。ウェブサイトのアドレスなどを確認して、本物のウェブサイトかどうかを見極めましょう。
スパイウェア
スパイウェアとは、利用者の知らないうちに情報を収集し、外部に送信する悪意あるソフトウェアです。
キーボード入力を記録し、パスワードなどを盗み取る場合もあります。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、人の心理的な弱点や行動の隙を利用して情報を入手する手法です。
例えば、電話で管理者になりすまし、パスワードを聞き出す行為などがあります。
技術的な攻撃だけでなく、人の行動も情報セキュリティ上の重要な要素です。
ソーシャルエンジニアリングには、例えば、以下のようなものがあります。
- ショルダーハッキング
肩越しにスマホなどの画面をのぞき込んで情報を入手します。 - とラッシング
ごみをあさって情報を入手します。
認証情報の管理
ユーザIDとパスワードの役割
ユーザIDは利用者を識別するための情報です。
パスワードは本人であることを確認するための秘密の情報です。
これらを組み合わせることで、認証が行われます。この認証を個人認証といいます。
適切なパスワード管理の方法
安全なパスワード管理のためには、次の点が重要です。
- 推測されにくい文字列を設定する。
- 他人に教えない。
- 複数のサービスで使い回さない。
- 定期的に変更する。
これらの対策により、不正アクセスの危険性を低減できます。
確認問題
【第1問】次のうち、情報の機密性を高める対策として適切なものをすべて選べ。
ア.暗号化
イ.バックアップ
ウ.ファイアウォール
エ.冗長化
【第2問】不正アクセス禁止法で禁止されている行為として正しいものを選べ。
ア.他人のユーザIDやパスワードを無断で使用する
イ.自分のパスワードを変更する
ウ.識別符号を不正に入手する
エ.暗号化通信を利用する
【第3問】スパイウェアの特徴として正しいものを選べ。
ア.データを暗号化して守るソフト
イ.利用者の情報を無断で収集するソフト
ウ.バックアップを作成するソフト
エ.通信を遮断する装置
答え:【第1問】ア、ウ 【第2問】ア、ウ 【第3問】イ
まとめ
情報セキュリティとは、情報の機密性・完全性・可用性を守ることです。
そのためには、ファイアウォールや暗号化、個人認証、デジタル署名、バックアップや冗長化などの技術的対策と、適切な運用が必要です。
さらに、不正アクセス禁止法などの法的枠組みも理解することが重要です。
情報を安全に活用するために、一人一人が正しい知識を身につけ、適切な行動をとることが求められます。