【目標】
・情報セキュリティの目的,考え方,重要性を理解し,担当する事項に適用する。
・情報資産に対する脅威,脆弱性の基本的な考え方と主な攻撃手法を理解する。
・情報システムを開発する上で必要な情報セキュリティに関する技術を理解し,担当する事項に適用する。
- 情報セキュリティの目的と考え方
情報の機密性 ( Confidentiality ),完全性 ( Integrity ) ,可用性 ( Availability )を確保,維持することによりさまざまな脅威から情報システム及び情報を保護し,情報システムの信頼性を高めることを理解する。
【用語例】
機密性 ( Confidentiality ),完全性 ( Integrity ) ,可用性 ( Availability ),真正性 ( Authenticity ) , 責任追跡性 ( Accountability ) ,否認防止 (Non-Requdiation), 信頼性 (Reliability), OECDセキュリティガイドライン「情報システム及びネットワークのセキュリティのためのガイドライン」
- 情報セキュリティの重要性
社会のネットワーク化に伴い, 企業にとって情報セキュリティの水準の高さが企業評価の向上につながること, 情報システム関連の事故が事業のそんぞくを脅かすことから, 情報セキュリティの重要性を理解する。
【用語例】
情報資産, 脅威, 脆弱性, サイバー空間, サイパー攻撃
- 脅威
a. 脅威の種類
情報資産に対する様々な脅威が存在することを理解する。
【用語例】
事故,災害,故障,破壊, 盗難,侵入, 不正アクセス,盗聴,なりすまし,改ざん,エラー,クラッキング, ビジネスメール詐欺 (BEC), 誤操作, 紛失, 破損, 盗み見, 不正利用,ソーシャルエンジニアリング,情報漏洩, 故意, 過失, 誤びょう, 内部不正, 妨害行為, SNSの悪用
b. マルウェア・不正プログラム
マルウェア・不正プログラムの種類とその振る舞いのあらましを理解する。
【用語例】
コンピュータウイルス,マクロウィルス, ワーム, ボット (ボットネット, 遠隔操作型ウィルス, C&Cサーバ), トロイの木馬, スパイウェア, ランサムウェア, キーロガー, ロートキット, バックドア, 偽セキュリティ対策ソフト
- 脆弱性
情報システムの情報セキュリティに関する欠陥,行動規範の組織での未整備, 従業員への不徹底などの脆弱性の基本的な考え方を理解する。
【用語例】
バグ,セキュリティホール,人為的脆弱性, シャドウIT
- 不正のメカニズム
不正行為が発生する要因, 内部不正に夜情報セキュリティ事故・事件の発生を防止するための環境整備の基本的な考え方を理解する。
【用語例】
不正のトライアングル (機会, 動機, 正当化), 状況的犯罪防止
- 攻撃者の種類, 攻撃の動機
悪意をもった攻撃者の種類, 及び攻撃者が不正・犯罪・攻撃を行う主な動機のあらましを理解する。
【用語例】
内部犯, 愉快犯, 詐欺犯, 故意犯, 金銭奪取, サイバーテロリズム, ダークウェブ, サイバーキルチェーン
- 攻撃手法
情報システム, 組織及び個人への不正な行為と手法を理解する。
【用語例】
・辞書攻撃, 総当たり (ブルートフォース) 攻撃, パスワードリスト攻撃
・クロスサイトスクリプティング,クロスサイトリクエストフォージェリ,クリックジャッキング,ドライブバイダウンロード, SQL インジェクション,ディレクトリトラバーサル
・中間者 (Man-in-the-middle)攻撃, MITB (Man-in-the-browser)攻撃, 第三者中継,IP スプーフィング,キャッシュポイズニング,セッションハイジャック
・Doc (Denial of Service:サービス妨害)攻撃, DDoS攻撃, 電子メール爆弾
・標的型攻撃 (APT (Advanced Persistent Threat), 水飲み場型攻撃, やり取り型攻撃ほか), フィッシング(ワンクリック詐欺ほか)
・ゼロデイ攻撃,サイドチャネル攻撃,サービス及びソフトウェアの機能の悪用
・攻撃の準備 (フットプリンティング,ポートスキャンほか)
- 情報セキュリティに関する技術
a. 暗号化技術
脅威を防止するために用いられる暗号化技術の活用を理解する。また,暗号化の種類,代表的な暗号方式の特徴を理解する。
【用語例】
CRYPTREC暗号リスト, 暗号方式 (暗号化(暗号鍵), 復号(復号鍵), 解読, 共通鍵暗号方式(共通鍵),公開鍵暗号方式(公開鍵,秘密鍵)), RSA ( Rivest Shamir Adleman ) 暗号,ハイブリッド暗号,ハッシュ関数(SHA-256 ほか),ブロック暗号(AES(AdvancedEncryption Standard)ほか), 暗号利用モード,ストリーム暗号, 鍵管理, ストレージ暗号化, ファイル暗号化, 危殆化
b. 認証技術
認証の必要性,脅威を防止するためにどのような認証技術が用いられるかを理解する。また,それぞれの認証技術によって何が証明できるかを理解する。
【用語例】
ディジタル署名(署名鍵, 検証鍵),XML ディジタル署名,タイムスタンプ(時刻認証),メッセージ認証,MAC(Message Authentication Code:メッセージ認証符号),チャレンジレスポンス認証, リスクベース認証
c. 利用者確認
利用者認証のために利用される技術の種類,特徴を理解する。
【用語例】
ログイン(利用者IDとパスワード),アクセス管理, ICカード,PINコード,ワンタイムパスワード,多要素認証(記憶, 所有, 生体), 多段階認証, セキュリティトークン, シングルサインオン, CAPTCHA
d. 生体認証技術
利用者確認に利用される技術の一つである生体認証技術について,種類,特徴を理解する。
【用語例】
身体的特徴(静脈パターン認証,虹彩認証,顔認証, 網膜認証ほか), 行動的特徴(声紋認証,署名認証ほか), 本人拒否率, 他人受入率
e. 公開鍵基盤
PKI ( Public Key Infrastructure :公開鍵基盤)のあらましと代表的な適用例を理解する。
【用語例】
PKI ( Public Key Infrastructure :公開鍵基盤), ディジタル証明書(公開鍵証明書),ルート証明書,サーバ証明書, CRL(Certificate RevocationList:証明書失効リスト),OCSP, CA ( Cerification Authority :認証局),GPKI ( Goverment Public key Infrastructure :政府認証基盤), BCA ( Bridge Certification Authority :ブリッジ認証局)