メモ
仕事でITパスポートの資格を急遽2週間で取得することになったのでその勉強用の備忘録です。
いつも何か勉強するときは基本的に書きながら覚えるのでここでアウトプットします。
有益な情報かどうかは不明(笑)
前回のシステム開発に続き、今回はネットワーク、セキュリティ分野の用語やポイントの書き出し。
セキュリティはともかくネットワークは正直苦手な部分💦
出題範囲3分野ある中でテクノロジ系がメイン。
受験料値上げの情報が入ったので受験予定の方はご注意を
【いつ値上げ?】ITパスポートや情報処理技術者試験の受験料が5700円から7500円に価格改定
続きを見る
スポンサーリンク
プロトコル
プロトコルは、コンピュータ同士が通信する際に守らなくてはいけない決まり事。
インターネットのプロトコル
HTTP:Webページを表示するときのプロトコル
HTTPS:暗号化されたWebページを表示するときのプロトコル
電子メールのプロトコル
STMP:メールを送信するときのプロトコル
POP:メールを受信するときのプロトコル。受信したメールをPCにダウンロードして管理
IMAP:メールを受信するときのプロトコル。受信したメールをサーバに置いたまま管理
MIME:メールに画像、ファイルなどを添付するときのプロトコル
S/MIME:メールを暗号化するときのプロトコル
ファイルのダウンロードやアップロードをするためのプロトコル
FTP:データを転送するときのプロトコル
時刻を同期するためのプロトコル
NTP:アクセスログ(通信の記録)の解析を正確に行うために、WebサーバやDBサーバなどのサーバ間で時刻を一致させるときのプロトコル
データを転送するためのプロトコル
TCP/IP:インターネット通信やメールの送受信などを支えるために使う。TCPはデータをもれなく転送し、IPは目的の相手にデータを転送するためのプロトコル。IPはv4とv6があり、v6には通信の暗号化機能が追加されている。
端末情報
端末情報
端末情報には、ハードウェアを特定するMACアドレス、ネットワーク状の端末を特定するIPアドレスなどがある。
MACアドレス:端末の通信規格を特定する情報。ハードウェアに割り振られている世界中で一意な番号。16進数、48ビットで表す(例.01-23-45-67-89-AB)
IPアドレス:ネットワーク上の端末を特定する情報。インターネット上で一意なアドレス。OSが管理している番号。IPv4は10進数32ビット、IPv6は16進数128ビットで表す
ポート番号:端末で動作しているアプリケーションを特定する番号(Webサーバの場合は80)
グローバルIPアドレスとプライベートIPアドレス
インターネット状で一意のアドレスをグローバルIPアドレスといい、LAN内でのみ有効なアドレスをプライベートIPアドレスという。
例えるなら、グローバルIPアドレスは企業の外線電話で、プライベートIPアドレスは内線番号にあたる。
内線番号は他の企業の内線番号と重複していても問題ない。
このアドレスの交換機能のことをNATといい、ルータがアドレスの変換を行っている。
スポンサーリンク
中継装置
ネットワークインターフェースカード
PCなどの端末に内蔵されている、LANと接続するための通信装置。
NICと略されたり、ネットワークアダプタとも呼ばれる。
ネットワークインターフェースカードにはMACアドレスが割り当てられる。
ハブ、リピータ
電気信号を中継するための装置で、ケーブルで繋がっている端末すべてにデータが流れるのが特徴。
すべてに送信すると無駄な通信が発生することから、ハブやリピータが利用される場面は少なくなっている。
ブリッジ、L2(Layer2)スイッチ
LAN内の端末にデータを転送するための装置で、データの中の宛先(MACアドレス)を識別して転送し、データは該当の端末のみに転送される。
Layerとは階層の意味で、L1は電気信号、L2はMACアドレス、L3はIPアドレスの制御を行う。
ルータ、L3(Layer3)スイッチ
LANとインターネットの間などでデータを転送するための装置で、データの中の宛先(IPアドレス)を識別して転送する。
ルータはIPアドレスと転送先の対応表を持っていて、それをもとに通信を中継する。
ルータはソフトウェアを使って中継するために柔軟なルールを設定することができ、L3スイッチはハードウェアで中継するため、高速な中継ができる。
ルータはデータがLANからインターネットへ出ていく際の出入り口となることから、デフォルトゲートウェイと呼ばれることもある。
スマートフォンのテザリング機能をオンにすると、スマートフォンがルータの代わりになって、インターネットに接続するための中継を行う。
インターネットの仕組み
URL(Uniform Resource Locator)
Resource(リソース)とはファイルや画像などのコンテンツで、URLはインターネット上のリソースの格納庫を示す。
WebブラウザのアドレスバーにURLを入力すると、指定されたサーバ上のリソースがブラウザに返され、ページが表示される。
DNS(Domain Name System)
IPアドレスを人間に扱いやすいような意味のある文字列で表現したドメイン名が使われている。
DNSは「名前解決」とも呼ばれ、ドメイン名とIPアドレスを対応させて変換するシステム。
この名前解決を行うサーバがDNSサーバ。
DHCP(Dynamic Host Configuration Protocol)
動的に端末情報を構成するためのプロトコルで、端末にIPアドレスを自動で設定する。
インターネットの普及により端末の数が膨大になり、この仕組みができた。
端末は電源を入れると、DHCP機能を持ったサーバにIPアドレスを要求し、DHCPサーバがIPアドレスを割り当てる。
Wi-fiルータは、ルータとDNSとDHCPの機能を兼ね備えている。
プロキシ
プロキシは代理という意味で、車内のコンピュータがインターネットにアクセスするときに、インターネットとの接続を代理で行う。
プロキシの機能を持ったサーバがプロキシサーバ。プロキシサーバを設置することで、インターネット上から社内のコンピュータを隠蔽でき、業務外コンテンツのフィルタリング(ブロック機能)、一度閲覧したページのキャッシュ(ためておくこと)などによって、応答スピードが向上するメリットがある。
スポンサーリンク
無線通信
LTE/4G
モバイル通信の規格で、通信速度は下り最大100Mbps以上、上り最大50Mbps以上。
※bpsは1秒あたりの伝送速度
5G
モバイル通信の規格。2020年に実用化予定。
IoTデバイスに対応するため、端末の同時多接続、超低遅延、省電力、低コスト、高速・大容量化を実現。
通信速度は10Gbps以上。
Wi-fi
無線LANの規格。通信範囲は数十〜数百メートル、企業や家庭内で利用されている。
通信速度は6.9Gbpsだが、最新のWi-fi6では9.6Gbpsとなっている。
Bluetooth
近距離無線の規格で、通信範囲は10メートル前後で通信速度は24Mbps。
スマホとワイヤレスイヤホン間やPCとワイヤレスマウス間などで利用されている。
BLE(Bluetooth Low Energy)
近距離無線の規格。省電力、低速で、IoTデバイスとの通信にも利用されている。
通信範囲は10メートル前後、通信速度は最大1Mbps。
人や物の位置情報の検知に使われ、従業員の勤怠管理や工場での工程管理に利用されている。
LPWA(Low Power Wide Area)
遠距離通信の規格。省電力、低速で、IoTデバイスとの通信にも利用されている。
通信範囲は最大10km、通信速度は250Kbps程度。遠隔の機器や装置の監視などに利用されている。
無線LAN
無線LANの規格
IEEE802.11b:周波数帯2.4GHz、最大通信速度11Mbps
IEEE802.11a:周波数帯5GHz、最大通信速度54Mbps
IEEE802.11g:周波数帯2.4GHz、最大通信速度54Mbps
IEEE802.11n:周波数帯2.4GHz/5GHz、最大通信速度600Mbps
IEEE802.11ac:周波数帯5GHz、最大通信速度6.93Gbps
2.4GHz帯の特徴:色々な製品で使われているため、無線が混み合い不安定になりやすい。障害物に強く、遠くまで電波が届けやすい。
5GHz帯の特徴:他の製品では使われないため、安定して接続して高速。しかし、障害物に弱く、遠距離では電波が弱くなる。
無線LANのセキュリティ
無線LANの通信を暗号化する規格はWPA2で、共通鍵暗号方式のAES(Advanced Encryption Standard)を使っている。WPA2をさらに強化したWPA3も登場している。
無線LANの接続
無線LANを中継する機器をアクセスポイントという。
アクセスポイントに端末を接続する際は、ESSID(Extended Service ID)というアクセスポイントが管理するネットワークの名前を指定する。
正当な端末のMACアドレスをアクセスポイントに登録して、それ以外の不正な端末の接続を防ぐことをMACアドレスフィルタリングといい、ネットワークの不正利用を防ぐ。
アクセスポイントを介さず、端末同士が直接通信を行うアドホック・モードもあり、携帯型ゲーム機で対戦ゲーム機で対戦ゲームをする際などに使われている。
情報セキュリティ
脅威と脆弱性
脅威とは、情報資産に危険をもたらす可能性のあるもののことで、人的脅威、物理的脅威、技術的脅威がある。
脆弱性とは、「弱さ、脆さ」のことで、システムの欠陥(バグ)や仕様上の問題点(セキュリティホール)、会社の許可を得ずに私用PCやスマホを業務に利用する(シャドーIT)ことによる情報漏洩などがあげられる。
シャドーITに対して、会社の許可を得た上で私用端末を業務に利用することをBYOD(Bring Your Own Device)という。
人的脅威
人間のミスや悪意によるもの。
情報漏洩、紛失、盗み見:ノートPCの紛失による情報漏洩や利用者の肩越しにパスワードなどを盗み見(ショルダーハッキング)
誤操作、破損:操作ミスによるデータの削除、ハードディスクの破損
なりすまし:他人のユーザID、パスワードを用いてシステムにログイン
クラッキング:システムへの不正侵入、破壊、改竄
内部不正:社員が顧客情報を持ち出し、名簿販売業者に売却
物理的脅威
システムに大して物理的なダメージを与えるもの。
災害:地震、火災、水害などの地震災害によりシステムや情報が利用できない
破壊:不正侵入によるデータの消去、記録媒体の破壊
妨害行為:通信回線の切断、業務の妨害
不正のトライアングル:動機、機会、正当化の3要素がすべて揃った時に不正が発生する
技術的脅威に「マルウェア(悪意を持ったプログラムの総称)」がある。
マルウェアの代表的なものが以下のもの。
コンピュータウイルス
プログラムに寄生して、自分自身の複製や拡散を行うプログラム。
ボット
処理を自動化するソフトウェアのことで、ウイルス感染により、ボット化したPCは外部からの遠隔操作が可能になり、一斉攻撃などの手段として悪用される。
スパイウェア
個人情報などを収集して盗み出す。
入力された操作を記録するキーロガーというソフトウェアは、端末利用者が入力したパスワードや個人情報を盗む。
ランサムウェア
コンピュータに保存していたデータを暗号化するなどして、使えない状態にし、元に戻す代わりに金銭を要求する。
ワーム
プログラムに寄生せずに、自分自身を複製し、増殖するプログラム。
トロイの木馬
害のないプログラムを装い、侵入したコンピュータにバックドア(裏口)を設置。
このように、コンピュータを遠隔操作できるようにするツールをRAT(Remote Access Tool)と呼ぶ。
マクロウイルス
文書作成や表計算ソフトのマクロ機能を悪用したコンピュータウイルス。
辞書攻撃
パスワードとして、辞書に載っている単語を次々と入力して不正アクセスを試みる攻撃。
パスワードには意味のある単語を用いないことが対策。
総当たり(ブルートフォース)攻撃
パスワードとして英数字の組み合わせを全て入力して、不正アクセスを試みる攻撃。
ログインに連続して失敗するとアカウントをロックすることが対策。
パスワードリスト攻撃
攻撃者が自薦に入手したIDとパスワードのリストを使って不正アクセスを試みる攻撃。
複数のサイトで同じIDとパスワードを使いまわしている人が多いため、被害が拡大している。
クロスサイトスクリプティング(XSS)
Webアプリケーションの画面表示処理の脆弱性をついた攻撃。
悪意のあるスクリプトがブラウザで実行されると、偽のページが表示され、入力した個人情報などが盗み出される。
開発時に対策用コードを使用することで対策。
SQLインジェクション
WebアプリケーションのDB処理の脆弱性をついた攻撃。
入力画面でDBを操作するSQLコマンドを入力することで、DB内部の情報を不正に操作する。
開発時に対策用のコードを使用することで対策。
ドライブバイダウンロード
WebブラウザやOSなどの脆弱性をついた攻撃で、Webサイトに不正なソフトウェアを隠しておき、サイトの閲覧者がアクセスすると自動でダウンロードされる。
対策は、ウイルス対策ソフトを導入して定義ファイルやOSなどを最新の状態に保つこと。
DNSキャッシュポイズニング
DNSサーバにはIPアドレスとドメイン名の対応表のコピーを持つキャッシュサーバがある。
攻撃者がキャッシュサーバの中身を偽情報に書き換えると偽情報によって悪意のあるサーバに誘導され、機密情報を盗まれてしまう。
対策は、キャッシュサーバの情報を書き換える際に、認証機能を使って相手を確認すること。
DoS(Denial of Service:サービス妨害)攻撃
大量の通信を発生させてサーバをダウンさせ、サービスを妨害する攻撃。
対策は、ネットワークの監視装置で通信量などを監視し、不正な通信を遮断する。
DDoS(Distributed Dos:分散型DoS)攻撃
ボット化して遠隔操作が可能になった複数の端末から、サーバに一斉に通信を発生させ、ダウンさせてサービスを妨害する攻撃。
対策はDoS攻撃と同様。
水飲み場型攻撃
標準型攻撃(特定の組織の情報を狙って行われる攻撃)の1つで、ターゲットが訪れそうなサイトを改竄し、不正なプログラムをダウンロードさせてウイルスに感染させる。
対策は、ウイルス対策ソフトを導入し、定義ファイルやOSを最新に保つこと。
やり取り型攻撃
標的となった組織に対して、取引先や社内関係者になりすましてやりとりし、機密情報を盗む攻撃。
対策は情報の共有や添付ファイルの確認。
ゼロデイ攻撃
OSやソフトウェアの脆弱性の判明後、開発者による修正プログラムが提供される日よりも前にその脆弱性を突く攻撃。
問題解決のための対策が公開された日を1日目としたとき、それ以前に開始された攻撃という意味で、ゼロデイ攻撃と呼ばれている。
リスクマネジメント
リスクマネジメントは、「リスクアセスメント」と「リスク対応」に分けられる。
リスクアセスメント
アセスメントは「評価」。
「リスクの特定」→「リスクの分析」→「リスクの評価」の手順で行う。
リスク対応
リスク評価の結果によって、どのような対応を実施するかを決定する。
リスク回避:システムの運用方法や構成の変更などによって、脅威が発生する可能性を取り去ること(例.端末にデータを持たせず、サーバで管理)
リスク低減:セキュリティ対策を行うことで脅威が発生する可能性または発生時の損害額を下げる(例.PCのUSBポートをふさぐ部品を取り付け)
リスク移転(転嫁):リスクを他社などに移すこと(例.サイバー攻撃などで発生する損害に備えて、サイバーリスク保険に加入する)
リスク保有(受容):リスクの影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容すること(例.近隣の川の氾濫により、会社が浸水する恐れがあるが、過去に氾濫したことがないため、その可能性はほとんどないと判断し、対策は講じない)
情報セキュリティ管理
情報セキュリティマネジメントシステム(ISMS)
ISMSは、リスクの分析、評価を行って必要な情報セキュリティ対策を行い、組織全体で情報セキュリティを向上させるために、情報の正しい取り扱いと管理方法を決めたもの。
情報セキュリティの要素
機密性:第三者に情報が漏洩しないようにすること
完全性:データが改竄されたり、欠けたりすることなく正しい状態であること
可用性:障害などがなく必要な時にシステムやデータを利用できること
真正性:なりすましや、偽の情報がないことが証明できること
責任追跡性:誰がどんな操作をしたかを追跡できるように記録すること
否認防止:本人が行った操作を否認させないようにすること
信頼性:処理が欠陥や不具合なく確実に行われること
情報セキュリティポリシ(情報セキュリティ方針)
企業の経営者が最終的な責任者となり、情報資産を保護するための考え方や取り組み方、遵守すべきルールを明文化したもの。
ISMSの運用方法
情報セキュリティ対策は一度実施したら終わりではなく、環境の変化に合わせて、絶えず見直しと改善が求められる。
セキュリティ対策を継続的に維持改善するためにPDCAサイクルを繰り返す。
個人情報保護・セキュリティ機関
サイバー攻撃に関する方針や組織
プライバシーポリシ(個人情報保護方針)
Webサイトで収集した個人情報をどのように取り扱うのかを定めたもの。
問合せフォームなどの個人情報を収集するサイトの場合は、プライバシーポリシの制定とWebサイトへの記載が必要。
サイバー保険
サイバー攻撃による個人情報の流出などの損害に備える保険。
事故対応費用やサービス中断による費用を補償する。
情報セキュリティに関する活動を行う組織・機関
情報セキュリティ委員会:情報セキュリティ対策を全社的かつ効果的に管理することを目的とした社内組織
CSIRT:情報セキュリティ上の問題に対応するために企業や行政機関などに設置される組織
SOC:ネットワークやデバイスを24時間365日監視し、サイバー攻撃の検出と分析、対応策のアドバイスを行う組織
J-CSIP:公的機関であるIPAを情報ハブとするサイバー攻撃に対抗するための官民による組織
サイバーレスキュー隊(J-CRAT):IPAが設置した標的型攻撃対策の組織。相談を受けた組織の被害の低減と攻撃の連鎖の遮断を支援する
情報セキュリティ対策
物理的セキュリティ対策
監視カメラ、正常管理、入退室管理:不正侵入対策として、監視カメラの設置や入退室管理システムを導入する
クリアデスク:情報の持ち出し防止として、離席時には業務に関する資料をデスク上に放置せず、キャビネットなどの鍵のかかる場所で保管する
クリアスクリーン:第三者による不正操作を防止するため、離席時にはPCをログアウトする
セキュリティケーブル:盗難や持ち出し防止のため、ノートPCとデスクをセキュリティケーブルで接続して固定する
遠隔バックアップ:盗難や事故、地震などの自然災害によるシステムやデータの損失に備えて、遠隔地にデータやサーバを複製しておく
人的セキュリティ対策
情報セキュリティ啓発:情報の漏洩、紛失、なりすましなどの防止のために、定期的にセキュリティ教育を実施し、セキュリティに対する社員の意識の向上を図る。
監視:不正侵入や不正アクセスを把握するために、監視カメラの設置やサーバの操作情報(ログ)を記録し保存する
アクセス権の設定:情報の漏洩、改竄の防止のために、社員にアクセス権を設定し、情報を利用できる社員を制限する
内部不正の防止:内部不正による情報漏洩の対策として、「組織における内部不正防止ガイドライン」(IPA)をもとに、自社にあった対策を検討する
ネットワークに関するセキュリティ対策
コンテンツフィルタリング:社内PCから不適切なサイトの閲覧をブロックするための仕組み。プロキシサーバの機能を利用する
ファイアウォール:防火壁という意味で外部からの不正な通信を遮断するための仕組み
DMZ(Demilitarized Zone):非武装エリアとも呼ばれ、外部ネットワークとも、社内ネットワークとも隔離された公開エリアのこと
DLP(Data Loss Prevention):専用のソフトウェアやシステムを使った情報漏洩対策のこと
検疫ネットワーク:社内LANに接続するPCのセキュリティ状態を検査する専用のネットワークのこと
SSL/TLS:通信の暗号化、相手の認証を行うプロトコルのこと。
VPN:仮想的な専用ネットワーク。事業所間のLANなど遠隔地との接続などに利用される
その他のセキュリティ対策
MDM(Mobile Device Management):モバイルデバイス管理のこと。社員が利用するスマホやタブレット端末の設定を管理部門で一元管理する手法。
電子透かし:画像や音声、動画などの著作権保護を目的に人には認識できない形でコンテンツに著作者の名前などの情報を埋め込む技術のこと
ディジタルフォレンジックス:フォレンジックスは「鑑識」。情報漏洩の調査のために、PCやスマホに保存されている電子情報を解析し、法的な証拠を見つけるための技術。
ペネトレーションテスト:侵入テストとも呼ばれる。システムに対して実際に侵入や攻撃を行い、システムの脆弱性を調査するテスト
ブロックチェーン:仮想通貨「ビットコイン」の基幹技術として発明された概念で、インターネット上で金融取引などの重要なデータのやり取りを可能にする技術のこと。
耐タンパ性:タンパは「許可なく変更する」という意味。機器や装置、ソフトウェアなどの内部の動作や処理手順を外部から分析しにくくすること。
暗号化と認証の仕組み
暗号化とは、データを規則に従って変換し、第三者が解読できないようにすること。
暗号化前のデータは平文、暗号化されたデータをもとに戻すことを複合という。
暗号化技術は情報漏洩対策として、通信の暗号化、ハードディスクの暗号化、ファイルの暗号化など広く利用されている。
暗号化の方式は以下の方式
共通鍵暗号方式
暗号化と復号で、同じ鍵(共通鍵)を使用する方式。
共通鍵は第三者に知られないように秘密にするため、「秘密鍵暗号方式」とも呼ばれる。
暗号化と復号の処理が高速だが、鍵が第三者の手に渡ると、暗号が解読されてしまう。
公開鍵暗号方式
暗号化と複合で異なる鍵を使用し、暗号化する鍵(公開鍵)を公開し、復号する鍵(秘密鍵)を秘密にする。
暗号化と復号の処理が複雑なため処理に時間がかかるが、鍵の入手や管理がしやすい。
ハイブリッド暗号方式
共通鍵暗号方式と公開鍵暗号方式のメリットを組み合わせた方式。
平文はサイズが大きいため、高速な共通鍵で暗号化する。
しかし、共通鍵をそのまま渡すと、鍵が漏洩して解読される危険がある。
それを避けるため、送信者は受信者の公開鍵で共通鍵を暗号化してから受信者へ渡す。
受信者は自分の秘密鍵で共通鍵を復号できるので、その共通鍵を使って暗号文を平文に複合できる。
認証技術とは、データの改竄やなりすましを防ぐために、データやユーザの正当性を証明する技術。
代表的な認証技術は以下の通り。
ディジタル署名
送られたデータを改竄されていないことと、送信者がなりすましではないことを証明する技術。
公開鍵暗号方式と「ハッシュ関数」を組み合わせている。
「ハッシュ関数」は、データを数値化するための計算式で、数値化されたデータは「メッセージダイジェスト」や「ハッシュ値」と呼ばれる。
タイムスタンプ(時刻認証)
ファイルの新規作成や更新時にファイル情報として記録されるファイルの保存日時のこと。
ディジタル署名の一種として、重要な文書で利用されている。
利用者認証
ワンタイムパスワード:一度限りの使い捨てのパスワードのことで、セキュリティを強化する仕組み。漏洩する危険性が低く、インターネットバンキングなどで利用されている
多要素認証:パスワードと指紋認証など、複数の認証要素を使用した、より安全な認証を実現する手法
シングルサインオン:1つのIDとパスワードで、メール、SNS、Webサービスなど複数のサービスにログインできる仕組み
生体認証(バイオメトリクス認証)
「身体的特徴」で認証する方法と「行動的認証」で認証する方法がある。
身体的特徴には、指紋、顔、網膜、声紋、虹彩などがある。
行動的特徴には、筆跡やキーストローク(キー入力のくせ)などがある。
生体認証には、なりすましが難しい反面、体調により状態が安定しないこともあるので、本人でも拒否される場合がある。
本人であることが認識されず他人として拒否される割合を本人拒否率、他人を本人として誤認識して受け入れてしまう割合を他人受入率という。
本人拒否率を下げようとすると、他人受入率が上がってしまい、両者は同時に高めることのできないトレードオフの関係になっている。
公開鍵基盤とIoTシステムのセキュリティ
公開鍵基盤(PKI:Public Key Infrstructure)
公開鍵暗号方式やディジタル署名、ディジタル証明書を使ったセキュリティのインフラ(基盤)が公開鍵基盤。
公開鍵が正しいかどうかを判断するするための仕組み。
ディジタル証明書
ディジタル証明書には公開鍵とその所有者を証明する情報が記載されている。
公開鍵暗号方式やディジタル証明書を利用する場合、相手が掲示するディジタル証明書から公開鍵を入手する。
ディジタル証明書の発行は認証局という専門機関が行い、改竄を防ぐためにディジタル証明書には、認証局のディジタル署名が付与されている。
IoTセキュリティガイドライン
IoTの普及に伴い、ウイルスに感染したIoT機器を使ったサイバー攻撃などの被害が増えている。
そのため、IoTシステムにおけるセキュリティ対策として、IoTシステムやIoT機器の設計・開発について各種の指針・ガイドラインが作成されている。
IoTセキュリティガイドラインは、経済産業省および総務省が作成したガイドラインで、利用者が安心してIoT機器やシステム、サービスを利用できる環境を作ることを目的としている。
IoT機器やシステム、サービスの提供者が取り組むべきIoTのセキュリティ対策の指針や一般利用者のための利用のルールをまとめたもの。
コンシューマ向けIoTセキュリティガイドライン
コンシューマ向けIoTセキュリティガイドラインは、NPO日本ネットワークセキュリティ協会が作成したガイドラインで、利用者を守るために、IoT機器やシステム、サービスを提供する事業者が考慮しなければならない事柄をまとめたもの。
具体的には、「トラブルが発生した場合の対応窓口を設ける」「IoTデバイスの紛失などの可能性を考慮し、リモートでデータの削除機能を付ける」など。
セキュリティ関連法規
サイバーセキュリティ基本法
国民が安全で安心して暮らせる社会の実現と、国際社会の平和および安全の確保ならびに国の安全保障に寄与することを目的としている。
「サイバーセキュリティ戦略や基本的施策」や「内閣にサイバーセキュリティ戦略本部を設置すること」などを規定している。
不正アクセス禁止法
不正アクセス行為や、不正アクセス行為につながるIDやパスワード等の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律。
不正アクセス行為とは、他人のIDやパスワードを入力したり、脆弱性を突いたりなどして、本来は利用権限がないのに、不正に利用できる状態にする行為をいう。
個人情報保護法(個人情報の保護に関する法律)
個人情報(生存する個人に関する情報で、氏名や生年月日、住所、電話番号などの記述により特定の個人を識別できるもの)を取り扱う事業者(個人情報取り扱い事業者)が遵守すべき義務等を定め、個人の権利や利益を保護することを目的とした法律。
内閣総理大臣の所轄に属する個人情報保護委員会は、個人情報取り扱い事業者等に対し、個人情報の取り扱いに関し必要な指導及び助言することができる。
例えば、交通系ICカードのように、利用者の利用履歴を複数の事業者間で利用するような場合は、特定の個人を識別することができないように個人情報を加工した情報を活用する。
このように特定の個人を識別することができないように個人情報を加工して得られる情報を匿名加工情報といい、元の個人情報に復元できないようになっている。
特定電子メール法
特定電子メールとは、営利目的で送信メールを送信するメールのこと。
営利目的で多数の相手に配信する迷惑メールを規制する法律。
広告や宣伝メールを送る場合には、あらかじめ相手から同意を得なければならない。
過去に同意を得た相手であっても、その後、受信を望まなくなることもあることから、そのような場合はメールを送信してはならない。
具体的な方法としては、本文の中に受信拒否の手続きをするための宛先(メールアドレスやURL)を記載するなどが挙げられる。
プロバイダ責任制限法
SNSなどの書込みによる権利の侵害があった場合に、被害者とインターネット接続事業者(プロバイダ)を守るための法律で、以下の内容を規定している。
1.プロバイダ、サーバの管理・運営者の損害賠償責任の制限
2.被害者がプロバイダに発信者情報の開示を請求する権利
1については、プロバイダが違法な投稿を知っていたのに何もしない、技術的に対応が可能にもかかわらず何もしなかった場合、被害者はプロバイダに損害賠償請求ができる。それ以外はプロバイダに対する損害賠償請求を阻止できる。
不正指令電磁的記録に関する罪(ウイルス作成罪)
ウイルスの作成、提供、供用(ウイルスが実行される状態にした行為)、取得、保管行為をした場合は罰せられる。
サイバーセキュリティ経営ガイドライン
IPAと経済産業省が共同で策定したガイドライン。
サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」と経営者が情報セキュリティ対策を実施する上で責任者に指示すべき「重要10項目」をまとめている。
中小企業の情報セキュリティ対策ガイドライン
中小企業が情報セキュリティ対策に取り組む際、経営者が認識して実施すべき指針と社内において対策を実践する際の手順や手法をまとめたもの。
対策に取り組めていない中小企業等が組織的な対策の実施体制を段階的に進めていけるよう、経営者編と実践編から構成されている。
経営者編:経営者が知っておくべき事項、自らの責任で考えなければならない事項
実践編:情報セキュリティ対策を実践する人向けの対策の進め方
情報セキュリティ管理基準
組織が効果的に情報セキュリティマネジメント体制を構築し、適切にコントロール(管理策)を整備・運用するための実践的な規範として、経済産業省が情報セキュリティ管理基準(JIS Q 27001)を策定した。
情報セキュリティ管理基準はマネジメント基準と管理策基準から構成されている。
マネジメント基準:情報セキュリティマネジメントの確立、運用、監視およびレビュー、維持および改善についての基準
管理策基準:人的セキュリティ、技術的セキュリティ、物理的セキュリティについての基準