放送大学全科目感想 020 情報セキュリティ概論(’22)

  • 情報コース
  • テレビ科目
  • 山田恒夫先生(放送大学教授)
  • 辰己丈夫先生(放送大学教授)
  • 難易度 ★★☆☆☆
  • おすすめ度 ★★★★☆

ゲスト講師も入れて5人での講義。技術的な話はもちろん倫理、教育など扱う内容も広い。聞き手はお茶大博士卒でAI研究家の大西可奈子さん。多くの回で貴重なインタビューを聞くことができ、放送授業を聞く価値が高い。個人的には、辰己先生の慧眼が光っていると感じた。第11回の花岡先生の話は若者のSNS行動を知りたい人にとっては必見。

第1回

AI研究家の大西さんが聞き手。90年代、中学校でコンピュータに触れたらしい(同年代だ)。山田先生は70年代~80年代に動物の研究で使ったらしい。コンピュータが発展して悪いことを考えるやつが増えた。なのでセキュリティを知らないといけない。サイバー空間の特性(ボーダレス性、オープン性、匿名性とか)のせいでセキュリティも重要に。

先生が受けた実際の被害。SPAM。先生のパソコンから東南アジアにアクセスしているという報告(原因は不明)。

情報セキュリティとは何か。企業や官公庁などの組織や個人における情報資産全般の機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)等を保障すること。情報資産→情報を資産としてとらえていること。

脅威とは何か。システムまたは組織に損害を与える可能性があるインシデント(事案)の潜在的な原因。

リスクとは。ある脅威がある情報資産の脆弱性によって、システムや組織に損害を与える可能性。情報資産 * 脅威 * 脆弱性。脆弱性とは、情報資産に影響(損害)を及ぼす、こうした脅威に対する対応策が採られていない性質のこと。

情報セキュリティマネジメントシステム→組織としてのセキュリティ管理の実施、マネジメントとしてのセキュリティレベルを決めた運用、リスク管理。

法。不正アクセス禁止法、電子署名法、特定電子メール法、個人情報保護法、サイバーセキュリティ基本法など。

情報倫理。インターネット社会において生活者がネットワークを利用して互いに快適な生活を送るための規範や規律のこと。応用倫理学の一分野(まじで?)。

第2回

パスワード・認証について。ゲストの東邦大・金岡先生。もじゃもじゃしてる。

認証とは。門番に顔とか通行証とかの証拠を見せたりすることから始まった。今はパスワード。遠隔から、というところが昔と違う。なりすましの可能性が上がる。定義は「相手に自分が何者であるかを主張し、相手に本人性を確認してもらう行為」。名乗ってから確認する。記憶による認証(パスワード)、所持による認証(カード)、本人の特徴による認証(指紋)。

リモート認証とローカル認証。リモートだと通信路・サーバーから漏れる。ローカルだと覗き見・アプリからのアクセスで漏れる。生体認証はリモートでは使えない(機密性が高すぎ)。

多要素認証。例えば銀行口座振り込みはいくつかの認証方法を組み合わせてる。パスワード+スマホ認証とか。

パスワード。サーバー上ではパスワードはハッシュ化されているので、送信したパスワードをハッシュ化して比較する。

チャレンジレスポンス方式。サーバーが乱数でチャレンジを送信し、ユーザーはパスワードでチャレンジを加工、レスポンスとサーバー側で計算した加工データを比較する。この方式だと送信データが加工されていて漏れても安全。ユーザーからの見た目もパスワード入力してるだけだから変わらないはず。

簡単なパスワードにさせないために、パスワード構成ポリシーをつける。強度を表示する。パスワードは単に長くするだけで相当強度が上がるので、16字以上にしてくれとかにすれば結構強い。

ユーザー側のパスワード管理。管理ツールがあるらしい。サービスごとに使い分けろと言われた。まあそうなんですけど、大変ですよね。定期的変更の強制はだめらしい。わかりやすくしてしまう。秘密の質問も簡単に推測できるからダメ。

パスワードに対する攻撃。オンライン攻撃:総当たり攻撃。オフライン攻撃:ハッシュ値を取得して解析。ソーシャルエンジニアリング:ユーザーの心理や認知から取得。リスト型攻撃:漏洩したものを別のサービスで使う。

第3回

暗号について。暗号とは、一定の規則に従って情報を秘匿すること。

古典暗号と現代暗号の違い。昔の暗号は文字列をずらすとか1対1のものが多い。3文字ずらすシーザー暗号が有名。現代では暗号方式のレベルが上がった。1970年代以降、DES、公開鍵暗が登場してかなり変わったのでこれ以降を現代暗号という。

共通式暗号。暗号化と復号化が同じ鍵。長距離の共有が難しいことが問題。はやい。AES(ブロック暗号。数バイトずつ)、ChaCha20(ストリーム暗号。1バイトずつ)。

暗号利用モード。暗号の利用法を定義すること。例えばECB。平文→暗号→暗号文ブロックという単位で変換する。すると同じブロックからは同じブロックができるので、予想ができてしまう。ECBは非推奨。

CBC。平文ブロックと一つ前の暗号文ブロックを組み合わせてXORで暗号化する。すると同じデータは出てこない。

公開鍵暗号。暗号化と復号で違うカギを使う。Diffie-Hellman鍵交換にはじまる。お互いが秘密の情報を持っていて、公開の情報を使って累乗と割り算を行う。割り算の余りを交換して、自分の秘密の情報を使ってまた累乗と割り算を行う。すると、余りが一致する(数学的には印刷教材を見よ)。これを共通鍵として使える。

RSA。Rivest, Shamir, Adlemanさんが作った。素因数分解を使う。秘密鍵と公開鍵を交換できることが特徴で、署名にも使える。DSA。電子署名特化。

暗号学的ハッシュ関数。非改竄性の保障をする。SHA-256、SHA-512など。

疑似乱数生成器。鍵の生成にランダム性が必要になる。再現性がないような乱数を作れなければいけない。でも完璧な乱数は(物理的に?)作れないので、疑似という言葉が付く。具体的な説明はなし。

暗号化の標準化。暗号は鍵以外の情報が公開されたとしても安全でないといけない(ケルクホフスの原理)。ISOとかNISTとかいろんな標準化団体がある。

応用。PKI:公開鍵基盤。信頼ある機関(CA)に証明してもらうこと。PGPは当事者間でやること。TLSではセキュリティレイヤーのことで、セキュリティの機能を提供する。

第4回

マルウェアについて。サイバー犯罪の区分から。不正アクセス、電磁的記録対象、児ポ、詐欺、著作権法。電磁的記録対象犯罪とは、サーバーのデータを書き換えたり、クレカのデータを不正に取得したりすること。

不正アクセスの原因と行為。原因→設定・管理が甘い。不正アクセス後→不正送金・購入、メールの盗み見など。

マルウェアとは。不正な行為を行う意図で作成された悪意のあるソフトウェアの総称のこと。ウイルスだけではなく、ワームやスパイウェア、ボットなど。

具体例、Emotet。2019年ごろ流行る。メールにwordファイルがついてくる。しかもパスワード付きzipだったりする。開封すると感染し、外部サーバーと通信する。サーバーからくるのがマルウェア本体で、随時機能がアップデートされる。情報を取得したり、他のアドレスに同じメールを送信する。

感染経路。メール以外にはweb閲覧、ネットワーク通信経由、USBメモリなどの経由がある。

マルウェアの種類。スパイウェア→ユーザー情報を送信。バックドア→アクセスできない裏口を開く(ポートを開くとかかな)。

ボット→リモート操作可能にする。ボットだけでネットワークを構成してボットネットを作る。サーバーを貸したり売買したりもする。DDos攻撃だけではなくマイニングしたりもする。これをやめさせるのをテイクダウンという。

ランサムウェア→データを使用不能にして、復旧に金銭を要求する。CryptLockerが代表例。金銭支払いにも暗号化で匿名性を確保したので実害が大きかった。

対策。マルウェアを取得して動的解析・静的解析を行う。マルウェアの逆アセンブルってどうやるんだろうね。検体取得方法。ハニーポット→わざと感染させる端末。広域観測→監視ポイントから情報を集約。

対策:OSを最新にしておけ。感染したら?まず通信を切る。クレカを止める。特に企業の場合、どういう被害があったかを把握するためには、電源を切らない方がいい。電源を切るとマルウェア自体が痕跡を消すことがある。

第5回

ネットワークとセキュリティ。スマホはインターネットを介してサービスを得るので、ネットワークのセキュリティを担保しないといけない。

具体的に何をするか。まずネットワークの分離。外部ネットワークと内部ネットワークをゲートウェイ、ファイアウォールで隔離する。外部向けサーバーはDMZに置く。DMZにはIDSという不正アクセス検知機能も付けておく。これで内部ネットワークは外部と完璧に分離できる。

クラサバシステムに、インターネットを挟んだサービスは、複数のサーバーを使っている。システム自体がネットワークを構成している。これを3層アーキテクチャーという。3層アーキテクチャーは、プレゼンテーション層、アプリケーション層、データベース層からなる。プレゼンテーション層がユーザーのアクセスする所(webサーバー)。webサーバーがアプリケーションサーバーにアクセスし、アプリケーションサーバーがデータベースに接続する。外部とアクセスするのはwebサーバーだけ。

分離の利点は、サーバーを簡単に増減できること。さらに、webサーバーまでにアクセスを制限できるからセキュリティ面でも有利になる。

脆弱性対策。まずバッファオーバーフロー、スタックオーバーフロー。スタックオーバーフローだとソフトウェア終了後の処理の行き先が変わる。対策としてはコンパイラで検知、メモリー領域に実行不可属性をつける、アドレス空間をランダム化する(被害を少なくする?)琴が考えられる。どれもOSで何とかする機能かな。

ハードウェアによるセキュリティ確保。ハードウェア上に信頼されたゾーンを用意して隔離実効ができる。有名なのはTPM、TEE。

クラウド上でサーバーをレンタルしている場合(サーバーの外部委託)のセキュリティは。通信がゲートウェイを介して外部とやり取りする機会が増えるから、ゲートウェイが大変になってきているらしい。不正アクセスの余地が高まる。

ゼロトラストネットワーク。組織的ネットワーク内で安全という考えは捨てて、細かい単位で認証と認可とデータ保護を考えること。ユーザー認証以外にもソフト認証、ハードウェア認証などを駆使する。

第6回

個人情報とプライバシーについて。辰己先生。

情報とデータとの違い。意味があるかどうかが違う。記号が意味になるかどうかはそれを扱う人次第。雑音とか、理解できない外国語は意味がないので情報ではない。

日常生活での情報。コンピュータ以前は紙などで伝えていたので、複製が困難、遠隔地に届けるのも困難なので、個人情報は広がりにくかった。現代では、情報は文字・色・画像・音になるので、コンピュータ・ネットワークで扱いやすい。

個人から得られる情報→身長とか国籍とか。これ単独では個人を特定できない。ところが、住所や氏名、顔写真などは、単独や組み合わせて個人を特定できる。

個人情報保護法で定義する個人情報とは、氏名、生年月日その他の記述で、特定の個人を特定することができるものとある。

インターネット普及以前は、転居してきた隣人の指名と年齢と新聞記事データベースは照合できなかった。が、普及以後はニュースサイトなどで簡単に検索可能になった。個人情報を組み和せば特定ができる。病歴とか指紋とか、図書館の貸出履歴からもわかってしまう?こういう結合は法律で禁止するしかない。

個人情報の価値を評価すること。アンケートとか会員登録の経費、マーケティング、生産管理等で得られる利益、流出データの回収費用などを足し合わせた者が価値になる。

個人情報取り扱いの基本。適正取得とか利用目的に通知、安全管理、第三者提供の制限(同意なしだとダメ。でも生命にかかわる場合など例外もある)など。

プライバシー。自分がコントロールできる抽象的な領域のこと。自分の情報の用途を自分で決めることができる権利をプライバシー権という。個人情報保護法で保護する。日本にはプライバシー自体を保護する法律はない。憲法の人権から出てくるしかない。

肖像権。個人の写真を見せない権利。パブリシティ権。有名人の写真や名前を見せて利益を得る権利。

個人情報保護委員会に取材してる。マイナンバーのためにできた。国で使う個人情報の監督権限を各省庁を超えて一元管理することが目的。個人の権利と利益の保護、個人情報の有用性(利益)の2つを調整する。子どもたちに向けての広報もやってる。SNSでの個人情報についての動画を見せてもらった。動画に学校、顔写真、風景、建物が移ってて危ないよということとか、オンラインゲームで連絡先を交換するのは危ないとか。

第7回

情報セキュリティポリシーについて。方針~手順までいろんなレベルがあり、組織ごとにも異なる。今回扱うのは「高等機関の情報セキュリティ対策のためのサンプル規定集」。辰己先生も策定に関わってるらしい。

情報の格付け、CIA。機密性・完全性・可用性のこと。機密性の格付けは3レベル(機密性3、2,1)。秘密文章に相当すれば3。あんまりレベルが高くなければ1。大学だとこれくらいでちょうどいい。複製とか転記とかができるかできないかが変わってくる。完全性も可用性も同様にレベルが設定されている。バランスが必要。機密性を重視しすぎると災害時に必要な情報が手に入れられなかったりする。

規定集の例。目的、実際の規定、義務、罰則で構成される。あと具体的な実施手順。例えばパスワードはこうしなきゃならないとか。

企業と大学だとポリシーが変わってくる。大学の方が研究を進めるために秘密を緩くする必要がありそう。

業務の組織と情報セキュリティの組織は違うという話。社長(CEO)・情報統括責任者(CIO)・情報セキュリティ技術責任者(CISO)・情報技術担当者・一般社員、などのような区分がいいとしている。これは一般的な部長・係長、などとは別の区分にする。CEO・CIO・CISOは兼任可能。

緊急時に運用を変えられるようにするのも大事。チーム(CSIRT)を作れるようにしておくのもよい。

教育・監査・評価も必要。役割ごとに必要な教育が違うこと、日常・抜き打ちの監査の必要性、評価にも基準があることなど。

第8回

連携時におけるトラブルと対策について。

まずCOVIDの影響について。放送大学でも単位認定試験・面接授業に大きな影響があった。

クラウドとオンプレミスについて。クラウド→外注で安い、オンプレ→自社運用、希望通りの実現ができるが管理が大変。セキュリティの面ではオンプレの方がいいかと思われるがそうでもない。運用は大変。XaaS→様々なas a serviceのこと。IaaS(インフラ)、PaaS(プラットフォーム)、SaaS(ソフトウェア)がある。

連携:APIについて。ソフトウェア間のインターフェースの仕様・規約のこと。特にWebAPIを取り上げる。APIを介してシステムとの情報のやり取りをする。マッシュアップという概念もある(ちょっと意味わからなかった)。デジタルエコシステム(よくわからん)。

COVID-19がもたらしたもの:テレワーク、オンライン学習で、信頼できるネットワークの外に端末が持ち出されてしまったこと。ファイアウォールの外側のことを考えなければいけなくなった。境界防御セキュリティ→ゼロトラストセキュリティへの転換。ゼロトラストは7つの基本的な考え方がある(印刷教材を見よ)。ICAMシステム、SIEMシステムなどが必要。

認証と認可の違い。認証は本人確認、認可はアクセス権限を与えること。

実装事例。今まではLMSとか教務システムとか電子図書館とか、全部別個に実装されていた。これをNGDLE(次世代電子学習環境)に統合しようとする動きがある。システム同士の相互運用性とか、最適化された学びなどを提供する。そして教育・学習デジタルエコシステムを構成する。セキュリティ対策ではOAuth2.0による人相、IMS技術に基づくデータ交換などを使う。認証システムはkeio.jpみたいなやつかな。

第9回

リスクマネジメント。リスクとは、損害・被害が予想される状況で、まだ起こっていないこと(起こってしまったのはインシデント)。

避けられないリスク:雨が降る。千葉県は100日だがアスワンは1日なので、アスワンでは屋根はいらない。なので被害の程度・頻度を考える必要がある。他には地震。日本には多い。対策としては、地震に強い建物を作るなど。隕石の衝突。甚大な被害があるが、めったにない。これは対策する必要あるのか?ない。よって、大きなリスクと小さなリスクがあることが分かる。リスクを評価して対策の程度を決めないといけない。

IT関係のリスク。例えばパスワード管理。リスクへの対応はどうするか。先生がおすすめするのは段階的対応。事前防御のほかに、事故対応の準備、事中対応、事後処理。事前:アンチウイルスソフトやアップデート。事故対応の準備:ログをとるとかバックアップをとるとか。事中対応:当事者と連絡を取ったり、復旧したり。事後処理:報告書、再発防止策、ポリシーの改定など。

側面対応。HECTL。人的・教育・費用・技術・法の面から対応する。段階的対応とあわせて、二次元的に分析する。例えば教育+事前防御(E1)とか、技術・事中対応(T3)とか。

個人情報とプライバシーの歴史。宇治市役所データ漏洩事件のインタビュー。平成11年の乳幼児健診システムから漏れた。個人情報を名簿業者に売却してしまった。買った人に対しては情報を回収したらしい。裁判では、目的外で情報が使われたのはダメということで損害賠償が認められた。自己情報コントロール権が認められた。宇治市で見直したこと。個人情報は庁舎内から絶対に出さない。業務のネットワークは内部と外部でしっかり分離する(当時はてきとうだった)。市民へのサービスはどう変わったか。費用は高くなったが、質は下げないようにしたので、職員は大変になった(派っきりは言ってないけど)。研修でも必ず1999年の事件には触れるらしい。

個人情報に関する空気感。80年代までは電話帳にほぼ全家庭が情報を載せてた。80年代からコンピュータが導入、90年代からインターネット。95年のEUデータ保護指令、99年の宇治市データ漏洩事件を契機に2003年に個人情報保護法が成立した。

web広告とトラッキング。行動が追跡されてるのでは?ちょっと違う。SNSやニュースサイトの広告枠が共通になっていることによる。サードパーティ・クッキーを介して情報を受け渡ししている。

第10回

情報社会の方とジレンマ。まずルールの定義から。個人のルールが人格、個人同士なら約束、個人と社会なら法となる。法は約束と違って生まれる前からある。

クリエイティブコモンズライセンスについて。著作物とパブリックドメインの中間のこと。一定の条件を守ったら自由に流通させていいというもの。CCマークを付ける必要がある。

オープンソース・オープンデータ。だれでも利用できる。そういえばなんでオープンにするんだっけ?

他にもいろいろ法律がある。特許、個人情報保護、出会い系サイト規制法とか。

情報社会における倫理的ジレンマについて。まず善から。人の生命と約束どっちを守るべきか。善悪は数量化できるのか。2人の生命のために1人を殺す vs 5人の生命のために1人を殺す、とか。

徳の概念。本人としては矛盾していても約束相手と無矛盾ならよい?黄金律「人にしてもらいたいと思うことは、なんでも、あなたがたも人にしなさい(マタイ7-12)」。本当にそうか?いつも妥当はしないが仕事上なら妥当しそう。相互矛盾の一般的な方法はないが、ジレンマを解決する一般的な方法を学ぶことはできる、というのが先生の立場。

違法→合法、悪い↑善い、の二次元軸を考える。左上と右下がジレンマとなる。例えば戦地に海賊版DVDを持って行った人。著作権法に違反するが兵士は喜んだ。告訴するか否か。映画会社は訴えなかった。反発を恐れてのこと。

広島の中学生がUstreamでスマホで撮った東日本大震災のニュースを流していた問題。元NHKの広報の人、浅生さんにインタビューしてる。著作権法違反、放送法違反。でもNHKはインターネット配信がない。当時、インタビューした人はUStreamをむしろ拡散した。矛盾する行為だった。なぜそうしたか。NHKは公共のもの。公共を守るための著作権法、放送法だから、国民の命と財産を守るための手段は何でも使っていくべきという考えだった。公共の使命を感じていた。ジレンマにある、ルール違反をしているという認識はあった。ジレンマに対する考え。ルールと良心の対立。だれが線引きをするのか。自分が信じている善と社会の善の対立。ジレンマの解決方法は。決まり事を破ったら何かいいことがある場合は、決まり事を変えるのが長期的な解決だが、短期的にはそうはいかない。世の中がどうなるかを考えるしかない。そのためには知識が必要。ルールを知って、ベネフィットも知って、その上でどうするか。知った上でジレンマを抱えてから、あえて踏み込む。そうすれば世の中がよくなるのではないか。先生は、責任をもって浅生さんが行動したと判断した。

優先すべきは?より多くの人が幸せになること(功利主義)?多数の不幸よりも一人の命を救うこと?ここから先は倫理と道徳の問題になる。日本人は命を重視しがちだそう。心の準備をしておくことが重要と先生は言った。

最後にハッカーについて。MITの鉄道模型の同好会の用語らしい。線路をどうやってつなぐかということから出てきた。なので熱心に行為を行う人のことを指す。ハクティビズム。ハッキングして社会を変えようとする人。リークしたりツールを公開して、政府や企業の変化を促す。もちろんテロの一種。先生としてはもっと別の方法を使えばいいんじゃないのと言っている。

第11回

インターネットでのトラブルについて。今日からは花田経子先生。情報教育の人らしい。子どもに焦点を当てた話をするそうだ。

分類。SNSでのトラブルとサイバー犯罪に結びつくトラブルの2つ。犯罪件数自体は減っているが、サイバー犯罪は増えている。不正アクセスは14-19歳も結構やってる。被害者になるだけではなく、加害者になるパターンも。

SNSでトラブルがあった子は10%。少ないようだが軽微なものは多分含まれないので意外と多いような気がする。内容は書き込みに関するトラブル、嫌がらせ、ワンクリック詐欺、マルウェアなど。出会い系サイトは減少したが、出会い系サイトでないサイトからの被害は増えてる。児ポの製造分類は、自画撮り送信が一番増えてる。

なぜ被害に遭うのか。犯罪者が友人を装って女の子に画像送信を促す。「私も画像送ったんだから~」とか言って。ただし犯罪者が使うのは他人の画像。女の子を追い詰めて画像を送信させてしまう。あとグルーミング。悩みを聞くふりをして、など。

トリガーとなる行動。パパ活などの問題行動画像を送信するとか。そうすることで被害者に落ち度があると認識させ、実態把握が困難になる。公表もできないから隠されたトラブルとなる。

こどもはどう解決しようとしているか。身近な大人に相談させる。むずかしくね?と思ったが相談者は、友人+保護者がツートップ。意外に保護者に相談してる。でも相談しづらい。SNSの知識が乏しいとか、説明が面倒、迷惑がかかる、話を聞かない、SNS使ってること自体注意される、普段から話をしないとか。発達段階的に自分で問題を解決したい時期だが、それでは問題が悪化する。

こどもをまもるために。コミュニケーションを密にしておくこと、適切な知識を有しておくこと。いざというときの相談相手として認識される様にせよ!!まったくそのとおりだ。

SNSの使われ方。子どもの世代に多いのはオンゲ、SNS、eラーニング、LINE、動画。少ないのはメール、検索(!?)、ショッピング、ホームページ。

目的に応じて使い分けてる。twitter, LINEは一般的・汎用的な使い方をし、個人的に仲のいい子とはインスタやTikTokらしい(そうなの!!??)。複数サービスは同時に使う。オンゲはDiscord、ツイキャス。大人がたくさん利用しているサービスは避ける。例えばfacebook(たしかにおっさん専用SNSだ)。twitterは大人との使い分けがある。インスタは24時間で消えるストーリーが好まれる。あと利用目的に応じた複数アカウント。twitterを1アカウントで全部やってる私はおっさんなんや。若者の52%が複数垢らしい。中央値は3個らしい。若者は休眠垢をもつ。一番多いのはパス忘れ。あと、若者にはアカウント概念自体がないので、休眠垢を消さないで放っておくらしい。

垢分類。通常垢・裏垢・趣味垢・勉強垢・取引垢・共同垢の6つ。

問題垢。エロ垢・売り込垢・病み垢・捨て垢。通報対象になる。病み垢は座間事件でも有名。

SNSにおけるコミュニケーショントラブル。よくあるのは裏垢の暴露。メッセージアプリで発生しやすい。恋人関係の人と互いにパスワードを教えあったりするそうだ。で、兄弟とか友達に裏垢の内容を見せたり、晒されたりしてしまう(自殺例も)。他人に見られたくない情報は裏垢に出すなよ(難しそう)。

誹謗中傷。弁護士への誹謗中傷、脅迫、嫌がらせなど。少年少女が多数関連。

寿司店のアルバイト店員が店舗内で悪ふざけ、SNSにアップロード→店以上に、店員に個人攻撃、私的制裁。

偽情報。トイレットペーパーが無くなるとか、偽爆弾情報とか。

第12回

情報倫理教育。1970年代に情報公害という言葉が使われるようになった。公害が社会問題になっていることに対応する。背景としては、マークシートの浸透とか、切符の発売システムMARS、銀行間決済のネットワークの誕生など。道具が変化したから不安を持ったというのが先生の分析。

20世紀の情報倫理の出来事。1985年、James Moore “Computer Ethics”。94年、山本など。95年は辰己先生も研究してる。95年はネチケットって言葉も出た。

情報モラルという言葉。モラルっていうのは2人における関係性、特に約束・義務のこと。情報モラルっていうものはないのではないか。87年に教育審議会で情報モラルに言及、2010年にモラル指導者研修ハンドブックってのが出てる。2007年で「情報社会を生き抜き、健全に発展させていくうえで全ての国民が身に着けておくべき考え方や態度」、2008年は学習指導要領にも入った。これはルールの押し付けだというのが先生の考え方。

コールバーグ先生。道徳性発達の6段階。罰回避→最終的には良心へ。先生は重要視している。情報モラル教育は、道徳性の発達に配慮しながら行うべきと先生。心的能力のレディネスに合わせる。子どもはみんなDigital Nativeだという前提で。

海外でもインターネット教育は大事、韓国では3-9歳の83%が利用している。いじめ、自殺も起きている。SunFull運動。善良なコメントを書き込むべきという運動。

2012年、辰己先生が実施したアンケートでは表計算とかプログラミングは学びたいが、著作権、メディアリテラシーとか個人情報とかは別に学びたくないらしい。初等中等教育での情報モラル教育は大学生の情報倫理教育に悪影響があるのでは!!??という先生の主張。以降行為については教えられるが、活用について全然教えてもらってないのでは。具体的には違法っぽいが法解釈すると合法になるような例とか。9回目でやったようなジレンマのことを教えてない。違法でも善、のようなことは学校では教えられないのか。

デジタル・シティズンシップについて。2007年ISTEで提唱。デジタルエチケットとか規範、権利、プライバシーとか。

鳥取県情報モラルエデュケーターの今度珠美先生にインタビュー。教育業界に関わって、いわゆる情報モラル教育(あれはやってはいけないとか)に疑問をもったひと。デジタル・シティズンシップでは、安全かつ責任を持つ、倫理的にふるまう、知的創造を阻害しない、価値観の違いに配慮、ICTの特性を良き利用に結びつけるなどが大事になる。悪影響だけじゃなくて、日常的に活用することで、創造的な活動に結びつけられるよ、あと、公共的なことを学んだらよい使い手に育成できるよ、ということを教でえていく仕事だそう。責任、という言葉が繰り返し登場する。デジタル機器を使う責任。なんだか誇らしい気持ちがしますね。子どもにも響くのではないか。

人権が大事だねーと辰己先生。扱う人の問題。今度先生は今後どうするのかというと、人権問題の研究もしてきたので、日本版のデジタルシティズンシップに人権意識も組み込んでいくそう。活用しない→活用しよう、という教育の方向転換を目指す。

第13回

技術者倫理と人材育成。ゲストの中西先生。

倫理教育から。工学教育プログラムにはABET、JABEEという認定評価制度がある。地球的視点からの能力を教育するらしい。畑村先生の失敗知識データベースが出てきた。JABEEを放送大に適用すると、情報セキュリティに対する責任の理解も教育目標の1つとなる。

チャレンジャー号爆発事故。ブースターの継ぎ目からガスが漏れて爆発。安全が第一でキャリアは次だというインタビューがあった。倫理的ジレンマとしては、雇用主への忠誠と、交易を守るための通報の間のせめぎあいがある。日本の原子力学会の倫理規定でも、公衆安全を優先、速やかに公開せよと言っている。

内部告発と公益通報者制度。これ慶應の労働法でやったな。公益通報者保護法。2020年改正で退職者とか役員が保護対象に、通報窓口の義務化など。

人材育成について。阪大セキュリティ本部の猪俣先生にインタビュー。ものづくりのセキュリティはどうするか。オフェンシブセキュリティにとりくむ。実際に攻撃してセキュリティを確かめる。攻撃者の考え方を知る。弁護士の先生も呼ぶ。

ICMPの可視化。すげーな。

enPitにおける人材育成。大学と大学院でそれぞれカリキュラムがある。基礎、演習、専門、先進演習科目がある。

次はNECでのインタビュー。NECセキュリティでは何をやっているのか。現状把握→システム構築→運用までを行う。セキュリティの監視とは何か。センサーを付けてここから怪しい動きがないか監視している。センサーを企業において監視はNECで行っているらしい。教育としては、スキルの底上げ、人材育成のプログラム、トップセキュリティ人材の教育を行う。海外のSANSという団体に派遣したりもしている。倫理観の育成はどうするか。座学と実践(具体的には何やってるんだろ)。100-1はゼロだと言っている。何かコンプラ違反があったらもう終わりなんで、気を付けよと言っている。経営陣にはどう説得するか。投資ではなく経費と言っている。投資はリターンがいるけど経費はそうではないものね。

第14回

中高、大学、生涯教育でのセキュリティ教育について。

情報モラル→危険の回避がメイン。中学の技術家庭では機密・完全・可用性、多要素認証や二段階認証まで習うらしい。高校。情報Ⅰでももちろんセキュリティを習う。CIA等はもちろんデジタル署名、サイバー犯罪とかまで。情報ⅡではDMZ、ファイアウォールとかも全部習う。情報セキュリティという科目も追加されたらしい。ほぼほぼこの科目と同じ内容。情報セキュリティの要素はCIAのほかに真正性、信頼性、責任追跡性、否認防止を入れて7要素としている。

大学。Computing Curricula 2020というカリキュラムがある。CS, IS, SE, CE, ITのほかにCSEC(サイバーセキュリティ)+データサイエンス。

情報倫理デジタルビデオ小品集7ってビデオがある。放送大(山田先生)が作っていたらしい。DVDか。ネットで見れるようにしてくれよ(放送大の人は見られるらしい)。

Niiが作ったやつもある。倫倫姫のセキュリティ教室というのがある。

倫倫姫の情報セキュリティ教室 – 事業 – 国立情報学研究所 / National Institute of Informatics (nii.ac.jp)

大学で加入してたら見れる(私は見れない)

知識体系。SecBok2021というのがある。

猪俣先生にまたインタビュー。enpitやSecCapについて。セキュリティはもうブランディングの問題になっているらしい。

生涯学習について。インターネット安全教室、青少年インターネット環境整備法がある。IPAがけっこう教育行事やってる。セキュリティキャンプとか。最近の攻撃はスマホ決済、フィッシング、デマ。

また猪俣先生。2004年MSBlasterウイルスというのがかなりでかいインシデントだった。そこから勉強会をやろうという雰囲気ができて、無料の講座がいっぱいできた。高槻市でもやってる。総関西セキュリティ大会は400人くらい参加している。初級者向けリレー講座もある。

第15回

展望と発展学習。全員が登場する。

まず大西さんの質問が4つ。知らん人が脆弱性をついて攻撃してくることは→ある。ゼロデイ攻撃という。ログ採取用のソフトウェアLog4jが攻撃されたりしている。攻撃に必要なソフトウェアが高い価格で取引されている。

ゼロトラストは負担にならないか?→負担はある。なるべく負担にならないようにしないといないけど。

学校教育ではどうなっているか→まず情報活用能力の育成。情報モラルカリキュラムがかなり細かく設定されている。高校まである。2006年策定らしい(古い!)。しかも改訂されてない!やばっ

情報セキュリティ概論の後に学ぶことは?→基本が理解できているか確認せよ。J17の知識体系あたりを参考に。情報Ⅰでもカバーしている。放大には演習科目がないのが問題だなあという話もした。

座談会。人材育成の課題と展望。徳島の病院でランサムウェアでカルテが読めなくなる被害。カルテを手書きにして診療を再開した。なんとDMATが対応した。すげー。情シスが1人しかいないのも問題だった。専門用語で話せるような人が必要、情シスだけでなく外部業者に委託も考えよとのこと。3大温泉シンポジウム→セキュリティのイベントらしい。温泉なのに?夜通し情報交換をしているらしいです。花田先生も越後湯沢の実行委員らしい。

こどもの情報セキュリティ。性的コンテンツが経済的価値を生んでしまう。トリガー行動を行うことも、被害に巻き込まれてしまうこともこどもの責任ではない、大人の責任。大人に知識がないのもダメ。高校大学となっていくにしたがって、知らない人と出会う機会が増える。今までに人と会うなと言われていたのに、今度は会わないといけない。ジレンマが生じる。花田先生は18未満と以上を分けたらと言っているが辰己先生はいきなり大人になるわけではないので・・・と懸念を示している。なのでトレーニングをしないといけないな、という共通認識が得られた。

AIとセキュリティ。AIを使ったセキュリティの実現。もう結構実用されてる。ログ検知、パケット監視、マルウェア検知に機械学習が使える。教師データが必要だけど、教師データが間違っていることがあり得る。twitterにチャットボットを作ったら、よくないことばっかり教えるやつが出てきた。それで閉鎖された。教師データを作るのが難しいってのが現状。

AI自体のセキュリティも問題になる。教師データが盗まれたりしないか。大西さんが解説。教師データに問題がなければAIはおおむね想定通り動作するが、問題のあるデータがあると問題のある振る舞いを学習する。データ量は多いので監視は無理。

これからの学習のアドバイス。辰己先生→アップデートを常に。ジレンマの問題は、ジレンマに陥っているかどうかを認識しないといけない。金岡先生→セキュリティはあらゆるところにあるので、セキュリティという側面をいろんな事象に当てはめてみるとよい。花岡先生→大人に知識がないのが問題なので、知識つけてね。子どもとの関係性も学ぼう。中西先生→Cybersecurity for all, by all。草の根活動に参加するといいよ。山田先生→この科目を基礎として、知識は最新のものにしてね。大西さん→アップデートしていかないとな~

コメントを残す

メールアドレスが公開されることはありません。