知っておきたいICTセキュリティ



1.京都産業大学では

ネットワークセキュリティポリシー

 京都産業大学でネットワークを利用する上で守らないといけない規程です。ネットワークセキュリティ規程と、5つの対策基準から構成されます。
 詳細は、「京都産業大学ネットワークセキュリティ規程」を参照してください。

 

ユーザIDとパスワード

  • 情報処理設備のコンピュータを利用するには、「ユーザID」のほかに「パスワード」が必要になります。
  • ユーザIDはコンピュータの世界であなたの「名前」と同じ意味を持ちます。他人に貸与したり他人のユーザIDを使いまわしたりしないようにしてください。
  • あなたのユーザIDには価値があります。犯罪者は踏み台に使えるユーザIDを絶えず探しています。あなたのユーザIDを用いてログインしたパソコンから不正アクセスを働くのです。
  • 情報センターなどのシステム管理者が、電話やメール等でパスワードを尋ねることはありません。人に聞かれても決して答えないでください。(ソーシャルエンジニアリングと呼ばれる攻撃です)
  • パスワードは他のサイトと同一にしないでください。万が一、どこかでパスワードが漏洩すると、他のサイトまで被害を受ける可能性が高まります。
  • 時間をかければあなたのパスワードを総当りで破ることが可能です。パスワードを定期的に変更することで、破られる前に違うパスワードにできたり、破られていても被害を最小限に留めることができます。
  • パスワードの変更はPOSTまたは本学Webページ「コンピュータ環境の使い方」内の「利用者の設定(cc環境設定)」から行うことができます。
  • パスワードを忘れた場合は、学生証など身分証明書を持参し10 号館3 階の情報センターカウンターでパスワード再発行の申請を行ってください。

 「ユーザIDとパスワードについて」も合わせてご覧ください。

 

本学でのメール(Active! mail)の利用

 メールを送受信する方法として、本学では「Active! mail」を導入し、使い方のサポートも行っています。「Active! mail」は「Webメール」の一種で、Webブラウザ上からメールを読み書きすることが可能です。
 詳細は、「電子メールの利用」を参照してください。

 

WiFiアクセスポイント設置の禁止

 本学では、平成17年度より学内全域に無線LAN接続網を敷設しております。 無線LANルータやモバイルルータ、テザリングなど、無線LANアクセスポイントの機能を持つ機器は、混信して学内アクセスポイントに悪影響を及ぼす恐れがありますので、学内ではサービスの停止、または電源を切るなどしてください。

2.メールの利用

メールのマナー

  • 宛先:相手のメールアドレスを必ず確認してから送信するようにしましょう。スペルに一ケ所でも誤りがあるとメールが届かない場合や、誤って別の相手に届いてしまうこともあります。
  • 件名:本文の概要がわかる簡潔なものにしましょう。例えば、問い合わせ窓口に「質問」とだけ件名をつけても全く情報量がありません。「○○の××について」など、受け取った人が分かり易い件名をつけましょう。
  • 丸付き数字や絵文字など機種依存文字は文字化けの恐れがあるので使わないようにしましょう。
  • 誰からのメールかわかるように、最初に名乗りましょう。本文の最後に自分の署名を入れることもよく行われています。
 

チェーンメール

 「不幸の手紙」のように不特定多数へ送信するように求めるメールのことです。たとえ善意的な内容であったとしても収拾がつかない状況になり得ます。例えば、血液提供を求める呼びかけメールが、事態が解決した後も止まらず問題となった事例もあります。

 

スパムメール

 受信者の意向を無視して、無差別かつ大量に一括して送信されるメールのことです。迷惑メールとも呼ばれます。メールソフトの設定で自動的にごみ箱などに振り分けることも可能です。
 詳細は、「電子メールの利用」内の本学での迷惑メール対策を参照してください。

 

ウイルスメール

 ウイルスに感染したファイルが添付されたメールのことです。ウイルスに感染したコンピュータからは、感染者を増やすため、アドレス帳などから収拾した知人のメールアドレスへ勝手にウイルス付きメールを送信することもあります。知らない相手からのメールはもちろん、知人からのメールであっても、内容が不審なメールについては不用意に添付ファイルを開かないようにしましょう。

 

標的型メール

 特定のターゲットに狙いを定めて巧妙に作りこまれたメールで、主にウイルス感染を目的とします。例えば「ある企業に、実在する上司の名前で『今日の会議資料を添付するので確認しておくように』と書かれたメールが届く」といったケースです。

3.SNSの利用

  • SNS(ソーシャル・ネットワーキング・サービス)とは社会的ネットワークをインターネット上で構築するサービスの事です。
  • 主な機能:「プロフィール」「メッセージ送受信」「日記(ブログ)」「ユーザ検索」「相互リンク」など。
  • 主なSNS:mixi、Twitter、Facebook、GREE、Mobageなど。
  • SNSでのセキュリティ設定に注意しないと個人情報を不特定の相手に公開することになりかねません。
  • SNSでの不用意な書き込みから、誹謗・中傷の対象になる(俗にいう炎上)こともあります。
  • 基本的に「書き込んだ内容は全世界の人が見ており、取り消すことはできない」つもりで利用する気構えが必要です。
  • グループ内だけに公開しているつもりでも、他の人に発言を紹介される(リツイート等)ことで意図しない範囲に情報が露出することがあります。
  • 個人情報の漏洩に気をつけていても、SNSでの複数の投稿をつなぎ合わせることで、個人を特定される場合があります。
  • 携帯電話等で撮影した写真にはGPS情報が内包されていることがあり、例えば自宅でぬいぐるみを撮影した投稿から、自宅の場所を特定されます。

4.情報セキュリティ

ファイル交換ソフト(P2P)

  • インターネットを通じてファイルを不特定多数で共有することを目的としたソフトウェアです。ファイル共有ソフトとも呼ばれます。
  • ファイル交換ソフト自体が即違法ではありませんが、手軽にファイルを交換できる点から著作権により制限されているデータを交換する行為に利用されるという違法性が指摘されています。
  • ファイル交換ソフトで流通しているファイルの多くにウイルスが感染しています。犯罪者は多くの人が欲しがるであろうファイル名を付けてウイルスをばら撒いています。
  • 本学のコンピュータでファイル交換ソフトを起動することは禁止しています。自分のコンピュータにおいてもファイル交換ソフトをインストールしたり起動したりすることを自粛し、ウイルス感染や著作権侵害またはその恐れのある行為をしないよう注意してください。
  •   詳しくはこちら

 

クラウドコンピューティング

  • 従来は手元のコンピュータで管理・利用していたようなソフトウェアやデータなどを、インターネットなどのネットワークを通じてサービスの形で必要に応じて利用する方式のことで、クラウド(雲)とはネットワークのことを指しています。
  • 基本的にはすべてのデータがクラウド側にあるため、どのコンピュータからでも同じデータにアクセスできる利便性がある半面、ネットワークの障害やクラウド提供者のサービスの停止などで利用できなくなる危険性があります。
  • 集中的なデータの管理には、ハッカーの攻撃対象になったり、悪意を持ったクラウドサービスのシステム管理者により情報が流出したりするリスクがあります。
  • クラウドサービスの多くは、入力されたデータや行動パターンを解析してマーケティングを行い、ビジネスに活用しています。例えばGoogleはGoogleアカウント、アクセスに用いた端末情報、検索キーワード、GPS情報、などを収拾し、保存された個人データにもアクセスすることを約款で謳っています。この結果、Gmailで趣味の釣りについて語り合っていると、その横に釣竿の広告が表示されるといった仕組みが実現されます。利便性と危険性について十分考慮した上でどのように利用するか判断してください。
 

公共の場でのコンピューティング

  • インターネットカフェなど不特定の人が利用するコンピュータではキーボードの入力履歴を記録する「キーロガー」というソフトを利用して、他人のID・パスワード等の個人情報を盗むという事件が発生しています。ネットショッピングやネットバンキングなど個人情報の入力は控えたほうが安全です。
  • 次の利用者があなたの情報へアクセスしないように、ログインしたサイトを確実にログアウトする、履歴をクリアするなどセキュリティには十分な注意が必要です。
  • 駅やファーストフード店等の公衆エリアで無線LANサービス(WiFiスポットなど)を利用する場合はセキュリティ対策が十分でないと盗聴やハッキングの被害にあう可能性もあります。セキュリティの高い端末を使い、暗号化通信を用いるなどの対策が必要です。
 

コンピュータウイルス(マルウェア)

  • コンピュータに被害をもたらす不正なプログラムをコンピュータウイルスといいます。同様にコンピュータに被害をもたらす不正なプログラムとして、バックドア、キーロガー、スパイウェアなどがあり、これらを総称してマルウェアと呼びます。
  • 以前のマルウェアはシステムの破壊などの愉快犯が主でしたが、近年は金銭を目的とした組織的犯行に変化しています。感染後、ひっそりと気付かれないよう文書ファイルやパスワード情報等を盗み続けます。また、自分自身をアップデートする仕組みを持ち、犯罪者の意のままに変化し、活動します。
  • クレジットカード番号やネットバンキングのパスワード、機密情報や個人情報など、現在のコンピュータには金銭に直結する攻撃目標がたくさんあります。このため、犯罪者はプロのプログラマーを雇い、高度な技術を用いてマルウェアを作成します。便利なフリーソフトが、実はマルウェアをばらまくために作られた、というケースもあるようです(本当にきちんと動くが、裏で不正な活動を行う)。
  • セキュリティ対策ソフトは重要です。しかし、マルウェアはセキュリティ対策ソフトから検出されないよう自分自身を変化させながら増殖するため、その数は膨大です(マカフィー社は2011年末時点で7,500万を超えるサンプルを収拾しています)。このためセキュリティ対策ソフトも全てのマルウェアを検出することはできません。有名なマルウェアだけを止めてくれるものであると認識してください。セキュリティ対策ソフトが入っているからと言ってマルウェアに感染しないことにはなりません。
  • 感染経路:インターネットやP2Pファイル交換からのダウンロードファイルやUSBメモリ、メールの添付ファイルなど外部から取り込まれるファイルによるものがほとんどですが、Webページ閲覧だけで感染するマルウェアもあります。また、公共の無線LANなどのネットワークを通じて感染する場合もあります。

■ マルウェア対策

 マルウェア対策ソフト(通称ウイルス対策ソフト)

 感染を防ぐにはマルウェア対策ソフト(通称ウイルス対策ソフト)の導入がもっとも効果的です。ウイルス対策ソフトをインストールし常時起動しておき、マルウェアを検知するための定義ファイルを常に最新にして定期的にPC全体をスキャンするようにしましょう。ただし、マルウェアは常に進化しており対策を実施していても感染の危険性を100%回避することはできません。ウイルス対策ソフトが入っているからといって安心してはいけません。
  なお、ウイルス対策ソフトの使用期限が切れていると、定義ファイルが更新されずウイルスが検知できなくなります。特にパソコンを買ったときに付いてくるものは、数ヶ月で期限切れになるお試し版が多いので注意してください。

OSのセキュリティアップデート

 マルウェアはWindowsやiOS、AndroidといったOS(基本ソフト)の脆弱性をついて、侵入を試みます。新たな攻撃手法が発覚すると、その対策を施したOSがリリースされます。お使いのパソコンを対策済みOSに更新するのが、セキュリティアップデートと呼ばれる作業で、Windows UpdateやiOSソフトウェアアップデートがそれにあたります。新しい攻撃手法は犯罪者仲間で共有されるので、その脆弱性を利用したマルウェアが大量に作成されます。セキュリティアップデートをせず放置することはそれらのマルウェアに対して無防備であり、大変危険です。

ソフトウェアのセキュリティアップデート

 Word、Excel、Adobe Reader、Flashといったソフトウェアも、犯罪者の攻撃対象となります。マルウェアの入ったdocファイルやPDFファイルを表示させたり、マルウェアが仕込まれたWebページにアクセスすることで攻撃が開始され、ソフトウェアに脆弱性があるとマルウェアに感染します。OS同様、ソフトウェアもセキュリティアップデートが提供されているので、常に更新しておくことが必要です。

バックアップ

 マルウェアに感染するとコンピュータが起動しなくなることもあります。万が一に備えて、必要なファイルはDVDやUSBデバイス等にバックアップを取っておきましょう。

暗号化

  • マルウェアの中にはコンピュータに保存された文書ファイルを勝手に外部に送信するものがあります。機密性の高い情報はパスワードを入力しないと開けないようにしておくとよいでしょう。
  • 本学の情報処理設備のコンピュータにはウイルス対策ソフトがインストールされています。また、教員の方が学内でお使いのPCを対象にウイルス対策ソフトの貸し出しを行っています。研究費等で購入され本学のネットワークに接続されるPCには必ずウイルス対策ソフトのインストールをお願いします。
  • 感染したら:感染した可能性がある場合は、まずコンピュータを物理的にネットワークから切り離し(LANケーブルを抜く)、ウイルス対策ソフトでスキャンしてください。またネットワークの管理者(本学の場合は情報センター)に連絡し指示を仰いでください。
  • 最近はウイルス対策ソフトでも検出や駆除できないウイルスもあります。感染の疑いのあるPCはデータを完全に消去しOS再インストール(フルリカバリー)する必要があります。重要なファイルは常にバックアップを取るように心がけましょう。
 

JPCERT

  • 一般社団法人 JPCERTコーディネーションセンターはコンピュータセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う一般社団法人です。
  • メーリングリストに登録することで定期的にセキュリティ関連情報を購読することができます。
 

著作権

  • 著作権とは、著作者が著作物に対して持つ権利であり、単純に言うと「作者が作品を勝手に利用されることを禁止する権利」です。例えば、勝手に改変、複製、上映されることを禁止しています。他人の著作物を利用するには、著作者の許可が必要である、ということが原則です。
  • 著作物とは、「思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するものをいう」と定められています。具体的には、小説、脚本、論文、講演、音楽、舞踊、絵画、版画、彫刻、建築、地図、図表、模型、映画、写真、プログラムなどが挙げられます。
  • 著作者の許可を得ずに利用できる例外として著作権法「第五款 著作権の制限」において「私的使用のための複製(第30条)、引用(第32条)、学校その他の教育機関における複製等(第35条)、非営利目的の演奏など(著作権法第38条)」などが認められています。ただし、いかなる場合も著作権者の利益を不当に害することとなる場合は、認められません。

私的利用のための複製(第30条)

  • 「自分自身や家族など限られた範囲内で利用するためなら著作物を複製することができます。ただし、コピープロテクション等を解除する複製は認められていません。
  • 私的使用目的の複製であっても、違法著作物であることを知りながら音楽又は映像をインターネット上からダウンロードする行為は、認められません。
  • 大学の授業やクラブ活動などで使う目的の場合は私的利用とは認められません。
  • 大学の機材を用いて行われる複製は私的利用とは認められません。

引用(第32条)

  • 自分の著作物に引用の目的上正当な範囲内で他人の著作物を引用して利用することができます。「正当な範囲」は具体的に定められていませんが、最大でも50%(半分)までと判断されるようです。また、引用には出所の明記が必要です(第48条)。
  • 「適切な引用」は文科省の見解で次のように発表されています。既に公表されている著作物であること、「公正な慣行」に合致すること、報道、批評、研究などの引用の目的上「正当な範囲内」であること、引用部分とそれ以外の部分の「主従関係」が明確であること、カギ括弧などにより「引用部分」が明確になっていること、引用を行う「必然性」があること、「出所の明示」があること。

学校その他の教育機関における複製等(第35条)

  • 教員及び学生は授業中に利用するために、必要と認められる限度において著作物を複製することができます。ただし慣行に従った方法で、当該作品の題名、著作者名などを明示しなければなりません。(第48条)
  • 「授業中」とは大学の学習計画に基づく活動を指します。授業のための調査活動などはそれに含まれます。サークル活動や会議などは一般的に含まれません。
  • 遠隔講義のために生中継を行うことができます。録画を後で見せることは第35条の範囲外です。
  • 第35条にはガイドラインが示されています。合わせて確認してください。

非営利目的の演奏など(著作権法第38条)

 営利を目的とせず、観客から料金をとらない場合は、著作物の上演・演奏などができます。ただし、出演者などは無報酬である必要があります。

2012年6月15日にリッピング違法化+私的違法ダウンロード刑罰化法案が可決されました。

 音楽や映画などの海賊版(著作権者の許可を得ていない)のような違法に配信されているものをダウンロードすると刑罰の対象になります。

 

個人情報に対する自衛

  • 情報化社会の進展にともない個人情報の流出やプライバシーの侵害といった危険性が増大しています。
  • プロフやFacebookなど、Web上で氏名や住所、電話番号、メールアドレスなど個人情報を自ら公開するケースがありますが、これは大変危険です。その情報を誰が見ることができるのか、ストーカー行為や嫌がらせ等のトラブルに発展するリスクもある、といったことを理解した上で、どこまで公開するか判断してください。なお、自ら情報発信している場合は個人情報の流出とは呼びません。
  • アンケートへの応募、ネットショッピングなどから個人情報が流出する危険もあります。疑わしいサイトでは個人情報の入力は控えた方が無難です。
  • 単体では個人が特定できない情報でも、複数の情報を掛け合わせることで個人が特定できる場合があります。ブログの何気ない一言、写真に付いていたGPS情報、別サイトの同一ユーザIDの行動、同一パソコンからのアクセス記録など、ある程度インターネットを使っている場合、隠す方が難しいと思ったほうがよいでしょう。
  • もちろん、匿名だったら何をしてもよいことにはなりません。個人が特定できる、できないに関わらず、インターネットの利用は通常社会と同じく、責任をもって正しく行動することが必要です。

5.ネット犯罪

ハッキング(クラッキング)

 コンピュータへの不正侵入などを行う行為です。ハッキングとは本来コンピュータに詳しい人がコンピュータシステムの解析や改造・改良を行う操作のことを指し悪意を持った行為に限定されるものではありません。悪意のある行為は正式にはクラッキングと呼ばれます。

 

フィッシング(phishing)

  • 会員制Webサイトや有名企業を装い、「ユーザーアカウントの有効期限が近づいています」や「新規サービスへの移行のため、登録内容の再入力をお願いします」などと嘘のメールを送り、メールに書かれたURL(本物のWebサイトを装った偽のWebサイト)へ誘導します。偽のWebサイトは本物そっくりに作りこんであり、利用者が気付かずクレジットカード番号などの個人情報や、銀行預金口座を含む各種サービスのIDやパスワードを入力すると、その情報を奪われてしまいます。
  • メールに書かれたURLが本当に正しいものか確認する、メールのURLを用いずにお気に入りや検索から該当企業のページにアクセスして同様のお知らせが告知されているか確認する、該当企業の窓口に電話などで内容を確認する(メールに書かれている電話番号は使わず調べなおす)、などの対応を行いましょう。
 

架空請求

  • 「アダルトサイト○○です。先月の利用代金は25,000円です。期日までに振り込まれない場合は法的措置を取らせて頂きます。」など、不安を煽る嘘の請求をメールで送りつける詐欺手法です。
  • 基本的に無視することが一番です。不安なら消費生活センターなどに相談しましょう。
  • 例外として本当の裁判所から郵送で支払督促、少額訴訟の呼出状等が来たときは無視してはいけません。まず、本当に裁判所からのものか確認し(ハガキ等にかかれた電話番号は嘘の可能性もありますので使わない)、本物であれば然るべき手続きが必要です。
 

ワンクリック詐欺

  • Webサイト閲覧中に年齢認証などを求められクリックしたら一方的に会員登録され高額な利用料を請求されるという事例があります。
  • クリックしただけでは契約は成立していないので、あわてずに消費生活センターなどに相談しましょう。
  • 相手業者に電話やメールをすると個人情報を教えてしまうことになるので注意しましょう。
  • スマートフォンなどで料金請求画面に自分の電話番号やメールアドレスが表示される場合は不正なアプリケーションにより個人情報が流出している可能性があります。
 

ソーシャルエンジニアリング

  • 人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のことをソーシャルエンジニアリングと呼びます。
  • システム管理者などと身分を詐称してパスワードや重要情報を聞きだす。ATM利用者の後方に立ちパスワードを覗き見る。などの手口があります。
  • 生年月日などの個人情報からパスワードを推測するといった手口もあります。パスワードはできるだけ推測されにくいものにしましょう。
 

データ流出

  • 一度流出してしまったデータを回収するのは不可能です。
  • 重要なデータを不用意にコピーしたり外部に持ち出したりするのは避けましょう。
  • USBメモリにはパスワードロックや暗号化などセキュリティ機能の付いたものもあります。
  • スマートフォンの紛失などから個人情報やデータの流出といった危険性もあります。パスワードロックなどのセキュリティ対策を怠らないようにしましょう。

6.法令・刑法

電磁的記録不正作出及び供用罪

 人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作る行為が該当。キャッシュカードの偽造など

 

電子計算機損壊等業務妨害罪

 業務に使用するコンピュータの破壊、コンピュータ用のデータの破壊、コンピュータに虚偽のデータや不正な実行をするなどの方法により、コンピュータに目的に沿う動作をしないようにしたり、目的に反する動作をさせたりして、業務を妨害する行為が該当。DoS攻撃など

 

電子計算機使用詐欺罪

 人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させる行為が該当。プリペイドカードの不正使用など

PAGE TOP