Introduction to the Security for Information and Communication
Technology of the CSCD, Osaka University
◆まず、インターネットを使ったスマホやパソコンを利用するすべての人たち のための、情報セキュリティに関する基本情報を整理しておきましょう(「情報リテラシー概論」をチェックしましたか?)。
以下のサイトは、総務省が提供する「安心してインターネットを使うために」と称した「国民のための情報セキュリティサイト」からの情報です。情 報システムセキュリティ担当者を含むすべての人に必要な情報があります。すべてのページをチェックしてみましょう!
はじめに http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/intro/index.html
基礎知識 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/index.html
一般利用者の対策 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/enduser/index.html
企業組織の対策 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/index.html
用語辞典 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/glossary/01.html
◆次に、上掲のサイトから、情報セキュリティ 技術についての解説があります。これから、情報システムセキュリティ担当者になる人には必須の基本情 報になります。
情報セキュリティ関連の技術 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/structure/
ここで書かれている5つの基本的な技術は次のとおりです。
国民のひとりひとりが、情報セキュリティを守ることは、組織や運用主体の責任であると同時にユーザー各人の権利と義務からなりたっており、それ らは各種法令によって規定されています。
情報セキュリティ関連の法律・ガイドライン http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/legal/index.html
◆では、組織から、情報セキュリティ管理者や責任者に任命された人には、 このような知識にもとづいて、具体的にどのような業務が任されているので しょうか?
情報セキュリティ体制については標準化されたものがあるようで、大学の部局組織もそれに準拠して体制づくりがされています。以下は、通産省関連 の法人IPA(情報処理推進機構)の情報です。
情報セキュリティスキル強化についての取り組み https://www.ipa.go.jp/jinzai/hrd/security/
ここには、「情報セキュリティ人材育成ガイド」、「職場の情報セキュリティ管理者のためのスキルアップガイド」、「情報セキュリティスキルアッ プハンドブック〜情報セキュリティマネジメント人材育成のために〜」の3種類のマニュアル(pdf)へのリンクが張られています。
これらのマニュアルを参照しながら、各人の、情報セキュリティに関するリテラシーのレベルをあげてくださるようお願いします。
情報セキュリティ管理者や責任者のみなさんへ:システム障害への対応の基本原則 1)障害対応の目的を共有する 2)リーダー(旗振り役)を決めておく(※例「インシデントコマンダー」「コントローラー」) 3)各自の役割と基本動作を明確にしておく 4)平時の事前準備や教育をおろそかにしない 文献: 木村誠明『システム障害対応の教科書』技術評論社、178-4-297-11265-3 |
◆最後に、大阪大学全体の情報セキュリティ体制についてのお知らせです。
大阪大学の情報セキュリティポリシー:PDFファイルをダウンロードできるページに誘います:http://www.oict.osaka-u.ac.jp/securitypolicy/
情報推進部情報企画課情報企画班
電話番号:06-6879-4482
E-mail:security-admin@ml.office.osaka-u.ac.jp
※@は半角に書き換えてください。
大阪大学情報セキュリティ対策規程:こ
ちら
◆用語集
ランサムウェア:「これに感染したコンピュータは、利用者のシステムへのアクセスを制限する。この制限を解除するため、被害者がマルウェア の作者に身代金(ransom、ランサム)を支払うよう要求する。数 種類のランサムウェアは、システムのハードディスクドライブを暗号化し(暗号化ウイルス恐喝)、他の幾種類かは単純にシステムを使用不能にして、利用者が 身代金を支払うように促すメッセージを表示する(スケアウェア)」ウィキ日本語「ラン サムウェア」より)
インシデント・コマンド・システム:Incident Command System;
ICS「災害現場・事件現場などにおける標準化された管理システムのこと。5つの基本機能(ファンクション)として、指揮 (Command)、実行
(Operations)、計画情報 (Planning)、後方支援 (Logistics)、財務・総務
(Finance/Administration) が明確に定義され、必要な機能に必要な資源(人や物)をケース・バイ・ケースで割り当てる。
1人の監督者が管理できる人数を5人(3〜7人までは状況によっては可能)とする監督限界 (Span of Control)
を定め、普段とは異なる臨時の組織(一種のプロジェクトチーム)を現場にボトムアップ方式で立ちあげる。現場指揮官 (Incident
Commander) はいかなる場合でも必要となるが、それ以外の組織は必要に応じて後付けにする」ウィキペディア)
リンク(部局内)
リンク(歴史から学ぶ/教育を通した対応)
リンク(学外/部局外)
文献
その他の情報
Copyleft, CC, Mitzub'ixi Quq Chi'j, 1996-2099
Do not paste, but
[Re]Think our message for all undergraduate
students!!!