IPA（情報処理推進機構）から、『情報セキュリティに関する被害と個人属性』というレポートが公表されました。

　情報セキュリティ上の被害(ウイルス、フィッシング、架空請求、不正利用)に遭いやすいのは、どんなタイプの人かを調査分析したものです。

　被害に遭いにくいのは、情報収集・処理能力の高い人、意識的なセキュリティ対策をしている人という傾向が示されています。これは、直感的にもそうだなと思えます。

　逆に、「自信過剰な人は被害に遭いやすい傾向」が示されています。ここで、「自信過剰な人」とは、コンピュータやセキュリティをよく知っていると自認しているが、知識を伴わない人（セキュリティに関する試験を受けさせたら成績が低かった人）を指しています。

　「私はセキュリティに詳しいです」と言う人がいるとして、本当に知識がある人なら被害に遭わないが、実は知識のない人だったら被害に遭いやすいのです。見た目ではどちらのタイプなのか、区別がつかないかもしれません。知識を伴っていることの証明として、情報セキュリティスペシャリストをはじめとする資格は有効でしょう。

　そのほか、性別では男性、世代では若年者・高年者、ネット利用時間の長い人、ネットカフェ利用者、ネットオークション利用者が、被害に遭いやすい属性となっています。

　なかなか興味深いレポートとなっていますので、ぜひご一読下さい。

　先週合格発表があった、情報セキュリティスペシャリスト試験に合格しました。成績は、午前Ｉ：免除、午前II：92点、午後Ｉ：76点、午後II：66点でした。午後は、自己採点と合っているのか合っていないのか、よく分からない点数です。
　私は2001年に旧・情報セキュリティアドミニストレータ試験、2006年に旧・テクニカルエンジニア(情報セキュリティ)試験も合格していますが、合併した試験でも合格できました。

　2001年に情報セキュリティアドミニストレータ試験が創設されたときは、これからはセキュリティも重要になるよね、という感じで日経新聞などでも記事が出て話題になった記憶があります。あれから10年たって、実際そうなりました。

　引き続き、情報セキュリティスペシャリスト試験の午後1で私の書いた解答です。
　問1がセキュアプログラミングの問題でそれを選択してもよかったのですが、問3と問4を選びました。問4はいいとして、問3は着手してからリスキーな問題だと気付きました。設問3の(1)を間違えると(2)も間違え、設問4の(1)を間違えると(2)(3)も間違うという出題なので、大きく失点するおそれがあります。素直に問1を解いたほうがよかったです。

2011年秋 情報セキュリティスペシャリスト 午後1

【問3】
設問1
(1)　暗号化された通信内容を検査できないため
(2)　3,5
(3)　ア
設問2
(1)　中間者(man-in-the-middle)
(2)　サーバ証明書のディジタル署名を認証局の公開鍵で復号して正当性を確認する
通信の暗号化用の共通鍵交換の際、認証局の公開鍵で復号できるか確認する
設問3
(1)　Lプロキシをルート認証局として登録し、それが発行する証明書を信頼させるようにする
(2)　ルート認証局以外の認証局は上位の認証局から認証されている必要があるから
(3)　アクセス先URLとサーバ証明書が示すコモンネームを一致させる必要があるから

【問4】
設問1　利用者のアクセス管理
設問2　b 物理的アクセス　c　指紋等の生体認証　d　スクリーンセーバ　e　シュレッダで裁断してから廃棄して
設問3
(1)　 ウ
(2)　抽出した会計連携データを暗号化してUSBメモリに保存する
(3)　抽出担当者と経理部担当者が鍵を持つ箱でUSBメモリを運搬する
設問4
(1)　Q社及びZ社から独立
(2)　Q社が登録を依頼した利用者IDが正しく登録されていること

JIS Q 27002:2006を見て確認したところ、正解は次のようになるようです。
設問1　利用者アクセスの管理
設問2　b　クリアデスク　c　トークン　d　スクリーン及びキーボードのロック機構　e　プリンタから即刻取り出して
※dは15字以内、eは20字以内での解答を求められていますが、JISの記述を引用すればdは18字、eは13字です。本来は、dは20字以内、eは15字以内で書かせようとしたものを、文字数指定を逆にしてしまった出題ミスかもしれません。

11.2 利用者アクセスの管理 11.3.3    クリアデスク・クリアスクリーン方針 管理策 書類及び取外し可能な記憶媒体に対するクリアデスク方針，並びに情報処理設備に対するクリアスクリーン方針を適用することが望ましい。 実施の手引 クリアデスク・クリアスクリーン方針において，情報セキュリティの分類（7.2 参照），法令及び契約上の要求事項（15.1 参照），並びに組織の抱えるそれらに対応するリスク及び文化的側面を考慮することが望ましい。次の指針を考慮することが望ましい。 a)    取扱いに慎重を要する又は重要な業務情報（例えば，紙又は電子記憶媒体上の業務情報）は，必要のない場合，特にオフィスにだれもいないときには，施錠して（理想的には金庫若しくは書庫又はセキュリティを備えた他の形態の収納用具に）保管しておく。 b)    コンピュータ及び端末は，離席時には，ログオフ状態にしておくこと，又はパスワード，トークン若しくは類似の利用者認証機構で管理されたスクリーン及びキーボードのロック機構によって保護していることが望ましく，利用しないときは，施錠，パスワード又は他の管理策によって保護している。 c)     郵便物の受渡場所，及び無人状態のファクシミリ装置を保護する。 d)    コピー機及びその他の再生技術（例えば，スキャナ，ディジタルカメラ）の認可されていない利用は，防止する。 e)     取扱いに慎重を要する情報又は機密扱い情報を含む文書は，プリンタから即刻取り出しておく。

　大阪・天六の関西大学天六学舎で情報セキュリティスペシャリストを受験してきました。
　午後2は問2を選択し、約90分で解答し、10分で解答を写して退出してきました。私の書いた答をそのまま載せます(それなりに合っていると思いますが、完全な解答ではありません)。

2011年秋 情報セキュリティスペシャリスト 午後2 問2

設問1
(a) DHCP (b) NTP

設問2
(1) 管理端末から各サーバへの通信が経路上では暗号化されているから
(2) ログオフしたサーバのホスト名又はIPアドレス
ログオフコマンド入力後、画面にメッセージが表示される場合
取得した画面出力のテキストデータに含まれるログオフしたサーバのホスト名やIPアドレス
(3) ログ取得処理にサーバ資源を費やし、業務処理の性能悪化を招くから
(4) 1,2
ログ取得設定が表ごとで、特権以外の操作もすべて記録されるから
(5) G,H

設問3
(1) ネットワーク障害が1時間以上続いたとき
(2) 462 Gバイト
(3) 6 Mビット/秒
(4) ログの消去や改ざんを防ぐため
(5) 個人情報及び財務データログの安全管理措置

設問4
(1) 管理端末へのIPアドレス割当てを固定にする
ドメイン管理サーバの時刻同期を自動化し高頻度で行う
(2) オペレータ
情報システム部にオペレータが行うシステム運用の詳細を知っている者がいないから
(3) 管理責任者自身によって行われた特権操作
管理責任者による特権操作はA社従業員が確認作業する

　10月16日の情報処理試験まで4週間となりました。

　延期されたプロマネに合格したら、今秋はネットワーク、来春は情報セキュリティと思っていましたので、当初はネットワークスペシャリストで応募しました。ところがプロマネ不合格でしたので、来春にプロマネ再受験となることから、今秋は情報セキュリティに変更しました。旧制度の情報セキュリティ2区分は合格していますが、名前が変わった新試験でも合格したいところです。

　秋期試験の応募者数の前年同期比は全体で82.8%、高度試験で86.8%でしたが、情報セキュリティは前年比91.5%と健闘しています。高度試験では唯一の年2回なので、先日の特別試験で不合格で、再チャレンジする人も多いのが理由でしょうか。試験間隔が4ヶ月しかありませんが、惜しいところでダメだった方にとっては、もう少しで手が届きますし、新たに勉強する必要はありませんので楽でしょう。

　午後問題はけっこう穴埋め問題がありますが、これは午前問題をきちんと勉強すると対応できることが多いです。まともにセキュリティ用語を全部覚えるのは大変なので、何らかの形で絞るのが効率的です。午前に出る用語は午後でも出るということ。午前は選択肢から正しいものを選べばいいですが、午後では午前に出てきた用語を覚えていて書けることが必要です。

　「情報処理の高度化等に対処するための刑法等の一部を改正する法律案」が国会で可決成立しました。
　マスメディアは「ウイルス作成罪」と呼んでいますが、必ずしも正確な表現ではありません。旧・通商産業省の「コンピュータウイルス対策基準」によれば、ウイルスとは
 

第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、自己伝染機能、潜伏機能、発病機能のうち1つ以上の機能を有するもの。

とされています。一方、改正刑法の条文では、

人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録

が処罰の対象ですので、感染機能などがなくても、マルウェア(悪意のあるプログラム)全般が対象となっているのが分かります。

　正当なプログラムを作っているつもりが、バグによって不正な動作をさせてしまった場合は、処罰対象ではありません(過失犯を処罰する規定がないため)。では、バグの存在を知った後、バグを修正せずに放置すると、これはウイルス提供罪の不真正不作為犯に該当して処罰されるのではないか? という疑問が生じました。衆議院の議事録を調べてみたら、私なんかが思う前に、5月27日にそういう議論がきちんと出ていました。
 

○大口委員　　それから、プログラム業界では、バグはつきものだ、バグのないプログラムはないと言われています。そして、例えば、無料のプログラム、フリーソフトウエアを公開したところ、重大なバグがあるとユーザーからそういう声があった、それを無視してそのプログラムを公開し続けた場合は、それを知った時点で少なくとも未必の故意があって、提供罪が成立するという可能性があるのか、お伺いしたいと思います。 ○江田国務大臣　あると思います。 ○大口委員　いずれにいたしましても、こういうプログラム等、ソフトウエア関係の方から、こういう場合は罪に当たるのか否かということで、いろいろ声がありますので、このあたりにつきましては、罪刑法定主義という基本にしっかり立って、明確にしていかないといけない、こういうふうに思っております。

　処罰対象になりうるというのが、江田法務大臣の見解。実際問題として摘発される可能性は低いかも知れませんが、当局のさじ加減でどうにでもなってしまいます。そんなのでいいのでしょうか。