標準化

ここではいろんなものの国際規格についてのお話。


☆マークアップ言語
マークアップ言語とはテキスト形式の文章にタグと呼ばれる特別な文字列を使って、文章の構造や文字の修飾していく言語。

次のようなものがある。

・SGML
ISO(というところ)の国際規格に制定された標準記述言語。文章の論理構造、意味構造を簡単なマークで記述する。HTMLやXMLのもとになったマークアップ言語である。

・HTML
Webページを記述するための言語、音声や画像、ビデオなどを含むページを表現できる。
特定のブラウザでしか扱えないタグあるという欠点がある。

・XML
インターネット環境との親和性が高い双方向リンク可能なハイパテキスト記述言語。
文章の構造を文字型定義(DTD)として記述することでユーザ独自のタグを定義できる。


☆画像ファイル形式
ある決まり事に従って、データのサイズを小さくすることを「圧縮」といい、逆にに元に戻すことを「解凍」という。

圧縮した画像を完全に元に戻す方式を「可逆圧縮」、完全に元には戻らず劣化してしまう方式を「非可逆圧縮」という。

静止画像や動画像は容量が大きくなるため、圧縮して保存されていることが多い。

主な画像ファイル形式には次のようなものがある。

・BMP(ビットマップ)
Windows環境における静止画像の標準画像フォーマットである。
基本的に圧縮されないため容量が大きい。

・GIF(ジフ)
インターネットで利用されることが多く、256色までの静止画像の圧縮/伸長が可能。(可逆圧縮)
イラストやアイコンなどの圧縮に使われる。


・JPEG(ジェーペグ)
国際規格になっている静止画像の圧縮形式。フルカラー(約1677万色)での画像の圧縮/伸長が可能。(非可逆圧縮)
写真の圧縮などによく使用される。

・MPEG(エムペグ)
国際規格になっている動画像の圧縮形式。MPEG-1はCD-ROM(ビデオCD)、MPEG-2はDVDやデジタル衛星放送、MPEG-4はテレビ電話や携帯端末などに利用されている。

☆ISO9000シリーズ
ISO(国際標準化機構)が制定した品質マネジメントについての国際規格。
第三者の審査登録機関の審査に合格することによって組織の品質管理体制を信頼してよいかどいかを判断する基準となる。
認証機関は3年。


※ISO14000シリーズは環境マネジメントシステムについての国際規格。

暗号化方式

☆ネットワーク上の脅威
ネットワークの世界では、送信者から受信者にデータが届けられるまで、次のような脅威が考えられる。

・盗聴
送信者から受信者に送信されたデータが悪意のある第三者に盗み読みされる。
・なりすまし
悪意のある第三者が送信者になりすまして、受信者にデータを送信する。
・改ざん
送信者から受信者に送信されたデータを、悪意のある第三者が改ざんする。

☆データの暗号化
盗聴に対しては、データの「暗号化」が有効ある。
「暗号化」とは人間が理解できる平文を「暗号化アルゴリズム」と「暗号化鍵」を使って、容易に理解できない暗号文すること。
そして、「復号アルゴリズム」と「復号鍵」を使って暗号文を元の平文に戻す。
これを「復号」という。

☆暗号方式
暗号方式には共通鍵暗号方式と公開鍵暗号方式がある。

・共通鍵暗号方式
暗号化鍵と復号鍵が共通の暗号方式
不特定多数の相手とのデータのやりとりには不向き
暗号化と復号の処理時間がかからない

代表的な共通暗号方式：DES

・公開鍵暗号方式
暗号化鍵と復号鍵が異なる暗号方式。
送信者は「受信者の公開鍵」で暗号化し、受信者は受信者しか知らない「受信者の秘密鍵」で復号する。

不特定多数の相手からデータを受け取るのに向いている。（秘密鍵でしか複合できないので）
暗号化と復号の処理時間がかかる。

代表的な公開暗号方式：RSA

※ハイブリット方式
「公開暗号方式」を使って、データの暗号化のための共通鍵を暗号化して通信相手に送付するやり方。
共通鍵暗号方式の処理時間の短さ、公開暗号方式の鍵の管理の容易さという両方の長所を活かしている。近年はこの方式が活用されている。


☆ディジタル署名
メッセージの改ざんやなりすましによる不正アクセスに対してはディジタル署名（公開暗号方式を応用している）が有効である。

「送信者の秘密鍵」で暗号化し、「送信者の公開鍵」で復号する。このやり方ならば本人以外しか暗号文を作れないし、さらに復号できるため本人認証の証明となる。

また「ハッシュ化」（ハッシュ関数を使用して電子文書から文字列を作成すること）を使用して、改ざんお有無の確認もしている。

☆認証局
公開鍵暗号方式やディジタル署名には公開鍵が使われるが、公開鍵が本当に本人や企業のものであるか正当性を証明する必要がある。

そこで、第三者機関である「認証局（CA）」が申請に基づいて証明書を発行し、公開鍵の正当性を証明している。

☆SSL
ネットスケープ・コミュニケーションズ社が開発した、インターネット上で個人情報、パスワード、クレジット番号などを暗号化して送受信するプロトコル。
業界標準のプロトコルとなっている。

※SET
SETはインターネット上のクレジット決済での安全性確保のために定められたプロトコル。

コンピュータウイルス

☆コンピュータウイルス
経済産業省の「コンピュータウイルス対策基準」において、コンピュータウイルスは次の３機能のうち少なくとも一つを有するものと定義されている。

・自己伝染機能
自らをほかのプログラムにコピーすることにより、ほかのシステムに伝染する機能。

・潜伏機能
発病するための特定時刻、一定時間、処理回数の条件を記憶させて発病するまで症状を出さない機能。

・発病機能
プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をしたりする機能。

☆コンピュータウイルスの種類
コンピュータウイルスには、次のような種類がある。

・ブートセクタ感染型ウイルス
コンピュータの電源を投入した場合に、最初に読み込まれるセクタ(ブートセクタ)に感染するウイルス。コンピュータを起動することで感染する。

・ファイル感染型ウイルス
拡張子COM、EXEなどの実行型ファイルに感染するウイルス。感染したプログラムを実行することで感染する。

・マクロウイルス
表計算ソフトやワープロソフトなどのマクロ機能を利用して感染するウイルス。感染したデータファイルを開くだけで感染する。

・トロイの木馬
プログラムの一部をひそかに入れ替えて、本来の仕様通りに機能させながら、データの不正コピー、悪用、改ざんなどの不正を意図的に実行させるウイルス。

・ワーム
ネットワーク経由でコンピュータ間を自己複製したがら移動するウイルス。


☆ウイルス対策ソフト
コンピュータウイルスの検査、予防や駆除する機能を持つソフトウェア。ワクチンソフトともいう。

☆ウイルス感染の予防策
・ウイルス対策ソフトをインストールし、常に動作させておく。
・新種のウイルスに対応するために、ウイルス対策ソフトの「ウイルス定義ファイル(パターンファイル)」を常に最新のものに更新する。
・OSやブラウザ、メールソフトなどの修正プログラムを定期的にチェックし、インストールする。
・インターネットなどの外部からファイルを入手した場合は必ずウイルス対策ソフトでウイルスのないことを確認してから動作させる。
・ウイルス対策ソフトを使っても、ウイルスを完全に駆除できない場合があるのでファイルの場合を作成しておくなどの復旧手段を準備しておく。


☆ウイルス感染の対処
ウイルスに感染してしまった場合、次のような手順で対処する。

(1)コンピュータをネットワークから切り離す

(2)感染前に作成しておいたOS起動ディスクからコンピュータを起動する。

(3)ウイルス対策ソフトを使ってウイルスチェックをする。ウイルスに感染していた場合は駆除する。

(4)システム管理者に報告する。

(5)システム管理者はほかの関連部署にも連絡し、ウイルスチェックを依頼する。ウイルスに感染していた場合は駆除する。

(6)システム管理者は、ウイルス発見・感染の状況について必要な情報を情報処理推進機構(IPA)に報告する。

情報セキュリティ

☆情報セキュリティ
情報セキュリティとは企業や組織における情報の「機密性」「完全性」「可用性」を維持することである。

・機密性
第三者に情報を漏洩しないようにすること。
(例)
システムの暗号化


・完全性
情報及び処理方法が正確・完全であるようにすること。
(例)
デジタル署名

・可用性
利用者が必要なときに情報資産を利用できるようにすること。
(例)
システムの二重化


☆リスクマネジメント
情報セキュリティを高めるということは、逆に言うと、リスクをできる限り小さくすることである。

考えられるすべてのリスクを対処することは、時間と費用がかかりすぎるので損失額と発生確率を予測し、リスクの大きさにしたがって優先順位をつけていく。
リスク対策には次のようなものがある。

・リスク軽減
リスクの損失額や発生確率を低く抑える。

・リスク回避
リスクの原因を除去する。
・リスク移転
契約などを通じてリスクを第三者に移転する。


☆情報資産と脅威・脆弱性情報セキュリティ対策を実施するにあたり、「情報資産に対する脅威」と「情報資産の弱点である脆弱性」を明確にすることが重要である。
脅威は情報資産に攻撃や危害を加えて、業務遂行に好ましくない影響を与える原因となる。

脅威は以下のようなものがある。

・物理的脅威
地震、洪水、火災、落雷(停電)などの天災や、機器の故障、侵入者による物理的な破壊や妨害行為などをいう。

・人的脅威
操作ミス、紛失、内部関係者による不正使用や怠慢など人による脅威をいう。

※ソーシャルエンジニアリング
人の心理の隙をついて機密情報を入手する行為をいう。
(例)
緊急事態を装い組織内部の人間からパスワードや機密情報を聞き出すこと。

・技術的脅威
不正アクセスやコンピュータウイルスなどによる漏洩やデータ破壊・盗聴・改ざん・消去などの脅威。


☆情報セキュリティポリシ
企業などの組織体は情報セキュリティに対する考え方や取り組みを示す目的で情報セキュリティポリシを策定する。

以下の3つから構成されている。

・基本方針
情報セキュリティに関する基本的な方針を定めたもの。

・対策基準
項目ごとに順守すべき行為や判断を記述したもの。

・実施手順
具体的にどのような手順で実施していくのか示したもの。


☆ISMS適合評価制度
企業などの組織体の情報セキュリティに対する取り組みを第三者機関が評価して認定する制度。


☆個人情報保護法
個人情報の不適切な取り扱いによって、個人の権利利益が侵害されることを未然に防ぐことを目的とした法律。

以下のことを定めている。
・利用目的を本人に明確にすること
・本人の了解を得て収集すること
・正確な個人情報を保つこと。
・個人情報の流出や盗難、紛失を防止すること。
・本人に開示可能であること
・本人の申し出により訂正を加えること