スポンサーサイト

  • 2023.04.27 Thursday

一定期間更新がないため広告を表示しています

  • 0
    • -
    • -
    • -

    情報セキュリティマネジメント マルウェアやコンピュータ・ウィルスに関する法律

    • 2015.12.31 Thursday
    • 00:15
    ●マルウェアとコンピューター・ウィルスの違い
    まずふと疑問に思ったマルウェアの定義についてです。マルウェアとコンピューター・ウィルスと同じような意味と捉えていましたが本当にそうでしょうか。

    厳密には少し違うようです。以下Norton blogからの知識です。

    マルウェアは悪意のあるソフトウェアの総称で、マルウェアの中にコンピューター・ウィルスもスパイウェアもトロイの木馬も含まれます。

    malicious(悪意のある)とsoftware(ソフトウェア)を組み合わせた造語です。

    ●情報セキュリティを考える上で法律の問題は避けて通れない
    マルウェアを作成したり提供したりした場合には法律が適用されます。

    従って情報セキュリティを考える場合では技術的な知識だけではなく、それをとりまく法律を理解することが求められます。

    ●刑事法とは
    刑事法とは、どのような行為が犯罪となるのか?どのような犯罪に対して、どのような刑罰が科せられるか?それはどのような手続きで決まるのかということが定めてあります。刑法、刑事訴訟法です。

    ●不正指令電磁的記録に関する罪
    不正指令電磁的記録に関する罪というのがマルウェアを作成した場合の罪です。マルウェアを作成したり取得したり、配布したりした場合この罪が適用されます。

    これは平成23年に情報処理の高度化等に対処するための刑法等の一部が改正されたことで設けられました。

    ●マルウェア作成罪にあたらないとされる事例
    次の2つのケースを考えてみます。どちらもマルウェア作成罪にあたらない事例です。

    1.セキュリティソフトの技術者が実験のために自らマルウェアを作成し、自社環境内で実験を行った。

    この場合はセキュリティ対策ソフトの開発という正当な目的があり、自社環境内という他人に被害を与えていないことから不正指令電磁的記録に関する罪にあたりません。

    2.あるコンピューターソフトを開発、販売したもののバグあった。そのためファイルが正常に保存できないことケースが発生。コンピュータを正常に動作させていないこととして不正指令電磁的記録に関する罪にあたるか?

    あたりません。法律に明確に規定されていませんが、不正指令電磁的記録に関する罪の構成要素として「故意」という主観的要件が必要とされるためです。

    ●最近の事件、そして過去の事件から考える
    最近中学生がコンピューターウィルスを販売していた事件がテレビ・新聞で報道されました。タブレットやスマホやパソコン等その中学生の持ち物を報道で見て、私は個人的に驚きましたが、そのケースはまさにこの不正指令電磁的記録に関する罪にあたったことでしょう。

    では、少し記憶をさかのぼらせまして、私が高校2年、3年の頃ですから、今から25年前の頃のことです。

    X68000というパソコン用にファーサイドムーンというパソコン・ソフトが販売されました。しかし、初期ロット内にコンピューター・ウィルスが混入していたことが発覚したという問題が起こりました。

    その時には情報処理の高度化等に対処するための刑法等の一部改正以前の話です。一体どのような法律が適用されたのでしょうか。

    今は深く立ち入らず情報セキュリティの勉強を進めることを意識したいところですが、少し気になる問題ではあります。

    情報セキュリティマネジメント 情報セキュリティをとりまく法律と制度

    • 2015.12.27 Sunday
    • 22:04
    ●今日受講した講義は・・・
    今日から情報セキュリティ超入門の第4週を受講し始めました。全部で11コマです。

    ●法律と制度
    第4週では情報セキュリティをとりまく法律と制度について勉強します。

    情報セキュリティを学ぶにあたっては技術的知識のみを習得しただけでは不完全で、それらをとりまく法律や制度についても正しい知識を身につける必要があります。

    ●図書館で借りている本ですが・・・
    図書館から「訴訟・コンプライアンスのためのサイバーセキュリティ戦略」という本を借りてきて読み始めました。

    そこにはこんな話が紹介されていました。

    ある会社の優秀な社員がヘッドハンティングにより他社に引き抜かれました。そして、元の会社のノウハウや情報の一部を次の企業に持ちだされたとするケースを考えます。しかしその国は海外企業だったとします。

    では、この事案は、労働法の問題として裁判所に持ち込むべきか、あるいは知的財産権侵害で裁判所に持ちこむべきか、そしてまた、そもそもそれは日本で争うべきか、海外で争う方がよいのかなどの判断が必要なケースです。

    そのように技術知識だけでなく法律や制度も学ぶ必要があるわけです。

    ○情報セキュリティマネジメント試験対策について
    さて本記事の話題からは脱線しまして恐縮ですが、情報セキュリティマネジメント試験は来年4月が第1回目の実施になります。従ってそのものズバリの参考図書が今まで存在しませんでした。

    恐らくそのような理由で今までは情報セキュリティスペシャリストや過去廃止された情報セキュリティアドミニストレーターの試験範囲で重なる部分を予想して勉強されていらした方が多いと思います。

    そんな折に12月25日に情報セキュリティマネジメントの参考図書。徹底攻略 情報セキュリティマネジメント教科書という書籍が出版されました。

    遅ればせながら私も先ほどamazonに発注しました。

    今までは私はgaccoの情報セキュリティ「超」入門の授業を中心に情報セキュリティ周辺の知識を深めるよう努めてきましたが、教科書を読んでみていよいよ本格的に勉強の計画を立てようと考えています。

    せっかくですから、やはり合格したいと思います。レベル2の試験ですからIパスよりは難易度は高いと考えられます。しっかりと努力して合格を勝ち取りたいものだと思います。

    情報セキュリティ 暗号の危殆化とその影響

    • 2015.12.24 Thursday
    • 07:41
    gacco情報セキュリティ「超」入門の講義 第3週第7回目の授業からです。今回で第3週目の「暗号技術と現代社会での役割」は終了です。

    ●危殆化とは何か、何故危殆化してしまうか
    危殆化とは危険な状態になることを意味します。安全であったため用いられていた暗号技術が安全でなくなってしまうことです。

    何故危殆化してしまうかというと、コンピューターの性能が飛躍的に向上したり、暗号解読の手法が考案されてしまったりするためです。

    そもそも暗号は現在のコンピューターの演算能力をもってしても現実的な時間では処理しきれない(解読しきれない)程の複雑さを有することによって安全性が確保されています。コンピューターの演算能力が飛躍的に向上してしまえば、現実的な時間で解読されてしまうことになってしまい、それは暗号が安全でなくなってしまうことを意味します。これが危殆化です。

    ●危殆化に伴う最近の事例
    ・共通鍵暗号の変更がDESからAESへと変更されました。
    ・公開鍵暗号や電子署名の鍵のサイズが1024ビットから2048ビットへと変更されました。
    ・ハッシュ関数がSHA1からSHA2へと変更されました。

    ●いつどんな時に危殆化されるかその時期を予想する
    コンピューターの性能、解読コスト、時期についての予想を行っている公的なWebサイトが存在しています。

    その情報を完全に理解することは専門家でないと難しいと言われていますが、日本であればCRYPTRECに情報があります。CRYPTRECでは調べたい暗号技術が危殆化しているかどうかの情報も公開されています。

    ●危殆化とその対策
    JRの保線作業を思い浮かべると理解し易いでしょう。

    例えば、橋梁、トンネルの危殆化を考えてみるならば、診断、補修、補強、を行う必要があり、それはその仕組みが稼働していない深夜に作業をすることがイメージされることでしょう。

    安全性を評価し、危殆化前に修正、更新を行わなければなりません。

    組織は、危殆化に対応するために、危殆化対策作業時期を決定し、作業対象を選定し、作業の実行をしなければなりません。

    当然のことながらシステム管理者への負担は大きいですが、そのことを踏まえて利用者も理解し協力する必要があります。

    ●社会全体のために
    危殆化に対応するための尽力、協力についてはシステム運営側、システム管理者だけでなく利用者にも十分な理解と協力が求められます。

    それは社会全体の安全のために必要と言えます。

    PR

    calendar

    S M T W T F S
      12345
    6789101112
    13141516171819
    20212223242526
    2728293031  
    << December 2015 >>

    スマートフォン

    selected entries

    categories

    archives

    recent comment

    • 古いマシンでもビュンビュン動くOS。その名はLinuxBean。
      digitaro (08/03)
    • Wifiリピーター、無線LANの中継
      よしお (06/14)
    • 古いマシンでもビュンビュン動くOS。その名はLinuxBean。
      Passers-by (06/02)
    • DRC-BT30をコンポに繋げBluetoothレシーバーとして使う
      digitaro (11/28)
    • DRC-BT30をコンポに繋げBluetoothレシーバーとして使う
      koji (11/28)
    • DRC-BT30をコンポに繋げBluetoothレシーバーとして使う
      digitaro (11/28)
    • DRC-BT30をコンポに繋げBluetoothレシーバーとして使う
      digitaro (11/26)
    • DRC-BT30をコンポに繋げBluetoothレシーバーとして使う
      koji (11/26)
    • REGZAと自動電源連動HDD
      digitaro (11/26)
    • REGZAと自動電源連動HDD
      koji (11/24)

    profile

    search this site.

    others

    mobile

    qrcode

    powered

    無料ブログ作成サービス JUGEM