情報リテラシー

第4回 情報セキュリティー研修


本日のアジェンダ:情報セキュリティ研修は各自で必ず受講してください(たぶんガイダンスでも指示があったと思います).情報セキュリティは喫緊の課題で,日本は世界的なターゲットになっているため,もうすこし具体的に掘り下げます.また,SUNYの教科書の内容「いかに情報のギャップを知るか?」(2つ目の柱)についてを取り扱います.


情報セキュリティ研修で学んだと思いますが,あらためてごく一般的なセキュリティのリテラシーをまとめると,

  1. パスワードは厳重に管理する
  2. 不審な添付ファイルは開かない(フィッシング詐欺)
  3. 怪しいWebページにはアクセスしない

などが重要です(よく復習しておいてください).

まず,コンピュータウィルスとはプログラムのことです.インフルエンザやコロナウィルスのように人や動物に感染するものとは違います.少し古い映像資料(2011)ですが,コンピュータウィルスの歴史から,最近のものまでが紹介されています.

このなかで,いくつかの「専門用語 terminology がでてきました」.そのなかでも,重要な用語は「マルウェア」です.

マルウェアとは?

以下は日本ネットワークセキュリティ協会の内容をコピーしたものです(https://www.jnsa.org/ikusei/03/08-01.html).このサイトには情報セキュリティの内容がさまざまに紹介されていますので,チェックしてください.

マルウェアとは マルウェア(Malware)とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。マルウェアには次のようなものがあります。

(引用 "マルウェアの脅威とその対策” 日本ネットワークセキュリティ協会 ホームページ)

コンピュータウィルスは個人や企業のみがターゲットではありません.より深刻なのは国家単位での攻撃です.攻撃の対象は,たとえば核施設です.次のビデオ資料をみてください.

ひとつの前のビデオ資料ではあまり説明されていませんでしたが,このビデオではサイバー戦争(といっていいでしょう)の当事者が,直接に語っています.これは2010年に実際におきたことです.もう10年前のビデオ資料ではありますが,極めて巧妙に仕組まれていることがわかります.

ー般的なセキュリティ・リテラシとして「怪しい添付ファイル やリンクはひらかない」があります.ですが,実際は相当気をつけないと開いてしまいます.

たとえば,以下はフィシングメールの例です.送ってくる犯罪者の側は「本気」で似せてきますから,うっかりひっかかりそうになります.みなさんも受け取ったことがあるとおもいます.

jl4-1

これは,実際のアマゾンからのメールによく似ています.まず,慌てるまえに

  1. カードの不正使用,不正ログイン,などなど「慌てさせるメール」にはまず要 注 意
  2. メールアドレスをチェック
  3. サービスを行なっているサイトをチェック
  4. 自分のアカウントをチェック

を行います.私は届いてすぐに 1. メールアドレスをチェック,しました.すると,

amazon_care@setupe.******.com (***は安全のために消してあります)

となっています.この時点でこのメールには「どこもクリックせずにゴミ箱に直行」です.

クリックするとどうなるか?

ちなみに,アマゾンからのフィッシングではない正式なものはこれです.

jl4-2

 

上がフィッシング詐欺のメール,下が,実際のメールです.きちんと比較してみると,違うことがわかります.ですが,よく似ているので混同してしまいそうです.

フィッシングが厄介なのは,パスワードなどの個人情報を詐取して,クレジットカードで好き勝手に買い物する(すぐに換金が可能な物品を購入)だけではなく,以下のようなより高度で危険性の高い「標的型攻撃」の入り口に使われることがあることです.

標的型攻撃...実際のところ完全に防ぐ方法はありません.ニュースでよく企業から数万件以上のデータが盗まれたとの報道がありますが,それは標的型攻撃による場合もあります.以下では典型的な標的型攻撃の手法が紹介されています.

*以下のビデオはそのまま視聴していると,連続して再生される場合はあります.1本目が「標的型攻撃」に関するビデオです.

  1. 怪しい添付ファイルにはさわらない
  2. 身元不明はUSBは,ぜったいに使わない
  3. フィッシングメールにさわらない
  4. 怪しいWebサイトには「触れない」「クリックしない」

 

ランサムウェアとはなにか?

標的型攻撃と併用されたり,フィッシングと連動したりする,コンピュータウィルスが「ランサムウェア」です.ランサムウェアに感染しても気づきません.ランサムウェアに感染すると,キータイプがすべて相手に盗聴されてしまいます.

 

ランサムウェアに感染すると,相手に自分の情報が筒抜けになってしまいます.でも,ランサムウェアはセキュリティソフトで暗号化すること防疫することができます.

世の中には多くのセキュリティソフトがあり,それを活用することは大切です.

しかし...どんなセキュリティソフトでも守れない,もっとも大きく深刻なセキュリティの「穴」それは,あなた自身なのです.

以下のビデオはSNSへの安易な投稿がいかに大きなセキュリティーの穴となっているの例です.


情報リテラシー 教養編

前回のIdentifyの課題では,前半の内容のまとめ,となっていたので,今回はより実践的な練習をしてみましょう.今回はSUNYの教科書の内容を前提に,少し,実践的に深掘りをします.

自分が必要としている知識を明確にするのが(identify)技術,でした.大まかな流れは以下の3ステップ(これを"3 step Identify"とよびます)です.

  1. 自分のプロジェクトのゴールを設定する
  2. 自分の手持ちの知識の内容を,できるだけ客観的に,明確化する.
  3. ゴールと手持ちの知識との「差」を抽出する.

以上の3ステップで「自分に必要な知識」を抽出することができる.これが3 step Identifyです.この技術をつかうことで,不必要な情報の検索にコストをかけてしまったり,自分は「わかっている」,「十分な情報をすでにもっている」との勘違いなどの「場当たり的で戦略的でなない」仕方を低減させることができます.

注意すべきは3 step Identifyは繰り返し行うことです.「必要となる情報は,情報を得ることで変わる」ので,自分の知識があるていど蓄えられたら3 Step Identifyを行います,

サブゴールの設定

たとえば「量子コンピュータ実現の可能性」の調査プロジェクト場合,「自分がどれほどテーマを知っているか?」によってゴールと手持ちの知識との差は大きく変わります.そのために必要となるのがサブゴールです.サブゴールは最終ゴールに至る前に設定する「とりあえずクリアするゴールです」.

量子コンピューティングの場合,もし量子力学については全く知識がなければ,実現性についての調査することはできません.なので,サブゴールとしては「量子力学とはなにか?」になります.このサブゴールに対して3 step identifyを行います.

1.サブゴールを設定:「量子力学とはなにか」

  1. 自分の手持の智識を明確化:ノートに知っているだけの,量子力学の用語を書き出してみる(ブレインストーミング・略して”ブレスト”といったりします.)
  2. ブレストを「眺めてみて」自分が「不足しているのはどのあたりか」を抽出する.

Identifyの技術は「自分が”ほんとうに”不足している知識はなにか?」を知る技術です.

ブレインストーミング

ブレインストーミングはグループでの「発想法」のひとつで,一般的には4つのルールがあります.これらはつまり「ネガティブ・否定的・批判的なことは言わない・考えない」ということです.

  1. 判断・結論を出さない(結論厳禁)
  1. 粗野な考えを歓迎する(自由奔放)
  1. 量を重視する(質より量)
  1. アイディアを結合し発展させる(結合改善)

本来はグループワークで行うものです.この方法を「自分がどれぐらいサブゴールについて知っているか」を知るためにつかいます.

ひとりブレストの方法

  1. ノートや紙を準備
  1. テーマについて思いつくことを短く書いていく(よく理解できていない概念,言葉でもOK,自分のアタマのなかにあるものをを,すべて外に出すイメージで)

  2. 関係の”ありそうなもの”を線で結んでみる・囲ってみる・色付けしてみる.

    1. でグループ化したものに,適当な”名前(これをタグといいます)”をつける.ex. ”量子とは”,”歴史”,”なんで量子なの?”など

ひとりブレストの結果を,前回につかったIdentifyテーブルのテクニックをつかってまとめます.

ひとりブレストの結果例:

STEP1サブゴール「量子力学」について,ひとりブレストを行なった結果の例です.こんなふうに,思いつくままにキーワードをどんどんあげていきます.

jl4-3

STEP2 つぎに,自分で適当に「これは関係ありそうだな..」とおもうキーワードをまとめてみます

jl4-4

 

 

「合っているか,間違っているか」は気にしません.なんとなく近いな..とおもったら,グルーピングしてしまいます.

そして,グルーピングしたキーワードをながめて,タグ,をつけます.タグはそのキーワード全体をぼんやりとでいいので,指し示しているようなものをつけます.

jl4-5

こんなかんじで,ひとりブレストをSTEP1から3まで行います.

 

得られたタグタグついて知っていることは何?タグについて知りたいことは何?どうやって情報をみつける?タグについて,学んできたことはなに?
量子力学の歴史アインシュタインが関係していること,宇宙論と関係があること, etcどうやって量子力学が成立してきたのか, etc..宇宙論の解説記事などNHKの番組でみた
普通の物理との違い対象のサイズが普通の物理(ニュートン)と違う, etc..なぜ20世紀に発展?なにがあった?入門書講義で少し触れていた
量子コンピュータIBMやGoogleが実用化している(?)...普通のコンピュータとどう違うの?なにができるの?IBMやGoogleのサイト,などニュース解説で取り上げていた
社会との関係すべての暗号が破られて,情報環境が大きなダメージをうける?...暗号が破られてしまうとは?,どうしたらいいのか?経済誌のテクノロジー解説などネット記事で読んだ
量子力学のしくみスリットの実験,確率的?...高校で習った力学などとどう違うのか?簡単な解説書ほとんど知らない

 さて,以上のような表にまとめることができました.

「では "自分が必要としている知識をIdentify" してください...」

といわれても...となってしまうひとへ:この表のどの部分が「自分がいまもっている知識」ですか?

この表の

になっています.

表を眺めてみると,「最も情報量が少ないタグ」がみえてきます.それが「量子力学のしくみ」です.これはほとんど知識がないことがわかります.次は,各々のタグについて「NHKの番組,ニュース解説,ネット記事」の確認です.たとえば,もし”NHKの番組”が見つけられなければ,情報量はかなり少ないことになります.ニュース解説のアーカイブ動画を見つけ出して,再度チェックしてみたら半分ぐらいしか理解できなければ,それが自分のもっている情報量です.もし,社会へのインパクトについて,以前から興味をもっていてたくさん記事を集めているのなら,このタグについての知識の補充はとりあえずは必要ないでしょう.

このようにして,自分がほんとうに必要としている情報をIdentifyすることができます.


課題 新型コロナウィルスについて以下のように Identify をおこないます.

  1. テーマを設定する「新型コロナウィルスの(自分が知りたいこと)について.
  2. テーマについて3 Step Identify を行う.
  3. サブゴールを設定する
  4. サブゴールについて ひとりブレインストーミングを行う.
  5. ひとりブレインストーミングの結果を上述の表にまとめる.

サブゴールは複数出てくると思いますが,そのうちの1つについて「ひとりブレインストーミング」から表を作成すればよいです.もちろん,複数のサブゴールについて行なっても構いません.

大学のアクセスポイントが解放されたので,課題は MS WORDで作成し,添付ファイルで提出してください.