△セキュアシステム（Secure System）[1H18]

＜学位授与の方針＞

○	1. 基礎知識の習得
◎	2. 専門分野知識の習得
○	3. 汎用的問題解決技能
○	4. 道徳的態度と社会性

＜授業のねらい＞

講義では、企業や組織の活動を支えるビジネス情報システムについて、その安心・安全を支えるセキュリティ管理の概念とプロセス、技術について学ぶ。
加えて、関連のある最近の興味深い事例を検討することで、学んだ知識を簡単なシステムに展開する力をつける。

＜受講にあたっての前提条件＞

前提となる科目はありません。（「情報ネットワーク論」を履修していることが望ましいですが、履修の必須要件ではありません。）

＜具体的な到達目標＞

以下の各項目について、専門知識を具体例とともに理解し習得する。
さらに、事例検討を通して、比較的単純な場合について、自ら知識を適用できるようにする。
また、最新のトピックスについて概要を紹介し、さらなる学習を自ら進める基礎をつくる。

＊セキュアシステムの基礎
＊セキュリティ達成の目標とプロセス
＊セキュリティ・アーキテクチャ
＊リスク対応策
＊業務継続と災害対策
＊セキュリティとコンプライアンス
＊セキュアシステムの技術基盤

＜授業計画及び準備学習＞

1. オリエンテーション、セキュアシステムの概要とトラブル事例紹介
- システム、リスク、セキュリティ、プライバシー、ディペンダビリティとは
- セキュリティの対策とその実現手段とは
- ディペンダビリティ授業との相互関係
- 事例検討1: 情報セキュリティに関する最近の重大なトラブル

2. 基礎概念 - セキュリティの基礎
- システム、リスク管理の基礎概念
- 評価尺度：機密性, 完全性, 可用性, 真正性, 責任追跡性, 否認防止
　(注: 信頼性は、本講義ではなく、別講義の「ディペンダビリティ概論」で扱う。）

3. 基礎概念 - セキュリティ達成の目標とプロセス1
- 情報セキュリティ目的・目標の設定
- セキュリティ達成のプロセス: リスク管理フレームワーク(RMF)
- リスクアセスメントとリスク対応
- 事例検討2A: 米国医療情報システム (米国連邦法 HIPAA)
- 事例検討3A: 情報セキュリティマネジメントシステム

4. 基礎概念 - セキュリティ達成の目標とプロセス2
- リスク対応の全体像
- リスク対応の基準: 有効性・妥当性・適切性
- 事例検討2B: 米国医療情報システム (米国連邦法 HIPAA)のリスク対応
- 事例検討3B: 情報セキュリティマネジメントシステムのリスク対応

5. 開発・設計 - セキュリティ・アーキテクチャと技術標準
- 情報セキュリティアーキテクチャ
- 情報セキュリティアーキテクチャの構成要素とプロセス
- 情報セキュリティ管理策
- 事例検討2C: 重要インフラのための最重要技術的対策 (米国 CAG)

6. リスク対応策 - 管理的・物理的・技術的なリスク対応策
- 管理的なリスク対応策
- 物理的なリスク対応策
- 技術的なリスク対応策
- 事例検討2D: 米国医療情報システム (米国連邦法 HIPAA)のリスク対応
- 事例検討4: 重要インフラのための最重要技術的対策 (米国 CAG)

7. 運用 - 業務継続と災害対策
- 災害対策の必要性
- インシデント対応
- 業務継続計画、災害対策
- システムへの攻撃とレジリアンス
- 事例検討5: SOC(セキュリティオペレーションセンター)

8. セキュリティとコンプライアンス
- 法令・規制の例
- 内部統制とセキュリティ
- 事例検討2E: 米国医療情報システム (米国連邦法 HIPAA)への準拠

9. セキュアシステムの技術基盤 1 識別と認証
- 技術的対策の全体像
- IAAA とは
- 識別と認証の技術
- 事例検討6A: Windows Active Directory によるネットワーク認証
- 事例検討7A: Linux, クラウドサービスにおける識別と認証

10. セキュアシステムの技術基盤 2 アクセス制御
- アクセス制御の技術
- 事例検討6B: Windows におけるアクセス制御
- 事例検討7B: Linux, クラウドサービスにおけるアクセス制御

11. セキュアシステムの技術基盤 3 暗号と改ざん検知、電子署名
- 暗号化の技術
- 改ざん検知と電子署名の技術

12. セキュアシステムの技術基盤 4 暗号・電子署名技術の応用
- 暗号化ファイルとフルボリューム暗号化
- ＰＣやサーバ、ネットワークなどの相互認証
- 事例検討6C: Windows におけるファイル・ボリューム暗号化
- 事例検討7C: Linux, クラウドサービスにおけるファイル・ボリューム暗号化

13. セキュアシステムの技術基盤 5 その他
- データ長期保存（タイムスタンプほか）
- 個人情報とプライバシー保護技術（リンキング、匿名化技術）

14. 学習内容の振り返り

＜成績評価方法＞

期試験期間に試験を実施する。講義資料のプリント、自筆ノート持ち込み可。
講義内容を理解し、簡単な課題に応用できるレベル。
単位取得には、授業の 2/3 以上の出席が必要。（初回および補講は出席とみなす。）

＜教科書＞

資料を kuport にて電子配布する。
必要に応じて、印刷プリントを配布する。

＜参考書＞

講義の中で、適宜、参考となる資料を紹介する。

＜オフィスアワー＞

前期の期間、毎週木曜３限
新宿キャンパス A1577

＜学生へのメッセージ＞

セキュリティやセキュアシステムの歴史は長く、それらを扱う体系的な方法や技術が、ある程度確立しています。一方、最近、モバイル、クラウド、対テロ対策などで、新たなリスクが生まれ、より高度な対策が求められています。
この講義では、伝統的・体系的知識と、新しい動きをバランスをとりながら講義していきます。また、学生が身近かに感じられる事例を通して、「安心・安全」の重要性とそれを支える技術基盤について、興味を持ちながら理解し、将来に活用できるようにしていきたいと思います。

なお、この講義ではシステムの信頼性やスケーラビリティ、データ保護に関しては扱いません。これらの分野に興味がある学生には、「ディペンダビリティ概論」の受講を勧めます。