倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 1

情報セキュリティ概論9,10,11

倫理、プライバシ、SNSのセキュリティ

帝塚山学院大学ICTセンター長(特任教授) 大阪市立大学名誉教授, 大阪市ITアドバイザー

　中野秀男[検索]

February/4/2014 情報セキュリティ概論

February/4/2014

情報セキュリティ概論

今日の話

}  情報通信倫理 }  倫理は昔から、情報通信倫理は新しい }  ハッカー倫理

}  プライバシー }  個人情報、情報、無体物 }  包括性と永続性: CCC(Tポイント)とGoogle

}  プライバシを中野の事例で }  予定表、仕事(ToDo)表、日記、健康、収支 }  Mixi, Twitter, Facebook

}  ソーシャルメディア }  時代と共に: Mixi,Twiter,Facebook,LINE

February/4/2014

情報セキュリティ概論

情報通信倫理概論

} 情報通信倫理 }  20世紀後半に出てきた新しい倫理

}  20世紀の大きな倫理 }  環境倫理：公害

}  生命倫理：人工中絶、遺伝子操作

}  仮想世界感

}  実世界の倫理が適用できること

}  新しい規範が必要なこと

} セキュリティの守り方の最後:100年かかる？ }  技術、規則、教育・モラル・倫理

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 2

February/4/2014

情報セキュリティ概論

情報通信倫理(1)

}  情報技術者の職業倫理(綱領) }  初等/中等教育における情報モラル }  Webページ検索・電子メール受信

}  有害サイト、商品の購入、ねずみ講 }  Phishing詐欺 }  出会い系サイト、SPAM、デマメール（Hoax)

}  Webページ作成 }  著作権 }  プライバシー }  誹謗中傷 }  個人情報の流失

February/4/2014

情報セキュリティ概論

情報通信倫理(2)

}  電子メールの発信 }  たかがメール、されどメール

}  人間関係や心身の健康 }  人間関係の希薄化 }  仮想現実問題

February/4/2014

情報セキュリティ概論

ハッカーとクラッカー

}  ハッカーの解釈 }  良いハッカー }  マスコミ

}  クラッカー }  １：雑誌や本を読んでちょっとやってみる人 }  ２：TCP/IPやUNIXやWinを徹底理解した人 }  ３：犯罪者

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 3

February/4/2014

情報セキュリティ概論

ハッカー倫理(1)

◆ 1.盗んだり破壊したり機密を犯さないかぎり、遊びや探求のためにシステムに侵入しても倫理的に問題がない

}  2.すべての情報はフリーであり、知的所有権やセキュリティの必要性は存在しない

}  3.システムへの侵入はセキュリティホールを明らかにする効用があり、システムに対する効用となる

February/4/2014

情報セキュリティ概論

ハッカー倫理(2)

}  ハッカーの定義(ハッカー辞典） }  本来の仕事を離れて興味のあることにのめりこむ }  システムの動作をとことんまで見極める人

}  UNIX文化とハッカー }  フリーソフトウェアとオープンソース

}  KOFやOSC

February/4/2014

情報セキュリティ概論

情報フィルタリング

}  有害情報に対して点数をつけてフィルタリングする }  有害情報：暴力、セックス、言葉など }  反社会的、違法、公序良俗に反する、要注意

}  管理者の情報フィルタリング }  電子メールのチェック }  IDS（不正進入検知システム)

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 4

February/4/2014

情報セキュリティ概論

ホイッスルブローイング

}  ほっておくと公共の利益が脅かされる不正、怠慢、悪用、危険等を明るみに出す行為

}  内部告発とは違う

}  日本では難しそう

}  積極的な態度

February/4/2014

情報セキュリティ概論

リテラシ

}  情報リテラシ }  ソフトや情報機器の操作 }  情報の収集活用する能力と意欲

}  コンピュータリテラシ：読み書きそろばん }  ネットワークリテラシ

}  インターネット活用、携帯電話活用 }  メディアリテラシ ◆ 情報格差・弱者（デジタルデバイド）の問題 ◆ デジタルネイティブ、ソーシャルネイティブ

February/4/2014

情報セキュリティ概論

ネチケット

}  ネチケット：ネットワーク上のエチケット }  規則ではなく緩やかな合意

}  作法でしょうか!

}  全体的なネチケット }  各アプリケーション毎のネチケット

}  電子メール（一般、ビジネス） }  メーリングリスト、掲示板、チャット、SNS }  Webを見る、Web作成

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 5

February/4/2014

情報セキュリティ概論

一般的なネチケット

} みな人間であることを忘れない } オンラインでも普段と同じ行動基準 } サイバースペースの自分の場所を知る } 他の人の時間とバンド幅を尊重する } オンラインではいいかげんな表現はしない } 専門の知識を分かち合おう } 罵倒合戦(flame war)を自制する } ひとのプライバシーを尊重する } 権力を乱用しない } ひとの過ちは寛容に

個人情報

}  情報は無体物 }  法律は最初は有体物を対象に

}  個人情報 }  個人を特定できる情報 }  個人の持っている情報

}  個人ではなく組織やコミュニティの情報は }  ID

}  緩やかなID

}  暗号化は匿名技術か

February/4/2014

情報セキュリティ概論

個人情報保護法(1) }  構成

}  個人情報保護法の基本法部分

}  個人情報保護法の一般法部分(民間) }  公的部門毎に法律や条例

}  行政機関、独立行政法人、地方公共

}  個別法、ガイドライン(指針) }  個人情報の概念

}  個人情報(生存者を特定できる情報) }  個人データ(DBを構成する個人情報) }  保有個人データ(軽重は個別法と指針で)

}  DB業者がもつ個人情報

February/4/2014

情報セキュリティ概論

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 6

個人情報保護法(2) }  利用目的の特定(法15) }  利用目的による制限(法16) }  適正な取得(法17) }  利用目的の通知(法18) }  正確性の確保(法19) }  安全管理処置(法20) }  従業員の監督(法21) }  委託先の監督(法22) }  第三者提供の制限(法23) }  Opt in, Opt out

February/4/2014

情報セキュリティ概論

個人情報保護法(3) }  実効性の担保

}  苦情処理

}  主務大臣による関与

}  報告徴収・助言

}  勧告

}  命令

}  適用除外 }  報道機関や報道を業とする個人

}  著述を業として行う者

}  大学など学術機関、団体や属する者

}  宗教団体

}  政治団体 February/4/2014

情報セキュリティ概論

個人情報保護法(4)個別法やガイドライン }  電気通信(情報通信)分野

}  医療分野

}  金融・信用分野

}  労働分野

February/4/2014

情報セキュリティ概論

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 7

February/4/2014

情報セキュリティ概論

匿名性

}  匿名性(anonymous)

}  Anonymous FTP

}  パソコン通信のハンドル名

}  Hotmail等の簡単に取得できるメアド

}  本当にあなたなの？

}  Open Proxy Server

}  犯罪に使われる匿名性

}  人権を守るための匿名性

プライバシ

}  個人情報って }  個人が特定できる情報 }  個人のもつ情報

}  広い意味での個人(の)情報 }  いる場所(屋内測位技術も進歩しています) }  状態(脈拍等見ながらマラソン,脳波測定) }  嗜好(趣味,好きなもの,読んでいる本等)

}  人だけでもないでしょう }  もの：センサーネット、Twitterで喋る「もの」 }  インターネット＋センサーネットの時代 }  IoT: Internet of Things(もののインターネット)

February/4/2014

情報セキュリティ概論

私の場合

}  公開と制限付き公開 }  予定表

}  今の所AppleのiCloud }  Google Appsは仕事で使おうかと

}  日記 }  Mixi, OpenPNE, ココログ

}  Twitter, Facebook }  Twitterは私人、Facebookは公人: 位置や状態(近況)を

}  プライベート }  お仕事(ToDo)表: Remember The MilkとExcel }  健康(血液検査のデータ),体組成, Dropbox }  小遣い帳(その場で入力と月末の集計)と収支

February/4/2014

情報セキュリティ概論

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 8

実証実験から本番に

}  e空間Kansaiプロジェクト }  紹介ビデオもあります }  阪急三番街北館で2010年2月に }  新しい技術

}  可視光通信と屋内GPSとAR,屋内測位 }  新しいサービス

}  導線解析

}  うめきた(2013年4月下旬街開き) }  匿名化技術: ゆるやかなID }  デジタルサイネージ端末とスマホ等との連携 }  うめきた地区のアノニマス人流測定(総務省SCOPE)

February/4/2014

情報セキュリティ概論

e-learning

}  いろいろな権利 }  著作権、肖像権、複写権、放送権 }  著作者人格権

}  テレビ等のVOD再放送で技術的解決策 }  ふたかぶせ

}  公開の範囲と細かな認証とアクセスログ }  e-learningだと作成者の所有権も

February/4/2014

情報セキュリティ概論

問題点

}  公開する範囲：でも制御できない }  誰が知っているか分からない }  管理者は信頼できるのか }  バックアップは万全か }  上の二つはクラウドと同じですね

}  デジタルデータはコピーで容易に広まる }  無体物なので無限にコピー可

}  公開される個人の嗜好 }  いろいろありますね

February/4/2014

情報セキュリティ概論

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 9

解決策

}  セキュリティの場合と同じですが }  技術

}  データのアクセス権制御：読む、書く(削除も)、実行する }  ダミー挿入、電子透かし、通し番号 }  痕跡をつける技術と追いかける技術 }  緩やかなID }  心の中をどう覗く

}  規則、法律、政治(制度設計) }  モラル、倫理、教育

February/4/2014

情報セキュリティ概論

議論

}  プライバシー、個人情報、組織情報は制御できるか？ }  ヒント: 検索エンジン

February/4/2014

情報セキュリティ概論

手嶋さんの話

}  SNSはコミュニケーションツール }  ネット上の社交場(居場所)

}  世間 vs 身内 }  たとえとして井戸と井戸端会議

}  ビジネス系 - 生活系 - エンタメ系 }  多人数 – 少人数

}  単方向リンク – 相互リンク }  相手にわかる – 相手にわからない

February/4/2014

情報セキュリティ概論

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 10

ソーシャルメディア

}  信頼 }  友達、フォロー/フォロワー

}  信頼モデル }  友達の友達は友達：PGPモデル }  友達の友達は他人：警察モデル

}  信頼は0/1ではない }  信頼の程度 }  TPOに分けた信頼 }  PGP風の信頼チェーン

February/4/2014

情報セキュリティ概論

ソーシャルメデァイは昔から

}  1980年後半から }  NetNews(Internet) }  掲示板(パソコン通信)

}  1990年代から }  ウェブが定着

}  ML：mailing list }  IRC,チャット,メッセ

February/4/2014

情報セキュリティ概論

Mixi

}  日記 }  私は2004年9月27日「ほろ酔い日記」 }  今は3つのブログにも

}  友人(私は128名):いくつかのグループに }  コミュニティ(私は33件に参加)

}  管理人 }  匿名、ハンドル名 }  私は日記と、Mixiをメインにしている友達用 }  幾つか事件も(大阪市大もありました)

February/4/2014

情報セキュリティ概論

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 11

Twitter

}  短文(140文字)投稿サイト }  フォローとフォロワー

}  私は2009年11月1日からハンドル名で }  途中から非公開に }  フォロー中124, フォロワー120

}  TL(Time Line) }  デフォルトは公開 }  なりすまし、「xxなう」 }  今は私人用ですが、ReTweetがうざいので }  中国版Twitter：新浪微博

February/4/2014

情報セキュリティ概論

Facebook(1)

}  実名主義：なりすまし }  個人とFacebookページ }  友達になる }  Facebookページ

}  ホームページとして }  ホームページの補完として

}  中野秀男:友達721名,2011年6月26日から }  中野秀男研究所: }  3名が結託されると情報が抜かれる }  標的型攻撃の情報源

February/4/2014

情報セキュリティ概論

Facebook(2)

February/4/2014

情報セキュリティ概論

}  中野はOpinion Leader的な友達が多いので情報収集に }  URLを拾って自分宛にメール }  URL

}  TwitterやFacebookの情報は売買されている }  今はFacebookの次のSNSが見えない

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 12

OpenPNE

}  オープンソース: }  SNSの種類

}  Public SNS }  Community SNS }  Private SNS

}  Version 2 と Version 3 }  管理画面

February/4/2014

情報セキュリティ概論

他に

}  Google+ }  Circleが売り

}  LinkedIn }  LINE

February/4/2014

情報セキュリティ概論

利用ガイドライン

}  千葉市 }  千葉市職員のソーシャルメディアの利用に関するガイドライン

}  日本コカコーラ }  ソーシャルメディアの利用に関する行動指針

}  個人(従業員)として }  代表する立場で

February/4/2014

情報セキュリティ概論

倫理、プライバシ、SNS February/4/2014

情報セキュリティ概論 13

問題点と議論

}  個人情報が集められて解析されて }  Spysee

}  誹謗中傷と法律 }  プライバシー、個人情報、組織情報は制御できるか？

}  ヒント: 検索エンジン

February/4/2014

情報セキュリティ概論

参考にした本

}  「個人情報保護法[新訂版]」岡村久道 }  「情報セキュリティの法律[改訂版]」岡村久道 }  「標的型攻撃/セキュリティガイド」岩井博樹(ラック)

}  Softbank Creative, 2013年3月

}  「ソーシャル・エンジニアリング」Christopher Hadnagy }  日経BP, 2011年

February/4/2014

情報セキュリティ概論