今日はユーザー認証についてです。

小分けに３回に分けてやるそうです。

いわゆる「テストに出る」ってやつですかね～


ええまあ、いろいろと細かくやらなければいけないポイントは小分けにしてるんですよ・・・。
さてさて、コンピュータやネットワークを利用する場合、まず利用者が許可されているのか
を確認する必要があります。

これを「ユーザ認証」といいます。これがあることで不正な利用者を排除できるんですね。

なりすましたり・・・

なだめしかしたり・・・

ラジバンダリ・・・


最初しか正解じゃないですけどね。あと古いのも混じってましたね。

接続することを「ログイン」（ログオン・サインオンともいいます）　切断することを「ログオフ」
といいます。（これもログアウト・サインアウトともいいます）

いろんな言い方するんだな～

でも意味は一緒なんですね～おもしろいおもしろい。


さて、ユーザ認証の基本的なやり方としては「ユーザID」と「パスワード」を使って行うのが
普通ですね。
ユーザIDやパスワードはシステム管理者によって仮のものが配布されますが、これらは
利用者が変更して使います。

みなさんは、IDやパスワードをどうやって管理してますか？

よく誕生日とか電話番号とか推測されやすいパスワードとかはダメですよ。

同じパスワードを使いまわすのもダメです。


よくパスワードとかを忘れるけど、あれってすぐ直してくれないんですよね。

管理者はユーザのIDやパスワードは分からないの？

そんなことをすれば、管理者は利用者になりすまし放題で、メールも読み放題になってし
まいます。それではプライバシーを守れません。なので、パスワードを忘れたら一旦ユー
ザIDを初期化して、仮のパスワードを利用者に渡します。

パスワードが記録されているファイルは暗号化されていて、管理者にも読めないことにな
っています。

コンピュータの利用開始時にユーザーの身元や妥当性を識別する方法についても次回
やります。

（つづきます）

私は友達が少ないです。

プロフィールを読まれた方はよくわかると思うんですが。

私は中身がおっさんです。

アイドル好きだし。

鉄だし。

将棋好きだし。

ゲームオタクだし。

仕事も元SEだし。

女子の友人ももちろんいますし、コスメ・美容などいわゆる女子話には
そつなく対応できていると自負していますが。

心のなかのおっさんが
「そんなはなしゃどうでもいいんじゃ～ぱるるの話せんかい～！」
とか。
「レアアイテムどうやったらげっとできんのかなあ？」
と叫んでいるので、イマイチ乗り気になれません。女子会も苦手です。

ママ以外男性の社会で育ったのもあるんでしょうな～。

いまも同僚のおっちゃんと、「壇蜜、エロすぎですな～」っていう話をしている方が
正直。楽です。

以上、作者のやばいお話でした。

今日は個人情報保護法についてお勉強していきたいと思っております。

別に人のプライバシーを守りなさいとか、個人情報について規制をかけるというも
のではありません。主たる目的としては、あくまで個人情報を使うときは、「許可を
得て」やんなさいよ。ということになります。

ところで「個人情報」っていうのは・・・なんでしょうかねぇ？

個人情報とは、生存する個人の情報のことをいいます。

死んでる人は適用外でいいんですね。

・・・はい、いいことになります。ちなみに、ちなみになんですが。個人情報データベ
ース等を構成する個人情報は個人データと呼ばれます。


さらにポイントなんですがこの個人情報保護法ですが、個人データの取り扱いに関
して個人情報取扱事業者に義務を課しているんです。すなわち、個人情報データベ
ース等に含まれる個人情報だけが、個人データとして法の直接の規制対象になるっ
ていうことです。個人情報データベース等を構成するすべての情報が個人データに
なるわけではない。


超難しいです。


わけわかりま千円。


ぶっちゃけていうと、個人情報を使う仕事だけが対象になるよ・・・ってことです。個人
情報をいくら持っていても使わない業者には関係ないですよ・・・っと。

あとね、この法律は民間事業者のみというのもポイントになります。地方公共団体に
ついてはこれに該当しないんです。

公務員の怠慢だー！はっし◎っとさーん！

こらこら・・・やめなさい・・・

ついでに「プライバシーマーク」についてもお話しておきますね。
プライバシーマークとは、個人情報保護に関して一定の要件を満たした事業者に対
し、一般財団法人日本情報経済社会推進協会 (JIPDEC) により使用を認められるも
のです。で、Pマーク・・・見たことあります？


あれですよね。ポンキッキーズの・・・

それはＰちゃん。

もちろん、Pマークがあるから絶対安心ということはありませんが、少なくともセキュリ
ティについて組織で取り組んでいるんだなあという証明にはなりますね。

（つづきます）

おーれはやうたーん

がーきだいしょー　　

今回も「脅威」番外編、ということで二つほどご紹介します。


キーロガー
キーボードからの入力を監視して記録するソフトです。しかも、何のソフトに入力した
のかとか。誰宛のメールだったのかとかまで綺麗に分析するソフトまであります。こっ
そり仕掛けてパスワードを盗む。

うわわわわわ、やられてたらすっげえこわいですねこれ。

もしかしてあんな検索ワードもこんな検索ワードも全部だだ漏れだったりするん
ですね。

そうなんです。これがあるかどうか、しっかりチェックする必要がありますね。


標的型攻撃
最近話題の脅威になります。標的方攻撃とはいままでの脅威が・・・なんというか、なんと
なく全体にばらまかれていたのに対して、
特定の企業や組織のユーザーを狙った攻撃になります。

そっか、迷惑メールもウイルスさえも、危ないＵＲＬを踏んだりするのも、不特定多
数に向けてですものね。

明らかにねらいを絞って、あの企業から！あいつから！っていう攻撃の仕方になる
んだ・・・。


ウイルスなどとは違って、無差別に多数の人に迷惑をかける・・・愉快犯的なものから。厳密
にターゲットを絞って攻撃を仕掛ける形が現れました。これから重要な語句になりそうなので
注意してください。

作者によると「情報セキュリティスペシャリスト試験平成２４年秋に初登場！」だそうですよ。

（つづきます）

今回は前回までにお話した中に含まれなかった番外編「脅威」をご紹介します。

番外編？

あんまりお得感ないなあ・・・。


まあまあ・・・。今回ご紹介するのは「ソーシャルエンジニアリング」という脅威です。
どちらかというと「人的脅威」に近いかもしれませんが。

ソーシャルとは日本語で「社会的」って意味だったりしますが。

エンジニアリング・・・技術かあ・・・うむうむ。


たとえば他人の会話を盗み聞きしたり、人がパスワードを入力しているのを肩越しに
観察する（ショルダーハッキング）などの「社会的」な手段によって情報を入手するこ
とをいいます。

よく居酒屋とかで大声で業務内容はなしてるおっさんいますよね。

・・・酷いのになると、顧客の悪口とか取引先の悪口とかね。


あとはですね、「パスワードを書いている紙を盗む。」
「オフィスから出る書類のごみをあさる。」

へ、へ、へ

変態だーーーー！！（ＡＡ略）

「本人をなりすまして管理者に電話をし、パスワードを聞く。」

・・・それはだまされるなよ・・・


ソーシャルエンジニアリングは非常に原始的な方法ですが、非常に有力なやり方です。
これを防ぐと言うことは生活のあり方や社員全体の規範意識を高めると言うことが必要
になりますが、非常に困難なんですね。

どこにもだらしない人って、いますもんね。

おまえやーーーー！！！！

（つづきます）