トップ

ディジタル証明書

• 公開鍵の正当性を証明するために認証局(CA)と呼ばれる第三者機関が発行する証明書

• 証明書のフィールドには公開鍵(使用アルゴリズムなどの情報も含む)と認証局のディジタル署名が含まれている

• 配送されてきた公開鍵の所有者の真正性を確認するために添付されてくるデータセット

• サーバに設定するディジタル証明書(サーバ証明書)を用意する場合、ディジタル証明書の所有者は自身のサーバなどで秘密鍵を生成してからCRS(Certificate Signing Request;証明書署名要求)を生成し、認証局に提出し、認証局はCSRを確認し、正しければCSRに証明し、ディジタル証明書として返す

• CRSには、生成した秘密鍵とペアになる公開鍵や、ディジタル証明書の所有者を表す情報である識別名(DN;Distinguished Name)が含まれる

• 個人認証用のディジタル証明書は、ICカードなどに格納できるので、格納場所を特定のPCに限定する必要はない

  • 例)SSL、TLS

刑法

• 情報セキュリティに関連するもの

  • 電子計算機損壊等業務妨害罪

    • 電子計算機や電磁的記録の損壊、電子計算機への虚偽の情報や不正な指令を与えるなどの方法により、電子計算機を使用目的に沿うべき動作をさせない又は使用目的に反する動作をさせて業務を妨害する行為が該当する
    • オンラインショップのWebサーバに不正アクセスし、ホームページを改ざんしたことで、一定時間オンラインショップを閉鎖させた
    • データやプログラムを改変し、使用目的に反する動作をさせ、業務の遂行を妨害する
    • 原本データが格納されている磁気ディスクを破壊して、帳票の出力をできなくした
    • 人の業務に使用する電子計算機もしくはその用に供する電磁的記録を破壊し、もしくは人の業務に使用する電子計算機に虚偽の情報もしくは不正の命令を与え、またはその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、または使用目的に反する動作をさせて、人の業務を妨害した者は、5年以下の懲役または100万円以下の罰金に処せられる
    • サーバに対して大量の電子メールを送信し、サーバの機能を停止させたり、ウイルスによってデータを破壊する行為

  • 電子計算機使用詐欺罪

    • 電子計算機に虚偽の情報若しくは不正の指令を与えて財産上の利益を不当に得る行為が該当する

    • 銀行のパソコンバンキングシステムを悪用して、偽りの振込送金情報を与えて、特定口座へ資金を移動して不当な利益を得た

    • インターネットを経由して銀行のシステムに虚偽の情報を与え、不正な振込みや送金をさせる

    • データやプログラムを改変し、不法な利益を得る

    • プログラムを改ざんして、自分が出資している取引先への納品量を水増しした

    • 例

      • 銀行のシステムに虚偽の情報を与えて不正な振込や送金を行わせる行為

  • 不正指令電磁的記録に関する罪(不正指令電磁的記録作成罪、不正指令電磁記録供用罪等)

    • 意図に沿うべき動作を指せず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録(コンピュータウイルスなど)を作成、提供、供用、取得、保管する行為が該当する

  • 電磁的記録不正作出及び供用罪

    • いやがらせを目的に、通信事業者のコンピュータに不正アクセスし、他人の通信記録を書き換えて、通信会社から過大な請求をさせた
    • バーコードは電磁的記録に含まれない
    • 文書性が認められた電磁的記録を改変又は偽造する
    • キャッシュカードを偽造して、他人の銀行口座から現金を引き出した
    • 私電磁的記録や公電磁的記録の不正作出、不正に作られた権利、義務、事実証明に関する電磁的記録を人の事務処理の用に供する行為を処罰するもの
    • 人の事務処理の用に供するとは、不正に作られた電磁的記録を、他人の事務処理のために使用される電子計算機で処理し得る状態におくことである
    • 電磁的記録の共用罪は、5年以下の懲役または50万円以下の罰金に処せられる

• 電磁的公正証書原本不実記録罪

  • 転入届の際に事実と異なる情報を届け出て、住民台帳システムに登録させた

• 電磁的記録毀棄の罪

  • 文書性が認められた電磁的記録を破壊又は消去する

• インターネットを介在した犯罪

  • Webサイト上に他人の名誉を傷つける文言を掲載した者には、名誉毀損罪が適用される
  • Webサイト上にわいせつ画像を掲載した者には、わいせつ図画公然陳列罪が適用され、管理者が、投稿されたわいせつ画像を放置し、その公然陳列を容易にした場合には、公然わいせつ図画陳列罪の幇助罪となる
  • Webサイト上の掲示板に虚偽の事実を示して、他人の名誉を傷つける文言を掲載した者は、刑法上の名誉毀損罪が適用される。この他人には死者も含まれる
  • ネットオークションで落札して、相手方に品物代を支払ったにも係わらず、品物が送られてこないだけでなく、その連絡先も架空であった場合には、詐欺罪が適用される

• 電子計算機使用詐欺罪が適用される違法行為

  • インターネットを経由して銀行のシステムに虚偽の情報を与え、不正な振込や送金をさせる

• 無限連鎖防止法(ねずみ講防止法)が適用される違法行為

  • いわゆるねずみ講方式による取引形態のWebページを開設する

• 詐欺罪が適用される違法行為

  • インターネット上に、実際より良品と誤認させる商品カタログを掲載し、粗悪な商品を販売する

• 電子計算機使用詐欺罪に該当する行為

  • インターネットを経由して銀行のシステムに虚偽の情報を与え、不正な振込や送金をさせる

• 電子計算機損壊等業務妨害

  • 企業が運営するWebサイトに接続し、Webページを改ざんした

  • 企業のWebサイトに接続してWebページを改ざんし、システムの使用目的に反する動作をさせて業務を妨害する行為

  • 例

    • 企業のWebページを不正な手段で変造し、その企業の信用を傷つける情報を流す

• コンピュータウイルスに関する罪

  • 他人が作成したウイルスを発見し、後日これを第三者のコンピュータで作動させる目的で保管した
  • コンピュータウイルスを用いて、企業で使用されているコンピュータの記憶内容を消去する行為
  • コンピュータウイルスを作成する行為を処罰の対象とする法律
  • 記憶媒体位を介して、企業で使用されているコンピュータにマルウェアを侵入させ、そのコンピュータの記憶内容を消去する

不正アクセス禁止法

• コンピュータに対する不正アクセス行為を禁止する法律

• 次の行為を禁止している

  • 不正アクセス行為そのもの
  • IDパスワードの無断提供など不正アクセスを助長する行為
  • フィッシングなどの不正アクセスの準備行為
  • ID、パスワードを不正に取得、保管する行為

不正アクセス

• アクセス制御機能をもつシステムに対し、アクセス権を持ってない者が、ネットワーク経由で不正にシステムを使用すること
• アクセス制御機能を持っていることが条件なので、IDやパスワードで保護されていない端末からサーバを操作する行為は不正アクセスには該当しない

個人情報保護法(個人情報の保護に関する法律)

• 個人情報の取得や取扱いについて定めた法律

• 事業者が個人情報を取得する際には、個人に利用目的を説明して承諾を得てから取得すること、事業者は利用目的以外の用途で個人情報を使用しないことなどが定められている

• 顔画像を変換して生成した顔認識データも個人情報に含まれる

• 個人情報の提供者の氏名や取得経緯を確認し、一定期間保存する義務が課せられている

• 個人情報データベースを不正に提供・盗用する行為に対し、刑事罰が科せられる

• ビッグデータなどの利用を促進するため、適切に匿名加工されたデータであれば自由に利用できる

• 目的

  • 個人情報の不適切な取り扱いによって、個人の権利利益が侵害されることを未然に防止する
  • 個人情報保護法は、個人情報の有効性に配慮しつつ、個人の権利利益を保護することを目的としている
  • 個人情報取扱業者が、個人情報の適切な取扱いのルールを遵守することによって、プライバシーを含む個人の権利利益の侵害を未然に防ぐことも狙いにしている

• 個人情報保護法において、保護の対象となるもの

  • 個人情報とは、生存する個人に関する情報であって、その情報に含まれる氏名、生年月日、その他の記述により、特定の個人を識別できるものをいい、他の情報と容易に照合が可能で、それによって特定の個人を識別できるものも含まれる。死者の情報や実在の個人ではない者の情報は、個人情報ではない。ただし、死者に関する情報が、同時に生存する遺族に関する情報である場合には、その情報は遺族などに関する個人情報となる。また、法人や団体そのものの情報などは、個人情報に該当しない
  • 生存している個人に関する情報
  • 氏名、生年月日、住所が記入された顧客台帳
  • 営業担当者が保有している個人見込客リスト
  • 索引付きのファイルを用いて、手作業で管理されている名刺
  • 従業員の人事考課情報

• 個人情報保護法において、保護の対象とならないもの

  • 企業の名称、電話番号、住所など、特定の企業が識別できる情報
  • 記名方式で取得したアンケートから、回答だけを集計して作成した報告書
  • 年代別顧客の人数分布と売上金額が表示された表
  • 顧客のアンケート結果を統計処理し、年齢別に集約したデータ

• 個人情報取り扱い事業者

  • 個人情報データベース等を事業の用に供しているもの
  • 事業の用に供する個人情報データベース等を構成する個人情報により特定される個人の数の合計が、過去6ヶ月以内のいずれかの時点でも5000人を超えない事業者は除外される
  • 過去6ヶ月以内に1度でも5000人を超えた場合には、個人情報取り扱い事業者になる
  • 個人情報取扱事業者とは、個人情報データベース等を事業の用に供している者を指すが、個人情報取扱事業者に課せられる義務などの規定は、報道機関、学術研究機関、宗教団体などの活動について、適用除外とされる

• 個人情報取り扱い事業者の義務

  • 利用目的の特定

    • 個人情報の利用目的をできる限り特定しなければならない

  • 利用目的による制限

    • 利用目的の達成に必要な範囲を超えて個人情報を扱ってはならない
    • 目的外利用を行う場合は本人の同意を得なければならない

  • 適正な取得

    • 個人情報の不正な取得の禁止

  • 利用目的の通知

    • 情報主体から直接に個人情報を収集する場合には、必ず情報主体に収集目的を通知しなければならない

  • 正確性の確保

    • 個人情報を正確かつ最新の内容に保つよう努めなければならない
    • 個人データを取り扱う場合、利用目的の達成に必要な範囲内で、正確かつ最新の内容に保つよう努めなければならない

  • 安全管理措置

    • 個人データの安全管理上適切な措置を講じる
    • 個人データに対して、組織的、人的、物理的及び技術的な安全管理措置を講じなければならない
    • 取り扱う個人データの漏洩、滅失または棄損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない

  • 従業者の監督

    • 個人データを取り扱う従業者を適切に監督する
    • 個人データを取り扱う場合、社内規定、教育や監査の規則を作って監督するだけでなく、従業者がそれを遵守しているかどうかの確認や指導をする
    • 従業者に個人データを取り扱わせるに当たっては、個人データの安全管理が図られるよう、従業者に対する必要かつ適切な監督を行わなければならない

  • 委託先の監督

    • 個人データの委託先を適切に監督する
    • 個人データを取り扱うような業務を委託する場合には、委託先に対して、必要かつ適切な監督をする必要がある

  • 第三者提供の制限

    • 次の場合を除くほかは、あらかじめ本人の同意を得ずに個人データを第三者に提供してはいけない

      • 法令に基づく場合や人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき
      • 公衆衛生の向上または児童の健全な育成の推進のために必要がある場合であって、本人の同意を得ることが困難であるとき
      • 国の機関もしくは地方公共団体またはその委託を受けた者が法令の定める事務を遂行する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

  • 個人データの開示

    • 本人の求めに応じて保有個人データを開示しなければならない

• 個人情報取扱事業者が、自社の提供サービスに関して、住所や氏名を記入させるアンケート調査を実施する場合の留意点

  • OK

    • アンケートの回答者には特別なプレゼントを用意するなど、回答率を高めるための施策を実施する
    • アンケート用紙に、質問票とその回答情報の利用目的を並記しておく
    • ブラウザの画面でアンケート調査を行う場合も、紙で行う場合と同じ規定を適用する

  • NG

    • アンケート実施時に特には言及せずに、回答者へ新製品発表会の招待状を郵送する

• 個人情報保護法の中で規定された、個人情報の取り扱いに関する不正行為に対して用意されている仕組み

  • 苦情処理の制度及び主務大臣が個人情報取扱事業者に対して行う報告の徴収、助言、勧告又は命令

• 認定個人情報保護団体

  • 個人情報保護法制の実効性担保を担う団体
  • 当該認定個人情報保護団体の構成員である個人情報取扱事業者または認定業務の対象となることについて同意を得た個人情報取扱事業者を対象事業者とする
  • 対象事業者の氏名または名称を公表しなければならない
  • 本人等から対象事業者の個人情報の取扱いに関する苦情について、解決の申出が会ったときは、その相談に応じ、申出人に必要な助言をし、その苦情にかかる事情を調査するとともに、当該対象事業者に対し、その苦情の内容を通知してその迅速な解決を求めなければならない
  • 個人情報取扱事業者の個人情報の適正な取扱いの確保を目的として、本人からの申し出に応じて、情報処理などを行う法人は、主務大臣の認定を受けて、認定個人情報保護団体となる
  • 認定個人情報保護団体は、個人情報の適正な取扱いの確保に寄与する事項についての対象事業者に対する情報の提供などの業務を行う

• 個人情報の利用目的の通知

  • 個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を本人に通知し、または公表しなければならないが、以下の場合は適用が除外される

    • 利用目的を本人に通知し、または公表することにより、当該個人情報取扱事業者の権利または正当な利益を害するおそれがある場合
    • 国の機関または地方公共団体が法令の定める事務を遂行することに対して協力する必要がある場合であって、利用目的を本人に通知し、または公表することにより当該事務の遂行に支障を及ぼすおそれがあるとき

• 刑罰

  • 主務大臣は、必要な限度で、個人情報取扱事業者に対し、個人情報の取扱に関して、報告させたり、必要な助言をすることができる。この報告をしなかったり、虚偽の報告をした者は、30万円以下の罰金に処せられる。また、主務大臣は、個人の権利利益を保護するために必要があると認めるときは、個人情報取扱事業者に対し、違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。この勧告を受けた個人情報取扱事業者が、正当な理由がなく、その勧告に係る措置をとらなかった場合において、個人の重大な権利利益の侵害が切迫していると認めるときは、個人情報取扱事業者に対し、その勧告に係る措置をとるべきことを命ずることができる。この命令に違反した者は、6ヶ月以下の懲役または30万円以下の罰金に処せられる

• 特段の措置を取らずになされた個人情報取得事業者の行為

  • 適法な行為

    • 開設しているWebサイトの問い合わせページで自社製品販売促進ダイレクトメール送付可否欄に可と記入した依頼者の氏名及び住所を、自社の製品販売促進用ダイレクトメール発送先住所録に登録した

  • 違法

    • 開催したセミナで回収した、商品企画立案を目的としたアンケートに記載された参加者の氏名及び住所を、自社の販売促進セミナ案内用ダイレクトメール発送先住所録に登録した
    • 自社が主催した市場動向に関する勉強会の参加者リストの内容を、自社の子会社の製品販売促進用メールマガジン発送先アドレスリストに登録した
    • 従業員が参加した同窓会で配布された同級生名簿に記載されている、同窓生の氏名及び電話番号を、自社製品販売促進用コールセンタのアウトバウンド用電話番号リストに登録した

労働者派遣法(労働者派遣事業の適正な運営の確保および派遣労働者の就業条件の整備等に関する法律)

• 業務内容に制限がある派遣要員個人の能力に期待する契約であるが、要員をあらかじめ指名することはできない

• 派遣要員に関して知ることができるのは、氏名、性別、年齢のみ

• 派遣要員には、原則として完成責任も瑕疵担保責任もない

• 委託側にも労働者派遣法に伴う義務が多く発生する

• 原則的には派遣要員を派遣した側には著作権がない

• 契約範囲外の業務を指示してはいけない

• 自己の雇用する労働者を、契約の相手方の指揮命令を受けて、契約の相手方の労働に従事させる契約

• 労働者派遣における派遣元の責任

  • 派遣先での時間外労働に関する法令上の届出

• 派遣された労働者を別会社へ再派遣することは認められていない

• 派遣労働者の就業場所の変更を伴う配置転換は、派遣先企業に認められていない

• 労働者派遣事業を適正に行うとともに、立場の弱い派遣労働者を保護する法律

• 労働者派遣事業を適切に行うことを定めた法律

• 労働者派遣とは、派遣元が雇用する労働者を、その雇用関係を維持したまま派遣先の指揮命令を受け入れて派遣先の労働に従事させること

• 派遣期間は最長3年

• 完成責任、瑕疵担保責任は課せられない

• 派遣先責任者の義務

  • 労働者派遣法等の関連法規の規定、労働者派遣契約の内容、派遣元事業主からの通知内容を、派遣労働者を指揮命令する立場の者やその他関係者に周知させる
  • 派遣先管理台帳を作成して、記録・保存する
  • 派遣労働者から受けた苦情に適切に対応する
  • 派遣元事業主との連絡調整を行う

• 労働者派遣法では、派遣先が省令の定めに従って派遣先責任者を任命し、次の事項を行うことを義務付けている

  • 労働者派遣法等の関連法規の規定、労働者派遣契約の内容、派遣元からの通知内容を、派遣労働者を指揮する立場の者やその他関係者に周知徹底する
  • 派遣先管理台帳を作成して記録し、3年間保存する
  • 派遣労働者からの苦情の申し出を受け付け、適切に対応する
  • 派遣元事業主との連絡調整を行う

• 2015年に改正され、全ての労働者派遣事業が許可制となり、全ての業務の派遣期間の限度が原則3年となった

• 派遣期間

  • 派遣要員の１回の派遣期間には限度があり、延長は再契約が必要
  • 労働者派遣事業法で認められた特殊な技能を要する業務であれば、同一人の派遣を3年を越えて行うことができる

• 指揮命令

  • 指揮命令は委託者側にある
  • 労働者の就労に関して、雇用関係とは別の指揮命令系統に従うことになる
  • 派遣労働者への指揮命令権は派遣先企業にある

• 派遣先の責任として定められているもの

  • 派遣先企業には派遣労働者からの苦情処理に当たる義務がある
  • 派遣契約内容を派遣労働者を指揮命令する者やその他の関係者に周知すること
  • 派遣労働者の受入れに関する記述のうち、派遣先責任者の役割、立場
  • 派遣先責任者は、派遣労働者に直接指揮命令する者に対して、労働者派遣法などの関連法規の規定、労働者派遣契約の内容、派遣元からの通知などを周知しなければならない

• 契約関係

• 労働者派遣法に適合するもの

  • グループウェアのメンテナンスを行うために、自社社員と同様に作業を直接指示した
  • システム開発期間が長期になるので、派遣されるプログラマの派遣期間を3年とする契約を結ぶ
  • 労働者派遣法で認められた特殊な技能を要する業務であれば、同一人の派遣を3年を超えて行うことができる

• 労働者派遣法に適合しないもの

  • 派遣契約の内容にかかわらず合理的な理由がある場合には、派遣先の作業指示者の判断で派遣労働者に残業を命じることができる
  • 派遣先の事業所に属する従業員はだれでも、派遣労働者に業務命令を行うことができる
  • 派遣者労働法で認められた業務であれば、派遣先の判断で派遣労働者の業務内容を変更できる
  • 営業情報システムのメンテナンスを担当させている派遣社員から、直接に有給休暇の申請があり、業務に差し障りがないと判断して、承認した
  • 生産管理システムへのデータ入力を指示したところ、入力ミスによって、欠陥製品ができたので、派遣元企業に対して製造物責任を追及した
  • 販売管理システムのデータ処理が提示に終了しなかったので、自社社員と同様の残業を行うよう指示した
  • 派遣期間中は作業負荷がかかることが予想されるので、20代男性の派遣を依頼する
  • 派遣されるプログラマ候補者の業務経歴書を提出させ、書類選考によって面接の対象となる候補者を絞り込む
  • 労働管理実務に詳しい担当者がいないので、責任者を置かず派遣社員からの苦情処理を派遣元会社に依頼する

• 事例

  • プロジェクトマネージャのP氏は、A社から受託予定のソフトウェア開発を行うために、X社から一時的な要員派遣を受けることを検討しているが、このとき、派遣者への業務指示など、派遣に伴う各種業務をP氏が直接行うことをX社に伝えることは労働者派遣法に照らして適切である

  • A社で雇用しているオペレータのQ氏を、B社に派遣することになった場合に、Q氏は、B社の定められた指揮命令者の下で労働に従事する事は労働者派遣法で定められている

  • [A社(発注元)]←請負契約→[B社]←派遣契約→[C社]

    • 上記のような契約でA社、B社、C社の開発要員がプロジェクトチームを組んでソフト開発業務を実施するときB社の担当者がC社の要員に業務の割り振りや作業スケジュールの指示を行う事は適法

  • A社では、自社で働いている派遣会社B社からの派遣社員の就業管理用に、B社のWeb版の派遣社員就業管理システムをインターネット経由で使用している時、このシステムを用いた当該派遣社員の日常の就業時間の承認者は派遣先A社の業務責任者である

レコメンデーション

• お勧め商品の提案のこと

• 顧客の購入や参照の履歴をもとに、その嗜好や興味の傾向に合った商品を選んでWebページに表示し、購入を促す

• 商品推薦の仕組み

• 人気ランキング型

  • 人気商品を表示する
  • カテゴリ別の売れ筋上位商品や閲覧数の多い商品などを抽出し、リアルタイムで表示して推薦する

• 協調フィルタリング

  • 顧客の購入履歴などをもとに「顧客の類似性」を分析(アソシエーション分析)し、対象者と類似する顧客が購入した商品を表示して推薦する

  • 例

    • 顧客同士の購買行動の類似性を相関分析などによって求め、顧客Aに類似した顧客Bが購入している商品を顧客Aに勧める

• 商品関連性評価型

  • 対象者がチェックした商品に対して、その商品に関連の深い商品を表示して推薦する

• ニーズインプット型

  • 顧客がどのような商品を求めているかをあらかじめ調査しておき、対象者のニーズにあった商品を表示して推薦する
  • 高い精度のレコメンデーションができるが、ニーズをどのように調査するかなど課題も多い

• アンケートベース型

  • 会員登録などで入力した年齢、性別、職業、関心ごとなどをもとにクラスタ分析を行い、対象者と同じクラスタに属する顧客が多く購入している商品を表示して推薦する

ebXML(electronic business XML)

• XMLを用いて表した企業間の電子商取引のために必要な仕様の集合
• 仕様は、取引のプロセスや契約フォーマット、通信プロトコルなど多岐にわたる

キャッシュフロー計算書(C/F)

• 一定期間における資金の運転状況を示したもの

• 事業年度の資金収支を表したもので「営業活動」「投資活動」「財務活動」の3区分に分けて表示する

• ある期間における資金の出入りを示す計算書

• キャッシュフロー

  • 会計上での現金利益や資金の流れのこと
  • 正のキャッシュフローは現金が入ってきたこと、負のキャッシュフローは現金が出ていったことを表す

• 営業キャッシュフロー

  • 商品の仕入れや販売など、本業に関するキャッシュの流入と流出

  • 営業損益取引に関するもの

    • 商品や製品の販売による収入
    • 役務の提供による収入
    • 販売用商品や材料の購入による支出
    • 受取手形や売掛金などの売上債権の増減
    • 販売費や管理費の支払い

  • 投資活動および財務活動以外の取引に関するもの

    • 利息や配当金の受取
    • 利息や配当金の支払
    • 法人税や住民税等の税金の支払
    • 災害に伴う保険金収入

• 投資キャッシュフロー

  • 固定資産や株、債券などの売買に伴うキャッシュフロー
  • 事業活動の基盤整備に関するキャッシュの流入と流出
  • 有形固定資産の取得と処分
  • 無形固定資産の取得と処分
  • 投資その他の資産の取得と処分

• 財務キャッシュフロー

  • 資金の借入れや返済、株式や社債の発行などに伴うキャッシュフロー
  • キャッシュの調達と返済
  • 短期・長期借入金の増加と返済
  • 社債など固定負債の増加と減少
  • 資本金の増加と減少

損益計算書(P/L)

• 事業年度の経営成績を表したもの

• 一会計期間における経営成績を表示したもの

• 一会計期間に属するすべての収益と費用を記載し、算出した利益を示したもの

• 会計年度の経営成績を示す計算書

• 損益計算書等式を基本に、いくら費用を使い、いくら収益をあげたかを計算する

• 期間損益

  • 経常損益計算の区分と特別損益計算の区分
  • 営業損益計算の区分と営業外損益計算の区分
  • 売上総利益の計算区分と営業利益の計算区分

• 5つの利益

  • 売上総利益＝売上－売上原価
  • 営業利益＝売上総利益－販売管理費
  • 経常利益＝営業利益＋営業外収益－営業外費用
  • 税引前当期純利益＝経常利益＋特別利益－特別損失
  • 当期純利益＝税引前当期純利益－法人税等

貸借対照表(B/S)

• 会計期間の期末日時点での財政状態を示したもので、企業の資産、負債及び純資産を表示し、企業の財政状態を明らかにする

• ある時点における企業の財務状態を示す計算書

• 財務諸表のうち、一定時点における企業の資産、負債及び純資産を表示し、企業の財政状態を明らかにするもの

• 企業の決算日や期末などの一時点の財務状態を示す計算書で、資産と負債、純資産の内訳を記載する

• 資産は表の左側(借方)、負債と純資産は右側(貸方)に記載する

• 資産=負債+純資産

• 貸借対照表の作成

  • 営業活動によって生じた正常な債権・債務は、回収期限または支払期限が1年を越すものも流動資産・負債として記載する

• 資産

  • 流動資産

    • 売掛金、棚卸資産など

    • 短期的に資金回収予定

    • 分類

      • 当座資産

        • 現金預金、受取手形売掛金など
        • ごく短期に資産回収予定

      • 棚卸資産

        • 商品、製品など、販売目的資産
        • 販売を経て資金回収予定

      • その他

        • 短期貸付金、土地など
        • 1年以内の資金回収予定

  • 固定資産

    • 建物、機械など
    • 長期的利用目的
    • 長期的に資産回収予定

  • 繰延資産

    • 創立費、開業費など
    • 費用負担の期間配分
    • 直接的な資金回収は不可能
    • 例)請負契約によって委託開発した、1年以上社内で使用するソフトウェアの開発費用

• 負債

  • 流動負債

    • 短期的に返済予定
    • 買掛金、短期借入など

  • 固定負債

    • 長期的に返済予定
    • 社債、長期借入金など

• 純資産

  • 株主資本

    • 資本金

      • 現実の財産そのものではなく、あくまでも会社に財産として確保されるべき金額の基準となる計算上の数値

    • 資本剰余金

      • 株主から払い込まれた財産のうち資本金とならなかった金額
      • 資本金についで、会社に確保されるべき財産上の基準値となる

    • 利益剰余金

      • 会社がその活動によってより稼いできた利益のうち、社内に留保した額

  • 評価・換算差額等

    • 資産(負債)を自家で評価したり、外貨換算したりすることによって生じた計算上の差額

  • 新株予約権

    • 株式を購入する権利
    • 売買が確定していないので負債とはならない

特性要因図(フィッシュボーンチャート)

• ある時点での実体(人、組織、物など)の状態と、特定の事象発生によるある状態から他の状態への遷移を図示したもの

• ある結果をとる原因を体系的に分析するのに用いる

• 問題に対し原因と考えられる要素を魚の骨のような形状に整理し、本質的な原因を追求して解決に役立てる

• 不具合がどのような原因に起きているのかなどを、魚の骨に似た図によって統計的に把握する手法

• 原因と結果の関連を魚の骨のような形態に整理して体系的にまとめ、結果に対してどのような原因が関連しているかを明確にする

• 問題や結果につながる要因を、体系的にまとめた図

• 要因を樹木のように分類し細分化する

• 要因の整理や対策の検討に有効

• 例

  • システム開発プロジェクトの進捗悪化の原因を把握する
  • bはaの原因である

QC七つ道具

• 品質管理に用いるツールをまとめた呼び名

• 主に定量的な分析に用いる

• チェックシート(チェックリスト)

• ヒストグラム

• パレート図

• 特性要因図(フィッシュボーンチャート)

• 散布図

• グラフ・管理図

  • グラフ
  • 管理図

• 層別

死の谷(デスバレー)

• 研究開発が基礎研究の段階で終わってしまい、製品化に結び付かない状況やその原因を表す言葉
• 資金調達面で製品化できないだけでなく、法律や制度など資金以外のさまざまな要因を含む
• 日本の技術経営における課題で、基礎研究と製品開発との間をつなぐ研究開発に資金投入が行われなかった結果、基礎研究が製品化に結びつかず、価値利益化ができなくなる問題
• 研究が製品化に結び付かない状況や原因

コストプラス価格決定法(コストプラス法)

• 製造原価又は仕入原価に一定のマージンを乗せて価格を決定する
• 製造原価、営業費を基準にし、希望マージンを織り込んで価格を決める
• 製品やサービスのコスト(製造原価や仕入原価)に一定幅の利益(マージン)をプラスし、価格を決定する手法

マーケットセグメンテーション

• 消費者市場を同種のニーズや特性を持つ人々の集団として細分化するマーケティングの分析手法

• 消費者市場を細分化して分析する手法

• 細分化の切り口をセグメンテーション変数といい、4つに大別できる

• 心理的変数

  • 性格、価値観、社会階層、ライフスタイルなど

• 行動的変数

  • 購買状況、使用頻度、購買動機、ロイヤリティなど

  • 例

    • 購買履歴に基づいて顧客層をヘビーユーザとライトユーザに分類する

• 地理的変数

  • 都市規模、人口密度など

• 人口統計的変数

  • 年齢、性別、職業、家族構成など

ページング方式

• プログラムから見た論理アドレス(仮想アドレス)と実際の主記憶上の物理アドレス(実アドレス)の対応を取る方式

• プログラムおよび記憶領域を数百～数kバイトのページと呼ばれる固定長の単位に分割して管理し、アドレス変換はページテーブルと呼ばれる対応表を用いて行う

• 仮想記憶空間と実記憶空間をそれぞれ固定長の領域に区切り、対応付けて管理する方式

• 利点

  • 管理が固定長で行われるので、他の方式に比べて制御が容易である
  • 外部フラグメンテーションが発生しない
  • プログラム側ではページの存在を意識する必要がない

バリューチェーン分析(価値連鎖分析)

• ”モノ”の流れに着目して企業の活動を購買、製造、出荷物流、販売などの主活動と、人事管理、技術開発などの支援活動に分けることによって、企業が提供する製品やサービスの付加価値が事業活動のどの部分で生み出されているかを分析する考え方

• 企業活動のどこで付加価値が生まれるかを分析する手法

• 企業の全ての活動が最終的な価値にどのように貢献するのかを体系的かつ総合的に検討する手法を指す

• 企業の事業活動を機能ごとに主活動と支援活動に分け、企業が顧客に提供する製品やサービスの利益は、どの活動で生み出されているかを分析する手法

• 最終的な製品やサービスができあがるまでに、各業務におけるコストや付加価値について関係と構造を明らかにし、他社との競争の優位に立つために重要となる業務を分析する

• 付加価値を生み出す事業活動を五つの主活動と四つの支援活動に分類するとき支援活動に該当するもの

  • 技術開発

• 価値は除却の視点から分析する

• バリューチェーンは、付加価値を生み出す事業活動を五つの主活動と四つの支援活動に分類する

• 主活動

  • 購買物流

    • 製品を製造するために必要な資材を入手する

  • 製造

    • 完成品である製品を製造する

  • 出荷物流

    • 製品を顧客に届ける

  • マーケティング・販売

    • 広告や実際の販売など

  • サービス

    • 設置や修理などのアフターサービス

• 支援活動

  • 企業インフラ
  • 人材資源管理
  • 技術開発
  • 調達

• バリューチェーンを切り口にして、業務を分析する方法

• バリューチェーン

  1. 購買物流
  2. 製造
  3. 出荷物流
  4. 販売とマーケティング
  5. サービス

• 分析の手順

  1. バリューチェーンの識別

     • 対象企業のビジネスプロセスをもとにバリューチェーンを識別する

  2. 活動コストの分析

     • バリューチェーン上の各活動のコストを算出する

  3. 強み・弱みの分析

     • バリューチェーン上の活動について、対象企業の強みと弱みを分析する
     • 競合他社についても同様の分析を行う

• 分析結果をもとに、経営の視点で業務全体を俯瞰して問題点を明らかにし、解決策を講じ、競争優位を確立するための方策を探る

MBO(Management BuyOut、経営陣買収)

• 現経営陣や事業部門の責任者が株主から自社の株式を譲り受けることによって、当該事業の経営権を取得する
• 企業の経営陣が自社株の買取を実施し、企業の所有権を取得すること
• 子会社や事業部門の経営陣が、自社の株式を買い取り、独立する
• 経営陣による企業買収
• 経営陣が株主から株式を買い取るなどして、経営陣自身が企業の所有者となる行為
• 上場企業の株式非公開化やオーナ企業の事業継承に用いられることがある

XP(eXtreme Programming;エクストリームプログラミング)

• アジャイル開発の代表的な手法

• 開発チーム内でコミュニケーション、シンプル、フィードバック、勇気、尊重の5つの価値と19のプラクティスを共有して開発を進める

• アジャイル開発の代表的な手法

• 開発チーム内でコミュニケーション、シンプル、フィードバック、勇気、尊重の5つの価値と19のプラクティスを共有して開発を進める

• プラクティスには、リファクタリング、テスト駆動開発、ペアプログラミングなどが含まれる

• XPのプラクティス

  • 共同のプラクティス

    • 反復
    • 共通の用語
    • オープンな作業空間
    • 回顧

  • 開発のプラクティス

    • テスト駆動開発

      • プログラムを書く前にテストケースを作成すること

    • ペアプログラミング

    • リファクタリング

      • 外部から見た動作を変えずにプログラムをより良く作りなおすこと

    • 集団的な所有権

    • 継続的な結合

      • コードの結合とテストを継続的に繰り返す
      • 単体テストを終えたプログラムは、すぐに結合して、結合テストを行う

    • YAGNI(You Ain't Gonna Need It.今必要なことだけ行う)

  • 管理者のプラクティス

    • 責任の受け入れ
    • 援護
    • 四半期ごとの見直し
    • ミラー
    • 最適なペースでの仕事

  • 顧客のプラクティス

    • ストーリーの作成
    • リリース計画
    • 受入れテスト
    • 短期リリース

• アジャイル型開発手法の先駆け

• 開発の初期段階の設計よりもコーディングとテストを重視し、各工程を順番に積み上げていくことよりも、常にフィードバックを行って修正・再設計していくことを重視する

• プラクティス(実践規範)

  • ペアプログラミング

    • プログラミング(コード作成)を二人一組で行い、片方が書いたコードを、片方がチェック(レビュー)するという作業を後退しながら進める

  • 反復

    • 短い期間ごとにリリースを繰り返すこと

  • テスト駆動開発

    • まずテストを作成し、そのテストに合格するように実装を進めること

  • リファクタリング

    • バグが無くてもコードの効率や保守性を改善していくこと

ROA(Return On Assets;総資産利益率)

• 資産がどれだけ利益を生み出しているかを測る指標
• $ROA=\frac{利益}{総資産}\times100$
• ROAが高いほど、資産が効果的に利益を生み出していると判断できる

電子メール

• インターネットを経由して連続して同一宛先に電子メールを送った場合、通信経路が一定ではないので到着順序が変わる事がある

• Content-MD5フィールドの用途

  • 電子メール配信中のデータ損壊の検出

• 電子メールの送信時には送信内容や状況に応じて、宛先の指定を分ける必要がある

  • 送信先の分類

    • TO

      • メールの送信相手を指定する

    • CC

      • 同報メールを送信する際、TOよりも優先順位は低いが、参考までに内容を確認して欲しい相手を指定する

    • BCC ( Blind Carbon Copy )

      • CCと同じ目的で指定するが、メールを受け取った本人以外には、送信されたことが秘匿される

• 電子メール利用の際の注意点

  • 受信したメールを第三者に転送する際は、その内容と宛先に十分注意し、不用意に情報を流出させることがないようにする
  • メールメッセージの末尾に表示するシグネチャ(署名)には、氏名や所属部署、メールアドレスなどの必要最小限の情報を記載し、自宅住所などの個人情報を必要以上に公開することは避ける
  • 業務で使用しているネットワークでは、業務用として付与されているメールアカウント以外の使用は禁止すべきである
  • プロバイダなどが無償で提供しているメールアカウントについては、セキュリティ対策が万全ではない場合があるため、業務での使用は控える

• 電子メールを送信する際の受信者への配慮

  • 適切

    • 特別企画のホームページのURLを特定の限られた顧客に知らせるために、アドレスをBccに入れて送信した

  • 不適切

    • 会員から抽出下100名のアドレスを一度に宛先(To)に入れて、会員満足度調査のアンケートを電子メールで送った
    • 自社製品を紹介する大容量の資料を、圧縮せずに電子メールに添付して得意先に送った
    • 製品の質問メールへの回答で、その内容を知ってもらいたい複数の顧客のアドレスをCcに入れて返信した

• トラブル対応

  • メールサーバのメールボックスの総容量の不足発生を回避する対策

    • 各利用者のメールボックスの使用量に上限を設ける

  • 電子メールを送信した後に、エラーを通知するメールがメールサーバの管理者だけに送られた原因

    • あて先のメールアドレスと差出人のメールアドレスの両方とも誤っている

• インターネット標準RFC 5322(旧 RFC 822)に準拠した電子メールにおいて、ヘッダと本体を区別する方法

  • 最初に現れる空行の前後でヘッダと本体を分ける

• Webページ内でinfo＠example.co.jpが電子メールアドレスであることを表し、このアドレスへの電子メールの送信に利用されるURL

  • mailto:info＠example.cojp

• MHS(Message Handling System)

  • 0SI基本参照モデルに基づく電子メールサービスの国際規格であり、メッセージの生成・転送・処理に関する総合的なサービス

• ヘッダフィールド

  • Received

    • 電子メールが配送される途中に経由したMTAのIPアドレスや時刻などの経由情報を、MTAが付加するヘッダフィールド

  • Return-Path

    • 返信先を示すヘッダフィールドでメールサーバが付加する

• MTA(Mail Transfer Agent)

  • 電子メールを配送するソフトウェア
  • ユーザが送信したメールを受け取って、他のサーバと連携してバケツリレー式に目的地まで配送したり、届いたメールをユーザが受け取るまで保管する

• 基本プロトコル

  • SMTP

    • 利用者のパソコンから電子メールを送信するときや、インターネット上のメールサーバ間で電子メールを転送するときに使われる
    • メールの転送のみを行うプロトコルのため、メールの本文を受信することはできない

  • POP(Post Office Protocol)

    • 電子メールシステムで使用されるプロトコル
    • メールサーバのメールボックスから端末にメールを取り出すときに使用するプロトコル
    • メール送受信

  • IMAP4

    • 電子メールシステムにおいて、利用者端末がサーバから電子メールを受信するために使用するプロトコルで、選択した電子メールだけを利用者端末へ転送する機能、サーバ上のメールを検索する機能、電子メールのヘッダだけを取り出す機能などを持つ

• メッセージ方式

  • MIME(Multipuropose Internet Mail Extensions)

    • 電子メールで、静止画、動画、音声などの様々な情報を送ることが出来る仕組み

    • 電子メールのヘッダフィールドの拡張を行い、テキストだけでなく、音声、画像なども扱えるようにしたもの

    • TCP/IPを利用している環境で、電子メールに画像データなどを添付するための規格

    • インターネットにおける電子メールの規約で、ヘッダフィールドの拡張を行い、テキストだけでなく、音声、画像なども扱えるようにしたもの

    • インターネットにおける電子メールの規約で、メッセージヘッダの拡張を行い、テキストだけでなく、音声、画像などのマルチメディア情報も扱えるようにしたもの

    • あて先（To）フィールド中に日本語の文字を用いる場合にはMIMEの機能が必要となる

    • 画像ファイルなどの添付ファイルを電子メールで送る方法

    • TCP/IPを利用している環境で、電子メールに画像データなどを添付するための規格

    • 電子メールで送信できるデータ形式として、テキストだけでなく、画像、音声などの形式も規定している

    • ”情報太郎”はMIMEで”=?ISO-2022-JP?B?GyRCPnBKc0JATzobKEI=?=”と表される。

    • 情報太郎のメールアドレスをtaro@example.jpとするとき、メールアドレスと表示名(情報太郎)を指定する、

    • メールヘッダのFromフィールド

      • From:=?ISO-2022-JP?B?GyRCPnBKc0JATzobKEI=?=taro@example.jp

  • BASE64

    • 電子メールに画像等のバイナリデータを添付するときの、バイナリからテキストデータへの置換方式

• セキュリティ対応プロトコル

  • POP before SMTP

    • メールクライアントからメールサーバへの電子メール送信は、POP接続で利用者認証済の場合にだけ許可する
    • 利用者が別の機能によって認証された後、一定時間に限ってメールの送信を許可する仕組み
    • SMTPサーバに電子メールを送信する前に、電子メールを受信し、その際にパスワード認証が行われたクライアントのIPアドレスは、一定時間だけ電子メールの送信が許可される
    • POPサーバで認証されたホストに対してSMTP送信を許可する
    • IPアドレスベースで認証を行うため、POP接続時とSMTP接続時のグローバルIPアドレスが同一である必要がある
    • ダイヤルアップアクセスなどメール受信後に回線切断する方式では利用できない

  • SMTP-AUTH(SMTP Service Extension for Authentication)

    • PCからメールサーバへの電子メール送信時に、ユーザアカウントとパスワードによる利用者認証を行う
    • 認証の動作
    • SMTPサーバは、クライアントがアクセスしてきた場合に利用者認証を行い、認証が成功したとき電子メールを受け付ける
    • 送信側メールサーバで利用者が認証されたとき、電子メールの送信が許可される
    • 送信元ドメイン認証をIPアドレスで行う方法
    • 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて、メール送信元のIPアドレスを検証する
    • SMTPにアカウントとパスワードによる認証を実装する技術
    • 通常のSMTPとは独立したサブミッションポートを使用して、メールサーバ接続時の認証を行う
    • 通常のSMTPのポートとは別のサブミッションポートを使用して、PCからメールサーバへの電子メール送信時の認証を行う
    • メール本文は暗号化されない
    • 認証の動作
    • クライアントがSMTPサーバにアクセスしたときに利用者認証を行い、許可された利用者だけから電子メールを受け付ける
    • 送信側メールサーバで利用者が認証されたとき、電子メールの送信が許可される

• メッセージ方式(セキュリティ対応)

  • STARTTLS

    • SMTPサーバ間とSMTPサーバとメールクライアント間での通信で利用できるメール本文の暗号化技術

  • S/MIME

    • 電子メールを暗号化するために使用される方式
    • 電子メールの内容の機密性を高めるために用いられるプロトコル
    • 内容の暗号化とディジタル署名を付与する
    • 権限のない利用者による傍受、読取り、改ざんから電子メールを保護して送信するためのプロトコル
    • 電子メールの内容の機密性を高めるために内容の暗号化と署名を行うプロトコルで改ざんの検出も可能
    • MIMEを拡張した電子メールの暗号化とディジタル署名に関する標準
    • 対称暗号技術(共通鍵暗号)と非対称暗号技術(公開鍵暗号)を併用した電子メールの暗号化、複合の機能を持つ電子メールソフト
    • インターネットで電子メールを送信するとき、メッセージの本文の暗号化に共通鍵暗号方式を用い、共通鍵の受け渡しには公開鍵暗号方式を用いる
    • メールの送信を行う際に、メール本文の暗号化とメール本文に対して公開鍵暗号方式によるディジタル署名機能を実装する技術で、メールの送信元から宛先までのすべての通信を暗号化する

• スパムメール対策プロトコル

  • OP25B(Outbound Port 25 Blocking)

    • ISP管理下の動的IPアドレスからの電子メール送信について、管理外ネットワークのメールサーバへSMTP接続を禁止する

    • 管理しているネットワークから管理外へのあて先TCPポート番号が25(SMTP)の送信を遮断することで、スパムメールの拡散を防止する方法

    • インターネットサービスプロバイダ(ISP)が、OP25Bを導入することで得られるセキュリティ上の効果

    • ISP管理下のネットワークからISP管理外のネットワークに向けて送信されるスパムメールを制限できる

    • ネットワーク機器で、内部ネットワークから外部のメールサーバのTCPポート25番への直接の通信を禁止する

    • スパムメール対策としてサブミッションポート(ポート番号587)を導入する目的

    • SMTP-AUTHを使用して、メール送信者を認証する

    • スパムメールの対策として、あて先ポート番号25の通信に対してISPが実施するOP25B

    • 動的IPアドレスを割り当てたネットワークからISP管理外のネットワークへの直接の通信を遮断する

    • TCPのサブミッションポート(ポート番号587)

    • 電子メールサービスで、迷惑メール対策としてSMTPのポート番号25の代わりに使用する

    • ISPによるspamメール対策の一つ

    • ISP管理下の動的IPアドレスを割り当てられたPCからのスパムメール送信を防止する対策

    • ネットワーク境界に設置されたルータによってネットワーク内のホストから外部ホストのTCP25番ポートへの通信を遮断する手法

    • 動的IPアドレスを割り当てたネットワークからISP管理外のネットワークに直接送信されたメールを遮断する

    • サブミッションポートとして527番ポートが使用される

    • SMTP AUTHに対応しているSMTPクライアントを使用することによって外部からの利用が可能になる

    • 管理下の動的IPアドレスから、管理外のグローバルIPアドレスへのSMTP通信を拒否する

    • ISP "A"管理下のネットワークから別のISP"B"管理下の宛先へSMTPで電子メールを送信する。電子メール送信者がSMTP-AUTHを利用していない場合、スパムメール対策OP25Bによって遮断される電子メール

      • ISP"A"管理下の動的IPアドレスからISP"A"のメールサーバを経由せずに送信された電子メール

    • TCPのサブミッションポート(ポート番号587)

      • 電子メールサービスで、迷惑メール対策としてSMTPのポート番号25の代わりに使用する

    • ネットワーク機器で、内部ネットワークから外部のメールサーバのTCPポート番号25への直接の通信を禁止する

  • SPF(Sender Policy Framework)

    • SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する仕組み

    • 電子メール送信元のサーバが、送信元ドメインのDNSに登録されていることを確認して、電子メールを受信する

    • 受信した電子メールの送信元ドメインが詐称されていないことを検証する仕組み

    • 受信側のメールサーバが、受信メールの送信元IPアドレスと、送信元ドメインのDNSに登録されているメールサーバのIPアドレスとを照合する

    • 送信元IPアドレスの検証手順

      1. 送信側は送信側ドメイン側のDNSサーバのSPFレコード(または、TXTレコード)に正当なSMTPサーバのIPアドレスやホスト名を登録し公開する
      2. 送信側から受信側にSMTPによるメールが送信される
      3. 受信側は発信元ドメインのDNSサーバに問い合わせ、メールヘッダのMAIL FROMフィールドのIPアドレスの正当性を確認する
      4. SPFレコードに当該IPアドレスが登録されていれば正当なドメインから送信されたと判断する

  • DKIM(DomainKeys Identified Mail)

    • 送信側メールサーバでディジタル署名を電子メールのヘッダに付与して、受信側メールサーバで検証する仕組み

  • ジャンクメールフィルタ

    • 正当なメールとダイレクトメールなどを区別して正当なメールのみを通過させる技術

  • グレイリスト

    • MTA(Message Transfer Agent；メール転送エージェント)がメールの再送機能を備えていることを前提としたスパムメール対策
    • MTAからのメールを一時拒否して、MTAから一定時間後に再送があれは、これを正規のMTAとみなして接続を許可する手法

• 電子メールのセキュリティ

  • 次の電子メールの環境を用いて、秘密情報を含むファイルを電子メールに添付して社外の宛先の利用者に送信したい、その際のファイルの添付方法、及びその添付方法を使う理由

    • [電子メールの環境]
    • 電子メールは、Webブラウザから利用できる電子メールシステム(Webメール)を用いて送信する
    • WebブラウザとWebメールのサーバとの通信はHTTP over TLS(HTTPS)で行う
    • 社外の宛先ドメインのメールサーバはSMTPとPOP3を使用している
    • IP層以下は暗号化していない
    • [理由]
    • Webブラウザから電子メールのサーバまでの通信は暗号化されるが、その後の通信が暗号化されないこともあるので、ファイルを暗号化してメールに添付する

  • なりすましメールでなく、EC(電子商取引)サイトから届いたものであることを確認できる電子メール

    • ディジタル署名の署名者のメールアドレスのドメインがECサイトのものであり、署名者のディジタル証明書の発行元が信頼できる組織のものである

  • 迷惑メール判定

    • ホワイトリストを使用した迷惑メールの判定方法

      • 信頼できるメール送信元を許可リストに登録しておき、許可リストにないメール送信元からの電子メールは迷惑メールと判定する

    • 送信ドメイン認証による迷惑メールの判定方法

      • 電子メールが正規のメールサーバから送信されていることを検証し、迷惑メールであるかどうかを判定する

    • DSBL(Distributed Sender Blackhole List)による迷惑メールの判定方法

      • 電子メールの第三者中継を許可しているメールサーバを登録したデータベースに掲載されている情報を基に、迷惑メールであるかどうかを判定する
      • 迷惑メールの検知手法であるベイジアンフィルタリング
      • 利用者が振り分けた迷惑メールから特徴を学習し、迷惑メールであるかどうかを統計的に解析して判定する

• 電子メールを用いた攻撃

  • ソーシャルエンジニアリング手法を利用した標的型攻撃メール

    • 件名や本文に、受信者の業務に関係がありそうな内容が記述されている
    • 支払う必要がない料金を振り込ませるために、債権回収会社などを装い無差別に送信される
    • 偽のホームページにアクセスさせるために、金融機関などを装い無差別に送信される

• 電子メールのセキュリティ対策

  • 送信元を詐称した電子メールを拒否するために、SPF(Sender Policy Framework)の仕組みにおいて受信側が行うこと

    • SMTP通信中にやり取りされるMAIL FROMコマンドで与えられた送信ドメインと送信サーバのIPアドレスの適合性を検証する

  • 電子メール送信時に送信者に対して宛先アドレスの確認を求めるのが有効であるセキュリティ対策

    • 電子メールの誤送信

  • 電子メールを介したウイルスの被害に遭わないために注意すべきこと

    • 信用できる人からの電子メールであっても、添付ファイルのウイルスチェックを行う
    • 添付ファイルの種類が音声や画像などの非実行ファイルであっても、ウイルスチェックを行う
    • スパムメール対策サーバでインターネットからのスパムメールを拒否する
    • メールフィルタで他サイトへの不正メール発進を遮断する

  • 送信元ドメイン認証をIPアドレスで行う方法

    • 電子メールのヘッダや配送経路の情報から得られる送信元情報を用いて、メール送信元のIPアドレスを検証する

  • 受信した電子メールの差出人欄の電子メールアドレスが知人のものであっても、本人からの電子メールであるとは限らない

  • 暗号化しない場合、受信者以外の者が、通信途中で電子メールの本文や添付ファイルの内容を見ることができることがある

  • 送信した電子メールは、必ず受信者に到達するとは限らない

  • 電子メールの本文や添付ファイルの内容は通信途中で改ざんされる場合がある

• スパムメール/迷惑メール

  • 多数の電子メール利用者に対する広告や勧誘などの目的で、受信者の意向とは無関係に短時間のうちに大量に送られ、場合によってはメールサーバのダウンにもつながるもの

  • 受信者の許諾無しに無差別に送付されるメールのこと

  • 秘匿性を維持するためOpenProxyサーバを踏み台にして送られることが多い

  • 迷惑メールの検知手法であるベイジアンフィルタリング

    • 迷惑メールを利用者が振り分けるときに、迷惑メールの特徴を自己学習し、迷惑メールであるかどうかを統計的に解析して判定する

  • 受信した時に避けるべき行動

    • 発信者に対して苦情を申し立てるために、迷惑メールに返信する

  • 取るべき行動

    • 電子メールの経路情報などから送信元プロバイダが判明したときに、迷惑メールが送られてくることを、そのプロバイダに通報する
    • 迷惑メールは開かずに削除する
    • メールソフトの迷惑メールフィルタを設定し、以後、同一発信者からの電子メールを迷惑メールフォルダに振り分ける## スクリプト攻撃

• クロスサイトスクリプティング(Cross Site Scripting、XSS)

  • HTMLに悪意のあるスクリプトを埋め込むスクリプト攻撃の一種

  • 信頼できるサイトと悪意のあるサイトを連携させることで攻撃を行う

  • 攻撃者が罠を仕掛けたWebページを利用者が閲覧し、当該ページ内のリンクをクリックしたときに、不正スクリプトを含む文字列が脆弱なWebサーバに送り込まれ、レスポンスに埋め込まれた不正スクリプトの実行によって、情報漏えいをもたらす攻撃

  • Webサイトに利用者を誘導した上で、WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し、利用者のブラウザで悪意のあるスプリクトを実行させる

  • 攻撃者が用意したスクリプトを、閲覧者のWebブラウザを介して脆弱なWebサイトに送り込み、閲覧者のWebブラウザ上でスクリプトを実行させる

  • 攻撃者が記述したスクリプトをWebサイトからエコーバックさせ、ユーザのWebブラウザ上で実行させる攻撃

  • Webブラウザからの入力をそのままエコバックするような環境において、このような攻撃が行われる

  • 原因：CGIなどのWebアプリケーションやWebサービスの不具合

  • WebブラウザがサポートするJavaScriptやVBScriptといったスクリプトを実行させる

  • WebブラウザとWebサイトの信頼関係を利用した攻撃であり、Webサイトとの間でやりとりされるクッキーを取得(セッションIDの盗用)したり、クッキーを改変(セッションやフィクセーションを攻撃)することにより実現する

  • 悪意を持ったスクリプトを、標的となるサイト経由でユーザのブラウザに送り込み、その標的にアクセスしたユーザのクッキーにある個人情報を盗み取る

  • Webアプリケーションに用意された入力フィールドに、悪意のあるJavaScriptコードを含んだデータを入力する

  • Webサイトに利用者を誘導して、Webサイトの入力データ処理の欠陥を悪用し、利用者のブラウザで悪意のあるスクリプトを実行する

  • セキュリティホールの一種であり、Webサイトで実行される簡易プログラムを悪用する攻撃

  • 悪意のあるWebサイトを利用者が閲覧した際に、不正な簡易プログラムが埋め込まれたWebページを返し、強制的に転送してしまう。転送されたWebサイトに仕掛けられた簡易プログラムが動作すると、Cookieなどの情報が漏洩したり、データの破壊などが引き起こされる

  • 利用者が入力したデータをそのままブラウザに表示する機能がWebページにあるとき、その機能の脆弱性を突いて悪意のあるスクリプトを埋め込み、そのページにアクセスした他の利用者の情報を不正に取得する

  • 攻撃者が、利用者をWebサイトに誘導した上で、WebアプリケーションによるHTML出力のエスケープ処理の欠陥を悪用し、利用者のブラウザで悪意のあるスクリプトを実行させる

  • 訪問者の入力データをそのまま画面に表示するWebサイトに対して、悪意のあるスクリプトを埋め込んだ入力データを送ることによって、訪問者のブラウザで実行させる攻撃

  • Webアプリケーションのフォームの入力フィールドに、悪意のあるJavaScriptコードを含んだデータを入力する

  • 格納型クロスサイトスクリプティング(Stored XSS 又は Persistent XSS)

    • Webサイト上の掲示板に攻撃用スクリプトを忍ばせた書込みを攻撃者が行い、その後に当該掲示板を閲覧した利用者のWebブラウザで、攻撃用スクリプトが実行された

  • 反射型クロスサイトスクリプティング(Refrected XSS)

    • 攻撃者が脆弱性のあるサイトの掲示板などに悪意のあるデータを書き込んで格納しておき、これを利用者が表示する際に悪意のあるスクリプトが実行される

  • DOMベースクロスサイトスクリプティング(DOM Based XSS)

    • サーバ側ではなく、クライアント側で動的に JavaScript で HTML 生成を行う際に、悪意のあるスクリプトを埋め込む

  • サーバ側の対策

    • 脆弱性をなくす
    • HTML生成時に有害データを検査する
    • 入力にHTMLタグが含まれていたら、HTMLタグとして解釈されない他の文字列に置き換える
    • Webサイトへの入力データを表示するときに、HTMLで特別な意味を持つ文字のエスケープ処理を行う
    • Webアプリケーションで、クライアントに入力データを再表示する場合、情報内のスクリプトを無効にする処理を行う
    • Webアプリケーションがクライアントに入力データを表示する場合、データ内の特殊文字を無効にする処理を行う
    • 入力にHTMLタグが含まれていたら、HTMLタグとして解釈されないほかの文字列に置き換える
    • Webページに入力されたデータの出力データが、HTMLタグとして解釈されないように処理する

  • クライアント側の対策

    • ブラウザでスクリプトを実行できないようにする

• クロスサイトリクエストフォージェリ(Cross Site Request Forgeries、CSRF、XSRF)

  • ログイン状態を乗っ取る攻撃手法

  • 悪意のあるスクリプトを埋め込んだWebページを訪問者に閲覧させて、別のWebサイトで、その訪問者が意図しない操作を行わせる攻撃

  • WebサイトにスクリプトやHTTPリダイレクトを仕込むことによって、閲覧者に意図せず別のWebサイト上で掲示板への書き込みなど何らかの操作を行わせる攻撃手法

  • Webサイトにログイン中のユーザーのパソコンをスクリプトで操ることで、Webサイトに被害を与える攻撃手法

  • 対策

    • ログイン状態を継続しない

    • WAFの導入

    • スクリプトを無効化する

    • 効果あり

      • Webサイトで決済などの重要な操作の都度、利用者のパスワードを入力させる
      • Webサイトへのログイン後、毎回異なる値をHTTPレスポンスに含め、Webブラウザからのリクエスト毎に送付される値を、Webサーバ側で照合する
      • Webブラウザからのリクエスト中のRefererによって正しいリンク元からの遷移であることを確認する

    • 効果なし

      • WebブラウザからのリクエストをWebサーバで受け付けた際に、リクエストに含まれる"<"や">"などの特殊文字を、タグとして認識されない"<"や">"などの文字列に置き換える

• SQLインジェクション

  • SQL分に不正な命令を挿入して、情報の不正入手などを行う行為

  • 用意されたSQL文の一部に利用者が入力したh奇数を挿入する際に、不正な文字列が混入する

  • 不正な入力により、Webアプリケーションに不正なSQLクエリーを発行させる攻撃

  • ユーザの入力に基づいてデータベースサーバにSQLクエリーを発行するようなWebシステムにおいて発生する

  • ユーザ認証等のロジックの回避やデータベースの不正取得、不正更新、削除、不正なコマンドの実行が可能になってしまう

  • Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し、想定外のSQL文を実行する

  • Webアプリケーションに悪意のある入力データを与えてデータベースの問合せや操作を行う命令文を組み立てて、データを改ざんしたり不正に情報取得したりする攻撃

  • Webアプリケーションに問題があるとき、データベースに悪意のある問合せや操作を行う命令文を入力して、データベースのデータを改ざんしたり不正に取得したりする攻撃

  • 攻撃者が、SQL文のリテラル部分の生成処理に問題があるアプリケーションに対しtえ、任意のSQL文を渡して実行する

  • データベースにアクセスするシステムの脆弱性を突いて不正なコマンドを送り込み、データベースからデータを盗み出したり、データベースそのものを破壊するなどの攻撃を行う

  • データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって、データベースを改ざんする

  • Webアプリケーションに問題があるとき、悪意のある問合せや操作を行う命令文を入力して、データベースのデータを不正に取得したり改ざんしたりする攻撃

  • Webアプリケーションのデータ操作言語の呼び出し方に不備がある場合に、攻撃者が悪意をもって構成した文字列を入力することによって、データベースのデータの不正な取得、改ざん及び削除をする攻撃

  • Webアプリケーションの入力データとしてデータベースへの命令文を構成するデータを入力し、想定外のSQL文を実行させる

  • SQL文のリテラル部分の生成処理に問題があるアプリケーションに対して、攻撃者が、任意のSQL文を渡して実行する

  • 対策

    • データベースのプレースホルダ(バインド機構)を使う

    • 入力中の文字がデータベースへの問合せや操作において、特別な意味を持つ文字として解釈されないようにする

    • SQLインジェクションを防ぐために、Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する

    • 入力中の文字がデータベースへの問合せや操作において、特別な意味を持つ文字として解釈されないようにする

    • SQL文の組み立てに静的プレースホルダを使用する

    • SQLインジェクション対策について、Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策

    • Webアプリケーションの実装における対策：プレースホルダを利用する

    • Webアプリケーションの実装以外の対策；データベースのアカウントがもつデータベースアクセス権限を必要最小限にする

    • 入力値から、データベースへの問い合わせや操作において特別な意味をもつ文字を取り除く

    • Webアプリケーション内で問い合わせを作成する際にバインド機構を使用する

    • 入力文字列をエスケープ処理して特殊文字を無効にする

    • Webアプリケーションの実装における対策：バインド機構を利用する

    • Webアプリケーションの実装以外の対策：データベースのアカウントのもつデータベースアクセス権限を必要最小限にする

    • 入力中の文字がデータベースへの問い合わせや操作において特別な意味を持つ文字として解釈されないようにする

    • Webアプリケーション内でデータベースへの問合せを作成する際にバインド機構を使用する

    • データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって、データベースを改ざんする

    • SQLインジェクション対策について、Webアプリケーションの実装における対策とWebアプリケーションの実装以外の対策

    • 実装：バインド機構を利用する

    • 実装以外：データベースのアカウントのもつデータベースアクセス権限を必要最小限にする

    • サニタイジング(sanitizing)

    • 特殊文字の無効化操作

    • プログラムのソースコードでSQL文の雛ひな形の中に変数の場所を示す記号を置いた後、実際の値を割り当てる

    • バインド機構

      • SQLインジェクション対策
      • テンプレートとなるSQL分にプレースホルダを用意し、エスケープ処理後の値を代入する
      • 変数部分にプレースホルダと呼ばれる特殊文字(「?」など)を使用してSQL文の雛形をあらかじめ用意しておき、後からそこに実際の値を割り当ててSQL文を完成させる方法
      • プログラムのソースコードでSQL文の雛型の中に変数の場所を示す記号(プレースホルダ)を置いた後、実際の値を割り当てる仕組み
      • 入力値中の特殊記号も単なる値として渡される

    • プレースホルダ

      • 用意されたSQL文の構文解析を先に済ませておくので、フォームから不正な文字列を入力されても、SWL文の構造が変わって不正な命令になることはない

    • 静的プレースホルダ(プリペアドステートメント)

      • SQL文を組み立てる方法の一つで、後から利用者データが入る場所をあらかじめ場所取りしておき、他の部分は構文解析をすませておく

    • 動的プレースホルダ

      • プレースホルダに利用者データをはめ込む処理を、データベースではなくWebアプリケーションが行う方法
      • はめ込んだ後に構文解析をするので、安全性は静的プレースホルダと比較して劣る

IRR法(Internal Rate of Return；内部収益率)

• DCF法の考え方をもとにした投資評価法

• NPVが0になるような利率、すなわち投資が生み出す利率(IRR)を求める

• 求めたIRRが最も高い案に投資する

• IRRが内部利益率よりも少なければ投資を見送るなどの判断を下す

• 投資の内部利益率の大小で評価する

• IRR(Internal Rate of Return;内部収益率)

  • 投資額と回収額双方の現在価値の総額が等しくなる収益率
  • IRRの値が大きいほど投資効果が高い

NPV法(Net Present Value；正味現在価値)

• DCF法の考え方をもとにした投資評価法

• 割引率を考慮して算出した正味現在価値(Net Present Value)で評価する

• 回収される利益を現在価値に割り引いて、投資効果を評価する

• 回収額を現在価値に割り引いたものから投資額を引いて投資効果を算出し、その大小を比較する

• $現在の投資価値(NPV)=利益の現在価値-投資額$

• 例

  • 100万円を投資するとき、割引率を10%で1年後に200万円、2年後に100万円の利益が見込まれる
  • $1年後の原価=200\div1.1=181.8$
  • $2年後の原価=100\div(1.1)^2=82.6$
  • $PV=82.6+181.8-100=164.4[万円]$

人事評価の心理的偏向

• ハロー効果

  • 評価項目の一部が飛びぬけて高いときに、その評価に引きずられて他の項目も根拠なく高評価になってしまうこと
  • 高い評価に他の評価が引きずられること

• 中心化傾向

  • 評価が中心に偏ってしまうこと
  • 評価が"普通"に偏ること
  • 部下の勤務状況を十分に把握していないので、評価が標準に集中してしまうこと

• 寛大化傾向

  • 効果者の自信欠如や個人的感情から評価が甘くなってしまうこと
  • 評価が甘くなること

• 論理誤差

  • ある評価項目と論理的な関係がある別の項目について、調査することなく同じ評価を与えてしまうこと
  • 関連性のある項目が同じ評価になること
  • 事実を確認せずに、論理者に関係がある項目に対して同等の評価をすること

請負契約

• 仕事の完成を約束する契約

• 「仕事を任せる」契約

• 契約で定めた完成物を引き渡して(検収完了)、受託業務の完了となる。そのための検収基準を契約書内に明記しておく必要がある

• 業務は委託元の判断と責任で遂行され、開発要員の指揮命令権は委託先にある。委託元から委託先開発要員に直接指示を下すことは出来ない

• 受託者(委託先)は、債務不履行責任と瑕疵担保責任を負う

• 著作権は、特に定めがない限り、原則的に受託側(委託先)に帰属する

• 受託側(役務を提供する側)には要求された内容と品質で成果物を完成して引き渡す責任(完成責任と瑕疵担保責任)が課せられる

• 外部要因の指揮命令権は受託側がもつ

• 完成責任：あり

• 瑕疵担保責任：あり

• 外部要因の労働条件決定：受託側

• 発注者と受注者の間でソフトウェア開発における請負契約を締結した。ただし、発注者の事業所で作業をすることになっている。この場合、指揮命令権と雇用契約にに関して適切なもの

  • 指揮命令権は発注者になく、受注者に所属する作業者は、新たな雇用契約を発注者と結ぶことなく、発注者の事業所で作業を実施する。

• 請負契約の下で、自己の雇用する労働者を契約先の事業所などで働かせる場合、適切なもの

  • 雇用主が自らの指揮命令のもとに当該労働者を業務に従事させる

• プログラムの制作など、仕様書などに従って定められた仕事の完成を約束する契約で仕事の進め方は受託側の自由裁量が認められている

• 請負契約を締結していても、労働者派遣とみなされる受託者の行為

  • 休暇取得のルールを発注者側の指示に従って取り決める

  • みなされないもの

    • 業務の遂行に関する始動や評価を自ら実施する
    • 勤務に関する規律や職場秩序の保持を実施する
    • 発注者の業務上の要請を受託者側の責任者が窓口となって受け付ける

• 成果物の対価として報酬を得る契約

• 成果物を完成させる義務を負う契約

• 発注者と受注者の間でソフトウェア開発における請負契約を締結した。ただし、発注者の事業所で作業を実施することになっている。この場合、指揮命令権と雇用契約に関して、適切なもの

  • 指揮命令権は発注者になく、受注者に所属する作業者は、新たな雇用契約を発注者と結ぶことなく、発注者の事業所で作業を実施する

• 定額請負契約

  • 委託業務の進行中に発生するリスクはベンダが負い、発注者は注文時に合意した価格を支払う

• 「完成」が定義できる業務を発注する場合の契約形態で、委託先の総合的な能力を期待した契約

• 一方が仕事の完成を約束し、相手方が仕事の目的物の引渡しに対して報酬の支払を約束する契約

• 一括請負契約

• 契約で合意した内容を実現するために、指定された期日までに決められた価格で作成された成果物に対して対価が支払われる

• 委託先には完成責任、瑕疵担保責任がある

• システム開発を外部に発注する場合、受託側が瑕疵担保責任を負う

• 指揮命令は受託者側にある

• 請負契約の下で、自己の雇用する労働者を契約先の事業所などで働かせる場合、雇用主が自らの指揮命令の下に当該労働者を業務に従事させる

• ソフトウェア開発の請負契約において、請負業務の検収基準が契約書に明記されていないことが原因で起こり得る問題

• 納品時の成果物確認作業が必要以上に長引いたり、納品物件の追加要求が発生したりする

• 受注者が雇用する労働者に対して、受注側監督者が業務遂行に関する指示を行い、開発作業を行わせる

• 発注者と受注者の間でソフトウェア開発における請負契約を締結した。ただし、発注者の事業所で作業を実施することになっている。この場合、指揮命令権と雇用契約に関して適切なもの

  • 指揮命令権は発注者になく、受注者に所属する作業者は、新たな雇用契約を発注者と結ぶことなく、発注者の事業所で作業を実施する

• 著作権の帰属

  • 著作権は原則として受託側にある

  • A社がシステム開発を行うに当たり、外部業者B社を利用する場合の契約

    • 請負契約によるシステム開発では、特に契約に定めない限り開発されたプログラムの著作権はB社に帰属する

• 民法上の扱い

  • 民法では、請負契約における注文者と請負人の義務が定められている

  • 民法上の請負人の義務となるもの

    • 請け負った仕事の欠陥に対し、期間を限って責任を負う
    • 請け負った仕事を完成する

  • 請け負ったすべての仕事を自らの手で行う必要はない

• 発注者側監督者の行為として不適切なもの

  • 受注者が雇用する労働者に対して、発注者側監督者が服務規律の設定及び指示を行い、開発作業を行わせる
  • 発注者側監督者が、受注者の雇用する労働者に対して作業場所に関する指示を行い、開発作業を行わせる
  • 発注者側監督者が、発注者の雇用する労働者に対して作業開始時刻及び終了時刻の指示を与え、開発作業を行わせる

• 請負契約を締結していても、労働者派遣とみなされる

  • 休暇取得のルールを発注者側の指示に従って取り決める

• 請負契約を締結していても、労働者派遣とみなされない受託者の行為

  • 業務の遂行に関する指導や評価を自ら実施する
  • 勤務に関する規律や職場秩序の保持を実施する
  • 発注者の業務上の要請を受託者側の責任者が窓口となって受け付ける

• 偽装請負

  • A社はB社に対して業務システムの開発を委託し、A社とB社は請負契約を結んでいる時に、B社の従業員が、A社を作業場所として、A社の責任者の指揮命令に従って設計書を作成している
  • 請負契約の要員と発注者の社員が混在しているチームで、発注者側の責任者が業務の割り振り、指示を行う

• 契約関係

• 請負の契約関係

著作権法

• 著作権の保護を対象としている法律

• 著作権

  • 著作物ならびに著作者の権利およびこれに隣接する権利

• 著作物

  • 思想又は感情を文章や音、絵などで創造的に表現したもの

  • 著作権法における著作物に関する記述

    • 著作権法では、著作物を「思想または感情を創作的に表現したものであって、文芸、学術、または音楽の範囲に属するもも」と規定している。著作物の例としては、小説、脚本、論文などの言語の著作物、音楽の著作物、舞踊または無言劇の著作物、映画の著作物、プログラムの著作物がある

  • 文芸、学術、美術又は音楽の範囲に属する著作物を、その著作者が独占的・排他的に支配して利益を受ける権利

  • 二次的著作物

    • 著作物の翻訳、編曲、変形、脚色、映画化などにより創作されたもの
    • 二次的著作物を他人が創作する場合には、原著作物の著作者の許諾が必要である

  • データベース著作物

    • 論文、数値、図形などの情報の集合物に対し、電子計算機を用いて検索できるように体系的に構成されたもので、その情報の選択または体系的構成によって創作性を有するもの

  • 編集著作物

    • 新聞や百科事典のように、その素材の選択または配列によって創作性を有するもの

  • 著作権法の保護の対象となる著作物

    • インターネットで公開されたフリーソフトウェア
    • ソフトウェアの操作マニュアル
    • データベース
    • コンパイラのプログラム

  • 著作権法の保護の対象とならない著作物

    • 国または地方公共団体の機関が発する告示、訓令、通達その他これに類するもの
    • プログラム言語や規約
    • アルゴリズム

• 著作権の存続期間

  • 著作権の存続期間は、著作物の創作の時に始まり、著作権法に別段の定めがある場合を除いて、著作者の死後50年を経過するまでの間は存続する。また、共同著作物の場合には、最終に死亡した著作者の死後50年を経過するまでの間は存続する。法人その他団体が著作の名義を有する著作物の著作権は、原則として、その著作物の公表後50年は存続する。一方、映画の著作物の場合は、原則として、映画の公表後70年は存続する。
  • 著作者は、諸作物を創作したときに「著作権者」となり、権利取得のために特別な方式を必要としない。なお、著作権は譲渡や相続が可能であるが、著作人格権は一身専属的な権利であるため、他人に譲渡できないし、相続の対象にもならない
  • 著作物を創作した時点で権利が発生する
  • 個人の著作物の保護機関化終了するのは、著作者の死後50年
  • 法人が作成し、公開、販売したソフトウェアの著作権の権利期間は公開から50年

• 権利の発生のために申請や登録の手続を必要としない

• 日本国内においては、著作物に著作権表示が明記されていない場合でも、無断で複製して配布したときには著作権の侵害になる

• 特許権の場合、独自の発明の実施であっても、先に権利を取得した人がいれば権利の侵害になるが、著作権では、独自の創作であれば、結果として同じものを創作しても権利の侵害にはならない

• 著作権者の許諾なしに公衆に情報を送信する行為は、サーバに情報を蓄積するか否かにかかわらず権利侵害となる

• ソフトウェア／プログラムの著作権

  • 特徴

    • プログラム中のアイデアやアルゴリズムは保護しないが、プログラムのコード化された表現を保護する
    • 機能を実現するために必要なソフトウェアとして作成されたプログラムは保護の対象となる
    • ソフトウェアには、著作権の移転や権利の設定にかかわる登録制度が設けられている
    • ソースプログラムとオブジェクトプログラムの両方とも著作権法によって保護される
    • インターネットで公開されたフリーソフトウェア、ソフトウェアの操作マニュアル、データベースは保護の対象
    • 著作物を作成するために用いるプログラム言語や規約(アルゴリズム)は、著作権法による保護の対象外
    • 使用許諾契約の場合、使用者は著作権を取得できない

  • 著作権の帰属

    • 特に取り決めのない場合、労働者派遣契約によって派遣された派遣労働者が派遣先企業の指示の下に開発したプログラムの著作権の帰属先は派遣先企業にある

    • 開発されたプログラムの著作権の帰属に関する規定が契約に定められていないとき、著作権の原始的な帰属は請負の場合は発注先に、派遣の場合は派遣先に帰属する

    • A社は、B社と著作物の権利に関する特段の取決めをせず、A社の要求仕様に基づいて、販売管理システムのプログラム作成をB社に依頼した場合のプログラム著作権の原始的帰属

      • B社に帰属する

    • プログラム開発における職務上の著作について、就業規則などに特段の取決めがない限り、権利は法人に帰属する

    • 法人の発意に基づき、その法人の従業員が職務上作成するプログラムの著作権は、別段の定めがない限り、その法人が著作者となる

    • 改変が認められているフリーソフトウェアを改変した場合、改変部分の著作権は改変者の著作物となる

  • 適法の例

    • 他人の著作物であるプログラムを購入し、自社のパソコンでより効果的に利用するために(パフォーマンスを上げるために)改変を加える事
    • 処理速度の向上など、購入したプログラムを効果的に利用するための改変
    • 購入したソフトウェアをバックアップコピーする
    • 著作者の了解を得ないで、購入したCDの楽曲を自分のPCにコピーし、PCで毎日聴いている
    • インターネットの掲示板で議論されていたアイディアを素にプログラムを作成した
    • 学生のころに自分が作成したプログラムを使い、会社業務の作業効率を向上させるためのプログラムを作成した
    • 購入した書籍に掲載されていた流れ図を基にプログラムを作成した
    • A社が開発したソフトウェアの公開済みプロトコルに基づいて、A社が販売しているソフトウェアと同等の機能を持つソフトウェアを独自に開発して販売した
    • 他人のソフトェアを正当な手段で入手し、逆コンパイルを行った
    • 複製及び改変する権利が付与されたソース契約の締結によって、許諾されたソフトウェアを改造して製品に組込み、ソース契約の範囲内で製品を販売した

  • 違法の例(著作権侵害)

    • 使用許諾を受けている購入プログラムを、著作者に無断でコピーし、子会社に使用させた場合、著作権法に抵触するおそれがある
    • 海賊版を複製したプログラムと事前に知りながら、業務で使用した
    • 業務処理用に購入したプログラムを複製し、社内教育用として各部門に配布した
    • 職務著作のプログラムを、作成した担当者が独断で複製し協力会社に貸与した
    • 違法な複製を防止する技術的保護手段を解除しコピーする行為やそのためのツールを製造・販売・配布する行為
    • 著作者の承諾を得ないで雑誌に掲載されていた漫画を記録媒体に記憶させて、インターネット上に公開し、ファイル共有ソフトによって、不特定多数の者に自動公衆送信できるようにした場合
    • ある自社製品のパンフレットで使用しているスポーツ選手の写真を、撮影者に無断で、ほかの自社製品のパンフレットに使用する
    • 新聞の写真をスキャナで取り込んで、提案書に記載する
    • ユーザ団体の研究会のように限られた対象者に対し、雑誌の記事をコピーして配布する
    • インターネットからダウンロードしたHTMLのソースを流用して、別のWebページを作成した
    • ソフトウェアハウスと使用許諾契約を締結し、契約上は複製権の許諾は受けていないが、使用許諾を受けたソフトウェアにはプロテクトがかけられていたので、そのプロテクトを外し、バックアップのために複製した

• webページの著作権

  • 特定の分野ごとにWeb ページのURLを収集し、簡単なコメントをつけたリンク集は、著作権法で保護される

  • マルチメディアの素材集(画像データや効果音など)をソフトウェア販売店で購入し、自社の Web ページ作成時に利用しても、使用許諾の範囲内で使用していれば、著作権法違反にはならない

  • Webページを作成する際、著作権者に確認せずに行った著作物利用

    • 適切なもの

      • 車の販売台数を説明するために、通商白書の統計データをそのまま使って図表化し、Webページに活用した
      • 経済白書の記載内容を説明の材料として、出所を明示してWebページに転載する

    • 不適切なもの

      • カーテン記事のカタログに掲載された図柄が、著名デザイナ制作のもので、背景に適切だったので、スキャナで取り込んで、色を変更して活用した
      • 最新情報を提供するために、新聞の写真をスキャナで取り込んで活用した
      • 雑誌のイラストを加工して、Webページ上の自社広告に活用した

• 保護の対象

  • 表現された著作物
  • プログラム、データベース、ホームページ

• 保護の対象外

  • アイデア、ノウハウ、アルゴリズム(解法)、プログラム言語、規約など

• 権利期間

  • 個人帰属

    • 作成した時点で自動的に発生する
    • 実名個人は死後50年間、無記名個人は公表後50年間

  • 法人帰属

    • 公表した時点から50年間

• 帰属の例(プログラムの作成)

  • 従業員が職務上作成：原則として法人
  • 請負契約：原則として請負側
  • 派遣契約：派遣先
  • 共同開発：共同著作物となり、原則として共同開発者双方

• 著作財産権

  • 契約書に記載があれば譲渡できる
  • 複製権、上演権などがある

• 著作者人格権

  • 著作者人格権は著作者に専属し、他者には譲渡できない
  • 契約書に記載があっても譲渡できない
  • 公表権、氏名表示権、同一性保持権の3つがある

• 著作隣接権

• プログラム開発において、法人の発意に基づく法人名義の著作物について、著作権法で規定されているもの

  • 就業規則などに特段の取り決めがない限り、権利は法人に帰属する

• 著作権法によるソフトウェアの保護範囲

  • ソースプログラムとオブジェクトプログラムの両方とも著作権法によって保護される

• 著作権法による保護の対象となるもの

  • ソースプログラムそのもの

• 組込み機器用のソフトウェアを開発委託する契約書に開発成果物の著作権の帰属先が記載されていない場合、委託元であるソフトウェア発注者に発生するおそれがある問題はどれか、ここで、ソフトウェアは委託先が全て自主開発するものとする

  • 開発成果物を、委託元で開発する別のソフトウェアに適用できなくなる

• Webページの著作権

  • 特定の分野ごとにWebページのURLを収集し、独自の解釈を付けたリンク集は、著作権法で保護される

• プログラムの著作物について、著作権法上、適法である行為

  • 処理速度を向上させるために、購入したプログラムを改変した

中間者攻撃(MITB;Man-in-the-Browser)

• 通信を行う二者間の間に割り込み、盗聴や通信内容の改ざんを行う攻撃

• ネットワークを通じた攻撃手法の一つ

• 攻撃対象の利用するコンピュータにトロイの木馬など悪意のあるソフトウェア(マルウェア)を潜り込ませ、Webブラウザなどの通信を監視して通信内容を改ざんしたり操作を乗っ取る攻撃手法

• インターネットバンキングの利用時に被害をもたらす

• 対策

  • 認証を徹底する

    • 公開鍵基盤を用いた認証
    • 強度の高い相互認証
    • パスワードだけでなくバイオメトリクス認証
    • 等を組み合わせる

  • インターネットバンキングでの送金時に利用者が入力した情報と、金融機関が受信した情報とに差異がないことを検証できるよう、トランザクション署名を利用する

  • トランザクション署名

    • 利用者が送金取引時に、送金処理を行うPCとは別のデバイスに振込先口座番号などの取引情報を入力して表示された値をインターネットバンキングに送信する

リバースエンジニアリング(reverse engineering)

• 通常の開発作業とは逆にプログラムのソースコードから設計仕様などを導き出す技術のこと
• ソフトウェアの再開発や設計仕様書のない現行システムの保守作業を行う際に活用される
• ソフトウェアの再利用技術
• 既存のプログラムを解析し、プログラムの仕様と設計の情報を取り出す手法
• モデリングツールを使用して、本稼働中のデータベースシステムの定義情報からE-R図などで表現した設計書を生成する手法
• 過去に作成されたソフトウェアの保守のときに利用される
• プログラムからUMLのクラス図を生成すること
• 既存のプログラムからそのプログラムに仕様を導き出すこと
• 既存のソフトウェアを解析し、その仕様や構造を明らかにする
• 対象のシステムを解析し、その仕様を明らかにする手法
• ソースコードから設計書を作成する
• ソースプログラムを解析してプログラム仕様書を作る
• モデリングツールを使用して、本稼働中のデータベースの定義情報からE-R図などで表現した設計書を生成する手法
• 既存のソフトウェアを解析し、その仕様や構造を明らかにする
• ソースコードやオブジェクトコードを解析して、プログラムの仕様と設計の情報を取り出す手法
• 既存のソフトウェアを解析し、その仕様や構造を明らかにする
• プログラムからUMLのクラス図を生成すること
• ソフトウェアを保守するときなどに利用される技術

サニタイジング(sanitizing、無毒化)

• プログラムのソースコードでSQL文の雛形の中に変数の場所を示す記号を置いた後、実際の値を割り当てる

• Webアプリケーションの入力フォームの入力データに含まれるHTMLタグ、JavaScript、SQL文などを他の文字列に置き換えることによって、入力データ中に含まれる悪意のあるプログラムの実行を防ぐ

• 入力にHTMLタグが含まれていたらHTMLタグとして解釈されない他の文字列に置き換える

• マークアップ言語で書かれた文字列を処理する前に、その言語にとって特別な意味をもつ文字や記号を別の文字列に置換して脆弱性が悪用されるのを防止する

• 特殊文字を無効化して不正コマンドの実行を阻止

• SQLインジェクションやコマンドインジェクションに効果的な対策

• これらの攻撃は、特別な意味を持つ特殊文字が入力できることが問題であるため以下の処置を行う

  • 入力画面から特殊文字を入力できないようにする
  • 特殊文字が現れた場合、処理を中断する
  • 特殊文字を無効化(エスケープ処理)する

CSS(Cascading Style Sheets)

• HTML文書の文字の大きさ、文字の色、行間などの視覚表現の情報を扱う標準仕様

タイムスタンプサービス

• 電子データが、ある日時に確かに存在していたこと、及びその日時以降に改ざんされていないことを証明するサービス

HDCP(High-bandwidth Digital Content Protection)

• コンテンツの不正な複製を防止する方式の一つ
• HDMI端子が搭載されたディジタルAV機器に採用され、HDMI端子から表示機器にディジタル信号を送るときに受信する経路を暗号化する方式

BABOK(Business Analysis Body Of Knowledge)

• ビジネスアナリシスのベストプラクティスを体系化したガイド

• ビジネス分析や評価に関する知識体系

• ビジネスアナリシスの計画と監視、引き出し、要求管理とコミュニケーション、エンタープライズ・アナリシス、要求分析、ソリューションの評価と妥当性確認、基礎コンピテンシという7つの知識エリアを体系づけた知識体系

• BABOKでは、システムに対するユーザ要求を明確に理解するために、要求を四つに分類している

• ビジネス分析や評価に関するベストプラクティスを知識体系としてまとめたもの

• 要件定義の場面で活用されることが多い

• システムに対するユーザ要求を明確に理解するために要求を4つに分類している

  • ビジネス要求

    • 企業全体の目的や目標をまとめたもの
    • 経営戦略や情報化戦略などから求められる要求であり、エンタープライズアナリシス活動で定義している

  • ステークホルダ要求

    • 利用部門など特定のステークホルダからの要求をまとめたもの
    • 利用部門や運用部門などから個別に発せられるニーズであり、要求アナリシスの活動で定義している

  • ソリューション要求

    • ビジネス要求やステークホルダ要求を実現するための解法・手段をまとめたもの
    • 要件定義に該当
    • 組織・業務・システムが実現すべき機能要求と非機能要求であり、要求アナリシスの活動で定義している

  • 移行要求

    • ソリューションを実装(移行)するために必要な環境・機能をまとめたもの
    • 新システムへのデータ変換や要因教育などに関する要求であり、ソリューションのアセスメントと妥当性確認の活動で定義している

暗号の危殆化

• 考案された当時は容易に解読できなかった暗号アルゴリズムが、コンピュータの性能の飛躍的な向上などによって、解読されやすい状態になること
• 計算能力の向上などによって、鍵の推定が可能になり、暗号の安全性が低下すること

CSS(Content Scramble System)

• コンテンツの不正な複製を防止する方式の一つ
• DVDに採用され、映像コンテンツを暗号化して、複製できないエリアにその暗号化鍵を記録する方式

要件定義

• 定義された環境において利用者及び他の利害関係者が必要とするサービスを提供するための、システムに対する要件を定義する作業
• 利害関係者からの要求を整理し、新しい業務のあり方や運用をまとめた上で、システムが実現すべき業務上の要件を明らかにする
• システムに求められる要件を定義すること

サイバーセキュリティ経営ガイドライン

• 経済産業省とIPAが策定した

• 企業がIT活用を推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき３原則と、情報セキュリティ対策/サイバーセキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき事項をまとめたもの

• 経営者が認識すべきサイバーセキュリティに関する原則と、経営者がリーダシップを発揮して取り組むべき項目を取りまとめたもの

• 自社のセキュリティ対策に加えて、実施状況を確認すべきとしている対策

  • 自社のサプライチェーンのビジネスパートナーが行うセキュリティ対策

• サイバーセキュリティ経営ガイドライン(Ver 1.1)経営者の対応

  • サイバーセキュリティ人材を確保するために、適切な処遇の維持、改善や適切な予算の確保を指示する

• サイバーセキュリティ経営ガイドラインの原則

  • 経営者のリーダーシップによる対策の推進

    • サイバー攻撃を経営リスクの1つとして位置づける変化への対応と再発防止

  • 自社および関係会社を含めたセキュリティ対策

    • 自社、系列会社、サプライチェーン上のビジネスパートナー、委託先のセキュリティ対策の実施

  • 関係者との適切なコミュニケーション

    • 情報開示および共有による信頼性の構築と被害拡大の防止対策の開示と内外へのコミュニケーション

CPRM(Content Protection for Recordable Media)

• コンテンツの不正な複製を防止する方式の一つ
• BSデジタル放送や地上デジタル放送に採用され、コピーワンスの番組を録画するときに使われる方式
• SDメモリカードにも使用される

DX(digital Transformation;デジタルトランスフォーメーション)

• 社内システムのIT化よりもさらに積極的にITによる価値の創出を目指す考え方

JIS Q 27001:2014(情報セキュリティ管理策の実践のための規範)

• サポートユーティリティに関する例示に基づいて、サポートユーティリティと判断されるもの

  • サーバ室の空調

• 特権的アクセス権の管理について、情報システムの管理特権を利用した行為

  • システム管理者が、業務システムのプログラムにアクセスし、バージョンアップを行う

JIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)

• ISMSに関するリーダシップ及びコミットメントをトップマネジメントが実証する上で行う事項として挙げられているもの

  • ISMSの有効性に寄与するよう人々を指揮し、支援する

• 組織の管理下で働く人々が認識をもたなければならないとされているもの

  • ISMSの有効性に対する自らの貢献
  • ISMS要求事項に適合しないことの意味
  • 情報セキュリティ方針

• 組織がJIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)への適合を宣言するとき、要求事項及び管理策の適用要否の考え方

  • 規格本文の箇条4～10に規定された要求事項：全て適用が必要である
  • 附属書A”管理目的及び管理策”に規定された管理策：妥当な理由があれば適用除外できる

• JIS Q 27001:2014(情報セキュリティマネジメントシステム―要求事項)に従ったリスク評価において、情報セキュリティリスクが受容可能か否かの意思決定を行う際に、リスク分析結果と比較するもの

  • 組織の情報セキュリティのリスク基準

• 組織が情報セキュリティリスク対応のために適用する管理策などを記した適用宣言書の作成が要求されている

• 情報セキュリティリスク対応に必要な管理策をJIS Q 27001:2014 附属書Aと比較した結果を基に、適用宣言書を作成する

• トップマネジメントがマネジメントレビューで考慮しなければならない事項

  • 前回までのマネジメントレビューの結果とった処置の状況
  • 内部監査の結果
  • 発生した不適合及び是正処置の状況

• 情報セキュリティ目的をどのように達成するかについて計画するとき、決定しなければならない事項として定められているもの

  • 実施事項
  • 責任者
  • 達成期限
  • 必要な資源
  • 結果の評価方法

• リスクを受容するプロセスに求められるもの

  • 受容するリスクについては、リスク所有者が承認すること

DTCP-IP

• コンテンツの不正な複製を防止する方式の一つ
• DLNAとともに用いられ、接続する機器間で相互認証し、コンテンツ保護が行えると認識して初めて録画再生を可能にする方式

SaaS(Software as a Service)

• ソフトウェア機能をネットワーク経由でサービスを提供するクラウドサービス

• 利用者が、インターネットを経由してサービスプロバイダのシステムに接続し、サービスプロバイダが提供するアプリケーションの必要な機能だけを必要なときにオンラインで利用するもの

• ソフトウェアの機能のうち、ユーザが必要とするものだけをサービスとして配布し利用できるようにしたもの

• 利用者は必要な機能だけを使用し、その使用分に対してのみ対価を支払う

• 一つのサービス機能を複数の企業で利用するマルチテナント式を採用することが一般的

• 利用者が、インターネットを経由してサービスプロバイダ側のシステムに接続し、サービスプロバイダが提供するアプリケーションの必要な機能を必要なときにオンラインで利用するもの

• SaaSを利用する場合、コンピュータ資源をユーザが用意する必要はない

• インターネット経由でアプリケーションソフトウェアの機能を、利用者が必要なときだけ利用するサービスのこと

• ソフトウェアの必要な機能だけを必要時に、利用者がネットワーク経由で利用できる

• ソフトウェアの機能を複数の企業にインターネット経由でサービスとして提供し、使用料を課金する

• 利用者が、インターネットを経由してサービスプロバイダ側のシステムに接続し、サービスプロバイダが提供するアプリケーションの必要な機能だけを必要なときにオンラインで利用するもの

• SaaSを利用するときの企業のセキュリティ管理

  • システムの構築を行わずにすみ、アプリケーションソフトウェア開発に必要なセキュリティ要件の定義やシステムログの保存容量の設計が不要である

SOA(Service Oriented Architecture;サービス指向アーキテクチャ)

• 業務機能を提供するサービスを組み合わせてシステムを構築すること

• 業務機能を提供するサービスを組み合わせることによって、システムを構築する考え方

• 業務上の一処理に相当するソフトウェアの機能をサービスとして実装し、それらのサービスを組み合わせてシステム全体を構築するという考え方

• 再利用可能なサービスとしてソフトウェアコンポーネントを構築し、そのサービスを活用することで高い生産性を実現するアーキテクチャ

• ビジネスプロセスの構成要素とそれを支援するIT基板を、ソフトウェア部品であるサービスとして提供するシステムアーキテクチャ

• サービスを設定する際の注意点

  • 業務の変化に対応しやすくするために、サービス間の関係は疎結合にする

• ユーザに提供するサービスの集まりとして、システムを構築する考え方

• ある情報システムの構築において、ビジネスプロセス上の独立した業務機能という視点で部品化して情報システムを構築し、将来の変更や他の情報システムの開発に、それらの部品を用意に利用できる仕組みを作り上げる考え方

• 利用者の視点から各業務システムの機能を幾つかの独立した部品に分けることによって、業務プロセスとの対応付や他のソフトウェアとの連携を容易にする手法

• ビジネスプロセスの構成要素とそれを支援するIT基板を、ソフトウェア部品であるサービスとして提供するシステムアーキテクチャ

• サービスというコンポーネントからソフトウェアを構築することによって、ビジネス変化に対応しやすくなる

• ソフトウェアの機能をサービスという部品とみなし、そのサービスを組み合わせることによってシステムを構築する概念のこと

• 業務機能を提供するサービスを組み合わせることによって、システムを構築する考え方

• 業務システムの機能を、利用者の観点から複数の独立したソフトウェア部品に分割し、業務機能を提供するサービス(ソフトウェア部品)を組み合わせることによってシステムを構築する考え方

• 「受注」「出庫」といったビジネス上のプロセスを組み合わせ、利用者が業務の目的にあわせて必要なサービスを実行できるようにする

BPM(Business Process Management)

• ビジネスプロセスを管理し、継続的に改善すること
• ビジネスプロセスを絶えず改善するために管理すること
• 改革を実施した後もビジネスプロセスを管理し、継続して改善を繰り返す
• 分析、改善、実施、運用、を繰り返す

CSMA/CA(Carrier Sense Multiple Access with Collision Avoidance;衝突回避機能付き搬送波検知多重アクセス)

• 搬送波感知多元接続／衝突回避方式、キャリア検知 多重アクセス/衝突回避

• IEEE 802.11aやIEEE 802.11bなどの無線LANで使用される搬送波感知多重アクセス/衝突回避方式

• IEEE 802.11a/b/g/nで採用されているアクセス制御方式

• データ送受信の開始時にデータ送受信のネゴシエーションとしてRTS/CTS方式を行い、受信の確認はACKを使用する

• 搬送波検知(CS)機能

  • 他のステーションがパケットの送信をしていないことを確認するために、使用するチャネルの無線信号の有無を調べる
  • 無線チャネルが使用中の場合、しばらく時間を置いてCS動作を実行する
  • 各ステーションが一斉にCS動作を行うと衝突が発生する確率が大きくなるため、ステーションごとに発生するランダムな値の時間間隔(IFS=Inter-Frame Space)を設けて、この時間が終わったところでパケットを送出し、パケットの衝突を回避する

• 隠れ端末問題

  • 送信中のステーションの電波が弱いために、他のステーションが無線チャネルが空いているとご判断してパケットの送信をはじめてしまい、パケットの衝突が発生するという問題
  • RTS(送信要求)/CTS(受信準備完了)という媒体アクセス制御方式で解決できる
  • ステーションのRTSに対してアクセスポイントがCTSを通知するAPが送る自ステーション宛ではないCTSを検知したときに送信動作の開始を一定時間だけ延ばす

CSMA方式

• CSMA/CAやCSMA/CDのLANの制御に共通している
• キャリア信号を検出し、データの送信を制御する
• 伝送路が使用中のときはデータの送信ができない

ICMP Flood攻撃

• pingコマンドを用いて大量の要求パケットを発信することによって、攻撃対象のサーバに至るまでの回線を過負荷にしてアクセスを妨害する