トップ
プロジェクト型組織
- プロジェクトのために独立した組織を構成したもの
- 特定のプロジェクトに専任の要因が配属され、プロジェクトの完了時点で解散する
- プロジェクトマネージャが予算面や人事評価なども含む全体的権限を持ち、求心力が高い
- タスクフォース型組織ともいう
ベネフィットセグメンテーション
- 製品やサービスの使用によってもたらされる消費者の肯定的な反応(ベネフィット)に分析をもとにして行うセグメンテーション(消費者の層別)
プロジェクト憲章
- プロジェクトを正式に承認したことを示す文書
- プロジェクト定義書、プロジェクト企画書などとも呼ばれる
- プロジェクトの目的、目標、プロジェクトへの応急事項や作成しようとしている成果物の概要、概要レベルでのスケジュール、必要な予算などが記述される
- 承認されたプロジェクトを担当するプロジェクトマネージャの名前とその権限についても明確に記述される
- プロジェクトを公式に立ち上げるための文書
- PMBOKでは、プロジェクト憲章作成プロセスにおいて作成される
- プロセスマネージャもプロジェクト憲章の中で正式に任命される
- 主な項目
- プロジェクトの目的、プロジェクト目標と成功基準、要求事項、主な成果物、プロジェクトの全体リスク、主なマイルストーンやスケジュール、事前承認された財源、主要なステークホルダリスト、プロジェクトの終了基準、プロジェクトマネージャとその権限
マーケティングチャネル
- 製品・サービスの入手、消費にかかわる相互依存的な組織集団
プロジェクトガバナンス
- ISO 21500による説明
- ガバナンスとは、それによって組織を指揮し、コントロールする枠組みである。プロジェクトガバナンスは、プロジェクトアクティビティ特に関連する組織ガバナンスの分野を含むものであるが、これに限定されない
- 適切なガバナンスを維持する責任は、プロジェクトのプロジェクトスポンサ又はプロジェクト運営委員会に割り当てられる
- プロジェクトスポンサの役割
- プロジェクトを承認し、経営的決定を下し、プロジェクトマネージャの権限を越える問題及び対立を解決する
- プロジェクト運営委員会の役割
- プロジェクトに上級経営レベルでの指導を行うことによりプロジェクトに寄与する
シェアドサービス
- 複数の会社における経理や総務、人事・給与、情報システムの開発・運用といった共通業務を切り離し、別会社に集約して各社がシェアして利用できるようにするサービスの総称
- 企業グループ内で共通する間接業務を、1つの組織で集中処理 するために分社化し、従来のコストセンターからプロフィットセンター化する経営手法
プロダクトライフサイクル戦略
- 導入期、成長期、成熟期、衰退期などの各段階に応じて、製品改良、新品種の追加や製品廃棄を計画すること
- 導入期
- 先進的な消費者に対し製品を販売する時期
- ブランドの認知度を高める戦略が採られる
- 需要は部分的で、新規需要開拓が勝負である
- 特定ターゲットに対する信念に満ちた説得が必要である
- 先進的な消費者に対し製品を販売する時期である
- 製品の認知度を高める戦略が採られる
- 成長期
- 売上が急激に上昇する時期
- 新規参入企業によって競争が激化してくる
- 製品の特性を改良し、他社との差別化を図る戦略をとる
- 市場が商品の価値を理解し始める
- 商品ラインもチャネルも拡大しなければならない
- この時期は売上も伸びるが、投資も必要である
- 市場が活性化し新規参入企業によって競争が激化してくる
- 成熟期
- 需要の伸びが鈍化してくる時期
- 製品の品質改良、スタイル変更などによって、シェアの維持、利益の確保が行われる
- 需要が大きくなり、製品の差別化や市場の細分化が明確になってくる
- 競争者間の競争も激化し、新品種の追加やコストダウンが重要となる
- 需要の伸びが鈍化してくる時期である。製品の品質改良などによって、シェアの維持、利益の確保が行われる
- 衰退期
- 売上と利益が減少する時期
- 市場からの撤退が検討される段階
- 需要が減ってきて、撤退する企業も出てくる
- この時期の強者になれるかどうかを判断し、代替市場への進出なども考える
- 追加投資を控えて市場から撤退することが検討される
アライアンス
- それぞれの企業が保有する経営資源を保管することを目的とした、企業間での事業の連携、提携や協調行動を表すもの
経営戦略
- 目標設定、実施、評価の流れ
- 目標設定:目標を設定する
- KGI設定:目標の達成度を測る指標(KGI)を具体的に設定する
- CSF抽出:目標の達成に必要な手段や施策(CSF)を洗い出す
- KPI設定:手段や施策の成果を評価する指標(KPI)を設定する
- 実施:活動を実施する
- ギャップ分析:成果を計測する、成果と目標値を比較して課題を分析する
- まず経営目標を定め、次にそれを実現するための具体的な手段を策定する
- その後、各手段(事業やプロジェクト)が制約内で実現可能かの検証を行う(フィージビリティスタディ)
- さらに、手段が遂行されているかどうかを測定するための指標を定め、評価する
- 外部環境の生み出す機会やリスクに対して、組織の内部資源やスキルとマッチさせ、企業の長期的な発展と存続に関わる決定を行う
- 特性
- 企業活動の長期的視点からの基本方針
- 組織内の意志決定や行動の枠組み
- 環境への適応のための基本方針
- 体系
- 全社戦略:組織全体の総合的戦略
- 事業戦略:各事業レベルの戦略
- 機能戦略:生産、販売などの機能別の戦略
- 中期経営計画
- 長期計画実現のための計画であり、一般に3~5年の計画期間を持つ
RFQ(Request For Quotation、見積依頼書)
- 情報システムを導入する企業がベンダに見積りを作成するように要請すること
- 具体的に見積内容が決まっている場合に見積を依頼する
ガバナンス
- 何らかの役割を委託されたときに、委託する側の利益や期待に合致するかを適時モニタリングして、成果物が期待した価値を生み出すようにコントロールする仕組みのこと
- 委託される側にその責任がある
- 企業ガバナンス
- 株主が会社の運営を役員に委託する際に、株主利益に反しないように会社に備えられているコントロールの仕組み
IEEE 802.1X
- 無線LANで使用される規格
- アクセスポイントがEAPを使用して、利用者を認証する枠組み
- アクセスポイントがEAPを使用して、クライアントを認証する枠組み
- サプリカント
FIPS PUB 140-3
SIM3
- 組織のセキュリティインシデント管理の成熟度を評価するためにOpen CSIRT Foundationが開発したモデル
メッセージ認証符号(MAC:Message Authentication Code,メッセージダイジェスト)
- 送信者から受信者にメッセージ認証符号(MAC)を付与したメッセージを送り、次に受信者が第三者に転送したときのMAC
ここで、共通鍵は送信者と受診者だけが知っており、送信者と受信者のとれぞれの公開鍵は第三者を含めた3名が知っているものとする
- MACは、送信者がメッセージと共通鍵を用いて生成する。MACを用いると、受信者がメッセージの完全性を確認できる
- ハッシュ関数から求められるハッシュ値
- 文書の長さを統一して処理をしやすくすること、通信中の盗聴リスクを考慮して平文から作成する
- メッセージダイジェストはハッシュ関数で作る
- 利用目的
- メッセージの改ざんを検出するために、送信者と受信者の共通鍵を元にしてメッセージにハッシュ関数を適用して一定の長さのデータに変換したもの
- メッセージ認証符号におけるメッセージダイジェストの利用目的:メッセージが改ざんされていないことを確認する
- 送信者から電子メール本文とそのハッシュ値を受け取り、そのハッシュ値と、受信者が電子メール本文から求めたハッシュ値とを比較することで実現できること(ここで、受信者が送信者から受け取るハッシュ値は正しいものとする)
- ハッシュ関数を利用したメッセージ認証
- 受信者は、ハッシュ関数を用いてメッセージからハッシュ値を生成し、送信者の公開鍵で復号したハッシュ値と比較する
- 手順
- 通信する相手と使用する暗号化方式、メッセージダイジェストの方式を決める。
- 通信相手と暗号化のための暗号化鍵の交換を行う。(暗号化鍵は定期的に交換するのが望ましい。)
- 送信するメッセージから、メッセージダイジェストを生成する。
- (2)で生成したメッセージダイジェストを暗号化する。
- 送信するメッセージと(3)の暗号化したメッセージダイジェストを通信相手に送る。
- 受信したデータのメッセージ部分からメッセージダイジェストを生成する。
- 受信した暗号化されたメッセージダイジェストを復号する。
- (5)と(6)のメッセージダイジェストを比較する
一致した場合は、受信したデータは正しいので採用(処理)する。
不一致の場合は、受信したデータは問題がある(改ざんされている)ので破棄する
- (0)は双方、(1)~(4)は送信側、(5)~(7)は受信側の行う内容
クロスサイトリクエストフォージェリ
- 対策として効果がないもの
- WebブラウザのリクエストをWebサーバで受け付けた際に、リクエストに含まれる"<"、">"などの特殊文字を、"<"、">"などの文字列に置き換える
NIC(ネットワークインタフェースカード)
- PCやインタプリタなどをLANに接続し、通信を行う
- チーミング
- 一つのIPアドレスに複数のNICを割り当て、負荷分散、帯域の有効活用、及び耐障害性の向上を図る
- チーミング
- 一つのIPアドレスに複数のNICを割り当て、負荷分散、帯域の有効活用、耐障害性の向上などを図る
ステークホルダ登録簿
- 作成及び更新
- ステークホルダのニーズや機体の変化に対応するために、ステークホルダ登録簿の内容を継続的に更新する
ウォームサイト
- 災害時における復旧対策
- あらかじめシステムを稼働させるために必要な電源、ネットワークなどの設備を備えた拠点に、本番環境とほぼ同じシステムを非稼働状態で待機させておき、災害時にはこのシステムを稼働させて復旧する
サービスデスク
- WFM(Work Force Management)システムを導入する目的
- 顧客からの問合せ件数の実績に基づいて今後の問合せ件数を予測し、要員の勤務スケジュールを自動的に作成する
TCO(総所有費用)
- システムの導入から廃棄に至るライフサイクルの総費用
バグトラッキングシステム
- 発見されたバグの内容、バグが発生したソフトウェアのバージョンなどを記録し、その修正計画や修正履歴を管理する
フールプルーフ
- 人為的なミスを防止する工夫
- 利用者の誤操作や誤入力を未然に防ぐことによって、システムの誤動作を防止できるようにする
- システムで意図していない誤操作や正しくないデータが入力されないようにする
- 不特定多数の人が使用するプログラムでは、プログラムの機能を理解しないまま操作される可能性が高いため、誤操作対応やデータチェックをより厳重に行うフールプルーフを採用したプログラム設計を行う必要がある
- フールプルーフの考え方に基いて設計したもの
- 乾電池のプラスとマイナスを逆にすると、乾電池が装填できないようにする
- 操作に不慣れな人も利用するシステムでは、間違ったデータが入力されることが想定されるため、誤入力が発生しても、プログラムやシステムを異常終了させずに、エラーメッセージを表示して次の操作を促すような設計
- プログラムの操作マニュアルを作成するだけでなく、エラーデータが入力されたときはエラーメッセージを表示して再入力させるように制御する
- 誤動作しないことを目指した設計
- 危険や間違いに繋がりそうな操作を未然に防止するために、簡単な操作では動作させないようにする
- 人間がシステムの操作を誤ってもシステムの安全性と信頼性を保持する
- 利用者が誤った操作をしても、システムに異常が起こらないようにする
- オペレーターが不注意による操作誤りを起こさないように、操作の確認などに配慮した設計
- 利用者の誤操作や誤入力を未然に防ぐことによって、システムの誤動作を防止できるようにする
- 利用者が決められた順序でしか入力できないようにするなどして、単純なミスが起こらないようにする
- 人間が誤った操作や取り扱いができないような構造や仕組みを、システムに対して考慮する設計のこと
- 利用者の誤操作や誤入力を未然に防ぐことによって、システムの誤動作を防止できるようにする。
- システムに規定外の無効なデータが入力されたとき、誤入力であることを伝えるメッセージを表示して正しい入力を促すことによって、システムを異常終了させない設計
- 例
- メニュー画面上の不適切な項目や使用権限のない選択肢は、選択できないようにする
- 不特定多数の人が使用するプログラムには、自分だけが使用するプログラムに比べて、より多くのデータチェックの機能を組み込む
- プログラムを使用するときの前提条件を文書に書いておくだけでなく、その前提を満たしていないデータが実際に入力されたときは、エラーメッセージを表示して再入力を促すようににプログラムを作る.
- 乾電池のプラスとマイナスを逆にすると乾電池が入らないようにする
- 電子メールでの返信が必要とされる受付システムの入力画面で、メールアドレスの入力フィールドを二つ設けて、同一かどうかをチェックする
- 操作に不慣れな人も利用するシステムでは、間違ったデータが入力されることが想定されるので、誤入力が発生しても、プログラムやシステムを異常終了させずに、エラーメッセージを表示して次の操作を促す
- 不特定多数の人が使用するプログラムには、自分だけが使用するプログラムに比べて、より多くのデータチェックの機能を組み込む。プログラムが処理できるデータの前提条件を文書に書いておくだけでなく、その前提条件を満たしていないデータが実際に入力された時は、エラーメッセージを表示して再入力を促すよ うにプログラムを作る
- 例
- 不特定多数の人が使用するプログラムには、自分だけが使用するプログラムに比べて、より多く、データチェックの機能を組み込む。
プログラムが処理できるデータの前提条件を文書に書いておくだけでなく、プログラムについては前提条件を満たしていないデータが入力されたときは、エラーメッセージを表示して再入力を促すものとする
PCI Express
- PCI Express 3.0、PCI Express 4.0及びPCI Express 5.0の比較
- 1レーンの片方向最大転送レートは、PCI Express 4.0はPIC Express 3.0の2倍、PCI Express 5.0はPCI Express 4.0の2倍である
ビヘイビア法
- マルウェアの検出手法
- マルウェアへの感染によって生じるデータの読み込みの動作、書き込みの動作、通信などを監視して、マルウェアを検出する
CRL(Certidicate Revocation List)
- X.509におけるCRL
- 認証局は、有効期限内のデジタル証明書が失効されたとき、とのシリアル番号をCRLに記載する
- 認証局は、有効期限内のディジタル証明書のシリアル番号をCRLに記載することがある
- 有効期限内のディジタル証明書のうち破棄されているディジタル証明書と破棄された日時の対応が提示されたリスト
- 有効期限内のディジタル証明書のうち失効したディジタル証明書と失効した日時の対応が提示されたリスト
- 記載される情報
- 有効期間内に無効となったディジタル証明書のシリアル番号
- 有効期限内に失効したディジタル証明書のシリアル番号
- 利用例
- Webショッピングサイトを安全に利用するため、WebサイトのSSL証明書を表示して内容を確認する
- Webサイトが、EV SSL証明書を採用している場合、存在するサブジェクトフィールドのOrganization Nameに記載されているもの
- Webサイトの運営団体の組織名## デザインパターン
- ソフトウェアの設計で繰り返し用いられる設計の形(パターン)を集積し、整理したもの
- 度々発生する設計上の課題を解決するために繰り返し用いる、オブジェクトやクラスの構造を記述したもの
- システムの構造や機能に付いて、典型的な設計上の問題とその解決策を示し、再利用できるようにしたもの
- 複数のオブジェクトに重複しているメソッドや共通化できるメソッドを、いくつかのパターンにまとめて部品化したもの
- システムの構造や機能について、典型的なメソッドを定義しておくことで、類似した場面で繰り返し利用することができ、生産性や信頼性の向上に役立つ
- 業務をいくつかの類型に分類し、それぞれに対するクラス構造の雛型を設計パターンとして提示したもの
- 再利用性や柔軟性の高いプログラムを設計するために、参考となるオブジェクトの組合せ方をパターンとして分類したものであり、代表的なパターン集としてGoFパターンがある
- システムの構造や機能について、設計上の典型的な問題とその解決策とを示し、再利用できるようにしたものである
- GoFのデザインパターン
- GoF(Gang of Four)の4人によって提唱された23のパターン
- オブジェクト指向開発のためのパターンとして生成、構造、振る舞いの3カテゴリから構成される
- オブジェクト指向開発のためのパターンであって、生成、構造、振舞いの三つのカテゴリに分類される
- GoFのデザインパターンは、生成に関するもの、構造に関するもの、振舞いに関するものに大別できる
- 例
- 生成に関するもの
- Abstract Factort
- Singleton
- 構造に関するもの
- 振る舞いに関するもの
- Iterator
- Strategy
- Observer
- あるオブジェクトの状態が変化したときに、それに依存する全てのオブジェクトに自動的に通知する
- ストラテジパターン
- 処理アルゴリズムを別クラスとして作成するため、アルゴリズムの切替えが簡単になり、戦略の変更に容易に対応できる
- 帳票出力の設計
- 新規フォーマット用のアルゴリズムの追加が容易
- 新規に帳票フォーマットの追加は、“XX帳票出力ストラテジストクラス”を作成するだけで容易に行うことができる
ネットワークアナライザ
- ネットワークのパケットを取得して分析する装置
- トラブル時の原因究明によく利用される
- ミラーポート
- スイッチングハブに用意されているネットワークアナライザを接続するためのポート
- 他のポートでやり取りされているフレームのコピー(ミラー)を受け取ることができるため、ネットワークの監視が行える
ニモニックコード
PLM(Product Lifecycle Management)
- 製品開発、製造、販売、保守、リサイクルに至る製造業のプロセスにおいて、製品に関連する情報を一元管理し、商品力工場やコスト低減を図る
- 自社製品の設計図や部品表などのデータを、企画段階から設計、生産、販売、廃棄、リサイクルに至る全工程で共有し、製品開発力の強化、設計作業の効率化、在庫削減を目指す取組のこと
ビジネスプロセス
- 企業活動をグループ分けしたもので、定型、非定型を問わない
- 企業活動全体を改善するためにビジネスプロセスを再設計する手法がとられるようになってきた
- 一般的に、分析対象のビジネスプロセスは100程度に分類する
CSR(Corporate Social Responsibility;企業の社会的責任)
- 製品の安全性、適切な情報の提供などに加えて、自然環境の保全、地域との融和などを目的とした、企業の社会的責任を重視すること
- 企業活動において経済的成長だけでなく、環境や社会からの要請に対し、責任を果たすことが、企業価値の向上につながるという考え方
- 企業は組織の決定や活動が社会や環境に及ぼす影響に責任を持つこと
- 企業が社会の一員として果たすべき責任
- CSRに基づいた活動
- 原材料の使用量を減らすとともに、消費電力を少なくした製品を提供する
- キャロルによる四つの責任分野に分類したそれぞれの企業活動例
- 経済的責任:法人税の納付
- 法的責任:コンプライアンスの徹底
- 倫理的責任:環境会計の導入
- 社会貢献責任:文化・芸術支援活動
- 製品の安全性、適切な情報の提供などに加えて、自然環境の保全、地域との融和などを目的とした企業の社会的責任
- キャロルによる分類
責任分野 | 企業活動例 |
経済的責任 | 法人税の納付 |
法的責任 | コンプライアンスの徹底 |
倫理的責任 | 環境会計の導入 |
社会貢献責任 | 文化・芸術支援活動 |
- CSR調達
- 自然環境、人権などへの配慮を調達基準として示し、調達先に遵守を求める
- 環境アセスメント
- 環境影響評価
- 大規模開発事業による環境への影響を事前に調査し、予測、評価を行う手続き
- 事業を行うことで環境にどういった影響があるかを調査すること
- グリーン購入
- 製品やサービスを購入する前に必要性を熟考し、環境負荷ができるだけ小さいものを優先して購入すること
- 国や地方公共団体などが、環境への配慮を積極的に行っていると評価されている製品・サービスを選ぶこと
- 経営層のアカウンタビリティ
- 株主やその他の利害関係者に対して、経営活動の内容・実績に関する説明責任を負う
- 環境報告書
- 企業が環境保全に掛けた費用とその効果を定量化して、財務情報として定期的に公表する
- ディスクロージャ(disclosure、情報公開)
- 投資家やアナリストに対して、投資判断に必要とされる正確な情報を、適時にかつ継続して提供する
- 企業が社会的責任を果たすために採るべき施策のうち、環境対策の観点で実施するもの
- グリーン電力証書
- 太陽光、バイオマス、風力、地熱などの自然エネルギーによって発電されたグリーン電力を、市場で取引可能にする証書のことである## 不正競争防止法
- 事業者間の公正な競争を促進するための法律
- 有名な商品と混同させるような表示や模倣商品などが禁止されている
- 他者の営業秘密を不正に取得、使用、売却する行為が禁止されている
- 営業秘密
- 秘密に管理されている(秘密管理性)
- 有用な営業上、技術上の情報である(有用性)
- 公然と知られていないこと(非公知性)
- 不正競争防止法で保護されるもの
- 秘密として管理している、事業活動用の非公開の顧客名簿
- 営業秘密となる要件
- 秘密として管理されていること
- 事業活動に有用な技術上又は営業上の情報であること
- 公然と知られていないこと
- 他人のノウハウを盗んだり、そのノウハウを勝手に自分の商売に使用するなどの不正行為を止めさせる差し止め請求権と、その不正行為によって被った被害に対する損害賠償請求権などを規定した法律
- 不正競争防止法の保護の対象となるのは、トレードシークレット(営業秘密)
- トレードシークレット
- 秘密として管理している
- 技術上または営業上の有用な情報である
- 公然と知られていない
- トレードシークレットの例
- 秘密として管理している事業活動用の非公開の顧客名簿
- 目的
- 事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するため、不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じ、もって国民経済の健全な発展に寄与すること
- 不正競争
- 他人のノウハウを盗んだり、勝手に自分の商売に使用するなどの不正行為によって、他人の営業活動を妨害し、利益を得ようとすること
- 不正競争の範囲
- 不正競争防止法では、他人の形態を模倣した商品を譲渡し、貸し渡し、譲渡もしくは貸し渡しのために展示し、輸出し、または輸入する行為である商品形態模倣行為を不正競争に該当するとしている
- 商品の形態:需要者が通常の用法に従って使用する際に、近くによって認識される商品の外部及び内部の形状、その形状に結合した模様や質感などのこと
- 模倣:他人の商品の形態に依拠して、これと実質的に同一の形態の商品を作り出すこと
- 保護されるもの
- 不正競争の例
- 混同惹起行為
- 他人の商品等表示として需要者の間に広く認識されているものと同一もしくは類似の商品等を表示して使用し、他人の商品または営業と混同を生じさせる行為
- 他人の周知な商品等表示と同一もしくは類似の商品等表示を使用することにより、他人の商品又は営業と混同を生じさせる行為
- 市場において広く知られている他社の商品表示と類似の商品表示を用いた新商品を販売する
- 不正の利益を得る目的で、他社の商標名と類似したドメイン名を登録するなどの行為
- 広く知られた他人の商品の表示に、自社の商品の表示を類似させ、他人の商品と誤認させて商品を販売する
- 著名表示冒用行為
- 他者の著名なブランドイメージや名声などの顧客誘引力にただ乗りする行為
- 誤認惹起行為
- 商品や役務、もしくはその広告や取り引きに用いる書類に、商品などの原産地、品質、内容、製造方法などに誤認を与えるような表示行為
- 商標無断使用行為
- 不正取得使用行為
- 取引先から入手した情報が他社の営業秘密に当たるものであることを知っていながら、自社で使用した
- Webサイトのドメイン名の不正取得や不正使用
- 不正開示行為であることを知って、あるいは重過失により知らないで、営業秘密を取得したり、取得した営業秘密を使用または開示したりする行為
- 営利目的や課外目的をもってなされた行為
- 営業秘密を管理する任務に反して取得する行為
- 視聴機器の技術的制限の無効化等行為
- 営業上用いられている映像や音などにかけられているプロテクト機能を外すための装置などの譲渡
- 技術的制限手段を回避する装置の販売
- 競争者営業誹謗行為
- ライバル会社に関して事実無根の悪い噂を流す行為
- 営業秘密(トレードシークレット)
- 事業活動に有用な技術又は営業上の情報で、秘密として管理されているもの
- 秘密として管理されている事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの
- 秘密として管理されている生産方法、販売方法、その他の事業活動に有利な技術上または営業上の情報であって公然と知られていないもの
- 特許は技術情報を公開した上で保護されるが、トレードシークレットは秘密として管理されていることを条件として保護される
- 営業秘密の3つの要件
- 秘密管理性
- 秘密として管理されていること
- 施錠されている保管室への保管などのように、情報にアクセスできる者が制限されていることが必要となる
- 情報にアクセスした者にその情報が営業秘密であることが認識できるようにされていること(客観認識可能性)が必要である
- 有用性
- 事業活動に有用な技術上又は営業上の情報であること
- 事業活動に有用な技術上または営業上の情報
- 顧客名簿、製造ノウハウ、販売マニュアルなど、客観的に事業活動に利用されている情報や、利用されることによって経費の節約や営業効率の改善などに役立つもの
- 脱税等の反社会的な活動の情報などは有用性がない
- 非公知性
- 公然と知られていないこと
- 第三者が偶然同じ情報を開発し、保有していても、当該第三者も当該情報を秘密として管理している場合などは、非公知となる
- 不正競争防止法で保護される営業秘密の例
- 秘密保持契約を締結した下請業者に対し、部外秘と表示して開示したシステム設計書
- "社外秘"の表示をして施錠したロッカーに保管され、公然とは知られていない生産方法に関する情報
- 秘密として管理している事業活動の非公開の顧客名簿
- 技術上の有用な情報の例
- 設計図、仕様書、検査結果、開発ノウハウ
- 営業上の有用な情報の例
- 顧客情報、価格の算出式、市場調査結果
- 営業秘密の不正取得による不正競争
- 営業秘密を取得後に、不正取得行為の介在を知って、あるいは重過失によって知らずに、取得した営業秘密を使用または開示する行為
- ※重過失とは、結果の予見が極めて容易な場合や、著しい注意義務違反のための結果を予見・回避しなかった場合の過失
- 窃取や詐欺などの不正の手段によって、営業秘密を取得する行為
- 不正取得行為の介在を知って、営業秘密を取得する行為
- 営業秘密の管理
- 人的管理
- 営業秘密の取扱いに関するルールについて、日常的に教育し、研修を行うこと
- 自社の営業秘密の外部への漏洩だけでなく、自社の従業者などによる他社の営業秘密の不正な取得、使用、開示を防止する必要がある
- 物理的管理
- 記録媒体が保管されている施設を適切に管理すること
- 営業秘密にアクセスできるアクセス権者を特定すること
- 記録媒体として管理される営業秘密について、媒体の保管、持ち出し制限、廃棄などを適切に行うこと
- 技術的管理
- 営業秘密の管理方法やバックアップのルールをマニュアルに設定すること
- 記録媒体を特定できない営業秘密の情報に対し、情報へのアクセス権者及びその管理者を特定すること
- 組織的管理
- 自社の営業秘密を適切に管理するためのものと、他者への営業秘密を侵害しないためのもの、2つの側面から管理されることが望まれる
- 企業の経営計画や経営方針または店舗ごとの売り上げや顧客情報などの営業秘密に当たる情報を保護するために、企業とその情報に触れるものとの間で秘密保持契約を締結する
- 民事的措置
- 故意または過失により不正競争を行って他人の営業上の利益を侵害した者は、損害賠償の責任を負うが、その損害の額については、侵害した者がその行為によって受けた利益の額を、侵害された者が受けた損害の額と推定する
- 不正競争を行って他人の営業上の秘密を侵害した者は、故意または過失がある場合に、これによって生じた損害賠償の責任を負う。また、裁判所は、故意または過失によって不正競争を行って他人の営業上の信用を害した者に対して、その営業上の信用を害された者の請求により、損害の賠償に代え、または、損害の賠償 とともに、そのものの営業上の信用を回復するのに必要な措置を命ずることができる
- 不正競争により営業上の利益を侵害される、またはそのおそれがある者は、その侵害の停止または予防を請求できる。また、侵害の行為を組成したもの(侵害の行為により生じたものを含む)の廃棄などを請求することができる
- 営業秘密に係る不正行為に対する差止請求権は、不正競争行為によって営業上の利益が侵害される者が、不正競争行為の事実や行為者を知ったときから3年間のうちに請求を行わないときは、時効によって消滅する
- 刑事的保護
- 人を欺き、人に暴行を加え、または人を脅迫する詐欺行為等、または財物(営業秘密が記載または記録された書面や記録 媒体)の窃取、(営業秘密が管理されている)施設への侵入、不正アクセス行為により取得した営業秘密を、不正競争の目的(不正の利益を得る、保有者に損害 を加える)で、使用しまたは開示したものは、10年以下の懲役または1000万円以下の罰金に処せられ、またはこれを併科される
- 法人の従業者が、営業秘密を不正競争の目的で使用する行為をした場合には、その行為者が罰せられるほか、その法人に対して3億円以下の罰金刑が科せられる
- 日本国内で管理されている営業秘密を海外で使用する行為は、刑事罰の対象となる
- 不正競争防止法において、営業秘密を保有者から示された者が複製を行い、不正の利益を得ようとした場合、営業秘密侵害罪として刑事罰の対象となるのは営業秘密を複製した時点
- 保護の対象としているのは「秘密として管理されている有用な技術上又は営業上の情報であって、公然と知られていないもの」である
- 不正競争行為
- 商標権のない商品名を用いたドメイン名を取得し、当該商品のコピー商品を販売し、利益を取得した
著作権法
- 著作権の保護を対象としている法律
- 著作権
- 著作物ならびに著作者の権利およびこれに隣接する権利
- 著作物
- 思想又は感情を文章や音、絵などで創造的に表現したもの
- 著作権法における著作物に関する記述
- 著作権法では、著作物を「思想または感情を創作的に表現したものであって、文芸、学術、または音楽の範囲に属するもも」と規定している。著作物の例としては、小説、脚本、論文などの言語の著作物、音楽の著作物、舞踊または無言劇の著作物、映画の著作物、プログラムの著作物がある
- 文芸、学術、美術又は音楽の範囲に属する著作物を、その著作者が独占的・排他的に支配して利益を受ける権利
- 二次的著作物
- 著作物の翻訳、編曲、変形、脚色、映画化などにより創作されたもの
- 二次的著作物を他人が創作する場合には、原著作物の著作者の許諾が必要である
- データベース著作物
- 論文、数値、図形などの情報の集合物に対し、電子計算機を用いて検索できるように体系的に構成されたもので、その情報の選択または体系的構成によって創作性を有するもの
- 編集著作物
- 新聞や百科事典のように、その素材の選択または配列によって創作性を有するもの
- 著作権法の保護の対象となる著作物
- インターネットで公開されたフリーソフトウェア
- ソフトウェアの操作マニュアル
- データベース
- コンパイラのプログラム
- 著作権法の保護の対象とならない著作物
- 国または地方公共団体の機関が発する告示、訓令、通達その他これに類するもの
- プログラム言語や規約
- アルゴリズム
- 著作権の存続期間
- 著作権の存続期間は、著作物の創作の時に始まり、著作権法に別段の定めがある場合を除いて、著作者の死後50年を経過するまでの間は存続する。また、共同著作物の場合には、最終に死亡した著作者の死後50年を経過するまでの間は存続する。法人その他団体が著作の名義を有する著作物の著作権は、原則として、その著作物の公表後50年は存続する。一方、映画の著作物の場合は、原則として、映画の公表後70年は存続する。
- 著作者は、諸作物を創作したときに「著作権者」となり、権利取得のために特別な方式を必要としない。なお、著作権は譲渡や相続が可能であるが、著作人格権は一身専属的な権利であるため、他人に譲渡できないし、相続の対象にもならない
- 著作物を創作した時点で権利が発生する
- 個人の著作物の保護機関化終了するのは、著作者の死後50年
- 法人が作成し、公開、販売したソフトウェアの著作権の権利期間は公開から50年
- 権利の発生のために申請や登録の手続を必要としない
- 日本国内においては、著作物に著作権表示が明記されていない場合でも、無断で複製して配布したときには著作権の侵害になる
- 特許権の場合、独自の発明の実施であっても、先に権利を取得した人がいれば権利の侵害になるが、著作権では、独自の創作であれば、結果として同じものを創作しても権利の侵害にはならない
- 著作権者の許諾なしに公衆に情報を送信する行為は、サーバに情報を蓄積するか否かにかかわらず権利侵害となる
- 創作された表現を保護する権利であり、著作物を創作した時点で成立し、著作者の死後50年を経過するまでの間存続する
- 映画の著作物の保護期間は公表後70年となっている
- ソフトウェア/プログラムの著作権
- 特徴
- プログラム中のアイデアやアルゴリズムは保護しないが、プログラムのコード化された表現を保護する
- 機能を実現するために必要なソフトウェアとして作成されたプログラムは保護の対象となる
- ソフトウェアには、著作権の移転や権利の設定にかかわる登録制度が設けられている
- ソースプログラムとオブジェクトプログラムの両方とも著作権法によって保護される
- インターネットで公開されたフリーソフトウェア、ソフトウェアの操作マニュアル、データベースは保護の対象
- 著作物を作成するために用いるプログラム言語や規約(アルゴリズム)は、著作権法による保護の対象外
- 使用許諾契約の場合、使用者は著作権を取得できない
- 著作権の帰属
- 特に取り決めのない場合、労働者派遣契約によって派遣された派遣労働者が派遣先企業の指示の下に開発したプログラムの著作権の帰属先は派遣先企業にある
- 開発されたプログラムの著作権の帰属に関する規定が契約に定められていないとき、著作権の原始的な帰属は請負の場合は発注先に、派遣の場合は派遣先に帰属する
- A社は、B社と著作物の権利に関する特段の取決めをせず、A社の要求仕様に基づいて、販売管理システムのプログラム作成をB社に依頼した場合のプログラム著作権の原始的帰属
- プログラム開発における職務上の著作について、就業規則などに特段の取決めがない限り、権利は法人に帰属する
- 法人の発意に基づき、その法人の従業員が職務上作成するプログラムの著作権は、別段の定めがない限り、その法人が著作者となる
- 改変が認められているフリーソフトウェアを改変した場合、改変部分の著作権は改変者の著作物となる
- 適法の例
- 他人の著作物であるプログラムを購入し、自社のパソコンでより効果的に利用するために(パフォーマンスを上げるために)改変を加える事
- 処理速度の向上など、購入したプログラムを効果的に利用するための改変
- 購入したソフトウェアをバックアップコピーする
- 著作者の了解を得ないで、購入したCDの楽曲を自分のPCにコピーし、PCで毎日聴いている
- インターネットの掲示板で議論されていたアイディアを素にプログラムを作成した
- 学生のころに自分が作成したプログラムを使い、会社業務の作業効率を向上させるためのプログラムを作成した
- 購入した書籍に掲載されていた流れ図を基にプログラムを作成した
- A社が開発したソフトウェアの公開済みプロトコルに基づいて、A社が販売しているソフトウェアと同等の機能を持つソフトウェアを独自に開発して販売した
- 他人のソフトェアを正当な手段で入手し、逆コンパイルを行った
- 複製及び改変する権利が付与されたソース契約の締結によって、許諾されたソフトウェアを改造して製品に組込み、ソース契約の範囲内で製品を販売した
- 違法の例(著作権侵害)
- 使用許諾を受けている購入プログラムを、著作者に無断でコピーし、子会社に使用させた場合、著作権法に抵触するおそれがある
- 海賊版を複製したプログラムと事前に知りながら、業務で使用した
- 業務処理用に購入したプログラムを複製し、社内教育用として各部門に配布した
- 職務著作のプログラムを、作成した担当者が独断で複製し協力会社に貸与した
- 違法な複製を防止する技術的保護手段を解除しコピーする行為やそのためのツールを製造・販売・配布する行為
- 著作者の承諾を得ないで雑誌に掲載されていた漫画を記録媒体に記憶させて、インターネット上に公開し、ファイル共有ソフトによって、不特定多数の者に自動公衆送信できるようにした場合
- ある自社製品のパンフレットで使用しているスポーツ選手の写真を、撮影者に無断で、ほかの自社製品のパンフレットに使用する
- 新聞の写真をスキャナで取り込んで、提案書に記載する
- ユーザ団体の研究会のように限られた対象者に対し、雑誌の記事をコピーして配布する
- インターネットからダウンロードしたHTMLのソースを流用して、別のWebページを作成した
- ソフトウェアハウスと使用許諾契約を締結し、契約上は複製権の許諾は受けていないが、使用許諾を受けたソフトウェアにはプロテクトがかけられていたので、そのプロテクトを外し、バックアップのために複製した
- webページの著作権
- 特定の分野ごとにWeb ページのURLを収集し、簡単なコメントをつけたリンク集は、著作権法で保護される
- マルチメディアの素材集(画像データや効果音など)をソフトウェア販売店で購入し、自社の Web ページ作成時に利用しても、使用許諾の範囲内で使用していれば、著作権法違反にはならない
- Webページを作成する際、著作権者に確認せずに行った著作物利用
- 適切なもの
- 車の販売台数を説明するために、通商白書の統計データをそのまま使って図表化し、Webページに活用した
- 経済白書の記載内容を説明の材料として、出所を明示してWebページに転載する
- 不適切なもの
- カーテン記事のカタログに掲載された図柄が、著名デザイナ制作のもので、背景に適切だったので、スキャナで取り込んで、色を変更して活用した
- 最新情報を提供するために、新聞の写真をスキャナで取り込んで活用した
- 雑誌のイラストを加工して、Webページ上の自社広告に活用した
- 保護の対象
- 表現された著作物
- プログラム、データベース、ホームページ
- 保護の対象外
- アイデア、ノウハウ、アルゴリズム(解法)、プログラム言語、規約など
- 権利期間
- 個人帰属
- 作成した時点で自動的に発生する
- 実名個人は死後50年間、無記名個人は公表後50年間
- 法人帰属
- 帰属の例(プログラムの作成)
- 従業員が職務上作成:原則として法人
- 請負契約:原則として請負側
- 派遣契約:派遣先
- 共同開発:共同著作物となり、原則として共同開発者双方
- 著作財産権
- 契約書に記載があれば譲渡できる
- 複製権、上演権などがある
- 著作者人格権
- 著作者人格権は著作者に専属し、他者には譲渡できない
- 契約書に記載があっても譲渡できない
- 公表権、氏名表示権、同一性保持権の3つがある
- 著作隣接権
- プログラム開発において、法人の発意に基づく法人名義の著作物について、著作権法で規定されているもの
- 就業規則などに特段の取り決めがない限り、権利は法人に帰属する
- 著作権法によるソフトウェアの保護範囲
- ソースプログラムとオブジェクトプログラムの両方とも著作権法によって保護される
- 著作権法による保護の対象となるもの
- 組込み機器用のソフトウェアを開発委託する契約書に開発成果物の著作権の帰属先が記載されていない場合、委託元であるソフトウェア発注者に発生するおそれがある問題はどれか、ここで、ソフトウェアは委託先が全て自主開発するものとする
- 開発成果物を、委託元で開発する別のソフトウェアに適用できなくなる
- Webページの著作権
- 特定の分野ごとにWebページのURLを収集し、独自の解釈を付けたリンク集は、著作権法で保護される
- プログラムの著作物について、著作権法上、適法である行為
- 処理速度を向上させるために、購入したプログラムを改変した
- 保護の対象となり得ないもの
- 保護の対象となるもの
- インターネットで公開されたフリーソフトウェア
- ソフトウェアの操作マニュアル
- データベース
- ソースプログラムとオブジェクトプログラム
- 特定の分野ごとにWebページのURLを収集し、独自の解釈を付けたリンク集
- プログラムの著作物において、著作権法上、適法である行為
- 処理速度を向上させるために、購入したプログラムを改変した
- 自社開発したソフトウェアの他社への使用許諾
- 使用許諾の契約は特許法ではなく、著作権法の範囲になるため、特許で保護された技術を使っていないソフトウェアであっても、使用許諾することは可能
- A社が著作権を保有しているプログラムで実現している機能と、B社のプログラムが同じ機能をもつとき、A社に対するB社の著作権侵害に関する記述のうち、適切なもの
- A社のソースコードを無断で使用していると、著作権の存続期間内は、著作権侵害となる
- 公衆への提供などが行われた他人の著作物をAIの学習データとして利用する行為に関して、著作権法に照らして適切なもの
ただし、著作物の利用は、AIによる情報解析の範囲で行われ、著作物に表現された思想又は感情を享受することを目的とするものではない
また、日本国内で作成された著作物を日本国内で利用する場合であり、利用者と著作権者との間で特段の契約は存在しないものとする
- 著作権者の利益を不当に害さない場合、その必要と認められる限度において、商業利用であるか否かを問わず、著作権者の許諾なくAIの学習に利用できる
- 企業が請負で受託して開発したか、又は派遣契約によって派遣された社員が開発したプログラムの著作権の帰属に関して契約に定めがないとき、著作権の原始的な帰属
- 請負の場合は発注先に帰属し、派遣の場合は派遣先に帰属する
- 企業間で、商用目的で締結されたソフトウェアの開発請負契約書に著作権の帰属が記載されていない場合、著作権の帰属先
ゲーム理論
- 企業の活動をゲーム(定められたルールに従う競争)に見立て、戦略の決定に役立てる理論
- 競争相手がいる領域での戦略策定にはゲーム理論を応用する
- 戦略決定の順序
- 複数の戦略案を決定する
- 戦略案ごとに得られる利益を予測する
- 意思決定原理を適用して、採るべき戦略を決定する
- 意思決定原理
- マクシミン原理(ミニマックス原理/ミニマックスリグレット原理/ミニマックス後悔原理)
- 戦略案ごとの「最悪の結果」に注目し、最良の結果を与える戦略を選択する
- 「最悪の結果」を最大にする戦略
- 最悪の場合の利益が最大になるものを選択する
- マクシマックス原理
- 戦略案ごとの「最良の結果」に注目し、最良の結果を与える戦略を選択する
- 最良の場合の利益が最大になるものを選択する
- 「最良の結果」を最大にする戦略
- 一定の制約やルールに基づいて相互作用を及ぼしあう複数、または単独の行動主体の振る舞いをゲームとみなし、行動主体間の利害の対立と協力の関係に関して研究する応用数学の一分野
- ゲーム理論を使って検討するのに適している業務
- ナッシュ均衡
- 非協力ゲームのモデルであり、相手の行動に対して最適な行動をとる行動原理の中で、どのプレイヤーも自分だけが戦略を変更しても利益を増やせない戦略の組合せ状態
アジャイル開発
- 小さな単位で実装とテストを繰り返す開発方法
- ユーザの立場に立って、スピードを強く意識した開発手法
- 短時間で変化する要求や仕様に柔軟に対応できるように、比較的小さなチームが制約の緩い作業手順で、短期間の作業を繰り返しながらシステムを開発する手法の総称
- ウォータフォールなどの従来の方法に比べて開発期間が短縮されるためアジャイル(agile:俊敏な)と呼ばれる
- 開発中に仕様変更や問題が発生することを前提とし、計画段階での仕様の決定は大まかなものにとどめる
- 開発中に仕様変更や問題が発生することを前提としているため、計画段階での使用の決定は、大まかなものにとどめ、設計、実装、テスト、リリースを1~2週間で反復して開発を進める
- アジャイル開発のプラクティスの一つである"ふりかえり(レトロスペクティブ)"を行う適切なタイミング
- アジャイル開発プロセスにおいて、Bill Wakeが提案した"INVEST"と呼ばれる六つの観点を用いて行うこと
- 質の高いユーザストーリとなっているかどうかを評価する
- イテレーション
- 小さな単位で設計、実装、テスト、リリースを反復すること
- 仕様変更や問題に素早く柔軟に対応でき、開発期間も短縮できる
- ソフトウェアに存在する要求との不一致を解消したり、要求の変化に柔軟に対応したりする
- 開発を進める反復の単位
- 1~2週間で、小さな単位で設計→実装→テスト→リリース、を反復する
- 仕様変更や問題に素早く柔軟に対応でき、開発期間も短縮できる
- プラクティス
- リファクタリング
- バーンダウンチャート
- アジャイル開発におけるプラクティスの一つである
- 縦軸に作業量、横軸に時間を割り当て、残りの作業量をグラフにする
- 時間が進むと残りの作業量が減っていくので、右肩下がりのグラフになる
図中の破線は予定又は予想を、実践は実績を表す
プロジェクトの時間と残り作業量をグラフ化したもの

- ペアプログラミング ( pair programing )
- 2人のプログラマが1台のコンピュータで共同でソフトウェア開発を行う手法
- プラクティスの一つに取り入れられている
- 品質の向上や知識の共有を図るために、2人のプログラマがペアとなり、その場で相談したりレビューしたりしながら、一つのプログラムの開発を行う
- テスト駆動開発
- 開発するソフトウェアの各機能について、最初にテストを設計し、そのテストに通る最小限のプログラムコードの実装を行う方法
- アジャイル型開発プロジェクトの管理
- ベロシティ
- チームの生産性の測定単位であり、定められた期間で製造、妥当性確認、及び受入れが行われた成果物の量を示すものである
- DONE率
- 完了待ちのプロダクト要求事項と成果物を組み合わせたものをビジネスにおかえう優先度順に並べたものである
- 状態別タスク数
- 定められた期間で完了した作業量と残作業量をグラフにして進捗状況を表すものである
- サイクルタイム(リードタイム)
- 開発規模を見積もる際の規模の単位であり、ユーザストーリ同士を比較し、相対的な量で表すものである
- アジャイル開発手法
- スクラム
- プロダクトオーナなどの役割、スプリントレビューなどのイベント、プロダクトバックログなどの作成物、及びルールから成るソフトウェア開発のフレームワークである
- XP(Extreme Programing、エクストリーム・プログラミング)
- コミュニケーション、シンプル、フィードバック、勇気、尊重の五つの価値を基礎とし、テスト駆動型開発、ペアプログラミング、リファクタリングなどの4つの分類と19個のプラクティスを適用する
- ユーザー要求や仕様の変更リスクを軽減するために、顧客や開発者間のコミュニケーションを重視し、コーディングとテスト、リファクタリング(コードの書き直し)に重点を置いて、短期間のリリースを繰り返して開発を進めていくソフトウェア開発方法論
- アダプティブライフサイクル
- 推測(プロジェクト立上げ、適応サイクル計画)、協調(並列コンポーネント開発)、学習(品質レビュー、最終QA/リリース)のライフサイクルをもつ
- FDD(Feature Driven Development、フィーチャ駆動型開発、ユーザ機能駆動開発)
- モデルの全体像を作成したうえで、優先度をつけた詳細なフィーチャリストを作成し、フィーチャを単位として計画し、フィーチャ単位に設計と構築を繰り返す
- アジャイルソフトウェア開発のフレームワークで5つのプロセスと8個のプラクティスを適用して、利用者にとって価値のある機能のかたまり(フィーチャ)ごとに開発を行う
- 不確実なビジネス環境において変化するニーズに迅速に対応することを目的とするソフトウェア開発手法
- 特徴
- 顧客の参画度合いが高い
- 反復・漸進型である
- 動くソフトウェアを成長させていく
- 開発前の固定の要求を前提としない
- ベロシティ
- 固定の期間中に、そのチームが達成できる要求のボリューム・作業量
- プロダクトバックログ
- プロダクトとして実現したいことを優先順位付けしてリストにしたもの
- ストーリポイント
- 顧客の要求であるユーザストーリを見積もるための単位
- バーンダウンチャート
- 未実現の機能や作業を時間軸に沿って折れ線グラフ化したもので、進捗を把握できる
- アジャイル開発プロセスにおいて、Bill Wakeが提案した"UNVEST"と呼ばれる六つの観点を用いて行うこと
- 質の高いユーザストリーとなっているかどうかを評価する
- アジャイル開発プロジェクトの状況について、振り返りで得られた教訓のうち、"アジャイル宣言の背後にある原則"に照らして適切なもの
[プロジェクトの状況]
イテレーション1~6から成る開発を計画し、イテレーションごとに動くソフトウェアのデモを顧客に対して実施することによって、進捗状況を報告していた。イテレーション4のデモの後に顧客から機能追加の要求が提示された。顧客と対面による議論を行った結果、その要求に価値があると判断し、機能追加を受け入れることにした。機能追加を行うことによって、追加機能を含むイテレーション5の全機能の完成が間に合わなくことが分かったので、イテレーション5の帰還を延長してこの機能追加を行うことにした。イテレーション5で予定してた全ての機能を実装してイテレーション5のデモを行ったときに、追加した機能の使い勝手に問題があることが分かった。その時点で、当初予定した開発期間は終了した
- 追加機能を含む機能の優先順位を顧客と合意し、イテレーション5の期間を延長せずに、優先順位の高い機能から開発すべきであった
WTO政府調達協定
- 政府機関などによる物品・サービスの調達において、締約国に対する市場開放を進めて国際的な競争の機会を増大させるとともに、苦情申立て、協議及び紛争解決に関する実行的な手続きを定めたものである
- WTO政府調達協定の目的は、政府調達における国際的な競争の機会を増大させるとともに、政府調達をめぐる締約国間の問題につき円滑な解決を図ることである
- ISO、IEC、ITUなどの国際標準に適合した製品を製造及び販売する利点
- WTO政府調達協定の加盟国では、政府調達は国際標準の仕様に従って行われる
JISEC(Japan Information Technology Security Evaluation and Certification Scheme;ITセキュリティ評価及び認証制度)
- IT関連製品のセキュリティ機能の適切性・確実性を、セキュリティ評価基準の国際標準であるISO/IEC 15408に基づいて第三者が評価し、その評価結果を認証機関が認証する、日本の制度
- 政府調達においてIT関連製品のセキュリティ機能の適切性を評価、認証する
- ISO/IEC 15408を評価基準とする
- 情報技術に関連した製品のセキュリティ機能の適切性、確実性を第三者機関が評価し、その結果を公的に認証する制度
- 日本のITセキュリティ評価及び認証制度
- 保護するべき資産、対抗すべき脅威、適用すべき環境が具体化できるIT製品だけが制度の対象である
HTTP
- HTMLを送受信するためのプロトコル
- 下位プロトコルとしてTCPを使う
- well-knownポートとしてTCP80番が予約されている
- Webクライアント(ブラウザ)とWebサーバ間で対話型の通信を行う
- HTML以外のデータの送受信にも使われる
- Webサーバとクライアント(Webブラウザなど)がHTML文書などのデータを送受信するのに使うプロトコル
- プロキシサーバ経由でインターネットにアクセスすると、ホストとプロキシサーバ間、プロキシサーバとWebサーバ間にHTTPのセッションが確立する
http://host.example.co.jp:8080/file
で示されるURLの説明
- http:はプロトコルとしてHTTPを使用して参照することを示している
- HTTPの認証機能を利用するクライアント側の処理
- ベーシック認証では、利用者IDとパスワードを”:”で連結したものを、BASE64でエンコードし、Authorizationヘッダで指定する
- HTTPのヘッダ部で指定するもの
- WebサーバとWebブラウザ間の状態を管理するクッキー(Cookie)
- 関連するプロトコル
- SGML
- HTMLのベースとなった構造化文書記述言語
- 厳密で扱いにくい
- タグを独自に定義できる
- 利点:高機能、高汎用性
- 欠点:厳密な運用が必要、使いにくい
- XML
- SGMLベースの記述言語
- 扱いやすく、利用者がタグを独自に定義できる
- 利点:高機能、高汎用性
- 欠点:SGMLと比較すると簡易だが、定義等は自分で行う
- HTTPの通信
- クライアントがコマンドを送信し、サーバがそれに返答する対話型で通信プロセスが進んでいく
- HTTPメソッド
- 通信に用いるコマンドのこと
- Webサーバへの情報送信はPOSTを基本に設計されている
- GETは引数を渡すために使われる
- 通常、Webページの取得はGETコマンドを使って行われる
- バージョン情報の交換も行われ、合致しない場合は互いに使えるバージョンをすり合わせる
- HTTP 1.1以降では伝送終了後もコネクションを維持するキープアライブ機能が実装された
- GETはURLの一部なので暗号化されていなかったりログに残る
- GETの実装は必須、POSTはオプション
- GET
- 指定したURLのデータを取得する
- バージョン情報の交換も行う
- URLの一部にクエリストリングとして情報を埋め込む
- HEAD
- PUT
- DELETE
- POST
- 指定URLにデータを送信する
- メッセージのボディに情報を埋め込む
- CONNECT
- 送信元と宛先の間にトンネルを作る(プロキシサーバ上を透過させたいときに使う)
- HTTPレスポンス
- クライアントの要求に応えて返信される
- 200~300番台:肯定的なレスポンス
- 400番台:クライアント起因のエラー
- 401:Unauthorized
- 403:Forbidden
- 404:Not Found
- 414:Request-URI Too Large
- 500番台:サーバ起因のエラー
- 500:Internal Server Error
- 504:Gateway Time-out
- 505:HTTP Version not supported
- エラーの例
- PCからWebサーバにHTTPでアクセスしようとしたところ、HTTPレスポンスのステータスコードが404、説明文字列が”Not Found”のエラーとなった。Webサーバに、URLで指定したページが見つからなかった。ブラウザでインターネットのWebページのURLを
http://www.jitec.ipa.go.jp/
のように指定すると、ページが表示されずにエラーが表示された。ところが、同じページのURLをhttp://118.151.146.137/
のようにIPアドレスを使って指定すると、ページは正しく表示された。このような現象が発生する原因の一つとして考えられるもの。ここで、インターネットへの接続はプロキシサーバを経由しているものとする。
- HTTP応答のステータスコードで、指定されたURLにはコンテンツがなく、別のURLへアクセスし直すようにWebブラウザに促す(リダイレクトさせる)ことを意味するコード
ここで、左側の3桁の数字がステータスコードで、右側の語句はHTTP応答のステータス行にステータスコードとともに示される説明メッセージである
- Webサーバから送信されるHTTPヘッダーのうち、Webサーバからの応答の内容を、Webブラウザやプロキシサーバなどのキャッシュに保存させないようにするもの
AES(Advanced Encryption Standard)
- 共通鍵暗号方式
- 鍵長によって、段数(処理の回数)が決まる
- データベースで管理されるデータの暗号化に用いることができ、かつ、暗号化と複合で同じ鍵を使用する暗号化方式
- 無線LANを利用するとき、セキュリティ方式としてWPA2を選択することで利用される暗号化アルゴリズム
- 米国NISTが制定した、AESにおける鍵長の条件
- 128ビット、192ビット、266ビットから選択する
- PCとサーバの間でIPsecによる暗号化通信を行う。ブロック暗号の暗号化アルゴリズムとしてAESを使うとき、用いるべき鍵
- 鍵長(128,192,256ビット)によって段数が決まる
- DESの後継となる米国政庁標準の共通鍵暗号方式
- NISTによる審査の結果、ベルギーのJoan Daemen氏とVincent Rijmen氏が開発した「Rijndael」(レインダール)という方式が選ばれた
- ブロック長は128ビットで使用する鍵の長さは128/192/256ビットの中から選択できる
- 暗号技術のうち、共通鍵暗号方式
- AES-256で暗号化されていることが分かっている暗号文が与えられているとき、ブルートフォース攻撃で鍵と解読した平文を得るまでに必要な試行回数の最大値
モジュール結合度
- カップリング(coupling)ともいう
- インタフェースの点から見た指標で、モジュールの機能を実現するために必要十分な、影響範囲の限られた、単純なデータやフラグがやり取りされるかどうかを見る
- モジュール結合度は、異なるモジュール同士の関連度合いを示す尺度で、結合度の弱いモジュールほど独立性が高い
- モジュールの変更による影響を少なくするためには、モジュール間の関連性をできるだけ少なくして独立性を高くすることが重要
- モジュールの独立性を高めるには、一つのモジュールは一つの機能に限定し、モジュール結合度を弱くする必要がある
- 一般的に弱い方が良いとされる
- ソフトウェアのモジュールの独立性を評価する方法
- モジュール同士がどのような関係で他のモジュールを利用するかによって、6つの結合方法に分類される
- 結合度が弱いほど、独立性は高くなる
- モジュール結合度の分類(強度:1強・・・6弱 独立性:1低・・・6高)
- 内容結合
- モジュール間インタフェース(データの受渡し方):特殊(例外的)
- あるモジュールが他のモジュールの内容を直接参照する、または他のモジュールに直接分岐する
- 他のモジュールの内部を直接参照したり、一部を共有する
- 共通結合
- モジュール間インタフェース(データの受渡し方):大域的データ(グローバル)
- データ構造を大域的データ(共通域)として共用
- 不要なものまで公開してしまう
- 共通域に定義したデータを、関係するモジュールが参照する
- 大域的なデータを参照するモジュール間の関係
- 外部結合
- モジュール間インタフェース(データの受渡し方):大域的データ(グローバル)
- 構造を持たない大域的データ(外部宣言したデータ)を共用
- 必要なものだけ公開する
- 必要なデータだけを外部宣言して共有する
- 制御結合
- モジュール間インタフェース(データの受渡し方):引数(パラメータ)
- 制御情報(機能コード、スイッチなど)を引数として受け渡し、相手のモジュールに影響を与える
- 呼出し側が内部論理を知る必要がある
- 制御パラメータを引数として渡し、モジュールの実行順序を制御する
- スタンプ結合
- モジュール間インタフェース(データの受渡し方):引数(パラメータ)
- 構造を持つ引数(構造体など)を受け渡す
- ブラックボックス化可能な形態
- 不要なものまで受け渡す
- 構造体のポインタを引数にして渡すが、相手のモジュールに不要なデータも混在する
- データ結合
- モジュール間インタフェース(データの受渡し方):引数(パラメータ)
- 構造を持たない引数(単なるデータ項目:スカラ型データ要素)を受け渡す
- ブラックボックス化可能な形態
- 構造化設計で目標とするモジュール結合度
- 二つのモジュール間で必要なデータ項目だけをモジュール間の引数として渡す
- 呼び出す側と呼び出される側のモジュール間のデータの受け渡しは、引数としてデータ項目を列挙する
- 単一のデータ項目を引数で受け渡すモジュール
- 入出力に必要なデータ項目だけをモジュール間の引数として渡す
- モジュール間の情報の受渡しがパラメタだけで行われる
マスカスタマイゼーション
- 大量生産にオーダメイドの特徴を取り入れた生産方式
- 大量生産・大量販売によるコストダウンを生かしつつ、顧客の要望や好みに応じる製品やサービスを提供する
- 大量生産・大量販売のメリットを生かしつつ、きめ細かな仕様・機能の取り込みなどによって、顧客一人一人の好みに応じられる製品やサービスを提供しようとること
- IoTを活用したビジネスモデル
- 眼鏡メーカーが、店内で顧客の顔の形状を3Dスキャナーによってデジタル化し、パターンの組み合わせで顧客に合ったフレーム形状を設計する。その後、向上に設計情報を送信し、パーツを組み合わせてフレームを効率的に製造する
エッジコンピューティング
- IoTの技術として注目されている
- 演算処理のリソースをセンサー端末の近傍に置くことによって、アプリケーション処理の低遅延化や通信トラフィックの最適化を行う
- クラウドを使わず、IoTデバイスの近くやIoTデバイスの中にあるコンピュータでデータを処理すること
- インターネットを介してIoTデバイスから離れたクラウドのサーバでデータを処理するクラウドコンピューティングという形態は大量のデータ処理に適しているが、クラウドとの通信に時間がかかり遅延が生じる可能性があるため、クラウドを使わずIoTデバイスの近くやIoTデバイスの中にあるコンピュータでデータを処理すること
- 処理のリソースを端末の近くに置くことによって、アプリケーション処理の低遅延化や通信トラフィックの最適化ができる
- IoTの情報処理を遠隔地ではなく、端末の装置の近くで行う形態
- 演算処理のリソースをセンサ端末の近傍に置くことによって、アプリケーション処理の低遅延化や通信トラフィックの最適化を行う
- エッジ(edge)
- IoTデバイスで収集したデータを回線に送り出すポイントのこと
WAF(Web Application Firewall;Webアプリケーションファイアウォール)
- Webアプリケーションへの攻撃を監視し阻止する
- Webアプリケーションの脆弱性を悪用した攻撃を検出し、それらの攻撃からWebアプリケーションを保護する仕組みで、攻撃による影響を軽減する
- Webサイトに対するアクセス内容を監視し、攻撃とみなされるパターンを検知したときに当該アクセスを遮断する
- 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な通信を遮断する
- Webアプリケーションに対するアクセスを監視し、不正アクセスを遮断する機器
- Webアプリケーションに対するアクセスを監視するファイアウォール
- WAFの持つサニタイジング昨日は、SQLインジェクションやコマンドインジェクション、クロスサイトスクリプティングなどで入力された不正コマンドを無効化するので、WAFの設置は不正アクセスに対してきわめて有効である
- 検査機能
- HTTP要求およびHTTP応答を検査し、攻撃を検出する
- 処理機能
- 検査機能によって検出された攻撃を処理する機能
- 通信の遮断、エラーページの送信、不正部分の書換えなどを行う
- ログ機能
- 定義されたパターンを用いて機械的に通信内容を検査するため、正常な通信を防御する偽陽性(false positive)、攻撃を正常な通信とみなす偽陰性(false negative)といった誤りが発生する
- ブラックリスト
- Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し、攻撃であると判定した場合には、その通信を遮断する
- ブラックリストは、問題がある通信データパターンを定義したものであり、該当する通信を遮断又は無害化する
- Webアプリケーションを守ることに特化したセキュリティ機器
- Webアプリが使うL7(アプリケーション層)のデータを参照する
- 汎用的なゲートウェイと箱kとなる
- 特定のWebアプリの脆弱性を保護できる
- 他のアプリケーションや異なるレイヤの脅威には対応しない
- httpsを復号して通信内容をチェックする
- ポジティブモデル
- 通信原則拒否
- 条件に一致する通信(ホワイトリスト)のみ例外的に許可する
- ネガティブモデル
- 通信原則許可
- 条件に一致する通信(ブラックリスト)のみ例外的に拒否する
- Webサーバへの不正アクセスなどの攻撃を防止するファイアウォール
- Webサーバの通信内容を解析しSQLインジェクションやクロスサイトスクリプティングなどの攻撃も防ぐ
- 図のような構成と通信サービスのシステムにおいて、Webアプリケーションの脆弱性対策としてネットワークのパケットをキャプチャしてWAFによる検査を行うとき、WAF(通信を暗号化したり、複合したりする機能はない)の設置場所として最も適切な箇所
- Webサーバ及びWebアプリケーションに起因する脆弱性への攻撃を遮断する
- SQLインジェクションによるWebサーバへの攻撃を防ぐ
- Webアプリケーションへの攻撃を監視し阻止する
- クライアントとWebサーバの間において、クライアントからWebサーバに送信されたデータを検査して、SQLインジェクションなどの攻撃を遮断する
- 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して、不正な操作を遮断する
- Webサーバ及びアプリケーションに起因する脆弱性への攻撃を遮断する
- ホワイトリスト
- ホワイトリスト方式では、正常な通信の検出パターンがホワイトリストに登録されており、通信がホワイトリストに該当しないとき、不正な通信と判定する
- ブラックリスト
- 問題のある通信データパターンを定義したものであり、当該する通信を遮断するか又は無害化する
- Webアプリケーションの脆弱性を悪用する攻撃に含まれる可能性が高い文字列を定義し、攻撃であると判定した場合には、その通信を遮断する
- ブラックリストは、問題がある通信データパターンを停止したものであり、該当する通信を遮断するか又は無害化する
- アクセス制御の考え方
- ポジティブセキュリティモデル
- 通信原則拒否
- 条件に一致する通信(ホワイトリスト)のみ例外的に許可
- デフォルトではすべて「拒否」する状態であり、そこに許可するルール(ホワイトリスト)を登録する
- ネガティブセキュリティモデル
- 通信原則許可
- 条件に一致する通信(ブラックリスト)のみ例外的に拒否
- デフォルトではすべて「許可」する状態であり、そこに拒否するルール(ブラックリスト)を登録する
- フォールスポジティブ
- HTMLの特殊文字"<"を検出したときに通信を遮断するようにWAFを設定した場合、"<"などの数式を含んだ正当なHTTPリクエストが送信されたとき、WAFが攻撃として検知し、遮断する
- システム性能の計画を行わないとWAFがボトルネックになってシステムのスループットが悪化することがある
- XSS、SQLインジェクション、OSコマンドインジェクション、セッションハイジャックなど、Webアプリケーションに対する攻撃を検知・排除することでセキュアなWebアプリケーション運用を実現する製品
- SSLアクセラレータ機能や負荷分散機能を備えている機種もある
- SSL/TLSで暗号化されたパケットを復号して攻撃を検知/遮断できる
- Webサイトに対するアクセス内容を監視し、攻撃とみなされるパターンを検知したときに当該アクセスを遮断する
- Webアプリケーションへの攻撃を検知し、阻止する
- Webサーバが持つ脆弱性対策に特化した、特に大規模なWebアプリケーションが持つ脆弱性をすぐには修正できないときに有効
- リバースプロキシの一種として振る舞いHTTP(TLS)通信を一旦復号しての解析も行える
- Webアプリを守ることに特化している
- 特定のwebアプリの脆弱性を保護できる半面、他のアプリケーションや異なるレイヤの脅威には対応しない
- WAFによる防御が有効な攻撃
- REST APIサービスに対するAPIの脆弱性を狙った攻撃
- XSS、SQLインジェクションなど、Webアプリケーションに対する攻撃を検知・排除する製品
- 一般的なWAFには、SSL暗号化/復号機能や負荷分散機能が内蔵されているため、SSLアクセラレータ、ロードバランサを併用することなくWebサイトを運用することも可能
- リバースプロキシ型のWAFを経由したリクエストは、発信元の情報がWAFに置き換えられるため、Webサーバのアクセスログ上では実際の発信者を特定できなくなるため、WAFによっては実際の発信者のアドレスを引き継いで渡す機能もある
VRRP(Virtual Router Redundancy Protocol;仮想ルータ冗長プロトコル)
- IPネットワークにおいて、クライアントの設定を変えることなくデフォルトゲートウェイの障害を回避するために用いられるプロトコル
- ルータを冗長化するために用いられるプロトコル
- 複数のルータを接続し、1台のルータのように振る舞わせるプロトコル
- VRRPグループIDという番号をつけ、同番号のルータ同士がVRRPグループを構成する
- 何台でVRRPグループを構成しても、その中で使われるルータは1台(マスタルータ、プライオリティ値の高いものが選ばれる)で、それが故障したときに同グループ内の別のルータが処理を引き継ぐ
- 1台のルータが複数のVRRPグループに参加できる
- 同一のLANに接続された複数のルータを、仮想的に1台のルータとして見えるようにして冗長構成を実現するプロトコル
- VRRPの動作しているルータのうち1台がマスタとなり、マスタルータは仮想のIPアドレス及びMACアドレスを使用して動作する
- マスタに対して通信障害が発生した場合、バックアップルータがマスタとなり仮想IPアドレス/MACアドレスを引き継ぐ
- クライアントは、仮想IPアドレスをデフォルトゲートウェイとして設定することで、クライアントはそのIPアドレスのMACアドレスをARPテーブルに保持するが、VRRPのマスタがバックアップに切り替わってもデフォルトゲートウェイのMACアドレスを使い続けることが可能であり、クライアントはデフォルトゲートウェイが切り替わったことを意識する必要がない
ICカード
- 耐タンパ性を高める対策
- 信号の読出し用プローグの取付けを検出するとICチップ内の保存情報を消去する回路を設けて、ICチップ内の情報を用意に解析できないようにする
- ICカードとPINを用いた利用者認証における適切な運用
- PINは、ICカードの配送には同封せず、別経路で利用者に知らせる
- PIN(personal identification number):暗証番号、パスワード
DNSSEC
- 機能
- DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する
- DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証
- ディジタル署名を用いて、応答レコードの正当性、完全性を確認する方式
- DNSキャッシュポイズニング攻撃への有効な対策となる
- ディジタル署名によってDNS応答の正当性を確認できる
- DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する
- DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証ができる
- 公開鍵暗号方式によるディジタル署名を用いることによって、正当なDNSサーバからの応答であることをクライアントが検証できる
- DNSサーバから受け取るリソースレコードに対するディジタル署名を利用して、リソースレコードの送信者の正当性とデータの完全性を検証する
- DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証
- リゾルバが、リソースレコードの受信時にデジタル署名を検証することによって、データの作成元の正当性とデータの完全性を確認する
- DNSキャッシュサーバが得た応答中のリソースレコードが、権威DNSサーバで管理されているものであり、改ざんされていないことの検証が実現できる
定期発注方式
構造化設計
- 構造化分析で決定した各機能(DFDの最下位レベルの各プロセス)を、それぞれ一つのプログラムとしてとらえ、各プログラムをいくつかのモジュールに分割する
- 一つのプログラムを構成する各モジュールは、呼び出す側と呼び出される側は親子関係となりモジュール構造を形成する
- プログラム全体はモジュールの階層構造で表現される
- モジュールは、モジュール強度とモジュール結合度を用いて独立性を評価する
- モジュール強度が強いほど独立性が高いと評価され、モジュール結合度が強いほど独立性は低いと評価される
- 業務を構成する処理の内容を、概要から詳細へと階層的に示す
情報化装備率
- ハードウェア、ソフトウェア、通信能力、ネットワーク環境、人材などの情報化を推進するための各種資産の保有状況に関する動向を表したもの