2024年度学院等開講科目情報理工学院専門科目

サイバーセキュリティガバナンス

開講元: 専門科目
担当教員: 田中圭介 / 間宮正行
授業形態: 講義/演習 (対面型)
メディア利用科目: -
曜日・時限 (講義室): 水1-4 (W8E-306(W832))
クラス: -
科目コード: XCO.T478
単位数: 110
開講時期: 2024年度
開講クォーター: 4Q
シラバス更新日: 2025年3月14日
使用言語: 日本語

シラバス

授業の目的（ねらい）、概要

インターネットを代表とする、情報通信ネットワークの整備、および、情報通信技術の高度な活用にともない、サイバーセキュリティに対する脅威も深刻化しています。サイバー攻撃は社会に対して重大な影響を及ぼし続けており、攻撃による個人情報の漏洩や知的財産の流出が社会に与えるダメージは計り知れません。サイバーセキュリティ分野は大変重要であるにもかかわらず、いまだに、人材は大きく不足している状況です。
東工大は、このような社会的要請に応え、2016年4月にサイバーセキュリティ特別専門学修プログラムを開設しました。このサイバーセキュリティ特別専門学修プログラムでは、NRIを中心として、楽天、NTT、産総研、内閣サイバーセキュリティセンターとも連携することにより、サイバーセキュリティの実践的な内容を学ぶとともに、東工大の情報・通信分野の特色である理論分野の強みも活かし、理論的背景にある知識も同時に身につけられます。カリキュラムは情報理工学院に開設する、サイバーセキュリティ概論 (1Q, 2-0-0)、サイバーセキュリティ暗号理論 (3Q, 2-0-0)、サイバーセキュリティガバナンス (4Q, 1-1-0)、サイバーセキュリティ攻撃・防御第一 (2Q, 1-1-0)、サイバーセキュリティ攻撃・防御第二 (2Q-3Q, 1-1-0)、サイバーセキュリティ攻撃・防御第三 (4Q, 1-1-0)の6科目を中心としています。
本講義では、情報セキュリティに関わる管理施策の基本的なフレームワークを理解し、セキュリティに配慮した企業統治のための方法を習得します。

到達目標

本講義を履修することによって以下を理解し考え方が身につく。
1)情報セキュリティに管理に関するフレームワークが理解できる
2)企業統治のための具体的なセキュリティ対策が理解できる
3)情報セキュリティに関する計画の立案ができる
4)経営層への提言、支援、報告ができる

実務経験のある教員等による授業科目等

実務経験と講義内容との関連 (又は実践的教育内容)

講師は、民間企業で得た情報セキュリティ管理の経験と政府機関で培ったサイバーセキュリティ監査官としての知見に基づいて、サイバーセキュリティガバナンスに関する実践的な講義をします。
ケーススタディでは、講師が実際に担当した事例も用いて「CISOは、どうあるべきか」、「スタッフは、どのようにCISOを支援すればよいか」を考えましょう。

キーワード

セキュリティ、情報セキュリティ、サイバーセキュリティ、ガバナンス、インシデントハンドリング、リスク管理、IoT、情報セキュリティ監査、安全保障、CISO、サイバーセキュリティフレームワーク、ケースメソッド

学生が身につける力

専門力
教養力
コミュニケーション力
展開力 (探究力又は設定力)
展開力 (実践力又は解決力)
本講義を修了することによって、受講者は、サイバーセキュリティガバナンスに必要な広範な知識や視点を身に付けます。

授業の進め方

授業は、講義とダイアローグ、グループ討議、ケースメソッドにより行われます。ケースメソッドでは、調査や分析を学生自らが行い、授業では教員と学生とが「議論」しながら授業を進めていきます。

授業計画・課題

	授業計画	課題
第1回	オリエンテーション、サイバーセキュリティガバナンスの基本的な考え方	サイバーセキュリティガバナンスを考える上で必要なフレームワークを理解する。
第2回	我国のサイバーセキュリティ環境と取り組み	我国をとりまくサイバーセキュリティ環境とそれに対する官民の取り組みや国家安全保障について理解する。
第3回	サイバーセキュリティガバナンスのための「組織・規則」	サイバーセキュリティガバナンスを確立する上で前提となる組織やルール・制度の構築方法について理解する。また、グループ会社や海外拠点の管理、情報セキュリティ管理において留意すべき心理的要因や人事労務、広報活動について理解する。
第4回	サイバーセキュリティガバナンスのための「教育・訓練」	サイバーセキュリティガバナンスを確立する上で必要な教育や訓練について理解する。また、高度セキュリティ人材の確保や育成について理解する。
第5回	サイバーセキュリティガバナンスのための「技術・設備」	サイバーセキュリティガバナンスを確立する上で必要な技術的施策や設備について理解する。
第6回	サイバーセキュリティガバナンスのための「監査・点検」	サイバーセキュリティガバナンスを確立する上で必要な監査や点検について理解する。さらに、監査や点検の結果の活用について考え、情報セキュリティ対応計画の策定やリスクコントロールについて理解する。
第7回	組込系システムとサイバーセキュリティガバナンス	今日、様々な産業機器や車などが、インターネットに接続され相互に情報交換をする仕組みがIoTと呼ばれ数多く実用化されている。そこでは、センサーやアクチュエーターなどが、組み込まれることもあり、制御系システムとしての機能を持つ。組込系システムの特性やそれらが持つサイバーセキュリティ上の脆弱性と対策について理解する。
第8回	医療系システムとサイバーセキュリティガバナンス	医療系システムの特性やそれらが持つサイバーセキュリティ上の脆弱性と対策について理解する。
第9回	サイバーセキュリティガバナンス要諦とCISOの資質	サイバーセキュリティガバナンスを確立するために必要な要件とCISOに求められる資質や能力について理解する。また、CISOを支えるスタッフに期待される資質や能力についても理解する。
第10回	情報セキュリティインシデントへの対応と管理	情報セキュリティインシデントハンドリングの方法を理解する。
第11回	ケース 1　国内インシデント事例１	実際に起きたインシデント事例を教材として、受講者同士や講師と討議し、CISOがとるべき最善策を導き出す。また、最悪の事態になるまで人や組織は何をしていたのか、なぜ人や組織は判断を誤るのかを理解する。実際に国内で発生したケースの分析を通じて、ここまでに学んだ理論と実践を結びつける。また、問題には解決策がひとつではないことが多いため、他者の複数の考え方や経験、視点等から自身の知見を豊かにしていくことができる。
第12回	ケース 2　国内インシデント事例２	実際に起きたインシデント事例を教材として、受講者同士や講師と討議し、CISOがとるべき最善策を導き出す。また、最悪の事態になるまで人や組織は何をしていたのか、なぜ人や組織は判断を誤るのかを理解する。実際に国内で発生したケースの分析を通じて、ここまでに学んだ理論と実践を結びつける。また、問題には解決策がひとつではないことが多いため、他者の複数の考え方や経験、視点等から自身の知見を豊かにしていくことができる。
第13回	ケース 3　海外インシデント事例	実際に起きたインシデント事例を教材として、受講者同士や講師と討議し、CISOがとるべき最善策を導き出す。また、最悪の事態になるまで人や組織は何をしていたのか、なぜ人や組織は判断を誤るのかを理解する。実際に海外で発生したケースの分析を通じて、ここまでに学んだ理論と実践を結びつける。また、問題には解決策がひとつではないことが多いため、他者の複数の考え方や経験、視点等から自身の知見を豊かにしていくことができる。
第14回	修了プレゼンテーション	受講者は、与えられた課題に対して、これまでの学習成果を示すためのプレゼンテーションを行う。ただし、受講者が多数の場合には、レポートに変えることもある。

準備学修(事前学修・復習)等についての指示

受講者は、より高い学習効果を求めるために、配布資料や参考図書等の該当箇所を参照し、授業内容に関する予習や復習を概ね60分程度行うことが望まれます。

教科書

特定の教科書は用いません。

参考書、講義資料等

参考図書は講義の中でお知らせします。

成績評価の方法及び基準

評価方法は、授業の理解度を確認するの小テストの正答率。修了時に実施するプレゼンテーションもしくは、レポートの評価。さらに、出席率や参加姿勢（積極的で建設的な発言や他者の発言に対する傾聴の姿勢）についても考慮します。これらの要素を合わせて総合的に評価を行います。

履修の条件・注意事項

履修の条件となる、知識・技能・履修済科目等はありません。なお、計算機科学の基本的な概念やネットワークに関する基礎知識があれば、理解の助けになります。

連絡先 (メール、電話番号) ※”[at]”を”@”(半角)に変換してください。

keisuke[at]is.titech.ac.jp

オフィスアワー

メールで予約すること。