トップページへ

2026年度 (最新) 学院等開講科目 情報理工学院 専門科目

サイバーセキュリティガバナンス

開講元
専門科目
担当教員
田中 圭介 / 間宮 正行
授業形態
講義/演習
メディア利用科目
-
曜日・時限
(講義室)
クラス
-
科目コード
XCO.T478
単位数
110
開講時期
2026年度
開講クォーター
4Q
シラバス更新日
2026年3月26日
使用言語
日本語

シラバス

授業の目的(ねらい)、概要

インターネットを代表とする、情報通信ネットワークの整備、および、情報通信技術の高度な活用にともない、サイバーセキュリティに対する脅威も深刻化しています。サイバー攻撃は社会に対して重大な影響を及ぼし続けており、攻撃による個人情報の漏洩や知的財産の流出が社会に与えるダメージは計り知れません。サイバーセキュリティ分野は大変重要であるにもかかわらず、いまだに、人材は大きく不足している状況です。
東京工業大学 (東京科学大学の前身) はこのような社会的要請に応え、2016年4月にサイバーセキュリティ特別専門学修プログラムを開設しました。このサイバーセキュリティ特別専門学修プログラムではNRIを中心として、楽天、NTT、産総研と連携することにより、サイバーセキュリティの実践的な内容を学ぶとともに、東京科学大学の情報・通信分野の特色である理論分野の強みも活かし、理論的背景にある知識も同時に身につけられます。
カリキュラムは情報理工学院に開設する以下の7科目を中心に構成されます。
サイバーセキュリティ概論 (1Q, 2-0-0)
サイバーセキュリティ暗号理論 (3Q, 2-0-0)
サイバーセキュリティ実践・応用 (3Q, 1-1-0)
サイバーセキュリティガバナンス (4Q, 1-1-0)
サイバーセキュリティ攻撃・防御第一 (2Q, 1-1-0)
サイバーセキュリティ攻撃・防御第二 (2Q-3Q, 1-1-0)
サイバーセキュリティ攻撃・防御第三 (4Q, 1-1-0)

本講義では、情報セキュリティに関わる管理施策の基本的なフレームワークを理解し、セキュリティに配慮した企業統治のための方法を習得します。

到達目標

受講者は本講義を通じて以下を達成する。
1)サイバーセキュリティガバナンスの概念を経営・統治の観点から説明できる
2)経済安全保障および知財流出防止の観点を踏まえ、研究機関・医療機関のリスクを整理できる
3)NIST CSF、ISO/IEC 27001/27014等の主要フレームワークを比較し適用できる
4)組織のリスク評価と優先順位付けを行い、対策計画を立案できる
5)ゼロトラストの考え方を理解し、情報システムへの適用とその限界を論じられる
6)ケーススタディを通じてCISOとしての意思決定と提言を行うことができる

実務経験のある教員等による授業科目等

実務経験と講義内容との関連 (又は実践的教育内容)

講師は、民間企業で得た情報セキュリティ管理の経験と政府機関で培ったサイバーセキュリティ監査官としての知見に基づいた実践的な講義を行います。
後半のケーススタディではケースメソッドを用います。講師が実際に担当した出来事などをテーマとして、学生が主体的に議論することによって「CISOは、どうあるべきか」、「スタッフは、どのようにCISOを支援すればよいか」といった実践力を身に付けましょう。

キーワード

セキュリティ、情報セキュリティ、サイバーセキュリティ、ガバナンス、インシデントハンドリング、リスク管理、IoT、情報セキュリティ監査、ゼロトラスト、能動的サイバー防御、国家支援型サイバー攻撃、経済安全保障、研究ガバナンス、インテリジェンス、OSINT、制度工学、CISO、サイバーセキュリティフレームワーク、ケースメソッド

学生が身につける力

  • 専門力
  • 教養力
  • コミュニケーション力
  • 展開力 (探究力又は設定力)
  • 展開力 (実践力又は解決力)
  • 本講義を修了することによって、受講者は、サイバーセキュリティガバナンスに必要な広範な知識や視点を身に付けます。

授業の進め方

授業は、講義とダイアローグ、グループ討議、ケースメソッドにより行われます。ケースメソッドでは、調査や分析を学生自らが行い、授業では教員と学生とが「議論」しながら授業を進めていきます。

授業計画・課題

授業計画 課題
第1回

導入:サイバーセキュリティガバナンスとは何か
(技術課題から統治課題へ、GRCの全体像)

サイバーセキュリティを技術的課題ではなく経営およびガバナンスの課題として理解し、ガバナンスの基本概念および本講義の対象範囲を把握する。※GRC:G/Governance(ガバナンス),R/Risk Management(リスクマネジメント),C/Compliance(コンプライアンス)
第2回

経済安全保障とサイバーセキュリティ
(医療診断AI・デュアルユース技術と知財流出防止)

医療診断AIを例に、経済安全保障・知財流出防止の観点から研究機関・医療機関に求められるガバナンス課題を整理する。
第3回

国際標準とガバナンスフレームワーク
(NIST CSF、ISO/IEC 27001・27014)

NIST CSFおよびISO/IEC 27001・27014等の国際標準を概観し、組織統治におけるフレームワークの位置づけを理解する。
第4回

リスクマネジメントと経営判断
(リスク許容度と優先順位付け)

サイバーリスクを経営判断の対象として捉え、リスク許容度と優先順位付けの考え方を理解する。
第5回

CISOと組織統治
(経営層と現場をつなぐ責任と権限)

CISOに求められる役割と能力を整理し、経営層と現場をつなぐ統治構造のあり方を理解する。
第6回

セキュリティポリシーと内部統制
(規程体系、責任分界、統制の実効性)

セキュリティポリシーと内部統制の体系を把握し、責任分界と統制の実効性確保について理解する。
第7回

人的要因とセキュリティ文化
(なぜ組織は判断を誤るのか)

人的要因がセキュリティに与える影響を理解し、組織文化としてのガバナンスの重要性を整理する。
第8回

監査と説明責任
(内部監査・第三者監査・当局対応)

監査・点検の役割を理解し、説明責任を果たすための検証機能としてのガバナンスを整理する。
第9回

インシデント対応と危機管理
(初動判断と経営責任、机上演習)

インシデント発生時の初動対応と経営責任を理解し、危機管理体制の整備がガバナンスに不可欠であることを把握する。
第10回

IoT・制御系システムのガバナンス

IoT・制御系システムに特有のリスクを理解し、重要インフラにおける統治課題を整理する。
第11回

医療情報システムのガバナンス
(EHR・IoMT・患者データ保護と制約)

医療情報システムと医療機器システムの特性を踏まえ、ゼロトラスト適用の可能性と限界を理解する。
第12回

ケーススタディ①(国内)
産総研事案:研究機関への高度標的型攻撃と知財・安全保障

産総研事案を通じて、研究機関における高度標的型攻撃と知財・安全保障ガバナンスの課題を分析する。
第13回

ケーススタディ②(海外)
SolarWinds事案:サプライチェーン侵害とゼロトラストの必然

SolarWinds事案を通じて、サプライチェーン侵害が示したゼロトラストの必然性と統治上の教訓を整理する。
第14回

修了プレゼンテーションと終講
(経営層向け最終提言とラップアップ)
※日本年金機構事案は修了プレゼンの査読課題として扱う。

修了プレゼンテーションを通じて、CISOとしての提言能力を統合し、サイバーセキュリティガバナンスの全体像を総括する。修了プレゼンテーションでは、日本年金機構事案をケースとして扱い、受講者は経営層向け提言書を作成する。

準備学修(事前学修・復習)等についての指示

受講者は各回の講義に先立ち、配布資料および参考文献等を精読し、指定された観点に基づき自らの意見を整理した上で授業に臨むこと。
本講義では、グループワークやケーススタディに討議を行うため、受講者は初回の授業の際に、 『本学の理念を踏まえた研究機関におけるサイバーセキュリティガバナンスの在り方』 について、ポジションペーパー(A4 1枚程度)を作成し提出すること。なお、本課題は、正解を問うものではなく、本学の理念との共鳴を自らが率直に確認するものとし、授業内の討議の際に講師の参考資料とする。また、提出は必要であるが、内容については、成績評価にはいっさい含めない。
授業後は、講義や討議の内容に対するガバナンス上の論点を再整理し、経営層への提言を想定して、自らの考えをまとめ直す等の復習を行うこと。特にケーススタディの回では、事案のタイムライン、意思決定の課題、再発防止策を整理し、修了プレゼンテーションに向けた準備を進めること。

教科書

特定の教科書は用いません。

参考書、講義資料等

参考図書は講義の中でお知らせします。

成績評価の方法及び基準

評価方法は、授業の理解度を確認する小テストの正答率。修了時に実施するプレゼンテーションもしくは、レポートの評価。さらに、出席率や参加姿勢(積極的で建設的な発言や他者の発言に対する傾聴の姿勢)についても考慮します。これらの要素を合わせて総合的に評価を行います。

関連する科目

  • XCO.T473 : サイバーセキュリティ概論
  • XCO.T474 : サイバーセキュリティ暗号理論
  • XCO.T475 : サイバーセキュリティ攻撃・防御第一
  • XCO.T476 : サイバーセキュリティ攻撃・防御第二
  • XCO.T477 : サイバーセキュリティ攻撃・防御第三
  • XCO.T480 : サイバーセキュリティ実践・応用

履修の条件・注意事項

履修の条件となる、知識・技能・履修済科目等はありません。なお、計算機科学の基本的な概念やネットワークに関する基礎知識があれば、理解の助けになります。

連絡先 (メール、電話番号) ※”[at]”を”@”(半角)に変換してください。

keisuke[at]comp.isct.ac.jp (Slackのダイレクトメッセージで連絡をお願いします)

オフィスアワー

Slackのダイレクトメッセージで予約をお願いします。

その他

受講者からのフィードバックの抜粋です
【受講者1】
大学の授業で即題の討論という講義形式は、斬新です。実際にインシデントが発生した場合に、関係者が集まって対処方針や初動を決めることができるようにするための能力開発に結び付くのかなと感じました。
【受講者2】
サイバー空間の普及により、戦争の諸相が変化し、多様化している話が印象に残ったと共に、課題の多さを改めて認識しました。
【受講者3】
「ルールを制定する際には、現場との対話を通じて“めんどくさい”を減らす工夫が大切な事」や「無理を無理と率直に言える”オープンギブアップ”を許容する文化が重要な事」が印象に残りました。
【受講者4】
今日の講義の最後に話されていた“キーコンピテンシー”が印象に残りました。1月に学会があり、様々な人と交流する機会があるので、意識して臨みたいと思いました。
【受講者5】
時として、人間の好奇心が(サイバー犯罪の)動機として働くこともあることから、これを正しく理解することが重要であることが印象に残りました。
【受講者6】
本学の物理的なセキュリティを考えると対象が必要な部分が多いなと感じました。一方で対策を厳しくしすぎると、日常的に使いづらくなるので“さじ加減”が難しいと思いました。
【受講者7】
ゼロトラストは、重要な概念だとは思っていましたが、それにも限界があり、多層防御と継続的な監視・運用が不可欠であることを知り、(ゼロトラストも)簡単ではないなと感じました。
【受講者8】
DXという言葉をビジネスの文脈でしか聞いたことが無かったのですが、本来は社会的な文脈の中で用いられる言葉であったことを知り、これが印象に残りました。
【受講者9】
「安全第一」であって「安心第一」とは言わないこと、大切なことは、「安全でないものを安心させてはいけない」こと、ということが印象に残りました。また、選択バイアスの例として挙げられた爆撃機の装甲改良の話は、とても興味深く印象に残りました。
【受講者10】
修了プレゼンを聴いて各々着目している点が違って興味深かったです。経営層に対して伝えるべきことは何かをもっと吟味すべきでした。プレゼンテーションについても、話し方や印象に残るような言い回しを工夫すれば良かったです。