エンティティの考え方

多重度

種類は以下の4つ。この中からどれを選ぶか考え方を考える。

ー：1対1

→：1対多

⇔：多対多

1対多(R2)

これを記述するパターンが1番多い。矢印の向きは主キーから外部キーへの向き。

A(主キー)　→　A(外部キー)

A(外部キー)　←　A(主キー)

⇔：多対多

第3正規形にしないといけないため、多対多を書くことはなさそう。

属性

リレーションシップの矢印の向きと隣り合う属性をみて、判断。

隣り合うエンティティの主キー・外部キーになっているものが、空欄に記述する属性になる。

主キー：テーブルの行を一意に識別する。

隣に主キーがあれば、記述する属性は外部キー。

データウェアハウスでの考え方(あくまでR3)

要件を満たすためのデータモデルを作成するため、分析に不足している属性を本文から抜き出す。

現状のER図のままだとエラーになることが判明した(R1)

主キーが同一のレコードを登録して実行時エラーになるパターンが多そうです。

対応策として、エラー原因となっている表の主キーをみなおし、主キーを別の属性に変更することです。

正規化

第1正規系

テーブル中に複数の値をもつようなデータ項目を含まないよう整理

第2正規系か判断する

「主キーAと主キーBが存在し、非キー属性Cが異なれば主キーAは異なる」

→非キー属性Cは主キーAに関係従属し、主キーBには関係従属しない

なので第2正規系になっていない

第2正規系でなくても問題がない理由

本文に、「テーブルの内容は変更されることはない」と記載されるパターンが多い。

回答例：〇〇テーブルに追加された行の値がその後、変更されることはない

※テーブルの内容(主キー)が変更になった場合、複数の行を同時に変更しないといけないため、更新漏れが発生しそう

第2正規系

第1正規系の表に対して、主キーの一部の項目だけに従属するような項目を含まないよう整理

候補キー

主キーの候補になりうる項目

代替キー

主キー以外の候補キー

非キー属性

候補キー以外の項目

第3正規系

第2正規系の表に対して、主キー以外の項目に従属するような項目を含まないよう整理

SQL文の考え方

どの表が使われているか確認すること！

困ったら本文を探そう。見逃している条件があるかも！

SQLの実行順序

FROM

JOIN

WHERE

GROUP BY

SUMやAVEなど

HAVING

SELECT, DISTINCT

ORDER BY

LIMIT

SELECT 列名(または＊) FROM テーブル名 WHERE 条件式

例：

SELECT COUNT(*) FROM 従業員

SELECT 単価 * 0.5 FROM 商品

細かい条件

SELECT DISTINCT 商品名 FROM 商品

重複を除く

SELECT 年齢, COALESCE(性別,2) FROM 会員

 NULL値を別の値に変換する

SELECT 日付, (CASE WHEN 時刻 < 12 THEN 0 ELSE 1 END) FROM 入館

SQL文で条件式を使う

JOIN句

INNER JOIN 結合するテーブル B ON A.属性 = B.属性

両方のテーブルにあるデータのみを取り出す(内部結合)
2つのテーブルにあって、合体できるデータのみを取り出します。

エンティティが1対1のときはこれを使用(R3)

LEFT JOIN 結合するテーブル B ON A.属性 = B.属性

左のテーブルをすべて表示して結合(外部結合)

RIGHT JOIN 結合するテーブル B ON A.属性 = B.属性

右のテーブルをすべて表示して結合(外部結合)

WHERE句による条件設定

WHERE 予約日 BETWEEN '20220306' AND '20220310'

範囲を指定する

WHERE 予約日 IN ('20220306', '20220310')

()内の値が対象

WHERE 名前 LIKE '_太郎%'

_は任意の1桁、%は任意の0～N桁の文字

WHERE 電話番号 IS NULL

NULLを抽出

WHERE 電話番号 NOT IS NULL

否定した条件

GROUP BY句(R3 SELECT文にCOUNTがあればGROUP BY)

SELECT 予約日, SUM(予約人数) FROM 予約明細 GROUP BY 予約日

SUM()以外にはAVG(),MAX(),MIN(),COUNT(*)などがある

GROUP BY句とHAVING句(R2)

SELECT 予約日, SUM(予約人数) FROM 予約明細 GROUP BY 予約日 HAVING COUNT(*) > 3

ORDER BY句

SELECT 予約番号, SUM(金額) FROM 予約明細 GROUP BY 予約番号 ORDER BY 予約番号 ASC

昇順はASC、降順はDESC

副問合せ

1. 内側のSELECT文を実行
2. 1で取得した値を用いて外側のSELECT文を実行

例：

SELECT 宿泊日, 利用料金 FROM 予約明細

 WHERE 顧客コード IN (SELECT 顧客コード FROM 予約 WHERE 担当ID = '100')

相関副問合せ(R2,H31)

EXISTSやNOT EXISTSを使った存在チェックで使用することが多い。

副問合せでは「該当データが存在するかどうか」という結果が分かればいいので、副問合せの列名は「*」を使用する。

1. 主問合せを実行する(外側のSELECT文)
2. 1で取得した値を用いて副問合せを実行する(内側のSELECT文)

例：

SELECT 施設ID, 部屋種別ID, COUNT(*) FROM 部屋

 WHERE NOT EXISTS (

  SELECT * FROM 予約明細 WHERE 予約明細.部屋ID = 部屋.部屋ID

    AND 予約明細.宿泊日 >= :チェックイン日付 AND 予約明細.宿泊日 < :チェックアウト日付)

 AND 施設ID = :施設ID AND 部屋種別ID = :部屋種別ID

 GROUP BY 施設ID, 部屋種別ID

 HAVING COUNT(*) >= :部屋数

INSERT

INSERT INTO 予約 (氏名, 日付, 担当者, コースコード) VALUES('山田山男', '2022-03-07', '佐藤佐子', '08')

試験問題では、VALUESの値が書かれているケースは少なそう。

INSERT INTO 予約 (コースコード) SELECT DISTINCT 予約 FROM コース

R1

UPDATE

UPDATA テーブル名 SET 列名 = 変更値, ・・・ WHERE 条件式

試験問題では、変更値がSELECT文になっているパターンが多い。

使用しているテーブル名を見て問題に答えること

DELETE

DELETE FROM テーブル名 WHERE 条件式

WITH(H31)

WITH 副問合せ名 AS (クエリ文)：副問合せ名

UNION(H31)

同じ列名が存在する2つのSELECT文をつなぐ

SELECT 列名A FROM テーブルB UNION SELECT 列名A FROM テーブルC 

重複は1つにまとめる

SELECT 列名A FROM テーブルB UNION ALL SELECT 列名A FROM テーブルC 

重複もそのまま表示する

制約

非ナル制約

ある列にNULLが入らないようにする制約

UNIQUE制約(R2)

指定した列・列の組み合わせが一意であることを強制する制約

主キー制約

指定した列・列の組み合わせに1つだけ主キーを指定

検査制約

指定した列の内容を指定した条件を満足するもののみにする制約

参照制約

参照元テーブルに外部キーを指定する

データウェアハウス設計のスキーマ(R3)

スタースキーマ

1つのファクトテーブルの周囲に、複数のディメンションテーブルが単一の階層で関連付けられる。

ファクトテーブル：分析対象のデータを格納したテーブル

ディメンションテーブル：ファクトテーブルの外部キーから参照する主キーを持つマスタ系テーブル

スノーフレークスキーマ

スタースキーマのディメンションテーブルを正規化(階層化)した構造

データマート(R3)

データウェアハウスに格納されたデータから特定の用途に必要なデータだけを取り出し、構築する小規模なデータベース。

データウェアハウスで分析するのに時間がかかりすぎる場合、データマートを追加する。

つまり「データマートの表を見れば分析できる」という状態がのぞましい。

3層スキーマ

データモデルより前のデータベースの構成（概念スキーマ、外部スキーマ、内部スキーマ）

情報セキュリティ10大脅威2022個人編が出た

https://www.ipa.go.jp/files/000096258.pdf

情報セキュリティ10大脅威2022

2021年において社会的に影響が大きかったセキュリティ上の脅威について「10大脅威選考会」の投票結果に基づき順位付けがされています。

個人向けと組織向けの脅威は以下のようになっていました。

個人向けの脅威

1. フィッシングによる個人情報等の詐欺
2. ネット上の誹謗・中小・デマ
3. メールやSMS等を使った脅迫・詐欺の手口による金銭要求
4. クレジットカード情報の不正利用
5. スマホ決済の不正利用
6. 偽警告によるインターネット詐欺
7. 不正アプリによるスマートフォン利用者への被害
8. インターネット上のサービスからの個人情報窃取
9. インターネットバンキングの不正利用
10. インターネット上のサービスへの不正ログイン

組織向け脅威

1. ランサムウェアによる被害
2. 標的型攻撃による機密情報の窃取
3. サプライチェーンの弱点を悪用した攻撃
4. テレワーク等のニューノーマルな働き方を狙った攻撃
5. 内部不正による情報漏洩
6. 脆弱性対策情報の公開に伴う悪用増加
7. 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
8. ビジネスメール詐欺による金銭被害
9. 予期せぬIT基盤の障害に伴う業務停止
10. 不注意による情報漏洩等の被害

SNS上で話題になった(少なくとも自分が目にした)脅威

「2021年　脅威の名称」で検索すると話題になったニュースが見つかります。

ワクチン接種の予約システム脆弱性とゼロデイ攻撃

ワクチン接種の予約システムが架空の予約番号で予約できる脆弱性が判明し、対策がされる前にSNSやマスコミでそのことが拡散されてしまった。

その結果、興味本位で予約する人も現れ、本物と偽物の予約の区別がつかなくなった。といったところでしょうか？

ゼロデイ攻撃をするのはもちろんNGですが、ゼロデイ攻撃につながるような情報発信も危険だと思ったことを覚えています。

部品工場がランサムウェアの攻撃を受け、トヨタが国内全工場停止

これは2022年3月1日の出来事ですが、組織向けの脅威1位のランサムウェアの内容だったため取り上げます。

「日本のトップ企業のトヨタの工場停止に成功した。それなら日本の他の企業にランサムウェアの攻撃しても有効だろう」みたいな考えになっている気がするので、今後もランサムウェアの被害が増えていきそう。

ランサムウェアとは

• Ransom(身代金)とSoftware(ソフトウェア)を組み合わせて作られた造語
• ランサムウェアはマルウェアの一種(悪意のあるソフトウェア)
• 端末を利用できないように暗号化し、身代金を要求する(身代金を払っても復号してくれない気がする)

とはいえ、ランサムウェアで攻撃すると企業に反撃される時代になったようです。(日本にも、このような企業があると心強いのですが)

gigazine.net

情報セキュリティ対策の基本

ソフトウェアの脆弱性

ソフトウェアの更新：脆弱性を解消し攻撃によるリスクを低減する

ウイルス感染

セキュリティソフトの利用：攻撃をブロックする

パスワード窃取

パスワードの管理の・認証の強化：パスワード窃取によるリスクを低減する

設定不備

設定の見直し：誤った設定を攻撃に利用されないようにする

誘導(罠にはめる)

脅威・手口を知る：手口から重要視するべき対策を理解する

標的型サイバー攻撃について考えます。(参考：R1秋 応用情報)

情報セキュリティ10大脅威の1つとして毎年あげられています。

不審なメールの添付ファイルを実行したときの対応

マルウェアの感染が判明した（または感染が疑われる）ときは、社内のネットワークから被疑PCを切り離すべきです

具体的には、まず次のことをしてください。

• パソコンのLANケーブルを抜く
• 無線LANのスイッチを切る

社内の他の機器と通信させないためです。

これにより、次のことを防ぐことができます。

• ネットワークを介して感染を広める
• 攻撃のために通信する

その後、セキュリティ担当者に報告します。

不審なメールに気づいたときにとるべき行動は

不審なメールに気が付いたときには、自組織のインシデント対応部署やセキュリティ担当に報告し、指示を仰ぐのが適切な対応です。

• 返信しない
• 添付ファイルの開封しない
• URLリンクを開かない

ファイアウォールのログを分析する

マルウェアに感染したPCがインターネット上の特定のサーバとの通信を試した場合、FWのログに通信の履歴が残ります。

標的型サイバー攻撃対策(あくまで応用情報の話)

FWによる遮断

• PCからインターネットへのアクセスに対して許可する通信を決める

PCへのマルウェア対策ソフトの導入

メールサーバにおけるメール受信対策

• メールサーバ向けマルウェア対策ソフトを導入して、届いたメールの本文や添付ファイルのチェックを行い、不審なメールを隔離する。
• SPF(Sender Policy Framework)などの送信ドメイン認証を導入する

送信ドメイン認証は、送信元メールアドレスのなりすましを検知することができる。

メールサーバにおけるメール送信対策

• PCからメールを送信する際にも、利用者認証を行う

利用者認証を行うことで、標的型サイバー攻撃の目的が情報窃取の場合、メール経由で情報が外部に漏洩する恐れを低減できる。

インターネットアクセス対策

• PCから直接インターネットにアクセスすることを禁止(FWで遮断)し、DMZに新たに設置するプロキシサーバ経由でアクセスさせる
• プロキシサーバでは、利用者IDとパスワードによる利用者認証を導入する
• プロキシサーバでは、不正サイトや改ざんなどで侵害されたサイトを遮断する機能を含むURLフィルタリング機能を導入する

水飲み場攻撃によって、マルウェアをダウンロードさせられることがある。

これは標的ユーザが良く利用するWebサイトにドライブバイダウンロードのコードなどを仕込み、アクセスした標的ユーザにマルウェアやウイルスを感染させる攻撃です。

URLフィルタリング機能を用いることで被害を軽減できる。

ログ監視対策

• ログ監視サービスを利用して、FWやプロキシサーバのログ監視を行い、不審な通信を検知する

C&CサーバがURLフィルタリング機能でアクセスが遮断されないサイトに設置された場合、プロキシサーバの利用者認証情報を窃取する機能を備えていると回避されることがある。

マルウェアとは何か

マリシャスソフトウェア(悪意のあるソフトウェア)で略してマルウェアです。

ユーザーのデバイスに不利益をもたらす悪意のあるプログラムやソフトウェアを指す。

www.ntt.com

マルウェアの種類

ウイルス

自己増殖する

宿主が必要

ワーム

自己増殖する

単独で活動

トロイの木馬

自己増殖しない

偽装して活動

スパイウェア

偽装して活動

マルウェアの感染経路

www.soumu.go.jp

ホームページの閲覧

昔は怪しいWebサイトだけ避けていればよかったのですが、最近では正規のWebサイトが不正侵入を受け、書き換えられ、ウイルスが仕込まれるケースがあります。

その場合、正規のWebサイトを閲覧してもウイルスに感染してしまいます。

信頼できないサイトで配布されたプログラムのインストール

「あなたのコンピュータはウイルスに感染しています」のような不安をあおるメッセージを出して、利用者を偽のウイルス対策ソフトを配布するWebサイトに誘導します。

電子メールの添付ファイル

電子メールに添付されてきたファイルが悪意のあるプログラムだった場合、ウイルスに感染してしまいます。

USBメモリからの感染

USBメモリをコンピュータに差し込んだだけで自動的にプログラムが実行される仕組みが用意されています。これを悪用してコンピュータに感染するウイルスがあります。

会社のビルに見知らぬ人がいて「ここの社員の方がUSB落としましたよ」といって渡してきたUSBメモリがウイルスに感染するものだった！といった話を聞いたことがあります。

ファイル共有ソフトによる感染

別のファイルに偽装して、いつの間にかウイルスを実行させられてしまうことがあります。

電子メールのHTMLスクリプト

添付ファイルがなくても、HTML形式で書かれているメールの場合、ウイルスに感染する場合があります。

電子メールソフトの中には、HTMLメールのスクリプトを自動的に実行する設定になっているものもあり、電子メールをプレビューしただけでウイルスに感染します。

ネットワークのファイル共有

ウイルスの中には、感染したコンピュータに接続されているファイル共有ディスクを見つけ出し、特定のファイル形式など、ある条件で探し出したファイルに感染していくものです。

組織内のネットワークを通して、他のコンピュータやサーバにも侵入して感染を広げます。

マクロプログラムの実行

VBAを用いたマクロプログラムではファイルの書き換えや削除などができます。

VBAで記述されたウイルスが実行されて自己増殖などされます。

マルウェアで起こる被害

• 個人情報を抜き取られたり、情報が流出したりする
• デバイスに保存されているファイルが改ざんされる
• デバイスを勝手にロックされて持ち主でも操作ができなくなる
• 外部と勝手に通信を行う
• デバイスを乗っ取られ、サイバー攻撃の「踏み台」として使われる

マルウェアに感染しない予防方法

• ウイルス対策ソフトを導入し、常に最新バージョンにアップデートしておく
• PCの場合には、インストールしているOSを最新版に保っておく
• 怪しいURLはクリックしない
• 不審なメールや不審な添付ファイルは開かない
• 重要なファイルは漏洩しても、開けないように暗号化しておく
• 機密情報を保存してあるサーバーは、許可のないデバイスから隔離しておく