情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

13.法律や規格

1.サイバーセキュリティ基本法
試験対策ということで、なるべく、IPAの文献から引用しています。
IPAのプレス発表では、以下のように述べられています。
今般、サイバーセキュリティ基本法(平成26年法律第104号)の施行により、「サイバーセキュリティ戦略本部」が設置され、また、NISCが改組され省庁横断の司令塔としての機能が強化されることとなりました。
※NISCとは「内閣官房内閣サイバーセキュリティセンター」のことです。
NISCに関しては、以下にも解説をしています。
http://sc.seeeko.com/archives/4884662.html

この法律では、「国の責務」「地方公共団体の責務」「重要社会基盤事業者の責務」などが規定されています。
また、「国民の努力」として、「国民は、基本理念にのっとり、サイバーセキュリティの重要性に関する関心と理解を深め、サイバーセキュリティの確保に必要な注意を払うよう努めるものとする」という記載があります。

■過去問
平成27年度秋(FE)
問79 サイバーセキュリティ基本法の説明はどれか。
ア 国民に対し,サイバーセキュリティの重要性につき関心と理解を深め,その確保に必要な注意を払うよう努めることを求める規定がある。
イ サイバーセキュリティに関する国及び情報通信事業者の責務を定めたものであリ,地方公共団体や教育研究機関についての言及はない。
ウ サイバーセキュリティに関する国及び地方公共団体の責務を定めたものであり,民間事業者が努力すべき事項についての規定はない。
エ 地方公共団体を“重要社会基盤事業者”と位置づけ,サイバーセキュリティ関連施策の立案・実施に責任を負うと規定している。

【解説】
アは正解選択肢で、第9条に「国民の努力」としての記載があります。また、「地方公共団体の責務」や「重要社会基盤事業者の責務」(=民間事業者)などが規定されています。よって、イやウは不正解です。
選択肢エですが、地方公共団体と重要社会基盤事業者は別物です。

【正解】 ア

■H27秋AP
問79 サイバーセキュリティ基本法において,サイバーセキュリティの対象として規定されている情報の説明はどれか。
ア 外交,国家安全に関する機密情報に限られる。
イ 公共機関で処理される対象の手書きの書類に限られる。
ウ 個人の属性を含むプライバシー情報に限られる。
エ 電磁的方式によって,記録,発信,伝送,受信される情報に限られる。

【正解】エ

情報セキュリティ委員会に関して、明確な定義があるものはありません。情報セキュリティに関する全社的な意思決定をする機関と考えればいいでしょう。また、この委員会の委員長には、情報セキュリティを担当する役員がなるべきです。

経済産業省とIPAがまとめた資料で、以下のサイトには「サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。」とあります。
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
過去問(平成29年春期午前問39)では、「経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)”の説明」として、「企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの」とあります。

■H29春SG午前
問2 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン(Ver 1.1)”が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。
ア 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策
イ 自社に出資している株主が行うセキュリティ対策
ウ 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策
エ 自社の事業所近隣の地域社会が行うセキュリティ対策

正解はウです。

■H29秋SG午前
問1 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン(Ver 1.1)”に従った経営者の対応はどれか。
ア 緊急時における最高情報セキュリティ責任者(CISO)の独断専行を防ぐために,
 経営者レベルの権限をもたない者をCISOに任命する。
イ サイバー攻撃が模倣されることを防ぐために,自社に対して行われた攻撃につ
 いての情報を外部に一切提供しないよう命じる。
ウ サイバーセキュリティ人材を確保するために,適切な処遇の維持,改善や適切
 な予算の確保を指示する。
エ ビジネスパートナとの契約に当たり,ビジネスパートナに対して自社が監査を
 実施することやビジネスパートナのサイバーセキュリティ対策状況を自社が把握
 することを禁止する。

正解はウ

1.個人情報保護法とは
平成17年4月に始まった個人情報に関して、理解しましょう。個人情報保護法について、「組織における内部不正防止ガイドライン(http://www.ipa.go.jp/files/000044615.pdf)」の解説を引用します。
(1) 個人個人情報の保護に関する法律(個人情報保護法)
 個人情報の漏えいや不正利用等から、個人の権利利益を保護するために、個人情報を取り扱う事業者の順守すべき義務(安全管理措置や従業員と委託先の監督義務等)を規定しています。この義務規定に事業者が違反し、不適切な個人情報の取り扱いを行っている場合には、事業を所管する主務大臣が事業者に対し勧告、命令等の措置をとることができます。命令に従わなかった場合には、罰則の対象になります。
ここにありますよに、この法律は、「個人情報を取り扱う事業者の順守すべき義務を規定」しています。対象は「事業者」ですから、個人は対象になりません。
友達の連絡先を教えてからといって、少なくとも、個人情報保護法で罰せられることはありません。

2.法の目的
消費者庁のサイト(http://www.caa.go.jp/planning/kojin/)では、個人情報保護法に関して、「個人の権利利益を保護することを目的として、民間事業者の皆様が、個人情報を取り扱う上でのルールを定めています」と述べています。

ここにあるように、このように、「民間事業者」を対象とした法律であることが一つのポイントです。

3.個人情報保護法の対象
個人情報保護法義務の対象は、個人ではなく「個人情報取扱事業者」です。すべての企業ではなく、事業の用に供する個人情報データベース等を構成する個人情報によって特定される個人の数の合計が、過去6か月以内のいずれの日においても5,000を超えない場合は除外されます。 

4.「個人情報」の定義を確認しましょう。
個人情報保護法では、個人情報を以下のように定義しています。
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
ポイントは、「特定の個人を識別することができる」ことです。
情報セキュリティスペシャリスト試験_SE成子 


では、氏名だけでも個人情報?
法律の定義がかなりあいまいではありますが、氏名だけでも個人情報とされます。同姓同名が多いような名前であれば、個人を特定できるかはわかりません。ただ、剣持成子という名であれば、それほど多くはいないでしょうから、個人を特定できることもあるでしょう。つまり、特定できるのであれば個人情報です。
kojin
さて、上記の監視カメラで撮影した情報,会社名や所在地などの法人に関する情報はどうなのでしょうか。以下を確認ください。

5.個人情報に関するQ&A
消費者庁の以下のサイトがよくまとまっています。この中からいくつか抜粋します。
http://www.caa.go.jp/planning/kojin/pdf/gimon-kaitou.pdf

Q1.メールアドレスは、「個人情報」に該当しますか。

A1.ユーザー名及びドメイン名から特定の個人を識別することができる場合、個人情報に該当します。一方、記号や文字がランダムに並べられているものなどは、個人情報には該当しません。

Q2.死者の情報は、個人情報保護法の保護の対象になりますか。

A2.生存する個人に限定されているので、対象外です。

Q3.カメラで撮影した映像は、「個人情報」に該当しますか。

A3.それによって特定の個人が識別できる場合には、「個人情報」に該当します

Q4.法人に関する情報は、「個人情報」に該当しますか。

A4.会社名や所在地は「個人情報」ではありません。しかし、法人情報の中に、役員の氏名などの個人に関する情報が含まれている場合には、その部分については、「個人情報」になります。

6.安全管理措置
過去問(H27秋IP問24)では、以下の記述があります。
個人情報保護法では個人情報取扱事業者に対して安全管理措置を講じるとを求めている。経済産業分野のガイドラインでは,安全管理措置は技術的安全管理措置,組織的安全管理措置,人的安全管理措置,物理的安全管理措置に分類している。
「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(http://www.meti.go.jp/press/2014/12/20141212002/20141212002.pdf)から引用すると、その具体的な内容は以下です。
①組織的安全管理措置
組織的安全管理措置とは、安全管理について従業者の責任と権限を明確に定め、安全管理に対する規程や手順書を整備運用し、その実施状況を確認することをいう。

②人的安全管理措置
人的安全管理措置とは、従業者に対する、業務上秘密と指定された個人データの非開示契約の締結や教育・訓練等を行うことをいう。

③物理的安全管理措置
物理的安全管理措置とは、入退館(室)の管理、個人データの盗難の防止等の措置をいう。

④技術的安全管理措置
技術的安全管理措置とは、個人データ及びそれを取り扱う情報システムへのアクセス制御、不正ソフトウェア対策、情報システムの監視等、個人データに対する技術的な安全管理措置をいう。

過去問(H20秋SW)を解いてみましょう。
問77 経済産業省“個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン"の物理的安全管理措置に該当するものはどれか。
ア 個人データの安全管理に関わる従業者の役割及び責任についての教育・訓練を実施する。
イ 個人データの漏えいなどの事故が発生した場合の,代表者などへの報告連絡体制を整備する。
ウ 個人データを取り扱う情報システムへのアクセスの成功と失敗の記録を取得する。
エ 個人データを取り扱う情報システムを,ICカードによる入退室管理を実施している室内に設置する。
アは人的安全管理措置、イは組織的安全管理措置、ウは技術的安全管理措置です。
正解はエです。

1.JIS Q 15001とは
JIS Q 15001は個人情報保護マネジメントシステムの要求事項です。JIS Q 15001が求める要求事項を満たしていれば、個人情報の取り扱いが適切と判断されます。

2.プライバシーマーク制度とは 
プライバシーマーク制度は、「事業者が個人情報の取扱いを適切に行うための体制などを整備していることを認定する制度(平成17年SW午前問76)」で、1998年に運用が開始されました。この制度の内容は、OECDによる「プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告」を包括しています。
この制度は、個人情報保護マネジメントシステムの要求事項であるJIS Q 15001に準拠している事業者を認定します。プライバシーマークを使用するためには、この要求事項を満たした上で、JIPDEC(日本情報処理開発協会)が指定する指定機関の審査に合格する必要があります。 

参考です、プライバシーマークは会社で一つの申請になります。この点は、事務所や業務単位で取得するISMSとは異なります。
情報セキュリティスペシャリスト試験を目指す女性SE

具体的に、どんな基準があるのですか?
プライバシーマークを取得する為のガイドラインとして、以下が公開されています。
http://privacymark.jp/reference/pdf/guideline_V1.0_060905.pdf

この中に記載されているチェック項目が、審査時のチェックリストとして審査員からチェックされます。例えば、P44の安全管理措置では、以下の記載があります。

2.5 個人情報へのアクセス記録
1)個人情報へのアクセスや操作の成功と失敗の記録を取得し、保管している。
2)取得した記録について、漏えい、滅失及びき損から適切に保護している。
(上記URLより引用)

2016年1月から、国民一人ひとりに12ケタの番号が付与されるマイナンバー制度の運用が開始しました。
マイナンバーに関する法律が「行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法)」です。この法律では、「特定個人情報」を「個人番号をその内容に含む個人情報」と定義しています。つまり、マイナンバーを含む個人情報が特定個人情報です。また、個人情報のガイドラインと同じく、特定個人情報の適正な取扱いの指針である「特定個人情報の適正な取扱いに関するガイドライン」が出されています。

情報セキュリティスペシャリスト試験を目指す女性SE 

個人情報保護法とはどういう関係ですか?
特定個人情報も個人情報ですから、個人情報保護法が適用されます。加えて、マイナンバーの漏えいは、普通の個人情報より危険です。例えば「山田太郎」という名前であれば、同姓同名がいるでしょう。しかし、12桁のマイナンバーは世の中に一つか存在しません。確実に個人を特定できるのです。そこで、マイナンバー法ではより厳格なルールが定められています。たとえば、個人情報保護法より重い4年以下の懲役などが規定されています。

■H29秋AP午前
問79 マイナンバー法におけるマイナンバー(個人番号)に関する記述のうち,適切なものはどれか。
ア 国の行政機関,地方公共団体,企業などがマイナンバーの使途を自由に決定してよい。
イ 日本国外に在住している場合,日本国籍があれば日本の市区町村に住民票がなくてもマイナンバーは指定される。
ウ マイナンバーは主に社会保障分野で使用するので,厚生労働省が指定する。
エ 漏えいして不正に用いられるおそれがあると認められる場合に限り,本人の申請又は市区町村長の職権によってマイナンバーは変更できる。

正解はエです。

個人情報以外に、プライバシーという言葉もあります。両者は共通するところもありますが、厳密には少し違います。例えば、私生活そのものであったり、日記や好きな人だったりという秘密がプライバシーです。
プライバシーを保護するために、その影響を評価するプロセスが「プライバシー影響アセスメント(PIA)」です。そのベースとなるのは、法律やガイドライン(プライバシー・フレームワーク)です。加えて、組織ごとに、プライバシーを守るためにどのような運用をするのかが大事になります。

企業は、個人情報をマーケティングや商品開発に活用するだけでなく、外部の企業に販売することもあります。たとえば、事前説明が不十分として話題になった一件ですが、2013年に、JR東日本がスイカの乗降履歴を、個人情報を匿名化した上で販売しました。
 2016年の改正個人情報保護法では、個人情報を匿名化すれば、本人の同意を得ずに第三者提供ができるようになりました。その際、個人が特定されないように、匿名化する必要があります。匿名化手法として、いくつかのデータを任意に抽出するサンプリングや、k人以上が存在するように(たとえば、住所の番地を消して市区町村までにすれば、複数人が存在する)k-匿名化する方法があります。

6b2fb508
セキュリティ違反には、厳しく対処するべきだと思いますが、法律がないと逮捕できないですね。
日本はどうなってますか?



残念ながらウイルスなどに対する法整備は遅れている。
また、罰則も厳しいとはいえないかもしれない。
企業においても、罰則をある程度厳しく設けないと、いけなくなってきているかもしれない。

情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「国内では、ウイルスの作成・配付を罰するための法律が整備されていない(2011年3月現在) (中略)
警視庁は、2010年8月にパソコン内のファイルのデータをタコやイカの画像に書き換える破壊型ウイルス(通称:タコイカウイルス)を作成し、ファイル共用ソフトを用いて配付した会社員を器物損壊罪の容疑で逮捕した。しかし、裁判において被告側はウイルスの作成は認めたが器物損壊にあたらないとしており、器物損壊罪にあたるかどうかは、裁判所の判断にゆだねられている。」
0b330982

確かに、器物破損?って変な感じですね。




その通りで、ウイルス作成を罪に問う法律が現在はない。この会社員に関しては、以前にもウイルス作成をしたが、そのときは、「アニメキャラクターの無断使用による著作権法違反の罪(出典同じ)」で有罪としている。
 とはいえ、法整備は少しずつ進められている。同じ出典には、「政府は3月11日閣議で、改正案を決定した。改正案では、正当な理由なしにウイルスの作成や配付をした場合に3年以下の懲役または50万円以下の罰金を科すものとした。また、ウイルスの取得や保管をした場合も2年以下の懲役または30万円以下の罰金とした。」と述べられている。

1.CC(ISO/IEC 15408)とは
IPAのサイト(https://www.ipa.go.jp/security/jisec/about_cc.html)では、「CC (ISO/IEC 15408) とは」として、「CC (Common Criteria) とは、情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。」と述べられています。
過去問(H20NW 午前問題 問53参照)でも、ISO/IEC 15408に関して、「情報技術セキュリティの評価基準であり、情報技術の製品及びシステムのセキュリティ特性を評価する基盤として用いるためにCCと称した基準」と述べられています。

2.CCの歴史と目的
米国のTCSEC(Trusted Computer System Evaluation Criteria)やヨーロッパのITSECなど、各地域で独自の基準を統合したのがCC(Common criteria)です。1999年にISO/IEC 15408として国際標準化されました。
また、情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「欧米等の軍事組織がコンピュータ等のIT製品を調達しようとする際にセキュリティ要件や評価基準が国ごとに異なるため、評価が困難であった。そのため、IT製品等のセキュリティ評価基準を統一し、評価結果を相互に承認しようという考えのもと、コモンクライテリアとして策定され、国際標準ISO/IEC 15408 として規格化された。」と述べられています。
つまり、共通(common)の基準(criteria)でCC(Common Criteria) なのです。

では、過去問を解いてみましょう。
問53 米国で運用されたTCSECや欧州政府調達用のITSECを統合して,標準化が進められたCC(Common Criteria)の内容はどれか。
ア 情報技術に関するセキュリティの評価基準
イ 情報セキュリティ基礎技術の標準
ウ セキュリティ管理のプロトコルの標準
エ 通信サービスに関するセキュリティ機能の標準
(平成17年SM午前)
これは簡単ですね。正解はアです。 参考ですが、ISO/IEC 15408は、「Evaluation Criteria for IT Security」とも呼ばれます。これを直訳すると、ITに関するセキュリティ(Security)の評価(evaluation)基準(criteria)という意味です。

3.ISMSとCCの違い
情報セキュリティスペシャリスト試験を目指す女性SE 

セキュリティの規格といえば、ISMSもありますよね。
たしかこちらも国際基準だったと思います。
ISMS(ISO/IEC 27001)がセキュリティのマネジメント(管理)面での制度であるのに対し、ISO/IEC 15408はセキュリティの製品やシステムに対する基準であることが、両者の根幹の違いです。
では、以下の問題を解いてみましょう。
問53 ISO/IEC15408の評価対象になるものはどれか。
ア 暗号アルゴリズムの品質
イ 認証局業務の運用受託サービスの管理手順
ウ パケットフィルタリング機能をもつファイアウォール用ソフトウェア
エ 表示装置からの電磁波放射による情報漏えいの防止方法
(H18SV 午前問題 問53より)

正解は、ウです。 この基準は、FirewallやOS、データベースなどのセキュリティ製品が適切に設計されているかどうかの基準です。

もう一問、過去問(H22SC春午後Ⅰ問2)を見てみましょう。
以下に当てはまる字句を答えよ。
PCには、[   ]に基づいて評価及び認証されたTPM(Trusted Platform Module)バージョン1.2対応製品が搭載されていることが分かった。
正解は、CC(ISO/IEC15408)です。

参考(優先度が低いので、参考まで)
・評価基準であるCCを使ってどう評価するかは、共通評価方法 (CEM:Common Methodology for Information Technology Security Evaluation)としてまとめられています。

・ISO/IEC 15408のキーワードとして、PPとST、EALがある。PP(Protection Profile) は、セキュリティ要求仕様書で、製品カテゴリごとのセキュリティ要件が記載される。これに対しST(Security Target)は特定製品ごとの設計書である。また、評価保証レベル(EAL:Evaluation Assurance Level)は7段階あり、EAL7の審査が最も厳しい。
過去問(H19年春SV午前)を解いてみましょう。
------
問53 JIS X 5070 (lSO/IEC 15408)の評価保証レベルEAL4に相当するものはどれか。
ア ガイダンス文書の検査や機能仕様書とインタフェース仕様書によって,セキュリテイ機能を確認するレベル
イ 開発者によって実施されたテスト範囲の検査や開発環境で改ざんが起きないことを確認するレベル
ウ 概要設計書の検査や開発者が行ったテスト結果及び脆弱性評価を対象に確認するレペル
エ 詳細設計書と一部のソースコードや製造図面など,実装を確認するレベル
------

正解はエですが、解けなくていいでしょう。

・ISO/IEC 15408内容は以下の3つで構成されている。
Part 1:概要と一般モデル(Introduction and general model)
Part 2:セキュリティ機能要件(Security functional components) 
Part 3:セキュリティ保証要件(Security assurance components)
 詳しくは以下を参照してください。
http://www.ipa.go.jp/security/jisec/about_cc.html

このページのトップヘ