情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

13.法律や規格

コンプライアンス(法令遵守)は、法律やルールを守ることです。過去問(H27AP秋午前問74)では、「企業経営における,コンプライアンス強化の説明」として、「企業存続の危機につながりかねない,経営者や従業員による不法な行為の発生を抑制する。」と述べられています。
また、法律では制限されていないことでも、モラルや倫理の観点から守るべきことがあります。たとえば、情報倫理として、SNS等で他人の悪口を書かないことがあります。技術者倫理としては、技術士の有資格者向けの「技術士倫理綱領」に、「業務上知り得た秘密を、正当な理由がなく他に漏らしたり、転用したりしない」などがあります。
コンプライアンスと倫理

JIPDEC(日本情報経済社会推進協会)は、PマークやISMS適合性評価制度の運営を行っている。
http://www.jipdec.or.jp/
過去問(H25SC春午前2問11不正解選択肢)では、「組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する」と述べられている。

GIMITS(Guidelines for the Management of IT Security)と言われ、JIS Q 27002と同様に、セキュリティ管理のガイドラインである。GIMITSでは、ITセキュリティに限定しているため紙などのセキュリティには触れていない点がJIS Q 27002と異なる。
関連用語としてTCSECやCCがある。

以下に整理してみた。
細かいところで正しくない可能性もあり、イメージとして考えていただきたい。
複数の混在する規格を厳密に区別するのは難しい・・・。
iso

覚える必要はないだろうが、参考までに紹介しておく。

マネジメント系(ISMS)
英国のBS7799

国際標準のISO/IEC17799・・セキュリティ管理のガイドライン

日本はJIS X5080、ISMS(ISO/IEC27001、27002)

製品のセキュリティ
アメリカなどのCC(Common Criteria)  ※Criteria 規範

国際標準のISO/IEC15408

日本はJIS X5070
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「CC評価認証制度の課題として、日本ではデジタル複合機以外の分野での活用が進んでいないことが挙げられる。」と述べられている。

NISC(National center of Incident readiness and Strategy for Cybersecurity)は、「ニスク」と発音します。

詳しくは、NISCのサイトを確認しましょう。
http://www.nisc.go.jp/about/index.html

NISCの業務は、なんとなくぼんやりしている感はありますが、サイバーセキュリティに関する調査、行政各部の情報システムに対する不正な活動の監視及び分析、助言、情報の提供、監査などが主な業務のようです。

情報セキュリティスペシャリスト試験の過去問(H25SC春午前2問11不正解選択肢)では、NISC(内閣官房情報セキュリティセンター)の活動として、「情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ対策の推進に係る企画などを行う」と述べられています。
また、「内閣官房に設置され,我が国をサイバー攻撃から防衛するための司令塔機能を担う組織である。(H27春AP午前問40不正解選択肢)」ともあります。 



IPAセキュリティセンター
情報セキュリティ対策の啓蒙活動やセキュアなインフラ整備を行う機関である。HPにはIPAセキュリティセンターのミッションとして以下の記載がある。
1.3. ミッション
IPA セキュリティセンター(IPA/ISEC)は、わが国において情報セキュリティ対策の必要性・重要性についての認識を啓発・向上し、具体的な対策実践情報・対策手段を提供するとともに、セキュアな情報インフラストラクチャ整備に貢献することをミッションとしています。
(IPAセキュリティセンターのHPより引用)
具体的な活動は次である。
・「情報セキュリティ対策の情報サービス」として、情報セキュリティ対策の実践情報の提供やウイルスの届出受理や相談対応などを行う。
・「セキュアな情報インフラストラクチャの促進」として、暗号化技術の調査や、ISO/IEC 15408 に基づいた情報セキュリティ評価制度を運営するなどの活動を行う。

電子署名が法的にどう扱われるかが明らかにされていないと、電子商取引の推進が図れません。そこで、電子署名及び認証業務等に関する法律(電子署名法)により、「電子署名には,民事訴訟法における押印と同様の効力が認められている(H24年春AU午前2問54)」と規定されました。
この法律に基づき、認証業務を行う者として認定を受けた者を、「認定認証事業者」と言います。

問50 電子署名法に規定されているものはどれか
ア 電子署名技術は公開鍵技術によるものと規定されている。
イ 電子署名には、電磁的記録以外であって、コンピュータ処理の対象とならないものも含まれる。
ウ 電子署名には、民事訴訟法における押印と同様の効力が認められている。
エ 電子署名の認証業務ができるのは、政府が運営する認証局に限られる。(H20SU 午前問題 問50より)
通常の押印と同様に、電子署名にも同様の法的効力を持たせる法律。
今回の正解は正解ウです。

情報セキュリティスペシャリストの女性SE成子

企業業秘密って、会社を辞めたあとも漏らしてはいけないと聞きますが、そうは言ってもそれほど重要ではないのでは?他社からしたら、そんなこと当たり前だよ。と言われちゃうレベルなんでは?


会社を辞めたあとというか、死んでも漏らしてはいけないというのが一般的かな。
就業規則で明記されていない場合でも、日本人のサムライ魂として、お世話になった企業の機密情報は天国まで持っていくという美学が流れているかな。
大した情報ではないのもあれば、そうでないのもある。優良顧客リストなどは大事だね。

1.営業秘密となる要件
企業における営業秘密が漏えいすると、企業の存続をも揺るがしかねない事態になる。
そこで、不正競争防止法にて、営業秘密を保護する法律が作られた。
ただし、何もかもが営業秘密ではない。その要件は「秘匿性」「有用性」「非公知性」である。
過去問では、「不正競争防止法において,営業秘密となる要件は,“秘密として管理されていること”,“事業活動に有用な技術上又は営業上の情報であること”「公然と知られていないこと」(H21春AP午前78を編集)と述べられている。

一方、課題として、情報漏えいしてしまうと、さらに被害が広がる恐れから、泣き寝入りせざるを得ない状況でもあるようだ。以下は引用。
刑事裁判手続において審理が公開されることにより、営業秘密の内容が公にされてしまうおそれが存在することから、侵害された情報の価値が高いものであればあるほど、被害にあった企業が告訴を行うことを躊躇してしまうという事態が発生している。
(出典:「営業秘密に係る刑事的措置の見直しの方向性について」平成21年2月 産業構造審議会知的財産政策部会 技術情報の保護等の在り方に関する小委員会)

過去問(H29春SG午前問33)を見てみましょう。
問33 不正競争防止法で保護されるものはどれか。
ア 特許権を取得した発明
イ 頒布されている自社独自のシステム開発手順書
ウ 秘密として管理していない,自社システムを開発するための重要な設計書
エ 秘密として管理している,事業活動用の非公開の顧客名簿
不正競争防止法で営業秘密として保護されるのは、「秘匿性」「有用性」「非公知性」の3つです。よって、その条件に当てはまるエが正解です。

2.ドメイン名の不正取得
また、不正競争防止法の第二条では、「不正競争」がどんな行為かが定義されています。
その12項目に、以下があります。
不正の利益を得る目的で、又は他人に損害を加える目的で、他人の特定商品等表示(人の業務に係る氏名、商号、商標、標章その他の商品又は役務を表示するものをいう。)と同一若しくは類似のドメイン名を使用する権利を取得し、若しくは保有し、又はそのドメイン名を使用する行為

このページのトップヘ