情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

13.法律や規格

6b2fb508
セキュリティ違反には、厳しく対処するべきだと思いますが、法律がないと逮捕できないですね。
日本はどうなってますか?



残念ながらウイルスなどに対する法整備は遅れている。
また、罰則も厳しいとはいえないかもしれない。
企業においても、罰則をある程度厳しく設けないと、いけなくなってきているかもしれない。

情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「国内では、ウイルスの作成・配付を罰するための法律が整備されていない(2011年3月現在) (中略)
警視庁は、2010年8月にパソコン内のファイルのデータをタコやイカの画像に書き換える破壊型ウイルス(通称:タコイカウイルス)を作成し、ファイル共用ソフトを用いて配付した会社員を器物損壊罪の容疑で逮捕した。しかし、裁判において被告側はウイルスの作成は認めたが器物損壊にあたらないとしており、器物損壊罪にあたるかどうかは、裁判所の判断にゆだねられている。」
0b330982

確かに、器物破損?って変な感じですね。




その通りで、ウイルス作成を罪に問う法律が現在はない。この会社員に関しては、以前にもウイルス作成をしたが、そのときは、「アニメキャラクターの無断使用による著作権法違反の罪(出典同じ)」で有罪としている。
 とはいえ、法整備は少しずつ進められている。同じ出典には、「政府は3月11日閣議で、改正案を決定した。改正案では、正当な理由なしにウイルスの作成や配付をした場合に3年以下の懲役または50万円以下の罰金を科すものとした。また、ウイルスの取得や保管をした場合も2年以下の懲役または30万円以下の罰金とした。」と述べられている。

1.CC(ISO/IEC 15408)とは
IPAのサイト(https://www.ipa.go.jp/security/jisec/about_cc.html)では、「CC (ISO/IEC 15408) とは」として、「CC (Common Criteria) とは、情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格です。」と述べられています。
過去問(H20NW 午前問題 問53参照)でも、ISO/IEC 15408に関して、「情報技術セキュリティの評価基準であり、情報技術の製品及びシステムのセキュリティ特性を評価する基盤として用いるためにCCと称した基準」と述べられています。

2.CCの歴史と目的
米国のTCSEC(Trusted Computer System Evaluation Criteria)やヨーロッパのITSECなど、各地域で独自の基準を統合したのがCC(Common criteria)です。1999年にISO/IEC 15408として国際標準化されました。
また、情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「欧米等の軍事組織がコンピュータ等のIT製品を調達しようとする際にセキュリティ要件や評価基準が国ごとに異なるため、評価が困難であった。そのため、IT製品等のセキュリティ評価基準を統一し、評価結果を相互に承認しようという考えのもと、コモンクライテリアとして策定され、国際標準ISO/IEC 15408 として規格化された。」と述べられています。
つまり、共通(common)の基準(criteria)でCC(Common Criteria) なのです。

では、過去問を解いてみましょう。
問53 米国で運用されたTCSECや欧州政府調達用のITSECを統合して,標準化が進められたCC(Common Criteria)の内容はどれか。
ア 情報技術に関するセキュリティの評価基準
イ 情報セキュリティ基礎技術の標準
ウ セキュリティ管理のプロトコルの標準
エ 通信サービスに関するセキュリティ機能の標準
(平成17年SM午前)
これは簡単ですね。正解はアです。 参考ですが、ISO/IEC 15408は、「Evaluation Criteria for IT Security」とも呼ばれます。これを直訳すると、ITに関するセキュリティ(Security)の評価(evaluation)基準(criteria)という意味です。

3.ISMSとCCの違い
情報セキュリティスペシャリスト試験を目指す女性SE 

セキュリティの規格といえば、ISMSもありますよね。
たしかこちらも国際基準だったと思います。
ISMS(ISO/IEC 27001)がセキュリティのマネジメント(管理)面での制度であるのに対し、ISO/IEC 15408はセキュリティの製品やシステムに対する基準であることが、両者の根幹の違いです。
では、以下の問題を解いてみましょう。
問53 ISO/IEC15408の評価対象になるものはどれか。
ア 暗号アルゴリズムの品質
イ 認証局業務の運用受託サービスの管理手順
ウ パケットフィルタリング機能をもつファイアウォール用ソフトウェア
エ 表示装置からの電磁波放射による情報漏えいの防止方法
(H18SV 午前問題 問53より)

正解は、ウです。 この基準は、FirewallやOS、データベースなどのセキュリティ製品が適切に設計されているかどうかの基準です。

もう一問、過去問(H22SC春午後Ⅰ問2)を見てみましょう。
以下に当てはまる字句を答えよ。
PCには、[   ]に基づいて評価及び認証されたTPM(Trusted Platform Module)バージョン1.2対応製品が搭載されていることが分かった。
正解は、CC(ISO/IEC15408)です。

参考(優先度が低いので、参考まで)
・評価基準であるCCを使ってどう評価するかは、共通評価方法 (CEM:Common Methodology for Information Technology Security Evaluation)としてまとめられています。

・ISO/IEC 15408のキーワードとして、PPとST、EALがある。PP(Protection Profile) は、セキュリティ要求仕様書で、製品カテゴリごとのセキュリティ要件が記載される。これに対しST(Security Target)は特定製品ごとの設計書である。また、評価保証レベル(EAL:Evaluation Assurance Level)は7段階あり、EAL7の審査が最も厳しい。
過去問(H19年春SV午前)を解いてみましょう。
------
問53 JIS X 5070 (lSO/IEC 15408)の評価保証レベルEAL4に相当するものはどれか。
ア ガイダンス文書の検査や機能仕様書とインタフェース仕様書によって,セキュリテイ機能を確認するレベル
イ 開発者によって実施されたテスト範囲の検査や開発環境で改ざんが起きないことを確認するレベル
ウ 概要設計書の検査や開発者が行ったテスト結果及び脆弱性評価を対象に確認するレペル
エ 詳細設計書と一部のソースコードや製造図面など,実装を確認するレベル
------

正解はエですが、解けなくていいでしょう。

・ISO/IEC 15408内容は以下の3つで構成されている。
Part 1:概要と一般モデル(Introduction and general model)
Part 2:セキュリティ機能要件(Security functional components) 
Part 3:セキュリティ保証要件(Security assurance components)
 詳しくは以下を参照してください。
http://www.ipa.go.jp/security/jisec/about_cc.html

コンプライアンス(法令遵守)は、法律やルールを守ることです。過去問(H27AP秋午前問74)では、「企業経営における,コンプライアンス強化の説明」として、「企業存続の危機につながりかねない,経営者や従業員による不法な行為の発生を抑制する。」と述べられています。
また、法律では制限されていないことでも、モラルや倫理の観点から守るべきことがあります。たとえば、情報倫理として、SNS等で他人の悪口を書かないことがあります。技術者倫理としては、技術士の有資格者向けの「技術士倫理綱領」に、「業務上知り得た秘密を、正当な理由がなく他に漏らしたり、転用したりしない」などがあります。
コンプライアンスと倫理

JIPDEC(日本情報経済社会推進協会)は、PマークやISMS適合性評価制度の運営を行っている。
http://www.jipdec.or.jp/
過去問(H25SC春午前2問11不正解選択肢)では、「組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する」と述べられている。

GIMITS(Guidelines for the Management of IT Security)と言われ、JIS Q 27002と同様に、セキュリティ管理のガイドラインである。GIMITSでは、ITセキュリティに限定しているため紙などのセキュリティには触れていない点がJIS Q 27002と異なる。
関連用語としてTCSECやCCがある。

以下に整理してみた。
細かいところで正しくない可能性もあり、イメージとして考えていただきたい。
複数の混在する規格を厳密に区別するのは難しい・・・。
iso

覚える必要はないだろうが、参考までに紹介しておく。

マネジメント系(ISMS)
英国のBS7799

国際標準のISO/IEC17799・・セキュリティ管理のガイドライン

日本はJIS X5080、ISMS(ISO/IEC27001、27002)

製品のセキュリティ
アメリカなどのCC(Common Criteria)  ※Criteria 規範

国際標準のISO/IEC15408

日本はJIS X5070
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「CC評価認証制度の課題として、日本ではデジタル複合機以外の分野での活用が進んでいないことが挙げられる。」と述べられている。

NISC(National center of Incident readiness and Strategy for Cybersecurity)は、「ニスク」と発音します。

詳しくは、NISCのサイトを確認しましょう。
http://www.nisc.go.jp/about/index.html

NISCの業務は、なんとなくぼんやりしている感はありますが、サイバーセキュリティに関する調査、行政各部の情報システムに対する不正な活動の監視及び分析、助言、情報の提供、監査などが主な業務のようです。

情報セキュリティスペシャリスト試験の過去問(H25SC春午前2問11不正解選択肢)では、NISC(内閣官房情報セキュリティセンター)の活動として、「情報セキュリティ政策に係る基本戦略の立案,官民における統一的,横断的な情報セキュリティ対策の推進に係る企画などを行う」と述べられています。
また、「内閣官房に設置され,我が国をサイバー攻撃から防衛するための司令塔機能を担う組織である。(H27春AP午前問40不正解選択肢)」ともあります。 



IPAセキュリティセンター
情報セキュリティ対策の啓蒙活動やセキュアなインフラ整備を行う機関である。HPにはIPAセキュリティセンターのミッションとして以下の記載がある。
1.3. ミッション
IPA セキュリティセンター(IPA/ISEC)は、わが国において情報セキュリティ対策の必要性・重要性についての認識を啓発・向上し、具体的な対策実践情報・対策手段を提供するとともに、セキュアな情報インフラストラクチャ整備に貢献することをミッションとしています。
(IPAセキュリティセンターのHPより引用)
具体的な活動は次である。
・「情報セキュリティ対策の情報サービス」として、情報セキュリティ対策の実践情報の提供やウイルスの届出受理や相談対応などを行う。
・「セキュアな情報インフラストラクチャの促進」として、暗号化技術の調査や、ISO/IEC 15408 に基づいた情報セキュリティ評価制度を運営するなどの活動を行う。

このページのトップヘ