- 1.規格およびガイドラインの全体像
- 2.規格の変化の流れ
- 3.ISO/IEC13335 GIMITS
- 4.PCI DSS
- 5.サイバーセキュリティ経営ガイドライン
- 6.コンプライアンスと倫理
- 7.NIST SP800
1.規格およびガイドラインの全体像
以下に整理してみた。
細かいところで正しくない可能性もあり、イメージとして考えていただきたい。
複数の混在する規格を厳密に区別するのは難しい・・・。
2.規格の変化の流れ
覚える必要はないだろうが、参考までに紹介しておく。
(1)マネジメント系(ISMS)
英国のBS7799
↓
国際標準のISO/IEC17799・・セキュリティ管理のガイドライン
↓
日本はJIS X5080、ISMS(ISO/IEC27001、27002)
(2)製品のセキュリティ
アメリカなどのCC(Common Criteria) ※Criteria 規範
↓
国際標準のISO/IEC15408
↓
日本はJIS X5070
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「CC評価認証制度の課題として、日本ではデジタル複合機以外の分野での活用が進んでいないことが挙げられる。」と述べられている。
3.ISO/IEC13335 GIMITS
GIMITS(Guidelines for the Management of IT Security)と言われ、JIS Q 27002と同様に、セキュリティ管理のガイドラインである。GIMITSでは、ITセキュリティに限定しているため紙などのセキュリティには触れていない点がJIS Q 27002と異なる。
関連用語としてTCSECやCCがある。
4.PCI DSS
PCI DSSとは、クレジットカード業界のセキュリティ基準のことです。
PCI DSSに関しては、詳しく解説された過去問(H21SC春午後2問2)があるので、引用します。言葉の定義に関しては、以下の冒頭を読んでもらえばわかることでしょう。
| Fさん:先日の話ですが,国際クレジットカードブランド5社が共同で設立したPCISSC (Payment Card Industry Security Standards Council, LLC)という国際協議会が, PCIデータセキュリティ基準(Payment Card Industry Data SecurityStandard,以下, PCI DSS という)という業界基準を設けています。この基準を参考にして対応を考えてはどうでしょうか。 Fさんは図2に示すPCIDSS(バージョン1.2)の要件をG部長に提示した。
 G部長:全部で12個の要件があるのか。観察事項に対応する要件は要件6, 8辺りかな。これらの要件が更に細かく分かれているわけだね。 Fさん:そうです。例えば,観察事項として指摘されたパスワード管理に関しては,要件8の中に,図3に示すような詳細要件が定められています。
 G部長:クレジットカード加盟店では,今後このレベルの管理が求められるということか。当社の現状からみるとかなり厳しい要件もあるが,クレジットカード決済を利用していくのであれば実施する方がいいのだろうね。 |
5.サイバーセキュリティ経営ガイドライン
経済産業省とIPAがまとめた資料で、以下のサイトには「サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。」とあります。
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
過去問(平成29年春期午前問39)では、「経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)”の説明」として、「企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの」とあります。
■H29春SG午前
| 問2 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン(Ver 1.1)”が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。 ア 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策 イ 自社に出資している株主が行うセキュリティ対策 ウ 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策 エ 自社の事業所近隣の地域社会が行うセキュリティ対策 |
↓
↓
↓
↓
↓
正解はウです。
■H29秋SG午前
| 問1 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン(Ver 1.1)”に従った経営者の対応はどれか。 ア 緊急時における最高情報セキュリティ責任者(CISO)の独断専行を防ぐために,経営者レベルの権限をもたない者をCISOに任命する。 イ サイバー攻撃が模倣されることを防ぐために,自社に対して行われた攻撃についての情報を外部に一切提供しないよう命じる。 ウ サイバーセキュリティ人材を確保するために,適切な処遇の維持,改善や適切な予算の確保を指示する。 エ ビジネスパートナとの契約に当たり,ビジネスパートナに対して自社が監査を実施することやビジネスパートナのサイバーセキュリティ対策状況を自社が把握することを禁止する。 |
↓
↓
↓
↓
↓
正解はウ
■H30SC秋午前Ⅱ
| 問6 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン (Ver2.0)"の説明はどれか。 ア 企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者 が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担 当幹部に,経営者が指示すべき事項をまとめたもの イ 経営者が情報セキュリティについて方針を示し,マネジメントシステムの要求 事項を満たすルールを定め,組織が保有する情報資産をCIAの観点から維持管理 し,それらを継続的に見直すためのプロセス及び管理策を体系的に規定したもの ウ 事業体のITに関する経営者の活動を,大きくITガバナンス(統制)とITマネ ジメント(管理)に分割し,具体的な目標と工程として37のプロセスを定義したもの エ 世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して,企 業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの |
↓
↓
↓
↓
↓
正解はア
6.コンプライアンスと倫理
コンプライアンス(法令遵守)は、法律やルールを守ることです。過去問(H27AP秋午前問74)では、「企業経営における,コンプライアンス強化の説明」として、「企業存続の危機につながりかねない,経営者や従業員による不法な行為の発生を抑制する。」と述べられています。
また、法律では制限されていないことでも、モラルや倫理の観点から守るべきことがあります。たとえば、情報倫理として、SNS等で他人の悪口を書かないことがあります。技術者倫理としては、技術士の有資格者向けの「技術士倫理綱領」に、「業務上知り得た秘密を、正当な理由がなく他に漏らしたり、転用したりしない」などがあります。
7.NIST SP800
NIST SP800は、米国国立標準技術研究所(NIST)が発行するセキュリティ文書です。
英語の文書なのですが、IPAでは以下に概要を整理してくれています。
https://www.ipa.go.jp/security/publications/nist/index.html
NIST SP800ですが、SCの午後試験でも何度か登場します。正確に理解する必要はありませんが、どんなものか、概要は知っておきましょう。
NISTとは米国国立標準技術研究所のことで,科学技術分野における研究を行う米国政府の研究機関です。SP800シリーズ(※)は,コンピュータセキュリティ関連のレポートです。米国政府のセキュリティの基準ともなるべき文書ですから、政府に納品するベンダはこの基準を守る必要があります。世界に影響力が高い文書です。
※SPは、Special Publicationsなので、特別な刊行物というような意味です。
https://www.ipa.go.jp/security/publications/nist/nist_publications.html#r2