情報処理安全確保支援士 - SE娘の剣 -

左門至峰による情報処理安全確保支援士試験に合格するためのサイトです。 過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。

法律や規格全般

1.規格およびガイドラインの全体像

以下に整理してみた。
細かいところで正しくない可能性もあり、イメージとして考えていただきたい。
複数の混在する規格を厳密に区別するのは難しい・・・。
iso

 

2.規格の変化の流れ

覚える必要はないだろうが、参考までに紹介しておく。

(1)マネジメント系(ISMS)

英国のBS7799

国際標準のISO/IEC17799・・セキュリティ管理のガイドライン

日本はJIS X5080、ISMS(ISO/IEC27001、27002)

(2)製品のセキュリティ

アメリカなどのCC(Common Criteria)  ※Criteria 規範

国際標準のISO/IEC15408

日本はJIS X5070
情報セキュリティ白書2011(独立行政法人 情報処理推進機構)には、「CC評価認証制度の課題として、日本ではデジタル複合機以外の分野での活用が進んでいないことが挙げられる。」と述べられている。

3.ISO/IEC13335 GIMITS

GIMITS(Guidelines for the Management of IT Security)と言われ、JIS Q 27002と同様に、セキュリティ管理のガイドラインである。GIMITSでは、ITセキュリティに限定しているため紙などのセキュリティには触れていない点がJIS Q 27002と異なる。
関連用語としてTCSECやCCがある。

4.PCI DSS

PCI DSSとは、クレジットカード業界のセキュリティ基準のことです。
PCI DSSに関しては、詳しく解説された過去問(H21SC春午後2問2)があるので、引用します。言葉の定義に関しては、以下の冒頭を読んでもらえばわかることでしょう。

Fさん:先日の話ですが,国際クレジットカードブランド5社が共同で設立したPCISSC (Payment Card Industry Security Standards Council, LLC)という国際協議会が, PCIデータセキュリティ基準(Payment Card Industry Data SecurityStandard,以下, PCI DSS という)という業界基準を設けています。この基準を参考にして対応を考えてはどうでしょうか。

Fさんは図2に示すPCIDSS(バージョン1.2)の要件をG部長に提示した。
安全なネットワークの構築と維持
 要件1 :カード会員データ(')を保護するために,ファイアウォールをインストールして構成を維持すること
 要件2 :システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないこと
カード会員データの保護
 要件3 :保存されたカード会員データを保護すること
 要件4 :オープンな公共ネットワーク経由でカード会員デー夕を伝送する場合・暗号化すること
脆弱性管理プログラムの整備
 要件5 :アンチウィルスソフトウェア(')またはプログラムを使用し,定期的に更新すること
 要件6 :安全性の高いシステムとアプリケーションを開発し,保守すること
強固なアクセス制御手法の導入
 要件7 :カード会員データへのアクセスを,業務上必要な範囲内に制限すること
 要件8 :コンピュータにアクセスできる各ユーザ(=>)に一意のIDを割り当てる。
 要件9 :カード会員データへの物理アクセスを制限する。
ネットワークの定期的な監視およびテスト
 要件10 :ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する。要件11 :セキュリティシステムおよびプロセスを定期的にテストする。
情報セキュリティポリシー(4)の整備
 要件12 :従業員および派遣社員向けの情報セキュリティポリシーを整備する。
3
G部長:全部で12個の要件があるのか。観察事項に対応する要件は要件6, 8辺りかな。これらの要件が更に細かく分かれているわけだね。
Fさん:そうです。例えば,観察事項として指摘されたパスワード管理に関しては,要件8の中に,図3に示すような詳細要件が定められています。
要件8:コンピュータにアクセスできる各ユーザ(')に一意のIDを割り当てる。
(省略)
8.5 すべてのシステムコンポーネントで. 以下のように,消費者以外のユーザおよび管理者に対して適切なユーザ認証とパスワード管理を確実に行う。
 8.5.1 ユーザID.資格情報,およびその他の識別子オブジェクトの追加,削除,変更を管理する。
 8.5.2 パスワードのリセットを実行する前にユーザIDを確認する。
 8.5.3 初期パスワードをユーザごとに一意の値に設定し,初回使用後に直ちに変更する。
(省略)
 8.5.9 少なくとも90日ごとにユーザパスワードを変更する。
 8.5.10 パスワードに7文字以上が含まれることを要求する。
 8.5.11 数字と英文字の両方を含むパスワードを使用する。
 8.5.12 ユーザが新しいパスワードを送信する際,最後に使用した4つのパスワードと同じものを使用できないようにする。
(省略)
4
G部長:クレジットカード加盟店では,今後このレベルの管理が求められるということか。当社の現状からみるとかなり厳しい要件もあるが,クレジットカード決済を利用していくのであれば実施する方がいいのだろうね。

5.サイバーセキュリティ経営ガイドライン

経済産業省とIPAがまとめた資料で、以下のサイトには「サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。」とあります。
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
過去問(平成29年春期午前問39)では、「経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver1.1)”の説明」として、「企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担当幹部に,経営者が指示すべき事項をまとめたもの」とあります。

■H29春SG午前

問2 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン(Ver 1.1)”が,自社のセキュリティ対策に加えて,実施状況を確認すべきとしている対策はどれか。
ア 自社が提供する商品及びサービスの個人利用者が行うセキュリティ対策
イ 自社に出資している株主が行うセキュリティ対策
ウ 自社のサプライチェーンのビジネスパートナが行うセキュリティ対策
エ 自社の事業所近隣の地域社会が行うセキュリティ対策






正解はウです。

■H29秋SG午前

問1 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン(Ver 1.1)”に従った経営者の対応はどれか。
ア 緊急時における最高情報セキュリティ責任者(CISO)の独断専行を防ぐために,経営者レベルの権限をもたない者をCISOに任命する。
イ サイバー攻撃が模倣されることを防ぐために,自社に対して行われた攻撃についての情報を外部に一切提供しないよう命じる。
ウ サイバーセキュリティ人材を確保するために,適切な処遇の維持,改善や適切な予算の確保を指示する。
エ ビジネスパートナとの契約に当たり,ビジネスパートナに対して自社が監査を実施することやビジネスパートナのサイバーセキュリティ対策状況を自社が把握することを禁止する。






正解はウ

■H30SC秋午前Ⅱ

問6 経済産業省とIPAが策定しだサイバーセキュリティ経営ガイドライン  (Ver2.0)"の説明はどれか。
ア 企業がIT活用を推進していく中で,サイバー攻撃から企業を守る観点で経営者 が認識すべき3原則と,情報セキュリティ対策を実施する上での責任者となる担 当幹部に,経営者が指示すべき事項をまとめたもの
イ 経営者が情報セキュリティについて方針を示し,マネジメントシステムの要求 事項を満たすルールを定め,組織が保有する情報資産をCIAの観点から維持管理 し,それらを継続的に見直すためのプロセス及び管理策を体系的に規定したもの
ウ 事業体のITに関する経営者の活動を,大きくITガバナンス(統制)とITマネ ジメント(管理)に分割し,具体的な目標と工程として37のプロセスを定義したもの
エ 世界的規模で生じているサイバーセキュリティ上の脅威の深刻化に関して,企 業の経営者を支援する施策を総合的かつ効果的に推進するための国の責務を定めたもの






正解はア

6.コンプライアンスと倫理

コンプライアンス(法令遵守)は、法律やルールを守ることです。過去問(H27AP秋午前問74)では、「企業経営における,コンプライアンス強化の説明」として、「企業存続の危機につながりかねない,経営者や従業員による不法な行為の発生を抑制する。」と述べられています。
また、法律では制限されていないことでも、モラルや倫理の観点から守るべきことがあります。たとえば、情報倫理として、SNS等で他人の悪口を書かないことがあります。技術者倫理としては、技術士の有資格者向けの「技術士倫理綱領」に、「業務上知り得た秘密を、正当な理由がなく他に漏らしたり、転用したりしない」などがあります。
コンプライアンスと倫理

 

7.NIST SP800

NIST SP800は、米国国立標準技術研究所(NIST)が発行するセキュリティ文書です。
英語の文書なのですが、IPAでは以下に概要を整理してくれています。
https://www.ipa.go.jp/security/publications/nist/index.html

NIST SP800ですが、SCの午後試験でも何度か登場します。正確に理解する必要はありませんが、どんなものか、概要は知っておきましょう。
NISTとは米国国立標準技術研究所のことで,科学技術分野における研究を行う米国政府の研究機関です。SP800シリーズ(※)は,コンピュータセキュリティ関連のレポートです。米国政府のセキュリティの基準ともなるべき文書ですから、政府に納品するベンダはこの基準を守る必要があります。世界に影響力が高い文書です。
※SPは、Special Publicationsなので、特別な刊行物というような意味です。
https://www.ipa.go.jp/security/publications/nist/nist_publications.html#r2