2012年度法情報学講義 第14回 情報セキュリティと法 2012年7月11日(水) 東北大学法学研究科 金谷吉成 <[email protected]> 2012年度法情報学講義 1 2012年7月11日 高度情報通信社会と情報セキュリティ 情報システム – インフラストラクチャ(社会基盤)として重要な 地位を占める cf. 水道、電気……ライフライン – 一方で、大規模障害などによって社会全般に 重大な悪影響を及ぼすことも 情報システムが利用できない 扱われる情報が不正確 機密であるはずの情報が不正に外部流出 – このため、情報セキュリティの高度化が必然的 に要請される 2012年7月11日 2 2012年度法情報学講義 情報システムを取り巻く脅威 情報システムの種類や用途の多様化 – 地球規模での相互接続 システム相互に影響を及ぼす可能性 – 誰でも自由かつ簡単に利用 携帯電話による利用 いろいろな「普通」「ふつう」「フツウ」の人 情報システムを取り巻く脅威の増加 – 量だけでなく、質的にも深刻化 不正アクセス、Webページの改ざん コンピュータ・ウイルス 迷惑メール 踏み台攻撃 – 簡単になる攻撃、難しくなる防御 2012年7月11日 3 2012年度法情報学講義 ユビキタス時代とセキュリティ 新しい道具の出現 携帯電話 – 迷惑メール、出会い系、架空料金請求、 裏サイト、違法着うた ICカード – 住基カード、キャッシュカード、非接触カード、 電子マネー デジタルテレビ – コマーシャル飛ばし 無線ICタグ 2012年7月11日 4 2012年度法情報学講義 ハードローとソフトロー ハードロー – いわゆる「法律」 – 国家の強制執行が保証されている ソフトロー – 国の法律ではなく、最終的に裁判所による強制的 実行も保証されていない – それにもかかわらず、現実の経済社会において国 や企業が何らかの拘束感を持ちながら従っている 規範 国の側から発出されるもの 企業あるいは市場の側で作成されるもの 国際的諸関係において成立しているもの – 現代社会において重要なウェイトを占める 2012年7月11日 5 2012年度法情報学講義 ハード・ソフト両面からの対処 例)自動車の発明と普及 – 自動車事故の多発という新たな社会問題 – 法整備、道路整備、安全技術の開発、安全教 育の推進等 情報セキュリティにおいても同様 – 安全な情報通信技術(ICT)の開発と整備 – 情報セキュリティ教育の推進 – 法整備を含めた総合的な情報セキュリティ政 策の検討・導入が求められる 2012年7月11日 6 2012年度法情報学講義 情報セキュリティとは 情報セキュリティ(Information Security) – 情報処理技術の領域で生成・発展してきた概念 – 伝統的な法体系の下で検討が加えられてきたも のではない 「セキュリティ」=「安全」 – さまざまな領域で使用される言葉であるが、「情報 セキュリティ」という言葉は、さらに具体的な固有 の概念として用いられることが通常 情報セキュリティとは…… – さまざまな攻撃などの脅威から情報を守ること 2012年7月11日 7 2012年度法情報学講義 何をどこまで守るべきか 守るべき情報=情報資産 – 情報資産に対して意図的または偶発的に生じる 事件・事故のことをインシデント(Incidents)という 地震等の天災、火災、事故等による情報システムの物 理的損壊や滅失、それに伴う情報システムの機能不全 や障害、不正使用、サービス妨害、データの破壊、意図 しない情報の開示等 – インシデントの原因となる要素を脅威(Threats)と し、それに対する情報システム上の欠陥や仕様上 の問題点を脆弱性(Vulnerability)として、それぞれ その基準を定め、評価する インシデントは、脅威と脆弱性の大きさの相関関係にお いてその発生の可能性が変化 2012年7月11日 8 2012年度法情報学講義 リスクアセスメント リスク(Risk) – 脅威と脆弱性が要因となってリスクが発生 – どのような情報資産でも、多かれ少なかれリスク は存在する – 情報セキュリティ対策によってすべてのリスクをゼ ロにすることは現実的ではない リスクアセスメント(Risk assessment) – 個々の情報についてのリスクを算出 情報資産の特定、機密性・完全性・可用性の評価、脅 威・脆弱性の評価 – 許容することのできないリスクから対策を講じるこ とで、より効果的・効率的に情報セキュリティ対策 が実施される 2012年7月11日 9 2012年度法情報学講義 なぜ情報資産を守る必要があるのか 企業に多大な損害が生じる可能性がある – アメリカの同時多発テロ – 東日本大震災 – 業務システムの停止 2012年6月 ファーストサーバシステム障害/データ消失 2011年6月 NTTドコモFOMA/mova通信障害 2011年3月 みずほ銀行振り込み/ATMシステム障害 2009年6月 日本航空(JAL)チェックイン・システム障害 2008年5月 三菱東京UFJ銀行システム障害 2005年11月 東京証券取引所システム障害 – 組織内部者による顧客情報の社外への持ち出し – 膨大な賠償金の支払いによる損失 – 信用の失墜 2012年7月11日 10 2012年度法情報学講義 情報セキュリティの3大要素 機密性 (Confidentiality) – 認可された人だけが情報にアクセスできる状態 – 認証、暗号化、アクセス制御、権限設定 完全性 (Integrity) – 情報が整合性が取れて保存されている状態 – 情報が改ざんされないこと 可用性 (Availability) – 必要なときに情報にアクセスできる状態 – バックアップ、システムの二重化 – システムダウンによる業務停滞を防ぐ 2012年7月11日 情報の「CIA」 11 2012年度法情報学講義 機密性・完全性・可用性 透明の封筒に入った情報 – 完全性を満たすが、機密性は満たさない 黒板にあれこれ書き込む – 可用性を満たすが、完全性は満たさない どこかの本に秘密のメモを挟み、忘れてしまう – 機密性を満たすが、可用性は満たさない 2012年7月11日 12 2012年度法情報学講義 OECD情報セキュリティガイドライン OECD(経済協力開発機構) – 「情報システムセキュリティガイドラインに関する理 事会による勧告および付属文書」(1992年) – 「情報システムのセキュリティのためのガイドライ ン」(OECD情報セキュリティガイドライン) 安全で信頼性の高い電子商取引の環境を整備 それまで一般的には漠然としていた情報セキュリティの 目的を「可用性、機密性、完全性の欠如に起因する危 害から保護すること」と明確に定義 OECD加盟国の情報セキュリティ対策や国際的な標準 化の動きに大きな影響を与えた – 同ガイドラインは、2002年に改訂されている 2012年7月11日 13 2012年度法情報学講義 英国規格→国際規格 英国規格BS 7799 – 組織が情報セキュリティを確保するための規範として、 英国規格協会により策定(1995年) – BS 7799は1998年に二部構成に Part 1:情報セキュリティマネジメントを実践するための規範 Part 2:情報セキュリティマネジメントの認証に用いるための 規格 国際規格 – ISO/IEC 17799:2000 BS 7799 Part 1を国際規格化 – ISO/IEC 27001:2005 BS 7799 Part 2を国際規格化 ISO: International Organization for Standardization 国際標準化機構が定める工業分野の国際規格 IEC: International Electrotechnical Commission 国際電子標準会議が定める電気分野の国際規格 ISOとIECは、標準の一部を共同で策定している 2012年7月11日 14 2012年度法情報学講義 国際規格→日本規格 日本の従来制度 – 情報システム安全対策実施事業所認定制度(1981年 通商産業省告示342号) 情報処理サービス業のコンピュータシステムが十分な安全対 策を実施しているかを認定する制度 主に設備・施設等の物理的な対策に重点が置かれていた – データセンターを有する事業所を対象 しかし、情報通信技術の急速な普及により、次第に組織とし て情報セキュリティを管理し継続的に向上させていく仕組みが 求められるようになってきた – 情報セキュリティマネジメントシステム適合性評価制度 (ISMS適合性評価制度) 2002年より開始(経済産業省) ISMS認証基準Ver.1.0(英国規格BS 7799-2をほぼ踏襲) ISMS認証基準Ver.2.0(BS 7799-2の2002年改訂に対応) 2012年7月11日 15 2012年度法情報学講義 JIS(日本工業規格) JIS Q 27001 – BS 7799-2→ISO/IEC 27001 (国際規格化) – ISO/IEC 27001→JIS Q 27001(国内規格化) これに伴ってISMS Ver.2.0もこちらに移行 JIS Q 27002 – BS 7799-1→ISO/IEC 17799 (国際規格化) – ISO/IEC 17799→JIS X 5080(国内規格化) – JIS X 5080→ JIS Q 27002 ISO/IEC 17799の2005年改訂に対応 ISO/IEC 27000シリーズ化に伴う番号変更 2012年7月11日 16 2012年度法情報学講義 CIAに関するさまざまな規格 BS 7799:1995(英国規格) BS 7799:1998 Part 1 BS 7799:1998 Part 2 情報システム安全 対策事業所認定 制度(通商産業省 告示342号) 国際規格化 ISO/IEC 17799:2000 改訂 ISMS Ver.1 国内規格化 JIS X 5080:2001 2002年改訂 実質的継受 ISO/IEC 17799:2005 改訂 ISO/IEC 27001:2005 国内規格化 JIS Q 27002:2006 ISO/IEC 27002:2007 2012年7月11日 国際規格化 ISMS Ver.2 国内規格化 JIS Q 27001:2006 17 2012年度法情報学講義 情報セキュリティ政策 高度情報通信ネットワーク社会形成基本法(IT基本法) 2000年12月公布 高度情報通信ネットワーク社会推進戦略本部(IT戦略 本部) 2001年1月設置 – 高度情報通信ネットワーク社会の形成に関する施策 情報セキュリティ – 内閣官房情報セキュリティ対策推進室(2000年2月) ① 政府の情報システムのセキュリティ確保 ② 重要インフラ防護のためのサイバーテロ対策 ③ 情報セキュリティに関する研究開発の推進 – 内閣官房情報セキュリティセンター(NISC)(2005年4月) 情報セキュリティ推進対策室の機能強化 – IT戦略本部の下に情報セキュリティ政策会議を設置(2005 年5月) 2012年7月11日 18 2012年度法情報学講義 情報セキュリティ政策会議 情報セキュリティ政策会議 – わが国の情報セキュリティ基本政策等、根幹に関する 事項を決定する会議 – 第1次情報セキュリティ基本計画(2006年2月) – セキュア・ジャパン2006(2006年6月) – セキュア・ジャパン2007(2007年6月) – セキュア・ジャパン2008(2008年6月) – 情報セキュリティ2010(2010年7月) – 情報セキュリティ2011(2011年7月) – 情報セキュリティ2012(2012年7月) ① ② ③ ④ 2012年7月11日 情報セキュリティ政策に関する基本戦略の立案 政府機関の総合対策促進 政府機関の事業対処支援 重要インフラの情報セキュリティ対策 19 2012年度法情報学講義 政府機関の情報セキュリティ対策 政府機関統一基準策定以前 – 各府省庁がそれぞれ「情報セキュリティポリシーに関するガ イドライン」(2000年7月、情報セキュリティ対策推進会議決 定)に基づく情報セキュリティポリシーを策定し運用 – 情報セキュリティ水準のばらつき 具体的な内容・水準については各府省庁がそれぞれ決めること としていたため – 情報セキュリティに対するリスクの増大 政府機関に対するサービス不能(DoS)攻撃が増加 民間企業での相次ぐ情報漏えい 「政府機関の情報セキュリティ対策のための統一基準」 (2005年12月) – 政府機関全体として統一的にとるべき対策を定める – その後も改訂が行われている(2011年大改訂) 政府機関における情報セキュリティ対策のための統一規範 統一管理基準/統一技術基準 2012年7月11日 20 2012年度法情報学講義 地方公共団体の情報セキュリティ対策 「地方公共団体における情報セキュリティポリシー に関するガイドライン」 – 地方公共団体における情報セキュリティポリシー策定 のための参考として、総務省が2001年3月に策定 – 2003年3月に一部改定、2006年9月に全部改定 「地方公共団体における情報セキュリティ監査ガイ ドライン」 – 情報セキュリティ監査の標準的な監査項目と監査手順 を示すもので、2003年12月に策定 – 2003年12月に策定、2007年7月に全部改定 地方公共団体 – 現在ほとんどの地方公共団体で情報セキュリティポリ シーを策定 2012年7月11日 21 2012年度法情報学講義 高等教育機関の情報セキュリティ対策 政府 2000年7月 情報セキュリティポリシーに関する ガイドライン 各省庁 ポリシー 各省庁 ポリシー 各省庁 ポリシー 大学 電子情報通信学会 2002年5月 大学における情報セキュリティ ポリシーの考え方 2003年4月 高等教育機関におけるネットワーク 運用ガイドライン PDCAサイクル 2005年12月 政府機関の情報セキュリティ対策 のための統一基準 2006年9月 政府機関統一基準適用 個別マニュアル群(実施手順の雛形) 各省庁ポリシーの見直し 2011年4月 政府機関の情報セキュリティ対策 のための統一規範 2012年7月11日 統一管理基準/統一技術基準 各大学において 情報セキュリティポリシー策定 部局 部局 ポリシー ポリシー 2007年2月 高等教育機関の情報セキュリティ対策のための サンプル規程集(大学向けポリシーの雛形) 大学ポリシーの見直し 22 2012年度法情報学講義 各種事業分野での情報セキュリティ対策 分野 安全基準等の名称 情報通信 電気通信 電気通信事業法、電気通信事業法施行規則、事業用電気通信設備規則 等(関連する告示を含む) 情報通信ネットワーク安全・信頼性基準 電気通信分野における情報セキュリティ確保に係る安全基準(第1版) 放送 金融 放送における情報インフラの情報セキュリティ確保に関わる「安全基準等」 策定ガイドライン 金融機関等におけるセキュリティポリシー策定のための手引き 金融機関等コンピュータシステムの安全対策基準・解説書 金融機関等におけるコンティンジェンシープラン策定のための手引書 航空 航空運送 航空運送事業者における情報セキュリティ確保に係る安全ガイドライン 航空管制 航空管制システムにおける情報セキュリティ確保に係る安全ガイドライン 鉄道 鉄道分野における情報セキュリティ確保に係る安全ガイドライン 電力 電力制御システム等における技術的水準・運用基準に関するガイドライン ガス 製造・供給に係る制御系システムの情報セキュリティ対策ガイドライン 政府・行政 地方公共団体における情報セキュリティポリシーに関するガイドライン 医療 医療情報システムの安全管理に関するガイドライン第2版 水道 水道分野における情報セキュリティガイドライン 物流 物流分野における情報セキュリティ確保に係る安全ガイドライン 2012年7月11日 23 2012年度法情報学講義 どうすればいいのか 「何を」「何から」「どのように守るのか」を明 らかにする 情報セキュリティポリシーの策定 – 情報資産の洗い出しと格付け – 脅威、脆弱性の認識からリスクの把握 – 情報セキュリティ対策方法の選択 – 緊急時の対処方法や復旧方法の決定 – 法律への準拠や罰則規定の制定 2012年7月11日 24 2012年度法情報学講義 情報セキュリティマネジメント(ISMS) 情報セキュリティマネジメントとは – 明確な方針や規定に基づいて、組織の持つ情 報資産の機密性、完全性、可用性を適切に維 持、管理すること 計画・策定 Plan 導入・実施 Do PDCAサイクル 評価・見直し Action 2012年7月11日 運用・監視 Check 25 2012年度法情報学講義 情報セキュリティマネジメントの目的 情報セキュリティを達成すること自体が最 終目的であってはならない 情報セキュリティはあくまでも手段 – 情報資産の保護や顧客からの信用獲得の結 果として、競争力や収益力を維持し、向上させ ることが大切 2012年7月11日 26 2012年度法情報学講義 情報セキュリティのコストバランス 情報セキュリティにはコストがかかる – セキュリティ機器の導入 – 業務手順の煩雑化 – セキュリティ対策のための人員の配置 また、情報セキュリティは、投資効果が測 定しにくい分野でもある セキュリティ投資はコストバランスで判断することが必要 2012年7月11日 27 2012年度法情報学講義 情報セキュリティポリシーとは 情報セキュリティに関する基本方針 – 「情報資産」をどのような脅威からどのようにして守るのか 3階層からなる – 基本方針・運用基準(ポリシー:組織で1つ) 組織における情報セキュリティ対策における基本的な考え方を示 し、情報セキュリティに対する取り組み姿勢を明らかにする – 実施規程(スタンダード:組織または部門単位) ポリシーで定められた情報セキュリティを確保するために遵守す べき行為および判断などの基準を示す – 実施手順(プロシージャ:情報システム単位、業務単位) 情報システムや業務における、業務マニュアルなどの具体的な実 施手順書 これらの文書を段階的に策定し遵守させる 2012年7月11日 28 2012年度法情報学講義 ポリシー・実施規程・手順 基本 方針 ポリシー 運用基準 実施規程 実施手順 2012年7月11日 29 ・管理者向け手順 ・利用者向け手順 ・教育カリキュラム・テキスト 2012年度法情報学講義 セキュリティポリシーのPDCAサイクル Plan(計画) ISMSの確立 基本方針・運用基準(ポリシー) 実施手順の策定 Do(実施) Act(見直し・改善) 教育、システムの管理・運用 インシデント対応 是正措置、予防措置 ISMSの 維持・改善 Check(点検・監査) システム監視、セキュリティ監査 ポリシー遵守状況の確認 2012年7月11日 30 ISMSの 導入・運用 ISMSの監視・見直し 2012年度法情報学講義 情報資産 守るべき範囲を決める 対象 内容 情報システム 情報システムならびにシステム開発、運用および保守 のために使用する、ハードウェア、OS、ソフトウェア、 ネットワーク、通信機器、記録媒体、システム構成図等 の総称。これら全体で業務処理を行う。 情報システム に記録される 情報 データには組織の設計戦略、人事、財務、顧客、技術 情報等を含む。アクセス記録、文書および図面等の電 磁的記録と情報システムの脆弱性を推測できるような 書類やプライバシーに関わる文書などの紙データも含 む。 情報に接する すべての者 社員、派遣社員、委託事業者等 2012年7月11日 31 2012年度法情報学講義 リスク リスクは「脅威」と「脆弱性」によって決まる 脅威 – 情報資産に好ましくない影響を及ぼす事象を いう 脆弱性 – 脅威を引き起こす弱点をいう 脅威があるだけ、脆弱性があるだけではリスクは顕在化しない 両者が一致したときに情報資産に対するリスクが発生 2012年7月11日 32 2012年度法情報学講義 脅威 脅威の分類 脅威の種類 脅威の例 物理的脅威 災害(地震・水害・火災)、人為的行為(不正侵入・破 壊・盗難)、障害(設備やコンピュータ装置の劣化)等 情報システムを構成する物理的要素への被害 技術的脅威 不正アクセス、盗聴、コンピュータウイルス、改ざん、 データの消去、DoS攻撃、なりすまし等による被害(ク ラッカー・サイバーテロ) 人的脅威 (管理的脅威) 誤動作や誤入力、パスワード不適切管理、金銭や恨 みなどによる不正行為 2012年7月11日 33 2012年度法情報学講義 脆弱性 脆弱性の分類 脆弱性の種類 脅威の例 物理的脆弱性 入退室管理の不備、防火・耐水・耐震構造の未対応、 機器二重化の未対応、紛失対策の不備 技術的脆弱性 アクセスコントロールの不備、ウイルス対策の不備、 セキュリティホール、システム監査未実施 人的脆弱性 誤操作、パスワード管理の不備、セキュリティ意識の (管理的脆弱性) 甘さ このうち、人的脆弱性が、最もコントロールが難しい。 ←情報セキュリティ教育の実施によってセキュリティ意識を高める 2012年7月11日 34 2012年度法情報学講義 攻撃者 攻撃者の目的 – リスクを積極的に悪用 – 「知識欲」「金銭」「自己顕示欲」「エベレスト心 理」 攻撃者の種類 – レベル1、2、3 – スクリプトキディ、クラッカー、犯罪者 – 内部犯、準内部犯 2012年7月11日 35 2012年度法情報学講義 情報の格付けと取扱制限 情報の重要性 – 機密性→レベル2と3は要機密情報 – 完全性→レベル2は要保全情報 – 可用性→レベル2は要安定情報 取扱制限の例 – 機密性→複製禁止、配布禁止、印刷禁止、暗号 化必須など – 完全性→3年間保存、書換禁止、削除禁止など – 可用性→3日以内復旧、各自PC保存可など 講ずべき情報セキュリティ対策は? 2012年7月11日 36 2012年度法情報学講義 機密性による情報の各付け 格付け 分類基準 取扱制限 機密性3情報 機密文書に相当する機 密性を要する情報 機密性2情報 秘密文書に相当する機 密性は要しないが、直ち に一般に公表することを 前提としていない情報 機密性1情報 機密性2情報又は機密性 3情報以外の情報 2012年7月11日 37 例) 複製禁止 再配布禁止 暗号化必須 2012年度法情報学講義 完全性による情報の各付け 格付け 分類基準 取扱制限 完全性2情報 改ざん、誤びゅう又は破 例) 損により、利用者の権利 ○年○月○日 が侵害され又は本学活 まで保存 動の的確な遂行に支障を (軽微なものを除く。)及 ぼすおそれがある情報 完全性1情報 完全性2情報以外の情報 2012年7月11日 38 2012年度法情報学講義 可用性による情報の各付け 格付け 分類基準 取扱制限 可用性2情報 滅失、紛失又は当該情報 例) が利用不可能であること 1時間以内復旧 により利用者の権利が侵 害され又は本学活動の 安定的な遂行に支障を (軽微なものを除く。)及 ぼすおそれがある情報 可用性1情報 可用性2情報以外の情報 2012年7月11日 39 2012年度法情報学講義 法制度との関係 情報セキュリティ全体を包括的に保護するための 法令は、現時点では存在しない – 「情報セキュリティ」という用語も、省令や規則には登 場しているが、法律・政令のレベルでは見られない 高度情報通信ネットワーク社会形成基本法(IT基 本法) – 不十分ではあるが、情報セキュリティに関する“事実上 の基本法”となっている – しかし、IT基本法の下に情報セキュリティを具体化する ための包括的な一般法は制定されていない – 新たに生じた情報セキュリティに関連する事象に対し ては、法解釈によって既存の伝統的な法制度を適用し て対処を試みるとともに、必要に応じて個別に立法措 置を講じることで対応してきた 2012年7月11日 40 2012年度法情報学講義 IT基本法① 高度情報通信ネットワーク社会(2条) – 「インターネットその他の高度情報通信ネットワー クを通じて自由かつ安全に多様な情報又は知識 を世界的規模で入手し、共有し、又は発信するこ とにより、あらゆる分野における創造的かつ活力 ある発展が可能となる社会」と定義 高度情報通信ネットワークの安全性の確保等 (22条) – 「国民が高度情報通信ネットワークを安心して利 用することができるようにするために必要な措置 が講じられなければならない。」 2012年7月11日 41 2012年度法情報学講義 IT基本法② IT基本法2条、22条 – 高度情報通信ネットワークの「安全」「安心」につい て触れているにとどまり、情報セキュリティという用 語が直接使われてはいるわけではないが、法案 の審議過程における議論を踏まえると、これらの 条項に情報セキュリティが含まれているものと考 えることができる – これらの条項は簡潔で、極めて抽象的 – それらを具体化するための一般法(=情報セキュ リティの保護を目的として具体的な権利・義務等を 包括的に定めた法令)は存在していない 2012年7月11日 42 2012年度法情報学講義 法改正や立法による対応 類型 内容 加害行為規制 型 不正行為者に対 • 1987年改正刑法のコンピュータ犯罪 して法的責任を 処罰規定 問う類型の法制 • 不正アクセス禁止法が定める不正ア 度 クセス罪 • 不正競争防止法の営業秘密保護規 定 管理責任型 (管理義務型) 情報を管理する • 個人情報保護法20~22条 者に対し、当該 • 行政機関個人情報保護法6条1項・9 情報に関する管 条 理責任を負わせ • 独立行政法人等個人情報保護法7条 る類型の法制度 1項・10条 2012年7月11日 法律規定 43 2012年度法情報学講義 セキュリティの方法 セキュリティの実現 それぞれ適用範囲と 限界があることに注意 技術的手段 による方法 法的手段 による方法 その他の手段 による方法 まずは技術で できるところまで 後追いだが 定まれば強力 モラル・倫理・教育 長い目で見れば 2012年7月11日 44 2012年度法情報学講義 法の機能と限界 法の機能 – 特別予防:違法行為をした者に対して刑罰を加えるこ とにより、犯罪者が再び違法行為を繰り返さないように する – 一般予防:刑罰をあらかじめ告知して事前に犯罪の意 思を抑止すること →法に反する行為をした者に対しては、懲役刑や罰金刑 犯罪捜査の目的で、裁判所の発する令状に基づき、 被疑者のシステム等の捜索や通信の傍受 法の限界 – 処罰は、実際に犯罪が実行され、裁判所で有罪が確 定した後でなければ執行できない – システムに対する攻撃そのものを抑止する機能はない 2012年7月11日 45 2012年度法情報学講義 法の適用によるセキュリティの確保 情報システムや電子データの安全性 ←刑法 情報システムのアクセス権限 ←不正アクセス禁止法 個人情報やプライバシー ←個人情報保護法、民法 通信の秘密 ←電気通信事業法など、通信関連の法律 電子商取引の確実性 ←電子署名法、本人確認法 2012年7月11日 46 2012年度法情報学講義 インシデントが発生してしまった場合には 事後的な対応としての法的対応 – 告訴・告発、損害賠償請求、仮処分申し立て 法務部や顧問弁護士との密接な連携が必要 – セキュリティ関係の損害保険 への加入も検討すべき 2012年7月11日 47 2012年度法情報学講義 セキュリティ業務のコンプライアンス セキュリティ業務は、それ自体として適法なもの でなければならない – 正当防衛や緊急避難の範囲を超えて反撃をしてはな らない。 – 相手方の同意や裁判所の令状なしに相手方のシステ ムなどを探知してはならない。 – 従業員等の内部者による犯行を抑止するための監視 技術についても、就業規則に適切な定めがない場合、 従業員の同意がない場合には違法となることがある。 この他、セキュリティ業務に関連する契約や、知 的財産権、消費者保護にも注意する必要がある 2012年7月11日 48 2012年度法情報学講義 まとめ セキュリティ対策に終わりはない – 運用しながら次第に改善していく – セキュリティが破られるのは仕方がない面がある – 重要なのは、同じセキュリティインシデントを繰り 返さないこと – 技術、法律、規則、教育など、多方面から継続的 にアプローチすることが大事 – セキュリティにはリソース(人材・体制・予算等)が 必要であることを、経営者に知ってもらいたい 2012年7月11日 49 2012年度法情報学講義 おしまい この資料は、2012年度法情報学講義の ページからダウンロードすることができます。 http://www.law.tohoku.ac.jp/~kanaya/infolaw2012/ 2012年7月11日 50 2012年度法情報学講義
© Copyright 2024 ExpyDoc