情報セキュリティ読本第6章 - IPA 独立行政法

情報セキュリティ読本
情報セキュリティ読本
- IT時代の危機管理入門 -
プレゼンテーション資料
（第6章情報セキュリティ関連の法規と制度）
情報セキュリティ読本 – プレゼンテーション資料 -
1
第6章情報セキュリティ関連の法規と制度
1. 情報セキュリティの国際標準
2. 情報セキュリティに関する法律
3. 知的財産を守る法律
4. 迷惑メール関連法
5. 情報セキュリティ関連制度
情報セキュリティ読本 – プレゼンテーション資料 -
2
第6章
1. 情報セキュリティの国際標準
1) 情報セキュリティマネジメントの国際標準
ISO/IEC 17799と27000シリーズ
2)セキュリティ製品の評価認証のための国際
標準 ISO/IEC 15408
3) OECD情報セキュリティガイドライン
情報セキュリティ読本 – プレゼンテーション資料 -
3
第6章 > 1. 情報セキュリティの国際標準
1） ISO/IEC 17799 (JIS Q 27002)
•
情報セキュリティマネジメントの国際標準
– 組織として情報セキュリティの確保に取り組む
ための管理策を定めた国際標準
•
情報セキュリティを守るためのベストプラク
ティスを記述
情報セキュリティ読本 – プレゼンテーション資料 -
4
第6章 > 1. 情報セキュリティの国際標準
BS7799からJIS Q 27001/27002 まで
BS7799:1995
BS7799-1:1998
1995年英国規格
BS7799-2:1998
1998年に２部構成化
（第１部：規範、第２部：仕様)
BS7799-2:2002
ISO/IEC 17799：2000
ISO/IECの規格として
標準化
JIS X 5080：2002
2002年JIPDECにより制定
ISMS適合性評価制度発足
ISO/IEC 17799：2005
ISO/IEC 27001:2005
認証基準は
ISO/IEC27001に移行
2005年6月発効
JIS Q 27002 としてJIS規格化
2006年5月発効
ISMS認証基準
2005年10月発効
JIS Q 27001 としてJIS規格化
2006年5月発効
ISMS認証基準及びガイド等 http://www.isms.jipdec.jp/std/
情報セキュリティ読本 – プレゼンテーション資料 -
5
第6章 > 1. 情報セキュリティの国際標準
2） ISO/IEC15408
•
•
•
•
•
セキュリティ製品の評価認証のための国
際標準
機能要件と保証要件の集大成
7段階の評価保証レベル(EAL)を定義
ISO/IEC15408→（JIS化）→JIS X 5070
ISO/IEC15408に基づいて「ITセキュリ
ティ評価及び認証制度」が運用される
情報セキュリティ読本 – プレゼンテーション資料 -
6
第6章 > 1. 情報セキュリティの国際標準
3） OECD情報セキュリティガイドライン
•
•
•
•
1992年、OECD（経済協力開発機構）に
より制定
OECD加盟国が尊重すべき情報セキュリ
ティの基本方針
5年ごとに見直し
2002年には、米国同時多発テロの影響を
受け、全面的に改正
参考）OECD 情報セキュリティガイドライン見直しに関する調査
http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html
情報セキュリティ読本 – プレゼンテーション資料 -
7
第6章
2. 情報セキュリティに関する法律
1) 刑法
2) 不正アクセス行為の禁止等に関する法律
（不正アクセス禁止法）
3) 電子署名及び認証業務に関する法律
（電子署名法）
4) 個人情報の保護に関する法律
（個人情報保護法）
情報セキュリティ読本 – プレゼンテーション資料 -
8
第6章 > 2. 情報セキュリティに関する法律
1）刑法
•
1987年の改正で、コンピュータ犯罪を防
止するための3法が追加
– 電子計算機損壊等業務妨害罪
– 電磁的記録不正作出及び供用罪
– 電子計算機使用詐欺罪
・コンピュータやデータの破壊や改ざんには
刑事罰が科せられる
情報セキュリティ読本 – プレゼンテーション資料 -
9
第6章 > 2. 情報セキュリティに関する法律
2）不正アクセス行為の禁止等に関する法律
（不正アクセス禁止法）
•
•
電気通信回線を通じて行われる不正アクセス犯
罪を防止することが目的
不正にアクセスする行為と不正アクセスを助長す
る行為を処罰
【不正アクセス行為】
– 他人のIDやパスワードを無断使用し不正アクセスする
– 直接侵入攻撃
– 間接侵入攻撃
【不正アクセスを助長する行為】
– 他人のパスワードを許可無く他人に教える
参考）不正アクセス行為の禁止等に関する法律
http://www.ipa.go.jp/security/ciadr/law199908.html
情報セキュリティ読本 – プレゼンテーション資料 -
10
第6章 > 2. 情報セキュリティに関する法律
3）電子署名及び認証業務に関する法律（電子署名法）
•
•
•
電子署名（ディジタル署名）に署名や押印
と同じ効力を持たせることが目的
電子署名により、電子政府や電子商取引
における情報の真正性を証明
電子署名と電子証明書を規定し、さらに、
認証業務や認証事業者についても規定
参考）電子署名、認証関連
http://www.meti.go.jp/policy/netsecurity/digitalsign.htm
情報セキュリティ読本 – プレゼンテーション資料 -
11
第6章 > 2. 情報セキュリティに関する法律
4）個人情報の保護に関する法律（個人情報保護法）（1）
•
•
個人情報を取り扱う事業者の遵守すべき
義務を規定
個人情報
– 氏名、生年月日その他の記述により特定の
個人の識別が可能な情報
•
本人の了解なしに個人情報の流用、売買、
譲渡することを規制
情報セキュリティ読本 – プレゼンテーション資料 -
12
第6章 > 2. 情報セキュリティに関する法律
4）個人情報の保護に関する法律（個人情報保護法）（2）
•
個人情報保護の基本原則を規定
– 適正な方法による取得
– 収集目的の範囲内での利用
– 漏えいを防ぐためのセキュリティ対策を実施す
る等
•
2005年4月より本格施行
参考）個人情報の保護に関する法律
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/
分野別ガイドライン：経済産業分野
http://www.meti.go.jp/policy/it_policy/press/0005321/
情報セキュリティ読本 – プレゼンテーション資料 -
13
第6章 > 2. 情報セキュリティに関する法律
4）個人情報の保護に関する法律（個人情報保護法）（3）
個人情報保護の基本原則
1.
2.
3.
4.
5.
利用目的による制限
適正な方法による取得
内容の正確性確保
安全管理措置の実施
透明性の確保
情報セキュリティ読本 – プレゼンテーション資料 -
14
第6章
3. 知的財産を守る法律
1) 著作権法
2) 不正競争防止法
情報セキュリティ読本 – プレゼンテーション資料 -
15
第6章 > 3. 知的財産を守る法律
1）著作権法
•
•
創造性のある思想や表現などの著作物
や著作者を保護することが目的
著作者人格権と著作財産権に分けられる
– 著作者人格権
公表権、氏名表示権、同一性保持権
– 著作財産権
複製権、上演権、公衆送信権、口述権など
情報セキュリティ読本 – プレゼンテーション資料 -
16
第6章 > 3. 知的財産を守る法律
2）不正競争防止法
•
トレードシークレットを保護することが目的
– トレードシークレット
著作権や商標権では保護されない、企業の
重要な情報であるノウハウや営業秘密等
•
第三者がトレードシークレットを不正入手
したり、不正使用することに対し、差止請
求権、損害賠償請求権が認められる
情報セキュリティ読本 – プレゼンテーション資料 -
17
第6章
4. 迷惑メール関連法
•
2002年7月1日に施行された次の2つの法律を
迷惑メール関連法という
–
–
•
•
特定商取引に関する法律の改正
特定電子メールの送信の適正化等に関する法律
迷惑メール（スパムメール）の規制が目的
規定違反のメールを受信した際の連絡先
–
–
（財）日本データ通信協会（http://www.dekyo.or.jp）
（財）日本産業協会（http://www.nissankyo.or.jp）
情報セキュリティ読本 – プレゼンテーション資料 -
18
第6章
5. 情報セキュリティ関連制度
1） ISMS適合性評価制度
2） ITセキュリティ評価及び認証制度
3）プライバシーマーク制度
4）情報セキュリティ監査制度
5）コンピュータウイルス及び不正アクセスに
関する届出制度
6）脆弱性関連情報に関する届出制度
情報セキュリティ読本 – プレゼンテーション資料 -
19
第6章 > 5. 情報セキュリティ関連制度
1） ISMS適合性評価制度
•
•
組織の情報セキュリティマネジメントシステム
（ISMS）が基準に適合しているかどうかを第三
者機関が客観的に評価する制度
認証基準は、JIS Q 27001(ISO/IEC 27001)
（読本p.104参照）
参考） ISMS適合性評価制度
http://www.isms.jipdec.jp/
情報セキュリティ読本 – プレゼンテーション資料 -
20
第6章 > 5. 情報セキュリティ関連制度
2） ITセキュリティ評価及び認証制度
•
ISO/IEC 15408 に基づき、セキュリティ製品や
システムを評価・認証する制度
–
認証機関はIPA
認証機関
参考） ITセキュリティ評価及び認証制度
http://www.ipa.go.jp/security/jisec
情報セキュリティ読本 – プレゼンテーション資料 -
21
第6章 > 5. 情報セキュリティ関連制度
3）プライバシーマーク制度
•
•
個人情報保護の取り組みが適切であると
認められた事業者に、それを認定するプ
ライバシーマークの使用を許可する制度
「 JIS Q 15001 個人情報保護に関するマ
ネジメントシステムー要求事項」に適合し
ているかどうかを検証
参考）プライバシーマーク制度
http://privacymark.jp/
情報セキュリティ読本 – プレゼンテーション資料 -
22
第6章 > 5. 情報セキュリティ関連制度
4）情報セキュリティ監査制度
•
•
•
監査人が、組織の情報セキュリティ対策の状況
を客観的に検証・評価し、保証及び助言を行う
制度
情報セキュリティ管理基準と情報セキュリティ監
査基準が策定されている
情報セキュリティ監査サービスを行う企業等を登
録する情報セキュリティ監査企業台帳がある
参考）情報セキュリティ監査制度
http://www.meti.go.jp/policy/netsecurity/audit.htm
情報セキュリティ読本 – プレゼンテーション資料 -
23
第6章 > 5. 情報セキュリティ関連制度
5）コンピュータウイルス及び不正アクセスに関す
る届出制度
•
•
•
コンピュータや不正アクセスの届出を受け付け
る制度
コンピュータウイルス対策基準およびコンピュー
タ不正アクセス対策基準に基づく（経済産業省
制定）
届出の受付機関としてIPAが指定されている
参考）ウイルスの届出
http://www.ipa.go.jp/security/outline/todokede-j.html
不正アクセスの届出
http://www.ipa.go.jp/security/ciadr/
情報セキュリティ読本 – プレゼンテーション資料 -
24
第6章 > 5. 情報セキュリティ関連制度
6）脆弱性関連情報に関する届出制度
•
•
•
•
ソフトウェア製品やWebアプリケーションの脆弱性
に関する情報の届出を受け付ける制度
ソフトウェア等脆弱性関連情報取扱基準に基づく
（経済産業省制定）
届出の受付機関としてIPAが指定されている
調整機関としてJPCERT/CCが指定されている
参考）脆弱性関連情報の届出
http://www.ipa.go.jp/security/vuln/report/
情報セキュリティ読本 – プレゼンテーション資料 -
25
本資料の利用条件
1.
著作権は独立行政法人情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2.
本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。
セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい
ただいても結構です。
3.
営利目的の使用はご遠慮下さい。
4.
授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは
行っていただいて結構です。
5.
本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。
外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6.
上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は
ありません。
なお、参考までに、 [email protected] まで以下をお知らせ下さい。
・使用する方もしくは組織の名称
・使用目的
・教育への参加人数
7.
ご質問、ご要望等は、 [email protected] までお知らせ下さい。
情報セキュリティ読本 – プレゼンテーション資料 -
26

Download Report