情報セキュリティ読本 第6章 - IPA 独立行政法

情報セキュリティ読本 三訂版
情報セキュリティ読本 三訂版
- IT時代の危機管理入門 -
(第6章 情報セキュリティ関連の法規と制度)
出典: 情報セキュリティ読本 三訂版
1
第6章 情報セキュリティ関連の法規と制度
1. 情報セキュリティの国際標準
2. 情報セキュリティに関する法律
3. 知的財産を守る法律
4. 迷惑メール関連法
5. 情報セキュリティ関連制度
出典: 情報セキュリティ読本 三訂版
2
第6章
1. 情報セキュリティの国際標準
1) 情報セキュリティマネジメントの国際標準
ISO/IEC 27000シリーズ
2) セキュリティ製品の評価認証のための国
際標準 ISO/IEC 15408
3) OECD情報セキュリティガイドライン
出典: 情報セキュリティ読本 三訂版
3
第6章 > 1. 情報セキュリティの国際標準
1) ISO/IEC 27000 シリーズ
•
情報セキュリティマネジメントの国際標準
–
–
–
–
–
–
ISO/IEC 27000:2009 概要と用語
ISO/IEC 27001:2005 要求事項
ISO/IEC 27002:2005 実践のための規範
ISO/IEC 27003 導入と実施の手引き(策定中)
ISO/IEC 27004 測定(策定中)
ISO/IEC 27005:2005 リスクマネジメント
:のあとの数字は、規格が発効した年を示しています。
出典: 情報セキュリティ読本 三訂版
4
第6章 > 1. 情報セキュリティの国際標準
BS7799からJIS Q 27001/27002 まで
BS7799:1995
BS7799-1:1998
1995年英国規格
BS7799-2:1998
1998年に2部構成化
(第1部:規範、第2部:仕様)
BS7799-2:2002
ISO/IEC 17799:2000
JIS X 5080:2002
ISO/IEC 17799:2005
2005年6月発効
JIS Q 27002 としてJIS規格化
ISO/IECの規格として
標準化
ISMS認証基準
2002年JIPDECにより制定
ISMS適合性評価制度発足
ISO/IEC 27001:2005
認証基準は
ISO/IEC27001に移行
2005年10月発効
JIS Q 27001 としてJIS規格化
2006年5月発効
2006年5月発効
出典: 情報セキュリティ読本 三訂版
5
第6章 > 1. 情報セキュリティの国際標準
2) ISO/IEC15408
•
•
•
•
•
•
セキュリティ製品の評価認証のための国際標準
機能要件と保証要件の集大成
7段階の評価保証レベル(EAL)を定義
ISO/IEC15408→(JIS化)→JIS X 5070
ISO/IEC15408(CC)に基づいて「ITセキュリティ
評価及び認証制度」が運用される
2008年4月以降に用いる基準は、CC V3.1
CC: Common Criteria
ISO/IEC 15408を制定するもとになった共通基準
出典: 情報セキュリティ読本 三訂版
6
第6章 > 1. 情報セキュリティの国際標準
3) OECD情報セキュリティガイドライン
•
•
•
•
1992年、OECD(経済協力開発機構)に
より制定
OECD加盟国が尊重すべき情報セキュリ
ティの基本方針
5年ごとに見直し
2002年には、米国同時多発テロの影響を
受け、全面的に改正
参考)OECD 情報セキュリティガイドライン見直しに関する調査
http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html
出典: 情報セキュリティ読本 三訂版
7
第6章
2. 情報セキュリティに関する法律
1) 刑法
2) 不正アクセス行為の禁止等に関する法律
(不正アクセス禁止法)
3) 電子署名及び認証業務に関する法律
(電子署名法)
4) 個人情報の保護に関する法律
(個人情報保護法)
出典: 情報セキュリティ読本 三訂版
8
第6章 > 2. 情報セキュリティに関する法律
1) 刑法
•
1987年の改正で、コンピュータ犯罪を防
止するための3法が追加
– 電子計算機損壊等業務妨害罪
– 電磁的記録不正作出及び供用罪
– 電子計算機使用詐欺罪
・ コンピュータやデータの破壊や改ざんには
刑事罰が科せられる
出典: 情報セキュリティ読本 三訂版
9
第6章 > 2. 情報セキュリティに関する法律
2) 不正アクセス行為の禁止等に関する法律
(不正アクセス禁止法)
•
•
電気通信回線を通じて行われる不正アクセス犯
罪を防止することが目的
不正アクセス行為と不正アクセスを助長する行
為を処罰
【不正アクセス行為】
– 他人のIDやパスワードを無断使用し不正アクセスする
– 直接侵入攻撃
– 間接侵入攻撃
【不正アクセスを助長する行為】
– 他人のパスワードを許可無く他人に教える
参考)不正アクセス行為の禁止等に関する法律
http://www.ipa.go.jp/security/ciadr/law199908.html
出典: 情報セキュリティ読本 三訂版
10
第6章 > 2. 情報セキュリティに関する法律
3) 電子署名及び認証業務に関する法律(電子署名法)
•
•
•
電子署名(ディジタル署名)に署名や押印
と同じ効力を持たせることが目的
電子署名により、電子政府や電子商取引
における情報の真正性を証明
電子署名と電子証明書を規定し、さらに、
認証業務や認証事業者についても規定
参考)電子署名、認証関連
http://www.meti.go.jp/policy/netsecurity/digitalsign.htm
出典: 情報セキュリティ読本 三訂版
11
第6章 > 2. 情報セキュリティに関する法律
4) 個人情報の保護に関する法律(個人情報保護法) (1)
•
•
個人情報を取り扱う事業者の遵守すべき
義務を規定
個人情報
– 氏名、生年月日その他の記述により特定の
個人の識別が可能な情報
•
本人の了解なしに個人情報の流用、売買、
譲渡することを規制
出典: 情報セキュリティ読本 三訂版
12
第6章 > 2. 情報セキュリティに関する法律
4) 個人情報の保護に関する法律(個人情報保護法) (2)
•
個人情報保護の基本原則を規定
– 適正な方法による取得
– 収集目的の範囲内での利用
– 漏えいを防ぐためのセキュリティ対策を実施す
る 等
•
2005年4月より本格施行
参考) 内閣府個人情報保護に関する法律のページ
http://www.5.cao.go.jp/seikatsu/kojin/index.html
分野別ガイドライン:経済産業分野
http://www.meti.go.jp/policy/it_policy/press/0005321/
出典: 情報セキュリティ読本 三訂版
13
第6章 > 2. 情報セキュリティに関する法律
4) 個人情報の保護に関する法律(個人情報保護法) (3)
個人情報保護の基本原則
1.
2.
3.
4.
5.
利用目的による制限
適正な方法による取得
内容の正確性確保
安全管理措置の実施
透明性の確保
出典: 情報セキュリティ読本 三訂版
14
第6章
3. 知的財産を守る法律
1) 著作権法
2) 不正競争防止法
出典: 情報セキュリティ読本 三訂版
15
第6章 > 3. 知的財産を守る法律
1) 著作権法
•
•
創造性のある思想や表現などの著作物
や著作者を保護することが目的
著作者人格権と著作財産権に分けられる
– 著作者人格権
公表権、氏名表示権、同一性保持権
– 著作財産権
複製権、上演権、公衆送信権、口述権など
出典: 情報セキュリティ読本 三訂版
16
第6章 > 3. 知的財産を守る法律
2) 不正競争防止法
•
トレードシークレットを保護することが目的
– トレードシークレット
著作権や商標権では保護されない、企業の
重要な情報であるノウハウや営業秘密等
•
第三者がトレードシークレットを不正入手
したり、不正使用することに対し、差止請
求権、損害賠償請求権が認められる
出典: 情報セキュリティ読本 三訂版
17
第6章
4. 迷惑メール関連法
• 2002年7月1日に施行された次の2つの法律を迷惑
メール関連法という
– 特定商取引に関する法律(改正法)
– 特定電子メールの送信の適正化等に関する法律
• 迷惑メール(スパムメール)の規制が目的
• 2005年の改正→特定電子メールの範囲が拡大さ
れ、架空アドレス宛の送信が禁止
• 2008年の改正→あらかじめ同意したものに対して
のみ送信が認められる「オプトイン方式」が導入
• 規定違反のメールを受信した際の連絡先
– (財)日本データ通信協会(http://www.dekyo.or.jp)
– (財)日本産業協会 (http://www.nissankyo.or.jp)
出典: 情報セキュリティ読本 三訂版
18
第6章
5. 情報セキュリティ関連制度
1) ISMS適合性評価制度
2) ITセキュリティ評価及び認証制度
3) 暗号モジュール試験及び認証制度
4) プライバシーマーク制度
5) 情報セキュリティ監査制度
6) コンピュータウイルス及び不正アクセスに
関する届出制度
7) 脆弱性関連情報に関する届出制度
出典: 情報セキュリティ読本 三訂版
19
第6章 > 5. 情報セキュリティ関連制度
1) ISMS適合性評価制度
•
•
組織の情報セキュリティマネジメントシステム
(ISMS)が基準に適合しているかどうかを第三
者機関が客観的に評価する制度
認証基準は、JIS Q 27001(ISO/IEC 27001)
(第6章 p.106参照)
参考) ISMS適合性評価制度
http://www.isms.jipdec.jp/
出典: 情報セキュリティ読本 三訂版
20
第6章 > 5. 情報セキュリティ関連制度
2) ITセキュリティ評価及び認証制度
ISO/IEC 15408 に基づき、セキュリティ製品やシステムを
評価・認証する制度。認証機関はIPA http://www.ipa.go.jp/security/jisec
出典: 情報セキュリティ読本 三訂版
21
第6章 > 5. 情報セキュリティ関連制度
3) 暗号モジュール試験及び認証制度
•
暗号モジュールが、JIS X 19790 に示さ
れたセキュリティ要求事項に適合している
かどうかを第三者機関が客観的に試験・
認証する制度
参考) CRYPTREC
http://cryptrec.go.jp/
出典: 情報セキュリティ読本 三訂版
22
第6章 > 5. 情報セキュリティ関連制度
4) プライバシーマーク制度
•
•
個人情報保護の取り組みが適切であると
認められた事業者に、それを認定するプ
ライバシーマークの使用を許可する制度
「 JIS Q 15001 個人情報保護に関するマ
ネジメントシステムー要求事項 」に適合し
ているかどうかを検証
参考) プライバシーマーク制度
http://privacymark.jp/
出典: 情報セキュリティ読本 三訂版
23
第6章 > 5. 情報セキュリティ関連制度
5) 情報セキュリティ監査制度
•
•
•
監査人が、組織の情報セキュリティ対策の状況
を客観的に検証・評価し、保証及び助言を行う
制度
情報セキュリティ管理基準と情報セキュリティ監
査基準が策定されている
情報セキュリティ監査サービスを行う企業等を登
録する情報セキュリティ監査企業台帳がある
参考)情報セキュリティ監査制度
http://www.meti.go.jp/policy/netsecurity/audit.htm
出典: 情報セキュリティ読本 三訂版
24
第6章 > 5. 情報セキュリティ関連制度
6) コンピュータウイルス及び不正アクセスに関す
る届出制度
•
•
•
コンピュータや不正アクセスの届出を受け付け
る制度
コンピュータウイルス対策基準およびコンピュー
タ不正アクセス対策基準に基づく(経済産業省
制定)
届出の受付機関としてIPAが指定されている
参考)コンピュータウイルスの届出
http://www.ipa.go.jp/security/outline/todokede-j.html
不正アクセスの届出
http://www.ipa.go.jp/security/ciadr/
出典: 情報セキュリティ読本 三訂版
25
第6章 > 5. 情報セキュリティ関連制度
7) 脆弱性関連情報に関する届出制度
•
•
•
•
ソフトウェア製品やWebアプリケーションの脆弱性
に関する情報の届出を受け付ける制度
ソフトウェア等脆弱性関連情報取扱基準に基づく
(経済産業省制定)
届出の受付機関としてIPAが指定されている
調整機関としてJPCERT/CCが指定されている
参考)脆弱性関連情報の届出
http://www.ipa.go.jp/security/vuln/report/
出典: 情報セキュリティ読本 三訂版
26
本資料の利用条件
1.
著作権は独立行政法人 情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2.
本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。
セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい
ただいても結構です。
3.
営利目的の使用はご遠慮下さい。
4.
授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは
行っていただいて結構です。
5.
本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。
外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6.
上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は
ありません。
なお、参考までに、 [email protected] まで以下をお知らせ下さい。
・使用する方もしくは組織の名称
・使用目的
・教育への参加人数
7.
ご質問、ご要望等は、 [email protected] までお知らせ下さい。
出典: 情報セキュリティ読本 三訂版
27