情報セキュリティ読本 三訂版 情報セキュリティ読本 三訂版 - IT時代の危機管理入門 - (第6章 情報セキュリティ関連の法規と制度) 出典: 情報セキュリティ読本 三訂版 1 第6章 情報セキュリティ関連の法規と制度 1. 情報セキュリティの国際標準 2. 情報セキュリティに関する法律 3. 知的財産を守る法律 4. 迷惑メール関連法 5. 情報セキュリティ関連制度 出典: 情報セキュリティ読本 三訂版 2 第6章 1. 情報セキュリティの国際標準 1) 情報セキュリティマネジメントの国際標準 ISO/IEC 27000シリーズ 2) セキュリティ製品の評価認証のための国 際標準 ISO/IEC 15408 3) OECD情報セキュリティガイドライン 出典: 情報セキュリティ読本 三訂版 3 第6章 > 1. 情報セキュリティの国際標準 1) ISO/IEC 27000 シリーズ • 情報セキュリティマネジメントの国際標準 – – – – – – ISO/IEC 27000:2009 概要と用語 ISO/IEC 27001:2005 要求事項 ISO/IEC 27002:2005 実践のための規範 ISO/IEC 27003 導入と実施の手引き(策定中) ISO/IEC 27004 測定(策定中) ISO/IEC 27005:2005 リスクマネジメント :のあとの数字は、規格が発効した年を示しています。 出典: 情報セキュリティ読本 三訂版 4 第6章 > 1. 情報セキュリティの国際標準 BS7799からJIS Q 27001/27002 まで BS7799:1995 BS7799-1:1998 1995年英国規格 BS7799-2:1998 1998年に2部構成化 (第1部:規範、第2部:仕様) BS7799-2:2002 ISO/IEC 17799:2000 JIS X 5080:2002 ISO/IEC 17799:2005 2005年6月発効 JIS Q 27002 としてJIS規格化 ISO/IECの規格として 標準化 ISMS認証基準 2002年JIPDECにより制定 ISMS適合性評価制度発足 ISO/IEC 27001:2005 認証基準は ISO/IEC27001に移行 2005年10月発効 JIS Q 27001 としてJIS規格化 2006年5月発効 2006年5月発効 出典: 情報セキュリティ読本 三訂版 5 第6章 > 1. 情報セキュリティの国際標準 2) ISO/IEC15408 • • • • • • セキュリティ製品の評価認証のための国際標準 機能要件と保証要件の集大成 7段階の評価保証レベル(EAL)を定義 ISO/IEC15408→(JIS化)→JIS X 5070 ISO/IEC15408(CC)に基づいて「ITセキュリティ 評価及び認証制度」が運用される 2008年4月以降に用いる基準は、CC V3.1 CC: Common Criteria ISO/IEC 15408を制定するもとになった共通基準 出典: 情報セキュリティ読本 三訂版 6 第6章 > 1. 情報セキュリティの国際標準 3) OECD情報セキュリティガイドライン • • • • 1992年、OECD(経済協力開発機構)に より制定 OECD加盟国が尊重すべき情報セキュリ ティの基本方針 5年ごとに見直し 2002年には、米国同時多発テロの影響を 受け、全面的に改正 参考)OECD 情報セキュリティガイドライン見直しに関する調査 http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html 出典: 情報セキュリティ読本 三訂版 7 第6章 2. 情報セキュリティに関する法律 1) 刑法 2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) 3) 電子署名及び認証業務に関する法律 (電子署名法) 4) 個人情報の保護に関する法律 (個人情報保護法) 出典: 情報セキュリティ読本 三訂版 8 第6章 > 2. 情報セキュリティに関する法律 1) 刑法 • 1987年の改正で、コンピュータ犯罪を防 止するための3法が追加 – 電子計算機損壊等業務妨害罪 – 電磁的記録不正作出及び供用罪 – 電子計算機使用詐欺罪 ・ コンピュータやデータの破壊や改ざんには 刑事罰が科せられる 出典: 情報セキュリティ読本 三訂版 9 第6章 > 2. 情報セキュリティに関する法律 2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) • • 電気通信回線を通じて行われる不正アクセス犯 罪を防止することが目的 不正アクセス行為と不正アクセスを助長する行 為を処罰 【不正アクセス行為】 – 他人のIDやパスワードを無断使用し不正アクセスする – 直接侵入攻撃 – 間接侵入攻撃 【不正アクセスを助長する行為】 – 他人のパスワードを許可無く他人に教える 参考)不正アクセス行為の禁止等に関する法律 http://www.ipa.go.jp/security/ciadr/law199908.html 出典: 情報セキュリティ読本 三訂版 10 第6章 > 2. 情報セキュリティに関する法律 3) 電子署名及び認証業務に関する法律(電子署名法) • • • 電子署名(ディジタル署名)に署名や押印 と同じ効力を持たせることが目的 電子署名により、電子政府や電子商取引 における情報の真正性を証明 電子署名と電子証明書を規定し、さらに、 認証業務や認証事業者についても規定 参考)電子署名、認証関連 http://www.meti.go.jp/policy/netsecurity/digitalsign.htm 出典: 情報セキュリティ読本 三訂版 11 第6章 > 2. 情報セキュリティに関する法律 4) 個人情報の保護に関する法律(個人情報保護法) (1) • • 個人情報を取り扱う事業者の遵守すべき 義務を規定 個人情報 – 氏名、生年月日その他の記述により特定の 個人の識別が可能な情報 • 本人の了解なしに個人情報の流用、売買、 譲渡することを規制 出典: 情報セキュリティ読本 三訂版 12 第6章 > 2. 情報セキュリティに関する法律 4) 個人情報の保護に関する法律(個人情報保護法) (2) • 個人情報保護の基本原則を規定 – 適正な方法による取得 – 収集目的の範囲内での利用 – 漏えいを防ぐためのセキュリティ対策を実施す る 等 • 2005年4月より本格施行 参考) 内閣府個人情報保護に関する法律のページ http://www.5.cao.go.jp/seikatsu/kojin/index.html 分野別ガイドライン:経済産業分野 http://www.meti.go.jp/policy/it_policy/press/0005321/ 出典: 情報セキュリティ読本 三訂版 13 第6章 > 2. 情報セキュリティに関する法律 4) 個人情報の保護に関する法律(個人情報保護法) (3) 個人情報保護の基本原則 1. 2. 3. 4. 5. 利用目的による制限 適正な方法による取得 内容の正確性確保 安全管理措置の実施 透明性の確保 出典: 情報セキュリティ読本 三訂版 14 第6章 3. 知的財産を守る法律 1) 著作権法 2) 不正競争防止法 出典: 情報セキュリティ読本 三訂版 15 第6章 > 3. 知的財産を守る法律 1) 著作権法 • • 創造性のある思想や表現などの著作物 や著作者を保護することが目的 著作者人格権と著作財産権に分けられる – 著作者人格権 公表権、氏名表示権、同一性保持権 – 著作財産権 複製権、上演権、公衆送信権、口述権など 出典: 情報セキュリティ読本 三訂版 16 第6章 > 3. 知的財産を守る法律 2) 不正競争防止法 • トレードシークレットを保護することが目的 – トレードシークレット 著作権や商標権では保護されない、企業の 重要な情報であるノウハウや営業秘密等 • 第三者がトレードシークレットを不正入手 したり、不正使用することに対し、差止請 求権、損害賠償請求権が認められる 出典: 情報セキュリティ読本 三訂版 17 第6章 4. 迷惑メール関連法 • 2002年7月1日に施行された次の2つの法律を迷惑 メール関連法という – 特定商取引に関する法律(改正法) – 特定電子メールの送信の適正化等に関する法律 • 迷惑メール(スパムメール)の規制が目的 • 2005年の改正→特定電子メールの範囲が拡大さ れ、架空アドレス宛の送信が禁止 • 2008年の改正→あらかじめ同意したものに対して のみ送信が認められる「オプトイン方式」が導入 • 規定違反のメールを受信した際の連絡先 – (財)日本データ通信協会(http://www.dekyo.or.jp) – (財)日本産業協会 (http://www.nissankyo.or.jp) 出典: 情報セキュリティ読本 三訂版 18 第6章 5. 情報セキュリティ関連制度 1) ISMS適合性評価制度 2) ITセキュリティ評価及び認証制度 3) 暗号モジュール試験及び認証制度 4) プライバシーマーク制度 5) 情報セキュリティ監査制度 6) コンピュータウイルス及び不正アクセスに 関する届出制度 7) 脆弱性関連情報に関する届出制度 出典: 情報セキュリティ読本 三訂版 19 第6章 > 5. 情報セキュリティ関連制度 1) ISMS適合性評価制度 • • 組織の情報セキュリティマネジメントシステム (ISMS)が基準に適合しているかどうかを第三 者機関が客観的に評価する制度 認証基準は、JIS Q 27001(ISO/IEC 27001) (第6章 p.106参照) 参考) ISMS適合性評価制度 http://www.isms.jipdec.jp/ 出典: 情報セキュリティ読本 三訂版 20 第6章 > 5. 情報セキュリティ関連制度 2) ITセキュリティ評価及び認証制度 ISO/IEC 15408 に基づき、セキュリティ製品やシステムを 評価・認証する制度。認証機関はIPA http://www.ipa.go.jp/security/jisec 出典: 情報セキュリティ読本 三訂版 21 第6章 > 5. 情報セキュリティ関連制度 3) 暗号モジュール試験及び認証制度 • 暗号モジュールが、JIS X 19790 に示さ れたセキュリティ要求事項に適合している かどうかを第三者機関が客観的に試験・ 認証する制度 参考) CRYPTREC http://cryptrec.go.jp/ 出典: 情報セキュリティ読本 三訂版 22 第6章 > 5. 情報セキュリティ関連制度 4) プライバシーマーク制度 • • 個人情報保護の取り組みが適切であると 認められた事業者に、それを認定するプ ライバシーマークの使用を許可する制度 「 JIS Q 15001 個人情報保護に関するマ ネジメントシステムー要求事項 」に適合し ているかどうかを検証 参考) プライバシーマーク制度 http://privacymark.jp/ 出典: 情報セキュリティ読本 三訂版 23 第6章 > 5. 情報セキュリティ関連制度 5) 情報セキュリティ監査制度 • • • 監査人が、組織の情報セキュリティ対策の状況 を客観的に検証・評価し、保証及び助言を行う 制度 情報セキュリティ管理基準と情報セキュリティ監 査基準が策定されている 情報セキュリティ監査サービスを行う企業等を登 録する情報セキュリティ監査企業台帳がある 参考)情報セキュリティ監査制度 http://www.meti.go.jp/policy/netsecurity/audit.htm 出典: 情報セキュリティ読本 三訂版 24 第6章 > 5. 情報セキュリティ関連制度 6) コンピュータウイルス及び不正アクセスに関す る届出制度 • • • コンピュータや不正アクセスの届出を受け付け る制度 コンピュータウイルス対策基準およびコンピュー タ不正アクセス対策基準に基づく(経済産業省 制定) 届出の受付機関としてIPAが指定されている 参考)コンピュータウイルスの届出 http://www.ipa.go.jp/security/outline/todokede-j.html 不正アクセスの届出 http://www.ipa.go.jp/security/ciadr/ 出典: 情報セキュリティ読本 三訂版 25 第6章 > 5. 情報セキュリティ関連制度 7) 脆弱性関連情報に関する届出制度 • • • • ソフトウェア製品やWebアプリケーションの脆弱性 に関する情報の届出を受け付ける制度 ソフトウェア等脆弱性関連情報取扱基準に基づく (経済産業省制定) 届出の受付機関としてIPAが指定されている 調整機関としてJPCERT/CCが指定されている 参考)脆弱性関連情報の届出 http://www.ipa.go.jp/security/vuln/report/ 出典: 情報セキュリティ読本 三訂版 26 本資料の利用条件 1. 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい ただいても結構です。 3. 営利目的の使用はご遠慮下さい。 4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは 行っていただいて結構です。 5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は ありません。 なお、参考までに、 [email protected] まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。 出典: 情報セキュリティ読本 三訂版 27
© Copyright 2024 ExpyDoc