本日の勉強内容
- 情報セキュリティ
- 情報セキュリティマネジメント
情報セキュリティ
情報セキュリティとは
情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある。 (JIS Q 27000ファミリー)
機密性(Confidentiality)
機密性とは
ある情報資産へのアクセスを許可された者(権限者)と許可されていない者(無権限者)を明確に区別し、権限者だけが許可された範囲内で活動(読込み・書込み・一覧表示・実行など)をできるようにする特性。
機密性を確保するには
アクセス制御や認証、暗号化などのセキュリティ技術を用いる。
完全性(Integrity)
完全性とは
データの正当性・正確性・網羅性・一貫性を維持する特性。
完全性を確保するには
データのチェック機能や改ざん検知策を組み込んでおく。ハッシュ関数やディジタル署名など。
可用性(Availability)
可用性とは
情報システムが必要な時に、いつでも正常なサービスを提供できる状態を維持する特性。
可用性を確保するには
二重化・冗長化・リソースの十分な確保・バックアップ・定期保守など。
真正性(Authenticity)
真正性とは
利用者、プロセス、システム、情報などが、主張通りであることを確実にする特性。
真正性を確保するには
人の場合は、確実に本人であることを識別・認証する。情報の場合は、メッセージ認証などによって確保。
真正性を高めるには、複数の要素によって対象を識別することが有効。
責任追跡性(Accountability)
責任追跡性とは
利用者、プロセス、システムなどの動作について、その主体と動作内容を一意に追跡できることを確実にする特性。
責任追跡性を確保するには
各種記録、証跡を確実に取得する。
その前提として、主体を一意に識別できる仕組みが必要。
否認防止(Non-Repudiation)
否認防止とは
ある活動や事象が起きたことを、後になって否認されないように証明できること。
否認防止を確実に行うには
真正性、責任追跡性を適切に確保し、その証跡の完全性を確保する必要がある。
信頼性(Reliability)
信頼性とは
情報システムにおいて実行した操作や処理の結果に矛盾がなく、期待されている結果と整合が取れていることを確実にする特性。
信頼性を確保するには
信頼性の高い機器や部品を用いてシステムを構築し、保守点検を確実に行う。
情報収集やテストの強化によって、バグや脆弱性を発見し対処する。
情報セキュリティマネジメント
明確な方針や規定に基づいて、組織の情報資産の機密性、完全性、可用性などの特性を適切に維持・管理すること。
情報セキュリティマネジメントにおけるPDCAサイクル
- Plan(計画・策定)
- 情報セキュリティマネジメント推進計画の立案
- リスクアセスメントの実施
- 情報セキュリティポリシの策定
- Do(導入・運用)
- 情報セキュリティポリシに基づく対策の実施・運用
- 情報セキュリティに関する教育の実施
- システムの正常稼働、不正アクセスの監視
- Check(評価・点検)
- 情報セキュリティポリシ遵守状況の評価
- 情報セキュリティポリシの適切性の監査
- Act(見直し)
- 情報セキュリティポリシの見直し
- 問題個所の是正・改善など
ISMSに関する規格・制度
ISO/IEC 27000~27007, TR 27008, 27010, 27011
→ISO/IEC 27000ファミリー
上記に基づいた認証制度「ISMS適合性評価制度(ISMS認証制度)」
ISO/IEC 27001:2013(JIS Q 27001:2014)(情報セキュリティマネジメントシステム-要求事項)
組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項について規定。
また、情報セキュリティにおけるリスクアセスメント及びリスク対応を行うための要求事項についても規定。
※2022年10月に改定
附属所Aに記載の管理策が114個から93個に減少。
個数は減っているが、内容の近いものが統合されており、新たに11個の管理策が追加されている。
ISO/IEC 27002:2013(JIS Q 27002:2014)(情報セキュリティ管理策の実践のための規範)
組織がISMSを実践するための規範となる文書(ガイドライン)。
14のカテゴリについて必要な管理策が示されている。
※2022年2月に改定
カテゴリが再編。14から4つに。
- 組織的管理策
- 人的管理策
- 物理的管理策
- 技術的管理策
ISMS適合性評価制度
一般財団法人情報マネジメントシステム認定センター(ISMS-AC)が主管。
組織のISMSがJIS Q 27001に適合しているかの審査については、ISMS-ACから認定を受けた認証機関が行う。
審査員に対する資格の付与についてはISMS-ACから認定を受けた要因認証機関が行う。
審査の流れは下記の通り。
継続審査は半年から1年に一回の頻度で実施する必要がある。
(メモ)ISO/IECとは、他
ISO:International Organization for Standardization(国際標準化機構)
国際規格の世界的相互扶助を目的とする独立組織
ISOは製品の規格をそろえるだけでなく、商品の品質維持や自然環境を守るシステムのルールを作っていくという役割もあり、PDCAを軸としたマネジメントシステムも評価している
IEC:International Electrotechnical Commission(国際電気標準会議)
電気工学、電子工学、および関連した技術を扱う国際的な標準化団体である。
ISO/IEC
ISOとIECがジョイントした組織。情報処理分野の標準化を担当している。
TR:Technical Report(技術報告書)
ISOやIEC等の国際規格には"What"しか記載出来ない。
テクニカルレポートは、要求事項ではなく例または参照("How")である。
国際規格の要求事項を遵守するために参考にするものであって、必ずしもその通り実施しなければならないものではない。
JIS:Japan Industrial Standards(日本産業規格)
日本の産業製品に関する規格や測定法などが定められた日本の国家規格
番号は、部門を表すアルファベット1文字、数字4桁~5桁の組み合わせ(及び発行年4桁)で表示される。
部門のアルファベットは下記の通り
- A(土木及び建築)
- B(一般機械)
- C(電子機器及び電気機械)
- D(自動車)
- E(鉄道)
- F(船舶)
- G(鉄鋼)
- H(非鉄金属)
- K(化学)
- L(繊維)
- M(鉱山)
- P(パルプ及び紙)
- Q(管理システム)
- R(窯業)
- S(日用品)
- T(医療安全用具)
- W(航空)
- X(情報処理)
- Z(その他)