情報セキュリティ読本 - IT時代の危機管理入門 - プレゼンテーション資料 (第6章 情報セキュリティ関連の法規と制度)
第6章 情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 第6章 情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 情報セキュリティ関連制度
1. 情報セキュリティの国際標準 1) 情報セキュリティマネジメントの国際標準ISO/IEC 17799と27000シリーズ 第6章 1. 情報セキュリティの国際標準 1) 情報セキュリティマネジメントの国際標準ISO/IEC 17799と27000シリーズ 2)セキュリティ製品の評価認証のための国際標準 ISO/IEC 15408 3) OECD情報セキュリティガイドライン
1) ISO/IEC 17799 (JIS Q 27002) 情報セキュリティマネジメントの国際標準 第6章 > 1. 情報セキュリティの国際標準 1) ISO/IEC 17799 (JIS Q 27002) 情報セキュリティマネジメントの国際標準 組織として情報セキュリティの確保に取り組むための管理策を定めた国際標準 情報セキュリティを守るためのベストプラクティスを記述
ISMS認証基準及びガイド等 http://www.isms.jipdec.jp/std/ 第6章 > 1. 情報セキュリティの国際標準 BS7799からJIS Q 27001/27002 まで BS7799:1995 1995年英国規格 1998年に2部構成化 (第1部:規範、第2部:仕様) BS7799-1:1998 BS7799-2:1998 BS7799-2:2002 ISO/IEC 17799:2000 ISO/IECの規格として 標準化 ISMS認証基準 JIS X 5080:2002 ISMS認証基準 p.23 詳細管理策 管理目的及び管理策のリストを記載(JIS X 5080:2002を参照) V2.0 付属書「詳細管理策」は、JIS X 5080:2002 を参照 JIS Q 27002、JIS Q 27001 は、2006年5月20日にJIS規格化。 JIS Q 27001 付属書「詳細管理策」は、JIS Q 27002を参照 ISO/IEC 27001:2005 2002年JIPDECにより制定ISMS適合性評価制度発足 ISO/IEC 17799:2005 2005年10月発効 認証基準は ISO/IEC27001に移行 2005年6月発効 JIS Q 27001 としてJIS規格化 JIS Q 27002 としてJIS規格化 2006年5月発効 2006年5月発効 ISMS認証基準及びガイド等 http://www.isms.jipdec.jp/std/ 要確認
2) ISO/IEC15408 セキュリティ製品の評価認証のための国際標準 機能要件と保証要件の集大成 第6章 > 1. 情報セキュリティの国際標準 2) ISO/IEC15408 セキュリティ製品の評価認証のための国際標準 機能要件と保証要件の集大成 7段階の評価保証レベル(EAL)を定義 ISO/IEC15408→(JIS化)→JIS X 5070 ISO/IEC15408に基づいて「ITセキュリティ評価及び認証制度」が運用される
1992年、OECD(経済協力開発機構)により制定 OECD加盟国が尊重すべき情報セキュリティの基本方針 5年ごとに見直し 第6章 > 1. 情報セキュリティの国際標準 3) OECD情報セキュリティガイドライン 1992年、OECD(経済協力開発機構)により制定 OECD加盟国が尊重すべき情報セキュリティの基本方針 5年ごとに見直し 2002年には、米国同時多発テロの影響を受け、全面的に改正 参考)OECD 情報セキュリティガイドライン見直しに関する調査 http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html
2. 情報セキュリティに関する法律 1) 刑法 2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) 第6章 2. 情報セキュリティに関する法律 1) 刑法 2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) 3) 電子署名及び認証業務に関する法律 (電子署名法) 4) 個人情報の保護に関する法律 (個人情報保護法)
1) 刑法 1987年の改正で、コンピュータ犯罪を防止するための3法が追加 電子計算機損壊等業務妨害罪 電磁的記録不正作出及び供用罪 第6章 > 2. 情報セキュリティに関する法律 1) 刑法 1987年の改正で、コンピュータ犯罪を防止するための3法が追加 電子計算機損壊等業務妨害罪 電磁的記録不正作出及び供用罪 電子計算機使用詐欺罪 ・ コンピュータやデータの破壊や改ざんには 刑事罰が科せられる
2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) 第6章 > 2. 情報セキュリティに関する法律 2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) 電気通信回線を通じて行われる不正アクセス犯罪を防止することが目的 不正にアクセスする行為と不正アクセスを助長する行為を処罰 【不正アクセス行為】 他人のIDやパスワードを無断使用し不正アクセスする 直接侵入攻撃 間接侵入攻撃 【不正アクセスを助長する行為】 他人のパスワードを許可無く他人に教える 参考)不正アクセス行為の禁止等に関する法律 http://www.ipa.go.jp/security/ciadr/law199908.html
3) 電子署名及び認証業務に関する法律(電子署名法) 第6章 > 2. 情報セキュリティに関する法律 3) 電子署名及び認証業務に関する法律(電子署名法) 電子署名(ディジタル署名)に署名や押印と同じ効力を持たせることが目的 電子署名により、電子政府や電子商取引における情報の真正性を証明 電子署名と電子証明書を規定し、さらに、認証業務や認証事業者についても規定 参考)電子署名、認証関連 http://www.meti.go.jp/policy/netsecurity/digitalsign.htm
4) 個人情報の保護に関する法律(個人情報保護法) (1) 第6章 > 2. 情報セキュリティに関する法律 4) 個人情報の保護に関する法律(個人情報保護法) (1) 個人情報を取り扱う事業者の遵守すべき義務を規定 個人情報 氏名、生年月日その他の記述により特定の個人の識別が可能な情報 本人の了解なしに個人情報の流用、売買、譲渡することを規制
4) 個人情報の保護に関する法律(個人情報保護法) (2) 第6章 > 2. 情報セキュリティに関する法律 4) 個人情報の保護に関する法律(個人情報保護法) (2) 個人情報保護の基本原則を規定 適正な方法による取得 収集目的の範囲内での利用 漏えいを防ぐためのセキュリティ対策を実施する 等 2005年4月より本格施行 参考) 個人情報の保護に関する法律 http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/ 分野別ガイドライン:経済産業分野 http://www.meti.go.jp/policy/it_policy/press/0005321/
4) 個人情報の保護に関する法律(個人情報保護法) (3) 第6章 > 2. 情報セキュリティに関する法律 4) 個人情報の保護に関する法律(個人情報保護法) (3) 個人情報保護の基本原則 利用目的による制限 適正な方法による取得 内容の正確性確保 安全管理措置の実施 透明性の確保
第6章 3. 知的財産を守る法律 1) 著作権法 2) 不正競争防止法
1) 著作権法 創造性のある思想や表現などの著作物や著作者を保護することが目的 著作者人格権と著作財産権に分けられる 第6章 > 3. 知的財産を守る法律 1) 著作権法 創造性のある思想や表現などの著作物や著作者を保護することが目的 著作者人格権と著作財産権に分けられる 著作者人格権 公表権、氏名表示権、同一性保持権 著作財産権 複製権、上演権、公衆送信権、口述権など
2) 不正競争防止法 トレードシークレットを保護することが目的 第6章 > 3. 知的財産を守る法律 2) 不正競争防止法 トレードシークレットを保護することが目的 トレードシークレット 著作権や商標権では保護されない、企業の重要な情報であるノウハウや営業秘密等 第三者がトレードシークレットを不正入手したり、不正使用することに対し、差止請求権、損害賠償請求権が認められる
4. 迷惑メール関連法 2002年7月1日に施行された次の2つの法律を迷惑メール関連法という 迷惑メール(スパムメール)の規制が目的 第6章 4. 迷惑メール関連法 2002年7月1日に施行された次の2つの法律を迷惑メール関連法という 特定商取引に関する法律の改正 特定電子メールの送信の適正化等に関する法律 迷惑メール(スパムメール)の規制が目的 規定違反のメールを受信した際の連絡先 (財)日本データ通信協会(http://www.dekyo.or.jp) (財)日本産業協会 (http://www.nissankyo.or.jp)
5. 情報セキュリティ関連制度 1) ISMS適合性評価制度 2) ITセキュリティ評価及び認証制度 3) プライバシーマーク制度 第6章 5. 情報セキュリティ関連制度 1) ISMS適合性評価制度 2) ITセキュリティ評価及び認証制度 3) プライバシーマーク制度 4) 情報セキュリティ監査制度 5) コンピュータウイルス及び不正アクセスに関する届出制度 6) 脆弱性関連情報に関する届出制度
第6章 > 5. 情報セキュリティ関連制度 1) ISMS適合性評価制度 組織の情報セキュリティマネジメントシステム(ISMS)が基準に適合しているかどうかを第三者機関が客観的に評価する制度 認証基準は、JIS Q 27001(ISO/IEC 27001) (読本p.104参照) 参考) ISMS適合性評価制度 http://www.isms.jipdec.jp/
2) ITセキュリティ評価及び認証制度 ISO/IEC 15408 に基づき、セキュリティ製品やシステムを評価・認証する制度 第6章 > 5. 情報セキュリティ関連制度 2) ITセキュリティ評価及び認証制度 ISO/IEC 15408 に基づき、セキュリティ製品やシステムを評価・認証する制度 認証機関はIPA 認証機関 参考) ITセキュリティ評価及び認証制度 http://www.ipa.go.jp/security/jisec
3) プライバシーマーク制度 個人情報保護の取り組みが適切であると認められた事業者に、それを認定するプライバシーマークの使用を許可する制度 第6章 > 5. 情報セキュリティ関連制度 3) プライバシーマーク制度 個人情報保護の取り組みが適切であると認められた事業者に、それを認定するプライバシーマークの使用を許可する制度 「 JIS Q 15001 個人情報保護に関するマネジメントシステムー要求事項 」に適合しているかどうかを検証 参考) プライバシーマーク制度 http://privacymark.jp/
4) 情報セキュリティ監査制度 監査人が、組織の情報セキュリティ対策の状況を客観的に検証・評価し、保証及び助言を行う制度 第6章 > 5. 情報セキュリティ関連制度 4) 情報セキュリティ監査制度 監査人が、組織の情報セキュリティ対策の状況を客観的に検証・評価し、保証及び助言を行う制度 情報セキュリティ管理基準と情報セキュリティ監査基準が策定されている 情報セキュリティ監査サービスを行う企業等を登録する情報セキュリティ監査企業台帳がある 参考)情報セキュリティ監査制度 http://www.meti.go.jp/policy/netsecurity/audit.htm
5) コンピュータウイルス及び不正アクセスに関する届出制度 第6章 > 5. 情報セキュリティ関連制度 5) コンピュータウイルス及び不正アクセスに関する届出制度 コンピュータや不正アクセスの届出を受け付ける制度 コンピュータウイルス対策基準およびコンピュータ不正アクセス対策基準に基づく(経済産業省制定) 届出の受付機関としてIPAが指定されている 参考)ウイルスの届出 http://www.ipa.go.jp/security/outline/todokede-j.html 不正アクセスの届出 http://www.ipa.go.jp/security/ciadr/
6) 脆弱性関連情報に関する届出制度 ソフトウェア製品やWebアプリケーションの脆弱性に関する情報の届出を受け付ける制度 第6章 > 5. 情報セキュリティ関連制度 6) 脆弱性関連情報に関する届出制度 ソフトウェア製品やWebアプリケーションの脆弱性に関する情報の届出を受け付ける制度 ソフトウェア等脆弱性関連情報取扱基準に基づく(経済産業省制定) 届出の受付機関としてIPAが指定されている 調整機関としてJPCERT/CCが指定されている 参考)脆弱性関連情報の届出 http://www.ipa.go.jp/security/vuln/report/
本資料の利用条件 著作権は独立行政法人 情報処理推進機構に帰属します。 著作物として著作権法により保護されております。 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。 セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。 営利目的の使用はご遠慮下さい。 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。 外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。 なお、参考までに、 isec-info@ipa.go.jp まで以下をお知らせ下さい。 ・使用する方もしくは組織の名称 ・使用目的 ・教育への参加人数 ご質問、ご要望等は、 isec-info@ipa.go.jp までお知らせ下さい。