情報セキュリティ - IT時代の危機管理入門 - (第6章 情報セキュリティ関連の法規と制度) 株式会社エージェント BPO通信事業本部 井上 龍児
第6章 情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 第6章 情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 情報セキュリティ関連制度
1. 情報セキュリティの国際標準 1) 情報セキュリティマネジメントの国際標準ISO/IEC 27000シリーズ 2) セキュリティ製品の評価認証のための国際標準 ISO/IEC 15408 3) OECD情報セキュリティガイドライン
1) ISO/IEC 27000 シリーズ ・ 情報セキュリティマネジメントの国際標準 ・ISO/IEC 27000: 概要と用語 ・ISO/IEC 27001: 要求事項 ・ISO/IEC 27002: 実践のための規範 ・ISO/IEC 27003: 実装に関する手引き ・ISO/IEC 27004: 測定に関する手引き ・ISO/IEC 27005: リスクマネジメント ・etc…
2) ISO/IEC15408 ・ セキュリティ製品の評価認証のための国際標準 ・ 機能要件と保証要件の集大成 ・ 7段階の評価保証レベル(EAL)を定義 ・ ISO/IEC15408→(JIS化)→JIS X 5070 ・ ISO/IEC15408(CC)に基づいて「ITセキュリティ評 価及び 認証制度」が運用される CC: Common Criteria ISO/IEC 15408を制定するもとになった共通基準
3) OECD情報セキュリティガイドライン ・ 1992年、OECD(経済協力開発機構)により制定 ・ 5年ごとに見直し ・ 2002年には、米国同時多発テロの影響を受け、 全面的に改正 参考)OECD 情報セキュリティガイドライン見直しに関する調査 http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html
2. 情報セキュリティに関する法律 1) 刑法 2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) 3) 電子署名及び認証業務に関する法律 (電子署名法) 4) 個人情報の保護に関する法律 (個人情報保護法)
1) 刑法 ・ 2011年の改正で、コンピュータ・ウイルスに関する 罪が追加 ・電子計算機損壊等業務妨害罪 ・電磁的記録不正作出及び供用罪 ・ 2011年の改正で、コンピュータ・ウイルスに関する 罪が追加 ・電子計算機損壊等業務妨害罪 ・電磁的記録不正作出及び供用罪 ・電子計算機使用詐欺罪 ・不正指令電磁的記録に関する罪 ・ コンピュータやデータの破壊や改ざんには 刑事罰が科せられる
2) 不正アクセス行為の禁止等に関する法律 (不正アクセス禁止法) ・ 電気通信回線を通じて行われる不正アクセス犯罪を 防止することが目的 ・ 不正アクセス行為と不正アクセスを助長する行為を 処罰 【不正アクセス行為】 ・他人のIDやパスワードを無断使用し不正アクセスす る ・直接侵入攻撃 ・間接侵入攻撃 【不正アクセスを助長する行為】 ・他人のパスワードを許可無く他人に教える 参考)不正アクセス行為の禁止等に関する法律 http://www.ipa.go.jp/security/ciadr/law199908.html
3) 電子署名及び認証業務に関する法律 (電子署名法) ・ 電子署名(ディジタル署名)に署名や押印と同じ効 力を 持たせることが目的 ・ 電子署名により、電子政府や電子商取引における 情報の真正性を証明 ・ 電子署名と電子証明書を規定し、さらに、 認証業務や認証事業者についても規定 参考)電子署名、認証関連 http://www.meti.go.jp/policy/netsecurity/digitalsign.htm
4) 個人情報の保護に関する法律 (個人情報保護法) (1) ・ 個人情報を取り扱う事業者の遵守すべき義務を規定 ・ 個人情報 氏名、生年月日その他の記述により特定の個人の識 別が可能な情報 ・ 本人の了解なしに個人情報の流用、売買、 譲渡することを規制
4) 個人情報の保護に関する法律 (個人情報保護法) (2) ・ 個人情報保護の基本原則を規定 ・適正な方法による取得 ・収集目的の範囲内での利用 ・漏えいを防ぐためのセキュリティ対策を実施する 等 ・ 2005年4月より本格施行 参考) 消費者庁 個人情報保護に関するページ http://www.caa.go.jp/seikatsu/kojin/index.html
4) 個人情報の保護に関する法律 (個人情報保護法) (3) 個人情報保護の基本原則 利用目的による制限 適正な方法による取得 内容の正確性確保 安全管理措置の実施 透明性の確保
3. 知的財産を守る法律 1) 著作権法 2) 不正競争防止法
1) 著作権法 ・ 創造性のある思想や表現などの著作物や著作者を 保護することが目的 ・ 著作者人格権と著作財産権に分けられる ・著作者人格権 公表権、氏名表示権、同一性保持権 ・著作財産権 複製権、上演権、公衆送信権、口述権など
2) 不正競争防止法 ・ トレードシークレットを保護することが目的 ・トレードシークレット 著作権や商標権では保護されない、企業の重要な情 報であるノウハウや営業秘密等 ・ 第三者がトレードシークレットを不正入手したり、 不正使用することに対し、差止請求権、損害賠償請求権 が認められる
4. 迷惑メール関連法 2002年7月1日に施行された次の2つの法律を迷惑メール関連 法という 特定商取引に関する法律(改正法) 特定電子メールの送信の適正化等に関する法律 迷惑メール(スパムメール)の規制が目的 2005年の改正→特定電子メールの範囲が拡大され、架空アド レス宛の送信が禁止 2008年の改正→あらかじめ同意したものに対してのみ送信が 認められる「オプトイン方式」が導入 規定違反のメールを受信した際の連絡先 一般財団法人日本データ通信協会 (http://www.dekyo.or.jp) 財団法人日本産業協会 (http://www.nissankyo.or.jp)
5. 情報セキュリティ関連制度 1) ISMS適合性評価制度 2) ITセキュリティ評価及び認証制度 3) 暗号モジュール試験及び認証制度 4) プライバシーマーク制度 5) 情報セキュリティ監査制度 6) コンピュータウイルス及び不正アクセスに関する届 出制度 7) 脆弱性関連情報に関する届出制度
1) ISMS適合性評価制度 ・ 組織の情報セキュリティマネジメントシステム (ISMS)が 基準に適合しているかどうかを第三者機関が客観 的に 評価する制度 ・ 認証基準は、JIS Q 27001(ISO/IEC 27001) (第6章 p.108参照) 参考) ISMS適合性評価制度 http://www.isms.jipdec.jp/isms.html
2) ITセキュリティ評価及び認証制度 ISO/IEC 15408 に基づき、セキュリティ製品やシステムを 評価・認証する制度。認証機関はIPA http://www.ipa.go.jp/security/jisec
3) 暗号モジュール試験及び認証制度 ・ 暗号モジュールが、JIS X 19790 に示されたセキュ リティ 要求事項に適合しているかどうかを第三者機関が客 観的 に試験・認証する制度 参考) CRYPTREC http://cryptrec.go.jp/
4) プライバシーマーク制度 ・ 個人情報保護の取り組みが適切であると認められた 事業者に、それを認定するプライバシーマークの使 用を 許可する制度 ・ 「 JIS Q 15001 個人情報保護に関するマネジメン ト システムー要求事項 」に適合しているかどうかを検 証 参考) プライバシーマーク制度 http://privacymark.jp/
5) 情報セキュリティ監査制度 ・ 監査人が、組織の情報セキュリティ対策の状況を客 観的に 検証・評価し、保証及び助言を行う制度 ・ 情報セキュリティ管理基準と情報セキュリティ監査 基準が 策定されている ・ 情報セキュリティ監査サービスを行う企業等を登録 する 情報セキュリティ監査企業台帳がある 参考)情報セキュリティ監査制度 http://www.meti.go.jp/policy/netsecurity/audit.htm
6) コンピュータウイルス及び不正アクセスに 関する届出制度 ・ コンピュータや不正アクセスの届出を受け付ける制 度 ・ コンピュータウイルス対策基準およびコンピュータ 不正 アクセス対策基準に基づく(経済産業省制定) ・ 届出の受付機関としてIPAが指定されている 参考)コンピュータウイルスの届出 http://www.ipa.go.jp/security/outline/todokede-j.html 不正アクセスの届出 http://www.ipa.go.jp/security/ciadr/
7) 脆弱性関連情報に関する届出制度 ・ ソフトウェア製品やWebアプリケーションの 脆弱性に関する情報の届出を受け付ける制度 ・ ソフトウェア等脆弱性関連情報取扱基準に基 づく (経済産業省制定) ・ 届出の受付機関としてIPAが指定されている ・ 調整機関としてJPCERT/CCが指定されてい る 参考)脆弱性関連情報の届出 http://www.ipa.go.jp/security/vuln/report/