国際的な情報セキュリティへの取り組み 各国の対応とサイバー犯罪条約 インターネット時代のセキュリティ管理
まず現状を総括すると…… 政府レベルでは、複数国間の国際協調を前提としたセキュリティ対応策はほとんどない 国レベルの個別対応が中心 米国・韓国・英国の事例を簡単に 政府レベルでの国際協調の動きは低調 欧州評議会のサイバー犯罪条約 欧州連合だけではなく、日本・米国も参加 実際にはどうなっているのか? インターネット時代のセキュリティ管理
米国の場合(1) クリントン政権の施策 1996年7月 重要インフラ保護委員会(PCCIP)を設置 重要インフラ防護の方策の検討と勧告 2000年1月 国家情報システム保護計画(第1版)を策定 具体的な情報インフラ保護システムの計画 重要インフラに関し、業界ごとにISAC(Information Sharing and Analysis Center)の設立促進を要請 業界ごとのインシデント情報の収集・分析・共有が目的 現在、通信業界、IT業界、金融業界、電力業界など10以上のインフラ業界においてISACが設置されている インターネット時代のセキュリティ管理
米国の場合(2) ブッシュ政権の施策 2001年10月 国土安全保障省、本土安全保障会議、サイバー安全保障局、大統領重要インフラ保護会議などのセキュリティ関連機関を大統領の行政命令により設置 2001年10月 連邦調達庁が商用ネットワークから切り離された政府専用のIPネットワーク(GOVNET)に関する情報要請(RFI: Request For Information)を提出 2001年10月 テロ対策強化に関する米国愛国者法が成立 2002年11月 サイバーセキュリティ研究開発法が成立 2003年2月 セキュアなサイパースペースのための国家戦略(National Strategy to Secure Cyberspace)を発表 インターネット時代のセキュリティ管理
韓国の場合 2001年 情報通信基盤保護法施行 国の情報セキュリティ体制、重要インフラの指定、重要インフラに関する情報セキュリティ対策等を規定 民間各業界におけるISAC(Information Sharing and Analysis Center)の役割・責務などの規定 電気通信・金融分野でISACが設立されている インターネット時代のセキュリティ管理
英国の場合 1978年 政府通信本部の管轄下に情報セキュリティ保護を担うCESG(Communications Electronics Security Group)を設置 1992年 官民双方のインシデントに対し一元的に対応するUNIRAS(Unified Incident Response and Alert Scheme)を内務省内に設置 情報セキュリティ管理やセキュリティモニタリング、電子商取引に関する各種の認証制度を制定 BS7799, ITSEC, TrustUK 1990年 コンピュータ不正使用法制定 2000年 電気通信法制定 電子商取引に関し、5年以内に産業界の自主規制システムが実効性を持つようになれば政府としての法制度は構築しない インターネット時代のセキュリティ管理
欧州評議会のサイバー犯罪条約(1) 情報セキュリティに関し、主要国間で締結されているほぼ唯一の国際条約 国境を超えて広がるインターネット犯罪などに対応するため、犯罪の定義の統一や、捜査・司法手続きの上の協力体制を構築するのが目的 不正アクセス、不法傍受、データの破壊などのデータ妨害、非権限者によるデータの入力・改ざんなどのシステム妨害、装置の不正使用を犯罪として定義 電子証明書偽造などコンピュータ関連偽造、同関連詐欺、児童ポルノ関連犯罪、著作権侵害などが関連犯罪となる 2003年11月23日に参加各国が署名 欧州評議会加盟諸国と日本、米国、カナダの計30ヶ国 評議会加盟国の最低3ヶ国を含む5ヶ国の批准で発行 インターネット時代のセキュリティ管理
欧州評議会のサイバー犯罪条約(2) サイバー犯罪条約の問題点 2003年6月時点で批准しているのは以下の三カ国のみ 国際協力・捜査手続き・人権上の問題 犯罪の範囲の定義や、個々の犯罪への対応は各国で異なる 通信傍受やログ保存をどのように扱うか 表現の自由や通信の秘密をどう保護するのか 2003年6月時点で批准しているのは以下の三カ国のみ ブルガリア アルバニア クロアチア インターネット時代のセキュリティ管理