情報セキュリティ - IT時代の危機管理入門 -

Presentation on theme: "情報セキュリティ - IT時代の危機管理入門 -"— Presentation transcript:

1 情報セキュリティ - IT時代の危機管理入門 -
（第6章 情報セキュリティ関連の法規と制度） 株式会社エージェント BPO通信事業本部 井上　龍児

2 第6章 情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法
第6章　情報セキュリティ関連の法規と制度 情報セキュリティの国際標準 情報セキュリティに関する法律 知的財産を守る法律 迷惑メール関連法 情報セキュリティ関連制度

3 1. 情報セキュリティの国際標準 1） 情報セキュリティマネジメントの国際標準ISO/IEC 27000シリーズ 2） セキュリティ製品の評価認証のための国際標準 ISO/IEC ） OECD情報セキュリティガイドライン

4 1） ISO/IEC シリーズ ・ 情報セキュリティマネジメントの国際標準 ・ISO/IEC 27000: 概要と用語 ・ISO/IEC 27001: 要求事項 ・ISO/IEC 27002: 実践のための規範 ・ISO/IEC 27003: 実装に関する手引き ・ISO/IEC 27004: 測定に関する手引き ・ISO/IEC 27005: リスクマネジメント ・etc…

5 2） ISO/IEC15408 ・ セキュリティ製品の評価認証のための国際標準 ・ 機能要件と保証要件の集大成 ・ 7段階の評価保証レベル(EAL)を定義 ・ ISO/IEC15408→（JIS化）→JIS X 5070 ・ ISO/IEC15408(CC)に基づいて「ITセキュリティ評 価及び 認証制度」が運用される CC: Common Criteria ISO/IEC 15408を制定するもとになった共通基準

6 3） OECD情報セキュリティガイドライン ・ 1992年、OECD（経済協力開発機構）により制定
・　5年ごとに見直し ・　2002年には、米国同時多発テロの影響を受け、 　　全面的に改正 参考）OECD 情報セキュリティガイドライン見直しに関する調査

7 2. 情報セキュリティに関する法律 1） 刑法 2） 不正アクセス行為の禁止等に関する法律 （不正アクセス禁止法） 3） 電子署名及び認証業務に関する法律 （電子署名法） 4） 個人情報の保護に関する法律 （個人情報保護法）

8 1） 刑法 ・ 2011年の改正で、コンピュータ・ウイルスに関する 罪が追加 ・電子計算機損壊等業務妨害罪 ・電磁的記録不正作出及び供用罪
・　2011年の改正で、コンピュータ・ウイルスに関する 罪が追加 ・電子計算機損壊等業務妨害罪 ・電磁的記録不正作出及び供用罪 ・電子計算機使用詐欺罪 ・不正指令電磁的記録に関する罪 　・ コンピュータやデータの破壊や改ざんには 刑事罰が科せられる

9 2） 不正アクセス行為の禁止等に関する法律 （不正アクセス禁止法）
・ 電気通信回線を通じて行われる不正アクセス犯罪を 防止することが目的 ・ 不正アクセス行為と不正アクセスを助長する行為を 処罰 【不正アクセス行為】 ・他人のIDやパスワードを無断使用し不正アクセスす る ・直接侵入攻撃 ・間接侵入攻撃 【不正アクセスを助長する行為】 ・他人のパスワードを許可無く他人に教える 参考）不正アクセス行為の禁止等に関する法律 　　

10 3） 電子署名及び認証業務に関する法律 （電子署名法）
・ 電子署名（ディジタル署名）に署名や押印と同じ効 力を 持たせることが目的 ・ 電子署名により、電子政府や電子商取引における 情報の真正性を証明 ・ 電子署名と電子証明書を規定し、さらに、 認証業務や認証事業者についても規定 参考）電子署名、認証関連

11 4） 個人情報の保護に関する法律 （個人情報保護法） （1）
・ 個人情報を取り扱う事業者の遵守すべき義務を規定 ・ 個人情報 氏名、生年月日その他の記述により特定の個人の識 別が可能な情報 ・ 本人の了解なしに個人情報の流用、売買、 譲渡することを規制

12 4） 個人情報の保護に関する法律 （個人情報保護法） （2）
・ 個人情報保護の基本原則を規定 ・適正な方法による取得 ・収集目的の範囲内での利用 ・漏えいを防ぐためのセキュリティ対策を実施する 等 ・ 2005年4月より本格施行 参考）　消費者庁　個人情報保護に関するページ 　　　　　 　　　　

13 4） 個人情報の保護に関する法律 （個人情報保護法） （3）
個人情報保護の基本原則 利用目的による制限 適正な方法による取得 内容の正確性確保 安全管理措置の実施 透明性の確保

14 3. 知的財産を守る法律 1） 著作権法 2） 不正競争防止法

15 1） 著作権法 ・ 創造性のある思想や表現などの著作物や著作者を 保護することが目的 ・ 著作者人格権と著作財産権に分けられる ・著作者人格権 公表権、氏名表示権、同一性保持権 ・著作財産権 複製権、上演権、公衆送信権、口述権など

16 2） 不正競争防止法 ・ トレードシークレットを保護することが目的 ・トレードシークレット 著作権や商標権では保護されない、企業の重要な情 報であるノウハウや営業秘密等 ・ 第三者がトレードシークレットを不正入手したり、 不正使用することに対し、差止請求権、損害賠償請求権 が認められる

17 4. 迷惑メール関連法 2002年7月1日に施行された次の2つの法律を迷惑メール関連 法という 特定商取引に関する法律（改正法）
特定電子メールの送信の適正化等に関する法律 迷惑メール（スパムメール）の規制が目的 2005年の改正→特定電子メールの範囲が拡大され、架空アド レス宛の送信が禁止 2008年の改正→あらかじめ同意したものに対してのみ送信が 認められる「オプトイン方式」が導入 規定違反のメールを受信した際の連絡先 一般財団法人日本データ通信協会 （ 財団法人日本産業協会　 （

18 5. 情報セキュリティ関連制度 1） ISMS適合性評価制度 2） ITセキュリティ評価及び認証制度 3） 暗号モジュール試験及び認証制度 4） プライバシーマーク制度 5） 情報セキュリティ監査制度 6） コンピュータウイルス及び不正アクセスに関する届 出制度 7） 脆弱性関連情報に関する届出制度

19 1） ISMS適合性評価制度 ・ 組織の情報セキュリティマネジメントシステム （ISMS）が 基準に適合しているかどうかを第三者機関が客観 的に 評価する制度 ・ 認証基準は、JIS Q 27001(ISO/IEC 27001) （第6章 p.108参照） 参考）　ISMS適合性評価制度 　　　　　

20 2） ITセキュリティ評価及び認証制度 ISO/IEC に基づき、セキュリティ製品やシステムを 評価・認証する制度。認証機関はIPA

21 3） 暗号モジュール試験及び認証制度 ・　暗号モジュールが、JIS X に示されたセキュ リティ 　　要求事項に適合しているかどうかを第三者機関が客 観的　 　　に試験・認証する制度　 参考）　CRYPTREC 　　　　　

22 4） プライバシーマーク制度 ・ 個人情報保護の取り組みが適切であると認められた 事業者に、それを認定するプライバシーマークの使 用を 許可する制度 ・ 「 JIS Q 個人情報保護に関するマネジメン ト システムー要求事項 」に適合しているかどうかを検 証 参考）　プライバシーマーク制度 　　　　　

23 5） 情報セキュリティ監査制度 ・ 監査人が、組織の情報セキュリティ対策の状況を客 観的に 検証・評価し、保証及び助言を行う制度 ・ 情報セキュリティ管理基準と情報セキュリティ監査 基準が 策定されている ・ 情報セキュリティ監査サービスを行う企業等を登録 する 情報セキュリティ監査企業台帳がある 参考）情報セキュリティ監査制度 　　　　

24 6） コンピュータウイルス及び不正アクセスに 関する届出制度
・ コンピュータや不正アクセスの届出を受け付ける制 度 ・ コンピュータウイルス対策基準およびコンピュータ 不正 アクセス対策基準に基づく（経済産業省制定） ・ 届出の受付機関としてIPAが指定されている 参考）コンピュータウイルスの届出 　　　　 　　　　不正アクセスの届出 　　　　

25 7） 脆弱性関連情報に関する届出制度 ・ ソフトウェア製品やWebアプリケーションの 脆弱性に関する情報の届出を受け付ける制度 ・ ソフトウェア等脆弱性関連情報取扱基準に基 づく （経済産業省制定） ・ 届出の受付機関としてIPAが指定されている ・ 調整機関としてJPCERT/CCが指定されてい る 参考）脆弱性関連情報の届出