Transcript 情報セキュリティ読本 四訂版 - IPA 独立行政法人 情報処理推進機構

情報セキュリティ読本 四訂版
情報セキュリティ読本 四訂版
- IT時代の危機管理入門 -
（第6章 情報セキュリティ関連の法規と制度）
出典： 情報セキュリティ読本 四訂版
1
第6章 情報セキュリティ関連の法規と制度
1. 情報セキュリティの国際標準
2. 情報セキュリティに関する法律
3. 知的財産を守る法律
4. 迷惑メール関連法
5. 情報セキュリティ関連制度
出典： 情報セキュリティ読本 四訂版
2
第6章
1. 情報セキュリティの国際標準
1） 情報セキュリティマネジメントの国際標準
ISO/IEC 27000シリーズ
2） セキュリティ製品の評価認証のための国
際標準 ISO/IEC 15408
3） OECD情報セキュリティガイドライン
出典： 情報セキュリティ読本 四訂版
3
第6章 > 1. 情報セキュリティの国際標準
1） ISO/IEC 27000 シリーズ
•
情報セキュリティマネジメントの国際標準
–
–
–
–
–
–
–
ISO/IEC 27000: 概要と用語
ISO/IEC 27001: 要求事項
ISO/IEC 27002: 実践のための規範
ISO/IEC 27003: 実装に関する手引き
ISO/IEC 27004: 測定に関する手引き
ISO/IEC 27005: リスクマネジメント
etc…
出典： 情報セキュリティ読本 四訂版
4
第6章 > 1. 情報セキュリティの国際標準
2） ISO/IEC15408
•
•
•
•
•
セキュリティ製品の評価認証のための国際標準
機能要件と保証要件の集大成
7段階の評価保証レベル(EAL)を定義
ISO/IEC15408→（JIS化）→JIS X 5070
ISO/IEC15408(CC)に基づいて「ITセキュリティ
評価及び認証制度」が運用される
CC: Common Criteria
ISO/IEC 15408を制定するもとになった共通基準
出典： 情報セキュリティ読本 四訂版
5
第6章 > 1. 情報セキュリティの国際標準
3） OECD情報セキュリティガイドライン
•
•
•
•
1992年、OECD（経済協力開発機構）に
より制定
OECD加盟国が尊重すべき情報セキュリ
ティの基本方針
5年ごとに見直し
2002年には、米国同時多発テロの影響を
受け、全面的に改正
参考）OECD 情報セキュリティガイドライン見直しに関する調査
http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html
出典： 情報セキュリティ読本 四訂版
6
第6章
2. 情報セキュリティに関する法律
1） 刑法
2） 不正アクセス行為の禁止等に関する法律
（不正アクセス禁止法）
3） 電子署名及び認証業務に関する法律
（電子署名法）
4） 個人情報の保護に関する法律
（個人情報保護法）
出典： 情報セキュリティ読本 四訂版
7
第6章 > 2. 情報セキュリティに関する法律
1） 刑法
•
2011年の改正で、コンピュータ・ウイルス
に関する罪が追加
–
–
–
–
電子計算機損壊等業務妨害罪
電磁的記録不正作出及び供用罪
電子計算機使用詐欺罪
不正指令電磁的記録に関する罪
・ コンピュータやデータの破壊や改ざんには
刑事罰が科せられる
出典： 情報セキュリティ読本 四訂版
8
第6章 > 2. 情報セキュリティに関する法律
2） 不正アクセス行為の禁止等に関する法律
（不正アクセス禁止法）
•
•
電気通信回線を通じて行われる不正アクセス犯
罪を防止することが目的
不正アクセス行為と不正アクセスを助長する行
為を処罰
【不正アクセス行為】
– 他人のIDやパスワードを無断使用し不正アクセスする
– 直接侵入攻撃
– 間接侵入攻撃
【不正アクセスを助長する行為】
– 他人のパスワードを許可無く他人に教える
参考）不正アクセス行為の禁止等に関する法律
http://www.ipa.go.jp/security/ciadr/law199908.html
出典： 情報セキュリティ読本 四訂版
9
第6章 > 2. 情報セキュリティに関する法律
3） 電子署名及び認証業務に関する法律（電子署名法）
•
•
•
電子署名（ディジタル署名）に署名や押印
と同じ効力を持たせることが目的
電子署名により、電子政府や電子商取引
における情報の真正性を証明
電子署名と電子証明書を規定し、さらに、
認証業務や認証事業者についても規定
参考）電子署名、認証関連
http://www.meti.go.jp/policy/netsecurity/digitalsign.htm
出典： 情報セキュリティ読本 四訂版
10
第6章 > 2. 情報セキュリティに関する法律
4） 個人情報の保護に関する法律（個人情報保護法） （1）
•
•
個人情報を取り扱う事業者の遵守すべき
義務を規定
個人情報
– 氏名、生年月日その他の記述により特定の
個人の識別が可能な情報
•
本人の了解なしに個人情報の流用、売買、
譲渡することを規制
出典： 情報セキュリティ読本 四訂版
11
第6章 > 2. 情報セキュリティに関する法律
4） 個人情報の保護に関する法律（個人情報保護法） （2）
•
個人情報保護の基本原則を規定
– 適正な方法による取得
– 収集目的の範囲内での利用
– 漏えいを防ぐためのセキュリティ対策を実施す
る 等
•
2005年4月より本格施行
参考） 消費者庁 個人情報保護に関するページ
http://www.caa.go.jp/seikatsu/kojin/index.html
出典： 情報セキュリティ読本 四訂版
12
第6章 > 2. 情報セキュリティに関する法律
4） 個人情報の保護に関する法律（個人情報保護法） （3）
個人情報保護の基本原則
1.
2.
3.
4.
5.
利用目的による制限
適正な方法による取得
内容の正確性確保
安全管理措置の実施
透明性の確保
出典： 情報セキュリティ読本 四訂版
13
第6章
3. 知的財産を守る法律
1） 著作権法
2） 不正競争防止法
出典： 情報セキュリティ読本 四訂版
14
第6章 > 3. 知的財産を守る法律
1） 著作権法
•
•
創造性のある思想や表現などの著作物
や著作者を保護することが目的
著作者人格権と著作財産権に分けられる
– 著作者人格権
公表権、氏名表示権、同一性保持権
– 著作財産権
複製権、上演権、公衆送信権、口述権など
出典： 情報セキュリティ読本 四訂版
15
第6章 > 3. 知的財産を守る法律
2） 不正競争防止法
•
トレードシークレットを保護することが目的
– トレードシークレット
著作権や商標権では保護されない、企業の
重要な情報であるノウハウや営業秘密等
•
第三者がトレードシークレットを不正入手
したり、不正使用することに対し、差止請
求権、損害賠償請求権が認められる
出典： 情報セキュリティ読本 四訂版
16
第6章
4. 迷惑メール関連法
• 2002年7月1日に施行された次の2つの法律を迷惑メー
ル関連法という
– 特定商取引に関する法律（改正法）
– 特定電子メールの送信の適正化等に関する法律
• 迷惑メール（スパムメール）の規制が目的
• 2005年の改正→特定電子メールの範囲が拡大され、
架空アドレス宛の送信が禁止
• 2008年の改正→あらかじめ同意したものに対してのみ
送信が認められる「オプトイン方式」が導入
• 規定違反のメールを受信した際の連絡先
– 一般財団法人日本データ通信協会（http://www.dekyo.or.jp）
– 財団法人日本産業協会 （http://www.nissankyo.or.jp）
出典： 情報セキュリティ読本 四訂版
17
第6章
5. 情報セキュリティ関連制度
1） ISMS適合性評価制度
2） ITセキュリティ評価及び認証制度
3） 暗号モジュール試験及び認証制度
4） プライバシーマーク制度
5） 情報セキュリティ監査制度
6） コンピュータウイルス及び不正アクセスに
関する届出制度
7） 脆弱性関連情報に関する届出制度
出典： 情報セキュリティ読本 四訂版
18
第6章 > 5. 情報セキュリティ関連制度
1） ISMS適合性評価制度
•
•
組織の情報セキュリティマネジメントシステム
（ISMS）が基準に適合しているかどうかを第三
者機関が客観的に評価する制度
認証基準は、JIS Q 27001(ISO/IEC 27001)
（第6章 p.108参照）
参考） ISMS適合性評価制度
http://www.isms.jipdec.jp/isms.html
出典： 情報セキュリティ読本 四訂版
19
第6章 > 5. 情報セキュリティ関連制度
2） ITセキュリティ評価及び認証制度
ISO/IEC 15408 に基づき、セキュリティ製品やシステムを
評価・認証する制度。認証機関はIPA http://www.ipa.go.jp/security/jisec
出典： 情報セキュリティ読本 四訂版
20
第6章 > 5. 情報セキュリティ関連制度
3） 暗号モジュール試験及び認証制度
•
暗号モジュールが、JIS X 19790 に示さ
れたセキュリティ要求事項に適合している
かどうかを第三者機関が客観的に試験・
認証する制度
参考） CRYPTREC
http://cryptrec.go.jp/
出典： 情報セキュリティ読本 四訂版
21
第6章 > 5. 情報セキュリティ関連制度
4） プライバシーマーク制度
•
•
個人情報保護の取り組みが適切であると
認められた事業者に、それを認定するプ
ライバシーマークの使用を許可する制度
「 JIS Q 15001 個人情報保護に関するマ
ネジメントシステムー要求事項 」に適合し
ているかどうかを検証
参考） プライバシーマーク制度
http://privacymark.jp/
出典： 情報セキュリティ読本 四訂版
22
第6章 > 5. 情報セキュリティ関連制度
5） 情報セキュリティ監査制度
•
•
•
監査人が、組織の情報セキュリティ対策の状況
を客観的に検証・評価し、保証及び助言を行う
制度
情報セキュリティ管理基準と情報セキュリティ監
査基準が策定されている
情報セキュリティ監査サービスを行う企業等を登
録する情報セキュリティ監査企業台帳がある
参考）情報セキュリティ監査制度
http://www.meti.go.jp/policy/netsecurity/audit.htm
出典： 情報セキュリティ読本 四訂版
23
第6章 > 5. 情報セキュリティ関連制度
6） コンピュータウイルス及び不正アクセスに関す
る届出制度
•
•
•
コンピュータや不正アクセスの届出を受け付け
る制度
コンピュータウイルス対策基準およびコンピュー
タ不正アクセス対策基準に基づく（経済産業省
制定）
届出の受付機関としてIPAが指定されている
参考）コンピュータウイルスの届出
http://www.ipa.go.jp/security/outline/todokede-j.html
不正アクセスの届出
http://www.ipa.go.jp/security/ciadr/
出典： 情報セキュリティ読本 四訂版
24
第6章 > 5. 情報セキュリティ関連制度
7） 脆弱性関連情報に関する届出制度
•
•
•
•
ソフトウェア製品やWebアプリケーションの脆弱性
に関する情報の届出を受け付ける制度
ソフトウェア等脆弱性関連情報取扱基準に基づく
（経済産業省制定）
届出の受付機関としてIPAが指定されている
調整機関としてJPCERT/CCが指定されている
参考）脆弱性関連情報の届出
http://www.ipa.go.jp/security/vuln/report/
出典： 情報セキュリティ読本 四訂版
25
本資料の利用条件
1.
著作権は独立行政法人情報処理推進機構に帰属します。
著作物として著作権法により保護されております。
2.
本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。
セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いい
ただいても結構です。
3.
営利目的の使用はご遠慮下さい。
4.
授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは
行っていただいて結構です。
5.
本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。
外部よりアクセスできるWEBサイトへの掲載はご遠慮下さい。
6.
上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要は
ありません。
なお、参考までに、 [email protected] 宛に以下をお知らせ下さい。
・使用する方もしくは組織の名称
・使用目的
・教育への参加人数
7.
ご質問、ご要望等は、 [email protected] 宛にお知らせ下さい。
出典： 情報セキュリティ読本 四訂版
26