情報セキュリティ試験直前対策メモ２００６＝規格編＝

２００６年４月に情報処理技術者試験テクニカルエンジニア（情報セキュリティ）試験が実施されました。この試験の受験に向けて作成した直前対策メモを公開します。最終回は、『規格』編です。

このメモは、キーワードを見て、自分なりに内容が理解できていることを確認するのが目的のため、詳しい解説は記載しておりません。今後、解説を付け加えていく予定です。

試験の受験テキスト、あるいは、専門書の選択時に、これらのキーワードの解説の有無や、解説の詳細さなどが、基準になるのではないかと思います。

第１回　無線ＬＡＮ編
第２回　ＶＰＮ編
第３回　暗号化編
（≪補足≫　暗号・復号の基本フロー）
第４回　認証編
第５回　ＰＫＩ編
第６回　セキュリティプロトコル編
第７回　サーバセキュリティ編
第８回　脅威の実態編
第９回　アクセス監視編
最終回　規格編

情報セキュリティ・キーワード 2016

標準化団体

１：国際標準化団体

・ ISO：国際標準化機構（ International Organization for Standardization ）

・ IEC：国際電気標準会議（ International Electrotechnical Commission ）

・ ISO/IEC：ISO/IEC合同専門委員会（ ISO/IEC Joint Technical Committees , ISO/IEC JTC1 ）

・ ISO/IECの国際標準（ International Standards ）

　→例1：英国規格協会（ BSI ）が定めた BS 7799-1 は、ISO/IEC 17799 標準となる。

　→例2： CC プロジェクト（ The Common Criteria Project Sponsoring Organizations ）の定めた CC（ Common Criteria for Information Technology Security Evaluatoin ）は、ISO/IEC 15408 標準となる。

・ JIS：日本工業規格（ Japanese Industrial Standards ）

　→情報処理は、カテゴリ X に分類されている。

　→ JIS には TR（Technical Reference ）と呼ばれる分類がある。

・ IEEE：電気電子学会（ Institute of Electrical and Electronic Engineers ）

インターネットの標準（ RFC ）

・ ISOC（ Internet Society ）

　→下部組織に IAB がある。

・ IAB（ Internet Architecture Board ）

　→ ISCO の下部組織。IAB の役割は、RFC1358 に定義。下部組織に IETF 、IRTF がある。

・ IETF（ Internet Engineering Task Force ）と IESG（ Internet Engineer Steering Group ）

　→ IETF は、インターネット技術の標準化を推進する組織。IESG は、IETF の標準化プロセスにおいて技術面に責任をもつグループ。

・ IRTF（ Internet Research Task Force ）と IRSG（ Internet Research Steering Group ）

　→ IRTF は、IRSG を中心に、インターネットの将来技術などを研究する。

・ RFC

　→ ISOC が管理する。STD、FYI、BCP というサブシリーズがある。

・ STD（ Internet Standards ）

　→ Internet Standards プロトコルを集めた RFC のサブシリーズ。

・ FYI（ For Your Information）

　→インターネットに関連する情報の RFC 文書（ Informational ）をまとめたサブシリーズ。何ら標準を定めるものではない。

・ BCP（ Best Current Practice ）

　→ IESG の承認を得た RFC 文書（ Informational ）をまとめたサブシリーズ。

情報セキュリティに関する規格

１：ガイドライン

・ OECD：経済協力開発機構（ Organization for Economic Co-operation and Development による、『情報システムとネットワークのセキュリティに関する OECD ガイドライン：セキュリティ文化のために』（ OECD Guidelines for the Security of Information Systems and Networks:Towards a Culture of Security ）

２：情報セキュリティ技術

・ ISO/IEC TR 13335

　→ IT セキュリティ管理のガイドラインとしての技術参考（テクニカルリファレンス）情報。

・ ISO/IEC 9594

　→ディレクトリサービスについての標準を規定。

・ ISO/IEC 9594-8 (X.509)

　→ ISO/IEC 9594 の一部で、公開かぎを使用した X.509 証明書について規定。

３：情報セキュリティ管理の評価

・ ISO/IEC 17799

　→情報セキュリティ管理のための規格。BS 7799-1 をもとにする。

・ BS 7799-2 : 2002

　→ISMS：情報セキュリティマネジメントシステム（ Information Security Management System）の仕様と利用の手引き

４：情報システム機器の評価

・ TCSEC：（ Trusted Computer Systems Evaluation Criteria ）

　→米国国防省が定めた、信頼できるコンピュータシステムの評価基準。

・ ITSEC：（ Information Technology Security Evaluation Criteria ）

　→ TCSEC の評価基準を一般化し、欧州統一評価基準として拡張された規格。

・ CTCPEC：（ Canadian Trusted Computer Product Evaluation Criteria ）

　→ カナダで発表された規格。

・ FC：（ Federal Criteria for Information Technology Security ）

　→　CTCPEC を受けて、TCSEC の非軍事分野の利用を目的とした米国の規格。

・ ISO/IEC 15408

　→ IT 製品の評価標準を定めた標準文書。

　→ TCSEC、ITSEC、CTCPEC、FC の組織が、それぞれの評価基準を共通に使用するために定めた CC：コモンクライテリア、情報セキュリティ評価基準（ Common Criteria for Information Technology Security Evaluatoin ）をもとにする。