ファイナンス、情報通信技術のスキル・アグリゲーション・サイト

' . iseeit.jp 情報通信技術 . '

情報セキュリティ・キーワード 2016 ⑨ 規格・法規編

JPCERT/CC (Japan Computer Emergency Response Team/Coordination Center:JPCERTコーディネーションセンター)は、「インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデントについて、日本国内のサイトに関する報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なっています。」 https://www.jpcert.or.jp

JVN (Japan Vulnerability Notes)は、「日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。」 https://jvn.jp

CRYPTREC (Cryptography Research and Evaluation Committees)は、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトである。」 http://www.cryptrec.go.jp

1.情報セキュリティ関連規格

1ー1.標準と標準化団体

国際標準化団体が定めた国際標準は、 デジュレスタンダード (de jure standard)と呼ばれます。これに対して、企業や特定のプロジェクトから発生した規格は、 デファクトスタンダード (de facto standard)と呼ばれます。

ISO (International Organization for Standardization:国際標準化機構)は、国際的な標準である国際規格(International Standards:IS)を策定するための非政府組織です。

IEC (International Electrotechnical Commission:国際電気標準会議)は、電気工学、電子工学、および関連した技術を扱う国際的な標準化団体です。

ISO/IEC JTC 1 (ISO/IEC Joint Technical Committee 1:国際標準化機構 (ISO) と国際電気標準会議 (IEC) の第一合同技術委員会)は、情報技術分野の標準化を行うための組織です。

JIS (Japanese Industrial Standards:日本工業規格)は、工業標準化法に基づいて経済産業省に設置されている審議会である、JISC(Japanese Industrial Standards Committee:日本工業標準調査会)によって定められています。産業カテゴリーごとに A から X まで分類され、情報処理関連は X 部門になります。

1ー2.情報セキュリティ製品に関する規格

コモンクライテリア (Common Criteria:CC)は、コンピュータセキュリティのための国際規格で、ISO/IEC15408 のもととなっています。日本では、JIS X 5070 に採用されています。IT 製品や情報システムに対して、情報セキュリティを評価し認証するための評価基準を定めています。

正式名称は "Common Criteria for Information Technology Security Evaluation"(情報技術セキュリティ評価のためのコモンクライテリア)です。ISO/IEC15408 の規格名は、"Evaluation criteria for IT security"、JIS X 5070 の名称は「情報技術セキュリティの評価基準」です。

コモンクライテリアは、セキュリティ評価のための枠組み(フレームワーク)を提供しています。利用者はセキュリティ要件(要求仕様)を指定し、開発者は製品のセキュリティ属性について主張し、そして、評価者はそのセキュリティ主張を製品が満たしているか評価するプロセスを提供します。

セキュリティ要件(要求仕様)を特定する文書は、 プロテクションプロファイル (Protection Profile:PP)、 評価対象 (Target Of Evaluation:TOE)のセキュリティ機能を特定する文書は、 セキュリティターゲット (Security Target:ST)と呼ばれます。また、保証パッケージと呼ばれる標準的なセキュリティ保証要件の組み合わせが定義されており、 評価保証レベル (Evaluation Assurance Level:EAL)の7段階を定義しています。

セキュリティ機能要件 (Security Functional Requirements:SFR)は、製品が提供する個々のセキュリティ機能の標準カタログを規定しています。必要なものを選んで PP や ST に記載します。

セキュリティ保証要件 (Security Assurance Requirements:SAR)は、製品がセキュリティ機能性の主張に準拠していることを保証するために、製品開発にとられる施策のカタログを規定しています。必要なものを選んで PP や ST に記載します。

FIPS 140-2 (Federal Information Processing Standardization 140-2) は、暗号モジュールに関するセキュリティ要件の仕様を規定する米国連邦標準規格です。

1ー3.情報セキュリティマネジメントシステムに関する規格

BS7799:1995 は、1995年に BSI(British Standards Institution:英国規格協会)により制定された情報セキュリティマネジメントシステムの英国規格で、情報セキュリティ対策を行う際の管理ガイドライン及びガイドラインへの準拠性を認証する仕組みを規定していました。

1998年に BS7799:1995 は、具体的な情報セキュリティの実施基準を示す BS7799-1:1998 と、情報セキュリティのためのマネジメントシステムの仕様を定めた BS7799-2:1998 の二部構成となりました。

2000年に BS7799-1:1998 は、ISO/IEC17799:2000 として国際標準化されました。

2002年に BS7799-2:1998 は、プロセスアプローチ、PDCA サイクル、継続的改善等の考えを盛り込み、BS7799-2:2002 となりました。そして 2005年には、BS7799-2:2002 が ISO/IEC27001:2005 として国際標準化されました。2007年に、ISO/IEC 17799:2005 は、ISO/IEC27002:2005 に名称変更されています。

日本では、ISO/IEC17799:2000 が JIS X 5080:2002 として JIS 化され、BS7799-2:2002 は、ISMS 適合性評価制度における ISMS 認証基準のベースとなり、2002年に ISMS 認証基準(Ver.1.0)として制定されました。その後、2003年に ISMS 認証基準(Ver.2.0)が制定されています。

2005年に BS7799-2:2002 が ISO/IEC27001:2005 として国際標準化され、それが JIS Q 27001:2006 として JIS 化されたのに伴い、ISMS 適合性評価制度の準拠する基準は JIS Q 27001:2006 に移行しています。

2013年に ISO/IEC27001:2005、ISO/IEC27002:2005 は改訂され、ISO/IEC27001:2013、ISO/IEC27002:2013 が新規格となり、JIS Q 27001:2014、JIS Q 27002:2014 として JIS 化されています。

ISO では、ISO9001、ISO14001、ISO/IEC27001 などの ISO マネジメントシステム規格(ISO Management System Standard:MSS)の整合性を確保するため、目次構成や用語の定義などの各規格を定める際の共通的な事項を ISO MSS 共通要素として定めました。ISO/IEC27001:2013 などの新規格においては、この ISO MSS 共通要素を踏まえて改訂されています。

┏━━━━━━━━━━━━
┃ BS7799:1995
┗┳━━━━━━━━━━━
│┃│┏━━━━━━━━━━━━
│┣━┫ BS7799-1:1998
│┃│┗┳━━━━━━━━━━━
│┃│┏┻━━━━━━━━━━━
│┃│┃ ISO/IEC17799:2000
│┃│┗┳━━━━━━━━━━━
│┃││┃│┏━━━━━━━━━━━━
│┃││┣━┫ JIS X 5080:2002
│┃││┃│┗━━━━━━━━━━━━
│┃│┏┻━━━━━━━━━━━
│┃│┃ ISO/IEC17799:2005
│┃│┃  →ISO/IEC27002:2005
│┃│┗┳━━━━━━━━━━━
│┃││┃│┏━━━━━━━━━━━━
│┃││┣━┫ JIS Q 27002:2006
│┃││┃│┗━━━━━━━━━━━━
│┃│┏┻━━━━━━━━━━━
│┃│┃ ISO/IEC27002:2013
│┃│┗┳━━━━━━━━━━━
│┃││┃│┏━━━━━━━━━━━━
│┃││┗━┫ JIS Q 27002:2014
│┃││││┗━━━━━━━━━━━━
│┃│┏━━━━━━━━━━━━
│┗━┫ BS7799-2:1998
│││┗┳━━━━━━━━━━━
│││┏┻━━━━━━━━━━━
│││┃ BS7799-2:2002
│││┗┳━━━━━━━━━━━
│││┏┻━━━━━━━━━━━
│││┃ ISO/IEC27001:2005
│││┗┳━━━━━━━━━━━
││││┃│┏━━━━━━━━━━━━
││││┣━┫ JIS Q 27001:2006
││││┃│┗━━━━━━━━━━━━
│││┏┻━━━━━━━━━━━
│││┃ ISO/IEC27001:2013
│││┗┳━━━━━━━━━━━
││││┃│┏━━━━━━━━━━━━
││││┗━┫ JIS Q 27001:2014
││││││┗━━━━━━━━━━━━

2.情報セキュリティ関連法規

サイバーセキュリティ基本法 」は、第1条で「我が国のサイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、並びにサイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定める」としています。

不正アクセス行為の禁止等に関する法律 」( 不正アクセス禁止法 )は、不正アクセス行為(第3条)、他人の識別符号を不正に取得する行為(第4条)、不正アクセス行為を助長する行為(第5条)、他人の識別符号を不正に保管する行為(第6条)、識別符号の入力を不正に要求する行為(第7条)を禁止する法律です。 

 

識別符号とは、情報機器やサービスにアクセスする際に使用する ID、パスワード等のことです。不正アクセス行為とは、そのような ID、パスワードによりアクセス制御機能が付されている情報機器やサービスに対して、他人の ID、パスワードを入力したり、脆弱性を突いたりなどして、本来は利用権限がないのに、不正に利用できる状態にする行為をいいます。

刑法 」における「 コンピュータ犯罪 」に関する条文は、電磁的記録不正作出及び供用(第161条の2)、支払用カード電磁的記録不正作出等(第161条の3)、支払用カード電磁的記録不正作出準備(第161条の4)、不正指令電磁的記録作成等(第168条の2)、不正指令電磁的記録取得等(第168条の3)、電子計算機損壊等業務妨害(第234条の2)、電子計算機使用詐欺(第246条の2)、公用文書等毀棄(第258条)、私用文書等毀棄(第259条)、となります。

また、「 刑法 」における「 ネットワーク利用犯罪 」に関する条文は、わいせつ物頒布等(第175条)、脅迫(第222条)、名誉毀損(第230条)、侮辱(第231条)、詐欺(第246条)、背任(第247条)、恐喝(第249条)、となります。

電子署名及び認証業務に関する法律 」は、電子商取引などのネットワークを利用した社会経済活動の更なる円滑化を目的として、一定の条件を満たす電子署名が手書き署名や押印と同等に通用することや、認証業務(電子署名を行った者を証明する業務)のうち一定の水準を満たす特定認証業務について、信頼性の判断目安として認定を与える制度などを規定しています。

特定電子メールの送信の適正化等に関する法律 」は、利用者の同意を得ずに広告、宣伝又は勧誘等を目的とした電子メールを送信する際の規定を定めた法律です。なお、取引関係以外においては、事前に電子メールの送信に同意した相手に対してのみ、広告、宣伝又は勧誘等を目的とした電子メールの送信を許可する方式(オプトイン方式)が導入されました。

個人情報保護法 」は、個人の権利や利益を保護するため、個人情報を取り扱う事業者に一定の義務を課した法律です。事業者は、個人情報の利用目的を明確にし、適正に取得し、安全に管理しなくてはなりません。

著作権法 」は、著作物などに関する著作者等の権利を保護するための法律です。

違法ダウンロードの刑事罰 (第119条第3項)は、私的使用の目的をもって、有償著作物等の著作権又は著作隣接権を侵害する自動公衆送信を受信して行うデジタル方式の録音又は録画を、自らその事実を知りながら行って著作権又は著作隣接権を侵害した者は、2年以下の懲役若しくは 200万円以下の罰金に処し,又はこれを併科することとされました。

不正競争防止法 」は、事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するため、不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じます。

不正競争 (第2条)には、不正に営業秘密を入手・使用・開示する行為(第4〜10号)、技術的制限手段により制限されている影像の視聴等を当該技術的制限手段の効果を妨げることにより可能とする機能を有する機器やプログラムを提供する行為(第11・12号)、不正にドメインを使用する行為(第13号)、などが定義されています。

3.情報処理技術試験の過去問題

試験問題の全文は、https://www.jitec.ipa.go.jp/1_04hanni_sukiru/_index_mondai.html をご覧ください。


平成27年度秋期SC試験午前Ⅱ問題
問 6 ISO/IEC 15408 を評価基準とする “IT セキュリティ評価及び認証制度" の説明として, 適切なものはどれか。

  • ア 暗号モジュールに暗号アルゴリズムが適切に実装され, 暗号などが確実に保護されているかどうかを評価及び認証する制度
  • イ 主に無線 LAN において, RADIUS などと連携することで, 認証されていない利用者を全て排除し, 認証された利用者だけの通信を通過させることを評価及び認 証する制度
  • ウ 情報技術に関連した製品のセキュリティ機能の適切性, 確実性を第三者機関が評価し, その結果を公的に認証する制度
  • エ 情報セキュリティマネジメントシステムが, 基準にのっとり, 適切に組内に構築, 運用されていることを評価及び認証する制度

正解 ウ


平成25年度秋期SC試験午前Ⅱ問題 問 5
平成27年度春期SC試験午前Ⅱ問題
問 7 JVN (Japan Vulnerability Notes) などの脆弱性対策ポータルサイ卜で採用されている CVE (Common Vulnerabilities and Exposures) 識別子の説明はどれか。

  • ア コンピュータで必要なセキュリティ設定項目を識別するための識別子である。
  • イ 脆弱性が利用されて改ざんされた Web サイトのスクリーンショットを識別するための識別子である。
  • ウ 製品に含まれる脆弱性を識別するための識別子である。
  • エ セキュリティ製品を識別するための識別子である。

正解 ウ


平成27年度春期SC試験午前Ⅱ問題
問 8 総務省及び経済産業省が策定した “電子政府における調達のために参照すベき暗号のリスト” (CRYPTREC 暗号リスト) を構成する暗号リストの説明のうち, 適切なものはどれか。

  • ア 推奨候補暗号リストとは, CRYPTREC によって安全性及び実装性能が確認された暗号技術のうち, 市場における利用実績が十分であるか今後の普及が見込まれると判断され, 当該技術の利用を推奨するもののリストである。
  • イ 推奨候補暗号リストとは, 候補段階に格下げされ, 互換性維持目的で利用する暗号技術のリス卜である。
  • ウ 電子政府推奨暗号リストとは, CRYPTREC によって安全性及び実装性能が確認された暗号技術のうち, 市場における利用実續が十分であるか今後の普及が見込まれると判断され, 当該技術の利用を推奨するもののリストである。
  • エ 電子政府推奨暗号リストとは, 推奨段階に格下げされ, 互換性維持目的で利用する暗号技術のリストである。

正解 ウ


平成27年度春期共通試験午前Ⅰ問題
問13 JIS Q 31000-2001 (リスクマネジメント一原則及び指針) における, 残留リスクの定義はどれか。

  • ア 監査手続を実施しても監査人が重要な不備を発見できないリスク
  • イ 業務の性質や本来有する特性から生じるリスク
  • ウ 利益を生む可能性に内在する損失発生の可能性として存在するリスク
  • エ リスク対応後に残るリスク

正解 エ


平成27年度春期共通試験午前Ⅰ問題
問14 NIST の定義によるクラウドサービスモデルのうち, クラウド利用企業の實任者がセキュリティ対策に関して表中の項番 1 と 2 の貢務を負うが, 項番 3 ~ 5 の責務を負わないものはどれか。

項番責務
1アプリケーションに対して, データのアクセス制御と暗号化の設定を行う。
2アプリケーションに対して, セキュアプログラミングと脆弱性診断を行う。
3DBMS に対して, 修正プロダラム適用と権限設定を行う。
4OS に対して, 修正プロダラム適用と権限設定を行う。
5ハードウェアに対して, アクセス制御と物理セキュリティ確保を行う。
  • ア HaaS
  • イ IaaS
  • ウ PaaS
  • エ SaaS

正解 ウ


平成24年度秋期SC試験午前Ⅱ問題 問 4
平成26年度秋期SC試験午前Ⅱ問題
問 3 経済産業省が公表した “クラウドサービス利用のための情報セキュリティマネジメントガイドライン” が策定された目的について述ベたものはどれか。

  • ア JIS Q 27002 の管理策を補完し, クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにする。
  • イ クラウドサーピス提供事業者に対して情報セキュリティ監査を実施する方法を利用者に提示する。
  • ウ クラウドサービスの利用がもたらすセキュリティリスクをサービス提供事業者の視点で提示する。
  • エ セキュリティリスクの懸念が少ないクラウドサービス提供事業者を利用者が選択できるような格付け基準を提供する。

正解 ア


平成22年度秋期SC試験午前Ⅱ問題 問 3
平成24年度秋期SC試験午前Ⅱ問題 問 8
平成26年度秋期SC試験午前Ⅱ問題
問 5 FIPS 140-2 を説明したものはどれか。

  • ア 暗号モジュールのセキュリティ要求事項
  • イ 情報セキュリティマネジメントシステムに関する認証基準
  • ウ ディジタル証明害や証明書失効リストの標準仕様
  • エ 無線 LAN セキュリティ技術

正解 ア


平成25年度春期SC試験午前Ⅱ問題 問11
平成26年度秋期SC試験午前Ⅱ問題
問 8 CRYPTREC の活動内容はどれか。

  • ア 暗号技術の安全性, 実装性及び利用実績の評価・検討を行う。
  • イ 情報セキュリティ政策に係る基本戦略の立案, 官民における統一的, 横断的な情報セキュリティ対策の推進に係る企画などを行う。
  • ウ 組織の情報セキュリティマネジメントシステムについて評価し認証する制度を運用する。
  • エ 認証機関から貸与された暗号モジュール試験報告書作成支援ツールを用いて暗号モジュールの安全性についての評価試験を行う。

正解 ア


平成26年度春期SC試験午前Ⅱ問題
問14 JVN (Japan Vulnerability Notes) などの脆弱性対策ポ一タルサイトで採用されている CWE (Common Weakness Enumeration) は どれか。

  • ア 基本評価基準, 現状評価基準, 環境評価基準の三つの基準で IT 製品の脆弱性を評価する手法
  • イ 製品を識別するためのプラットフォーム名の一覧
  • ウ セキュリティに関連する設定項目を識別するための識別子
  • エ ソフ卜ウェアの脆弱性の種類の一覧

正解 エ


平成25年度春期SC試験午前Ⅱ問題
問 9 NIST の定義によるクラウドコンピューティングのサーピスモデルにおいて, パブリッククラウドサービスの利用企業のシステム管理者が, 仮想サーバのゲスト OS に係る設定作業及びセキュリティパッチ管理作業を実施可かどうかの組合せのうち, 適切なものはどれか。

IaaSPaaSSaaS
実施可実施可実施不可
実施可実施不可実施不可
実施不可実施可実施不可
実施不可実施不可実施可

正解 イ


平成22年度春期SC試験午前Ⅱ問題
問 7 経済産業省告示の “ソフトウェア等脆弱性関連情報取扱基準” における Web アプリケーションに関する脆弱性関連情報の適切な取扱いはどれか。

  • ア Web アプリケーションの脆弱性についての情報を受けた受付機関は, 発見者の氏名・連絡先を Web サイ ト運営者に通知する。
  • イ Web アプリケーションの脆弱性についての通知を受けた Web サイト運営者は, 当該脆弱性に起因する個人情報の漏えいなどが発生した場合, 事実関係を公表しない。
  • ウ 受付機関は, Web サイト運営者から Web アプリケーションの脆弱性が修正されたという通知を受けたら, それを速やかに発見者に通知する。
  • エ 受付機関は, 一般利用者に不安を与えないために, Web アプリ ケーションの脆弱性関連情報の届出状況は, 受付機関の中で管理し, 公表しない。

正解 ウ

⑨規格・法令編を公開しました。

《アーカイブ》 情報セキュリティ試験直前対策メモ2006

第1回 無線LAN編

第2回 VPN編

第3回 暗号化編

(≪補足≫ 暗号・復号の基本フロー

第4回 認証編

第5回 PKI編

第6回 セキュリティプロトコル編

第7回 サーバセキュリティ編

第8回 脅威の実態編

第9回 アクセス監視編

最終回 規格編