【情セキ.016】情報セキュリティに関連する標準など
佐藤@IT雑貨屋です。
情報セキュリティの標準規程については、これまで紹介したほかにも、国の機関で様々なものが公開されていますので、少し代表的なものについて紹介いたします。
◆情報セキュリティに関する基準
経済産業省などが情報セキュリティのガイドラインや基準として、次のものを公開しています。
①コンピュータウィルス対策基準
コンピュータウィルスに対する予防、発見、駆除、復旧のために実効性の高い対策
を取りまとめた基準です。
②コンピュータ不正アクセス対策基準
コンピュータ不正アクセスによる被害の予防、発見、駆除、復旧や拡大、再発防止の
ために、企業などの組織や個人が実行すべき対策をとりまとめた基準です。
➂ソフトウェア等脆弱性関連情報取扱基準
ソフトウェアの脆弱性関連情報等の取り扱いにおいて、関係者に推奨する行為を
定めた基準です。脆弱性の情報を適切に流通させ、対策の促進を図ることを目的
としています。
◆政府機関の情報セキュリティ対策のための統一基準
政府機関の情報セキュリティ対策を統一するために定められた基準で、内閣サイバーセキュリティセンターが発表しています。
◆IEEE 802
電気及び電子技術の国際規格に、IEEE(Institute of Electrical and Electronics Enginieers:電気電子学会)などがあります。IEEEには、LANの規格としてIEEE 802があり、無線LANについてはIEEE 802.11にまとめられています。そのうちのIEEE802.11iは、無線LANでのセキュリティ確保のための標準仕様です。またLANの認証規格としてIEEE 802.1Xが定められています。
◆ITU-T X.509
電気及び電子技術の国際規格には、IEEE以外にも、ITU(International Telecommunication Union:国際電気通信連合)やIEC(International Electrotechnical Commission:国際電気標準会議)があります。ITUの電気通信標準化部門にITU-Tがあり、ここで、PKIで利用する公開鍵証明書の規格であるX.509が策定されています。
◆FIDO
FIDO(Fast IDentity Online)は、標準規格化されたパスワードに代わる新しい認証技術です。GoogleやMicrosoft などが参加する標準規格策定団体であるFIDO Allianceで仕様が策定されており、素早い認証が行われ、パスワードや秘密鍵などの秘密の情報を共有しないことでセキュリティを高めます。FIDO Allianceでは、認証のための仕様として、次の3つを公開しています。
・FIDO UAF(FIDO Universal Authentication Framework)
パスワードレス認証をサポートする仕様です。FIDO UAFの仕組みがインストール
されたデバイスを用いて、生体認証などのシンプルで強固な本人確認手段により
パスワードを使わずに認証を行います。
・FIDO U2F(FIDO Universal Second Factors)
2段階認証をサポートする仕様です。サービスに協力な2番目の認証器(認証の為
のハードウェア)を追加することで、既存のパスワードに追加してセキュリティを
強化できます。
・FIDO2
Web認証のAPI仕様です。UAFとU2Fを統合した仕様となっています。CTAP
(Cliet-Authenticator Protocol)を利用し、ブラウザから直接、生体認証機器に
認証要求を送る事を可能にしています。
◆FIPS PUB 140
FIPS PUBS(Federal Information Processing Standardization Publications)は、NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が開発した情報処理標準規格で、非軍事政府機関及び政府の請負業者が利用するコンピュータシステムが満たすべき基準を定めたものです。FIPSと略されることもあります。
いくつかの規格が開発されており、そのうちFIPS PUB 140では、暗号モジュールに関するセキュリティ要件の仕様が定められています。最新バージョンはFIPS PUB 140-3です。
◆NISTサイバーセキュリティフレームワーク
NISTサイバーセキュリティフレームワーク(CSF:Cyver Secrity Framework)は、NISTが作成した重要インフラのサイバーセキュリティを向上させるためのフレームワークです。「コア(Core)」「ティア(Tier)」「プロファイル(Profile)」という三つの要素で構成されています。
フレームワークコアは、組織の種類や規模を問わない共通のサイバーセキュリティ対策の一覧で、識別(Identify)、防御(Protect)、検知(Detect)、対応(Respond)、復旧(Recover)の五つの機能で構成されています。
また、組織のサイバーセキュリティリスクの管理策が、NISTサイバーセキュリティフレームワークで定義されている特性をどの程度達成できているかを示す段階として、フレームワークインプリメンテーションティア(ティア)を定義しています。ティア1からティア4まで4段階あり、ティア4が最も達成度が高い段階です。
・ティア1:部分的である(Partial)
・ティア2:リスク情報を活用している(Risk Information)
・ティア3:繰り返し適用可能である(Repeatable)
・ティア4:適応している(Adoptable)
◆クラウドサービス利用のための情報セキュリティマネジメントガイドライン
JIS Q 27002の管理策を拡張し、クラウドサービス利用者が情報セキュリティ対策を円滑に行えるようにするためのガイドラインです。組織がクラウドコンピューティングを全面的に利用する極限状態を想定し、次の3つについて記載しています。
・自ら行うべきこと
・クラウド事業者に対して求める必要のあること
・クラウドコンピューティング環境における情報セキュリティマネジメントの仕組み
◆サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドラインとは経済産業省がIPA(情報処理推進機構)とともに策定した、企業の経営者にむけたガイドラインです。ITサービスなどを提供する企業や、経営戦略上ITの利活用が不可欠な企業の経営者を対象としています。
サイバー攻撃から企業を守る観点で、「経営者が認識すべき3原則」と、経営者がCISO(最高情報セキュリティ責任者)に指示すべき「サイバーセキュリティ経営の重要10項目がまとめられています。
◆スマートフォン安心安全強化戦略
スマートフォンを安心かつ安全に利用する環境について総務省が取りまとめた提言です。利用者情報の適切な取扱い、利用者からの苦情・相談に業界全体でとりくむこと、青少年がSNSを利用するための対応「スマートユースイニシアティブ」などについてまとめられています。
◆クラウドサービス事業者向けの標準
SaaSなどクラウドサービス事業者に向けたセキュリティ標準には、以下のものがあります。
・ISAE3402
ISAE3402(International Standard on Assurance Engagements No.3402)は、
国際保証業務基準です。委託会社の財務諸表に関連する業務について、監査人がその
受託業務に関する内部統制について評価し、報告書を作成するための基準として、
IFAC(Internationcal Federation of Accountants:国際会計士連盟)が定めた
ものです。
・SSAE16
SSAE16(Sttement on Standars for Attestation Engagements No.16)は、
米国保証業務基準です。ISAE3402に準拠した米国公認会計士協会(AICAP)の基準
で、合わせてISAE3402/SSAE16とされることも多いです。
ここで取り上げたいずれの標準も、深堀をすると、それだけで大きな1つのコンテンツになってしまう内容ばかりですが、表題だけでも知っておく事が、まずは重要な事だと思います。