【情セキ.006】情報セキュリティの評価制度
佐藤@IT雑貨屋です。
情報セキュリティの為に様々なソリューションが世の中にはあります。何時も思うのですが、情報セキュリティはどの程度まで対応したら良いのでしょうか。様々な仕組みを導入し、情報セキュリティについて対応するのは良いのですが、組み合わせ方によっては日常業務に支障がでてしまう場合もあります。一方でセキュリティの対策レベルを低くすると、情報セキュリティのインシデントが発生しやすくなります。
要は自宅の防犯レベルの事を考えてみると少し理解しやすくなります。今の世の中では警備会社から様々な自宅の防犯の為のサービスがCMで流れていますが、自分の家でこの警備会社のサービスが必要なのか不要なのか。
例えば資産家と言われる人の自宅では、やはり警備会社のサービスで固く守るべき必要もあるでしょう。一方、私の自宅には大した資産はありませんので、こういった警備会社のサービスは不要です。でも自分が独居老人になった場合には「見守りサービス」程度は入っていた方が、家族の為になるのかもしれません。
そんな感じで各組織でどこまで情報セキュリティに対応した方が良いのか、そこを評価する為の制度がありますので、今回はどんな制度があるのか、そこについてまとめてみます。
◆ISMS適合性評価制度
やはり初めに紹介するのはこの制度です。IS27001認証取得とう事で世間では認知されていると思いますが、企業のISMS(情報セキュリティマネジメントシステム)が、JIS Q 27001に準拠している事を評価して認定する制度です。これは日本情報経済社会推進協議会(JIPDEC)の評価制度ですが、以下の機関で成り立っています。
・認証機関
ISMSに適合しているかを審査して登録する機関。
・要員認証機関
ISMS審査員の資格を付与する機関
・認定機関
認証機関、要員認証機関がその業務を行う能力があるか評価する機関
評価を受ける時には認証機関に申請し、審査の結果、組織として情報セキュリティが必要レベルに達していると認証取得する事が出来ますし、それを対外的に公表する事で組織の評価を上げる事も出来ます。また官公庁や大企業等では取引の際には認証取得を条件としているところもあります。
◆CSMS適合評価制度
CSMS(Cyber Security Management System)は、産業用オートメーション及び制御システム(IACS:Industrial Automation and Control System)を対象としたサイバーセキュリティマネジメントシステムです。ISACは、電気・ガス等のエネルギー分野、石油・化学、鉄鋼などのプラント、鉄道などの交通インフラなど、社会や産業を支えるシステムです。
CSMS適合評価制度は、重要なインフラを制御するシステムを守るために策定された、セキュリティマネジメントシステムの認証基準となっていますが、管理対象が制御システムのみとなり、その分、システムに特化した対策が求められています。
◆ISO/IEC 15408
セキュリティ技術を評価する規格でJIS規格ではJIS X 5070もあります。これはIT関連製品や情報システムのセキュリティレベルを評価する為の国際規格です。調達者が判断する際に役立つ評価結果を提供し、独立したセキュリティ評価結果の比較を可能とします。CC(Common Criteria)とも呼ばれ、主に次の様な概念を掲げています。
①ST(Security Target):セキュリティターゲット
セキュリティ基本設計書のことです。製品やシステムの開発に際してSTを作成する
ことは最も重要であると規定されています。利用者が自分の要求仕様を文書化した
ものです。
②EAL(Evaluation Assurance Level):評価保障レベル
製品の保証用件を示したもので、製品やシステムのセキュリティレベルを客観的に
評価するための指標です。EAL1(機能テストの保証)からEAL7(形式的な設計の
検証及びテストの保証)まであり、数値の髙いほど保障の程度が厳密です。
◆JISEC(ITセキュリティ評価及び認証制度)
JISEC(Japan Information Technology Security Evaluation and Certification Scheme)の事で、IT関連製品のセキュリティ機能の適切性・確実性をISO/IEC 15408に基づいて評価し、認証する制度です。評価は第三者機関(評価機関)が行い、認証はIPA(情報処理推進機構)が行います。
◆JCMVP(暗号モジュール試験及び認証制度)
JCMVP(Japan Cryptographic Modle Validation Program)は暗号モジュールの認証制度です。暗号化機能、ハッシュ機能、署名機能などのセキュリティ機能を実装したハードウェアやソフトウェアなどから構成される暗号化モジュールが、セキュリティ機能や内部の重要情報を適切に保護しているかを評価、認証します。製品認証制度の一つとしてIPAによって運営されています。
◆PCI DSS
PCI DSS(Paymant Card Industry Data Security Standad)はクレジット会員のデータを安全に取り扱うことを目的に、JCB、American Express、Discover、マスターカード、VISAの5社が共同で策定した、クレジット業界におけるセキュリティ標準です。
PCIを管理するPCI SSC(PCI Security Standard Council:PCI国際協議会)が認定した審査機関による訪問審査や、認定したベンダのスキャンツールによってWebサイトに脆弱性がないか点検をうけて認証を得る事で、PCI DSS認定を取得できます。
PCI DSSは改訂を重ねており、現在の最終版はPCI DSS v4.0です。
PCI DSSでは、ISO/IEC 27000シリーズなどに比べてより具体的に、クレジットカード利用者が遵守すべき事項をまとめており、以下の6つの目的について12の要件を定めています。
①安全なネットワークの構築と維持
要件1:カード会員データを保護するために、ファイアーウォールをインストール
して構成を維持する。
要件2:システムのパスワード及び他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない。
②カード会員データの保護
要件3:保存されるカード会員データを保護する
要件4:オープンな公共ネットワーク経由でカード会員データを伝達する場合、
暗号化する
➂脆弱性管理プログラムの維持
要件5:全てのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまた
はプログラムを定期的に更新する
要件6:安全性の高いシステムとアプリケーションを開発し、保守する
④強力なアクセス制御手法の導入
要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8:システムコンポーネントへのアクセスを、業務上必要な範囲に制限する
要件9:カード会員データの物理アクセスを制限する
⑤ネットワークの定期的な監視及びテスト
要件10:ネットワークリソース及びカード会員データへの全てのアクセスを追跡
及び監視する
要件11:セキュリティシステム及びプロセスを定期的にテストする
⑥情報セキュリティポリシーの維持
要件12:全ての担当者の情報セキュリティに対応するポリシーを維持する
◆SCAP
SCAP(Secutiry Content Automation Proocol:セキュリティ設定共通化手順)は、NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が開発した、情報セキュリティ対策の自動化と標準化を目指した技術仕様です。現在、SCAPは次の6つの標準仕様から構成されています。
①脆弱性を識別するためのCVE
(Common VuInerabilities and Exposoures:共通脆弱性識別子)は個別製品中の
脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している
識別子です。脆弱性検査ツールやJVN(日本の脆弱性データベース)などの脆弱性
対策情報提供サービスの多くがCVEを利用しています。
②セキュリティ設定を識別するためのCCE
(Common Configuration Enumeration:共通セキュリティ設定一覧)はシステム
設定情報に対して共通の識別番号「CCE識別番号(CCE-ID)」を付与し、セキュリ
ティに関するシステム設定項目を識別します。識別番号を用いることで、脆弱性対策
情報源やセキュリティツール間のデータ連携を実現します。
➂製品を識別するためのCPE
(Common Platform Enumeration:共通プラットフォーム一覧)はハードウェア、
ソフトウェアなど、情報システムを後世するものを識別するための名称基準です。
④脆弱性の深刻度を評価するためのCVSS
(Common VuInerability Scoring System:共通脆弱性評価システム)は情報シス
テムの脆弱性に対するオープンで包括的、汎用的な評価手法です。CVSSを用いると、
脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、
ベンダー、セキュリティ専門家、管理者、ユーザー間で、脆弱性に関して共通の言語
で議論できるようになります。
CVSSでは、以下の3つの視点から評価を行います。
・基本評価基準(Base Metrics)
脆弱性そのものの特性を評価する視点
・現状評価基準(Temporal Metrics)
脆弱性の現在の深刻度を評価する視点
・環境評価基準(Enviromental Mertics)
製品利用者の利用環境も含め、最終的な脆弱性の深刻度を評価する視点
⑤チェックリストを記述するためのXCCDEF
(eXtensible Configuration Checklist Description Format:セキュリティ設定
チェックリスト記述形式)でセキュリティチェックリストやベンチマークなどを記述
するための仕様言語。
⑥脆弱性やセキュリティ設定をチェックするためのOVAL
(Open VuInerability and Assessment Language:セキュリティ検査言語)で
コンピュータのセキュリティ設定状況を検査するための仕様です。
◆CWE
(Common Weakness Enummeraion:共通脆弱性タイプ一覧)はソフトウェアに於けるセキュリティの弱体(脆弱性)の種類を識別するための共通基準です。CWEでは多種多様な脆弱性の種類を脆弱性タイプとして分類し、ぞれぞれにCWE識別子(CWE-ID)を付与して階層構造で体系化しています。脆弱性のタイプは以下の4種類に分類されます。
・ビュー(View)
・カテゴリ(Category)
・脆弱性(Weakness)
・複合要因(Compound Element)
◆脆弱性検査
システムを評価するために脆弱性を発見する検査を脆弱性検査といいます。脆弱性検査の手法には、次のようなものがあります。
①ベネトレーションテスト
システムには実際に攻撃して侵入を試し見ることで、脆弱性検査を行う手法です。
疑似攻撃を行うことになるため、あらかじめ攻撃の許可を得ておくことや、攻撃に
よりシステムに影響ないよう準備が必要です。
②ポートスキャナ
Webサーバで稼働しているサービスを列挙して、不要なサービスが可能していない
ことを確認するツールです。OSの種類を検出したり、サービスに対して簡単な脆弱
性検査を行うことができるものがあります。
➂ファジング
ファジングとは、ソフトウェア製品において、開発者が認知していない脆弱性を
検出する検査手法です。検査対象のソフトウェア製品に、ファズ(Fuzz)と呼ばれ
る、問題を引き起こしそうなデータを大量に送り込み、その応答や挙動を監視する
ことで脆弱性を検出します。
◆情報セキュリティ診断
情報セキュリティ診断とは、IPAセキュリティセンターがWeb上で提供している、情報セキュリティ対策の状況を診断できる仕組みです。Web上で質問に答えると、散布図、レーダーチャート、スコア(点数)などの診断結果が自動的に表示されます。点数だけでなく、自社の対策状況を他社の対策状況と比較することができます。
◆SECURITY ACTION
「中小企業の情報セキュリティ対策ガイドライン」に沿って情報セキュリティ対策に取り組むことを、中小企業が自己宣言する制度です。取り組み目標に応じて「★一つ星」と「★★二つ星」のロゴマークがあり、自社の状況にあわせて宣言できます。中小企業の情報セキュリティ対策を推進するためのもので、自治体の中小企業デジタル化推進に関する補助金の要件に指定されることも増えています。