情報セキュリティの10大潮流 [1] 第1の大潮流「セキュリティ管理の確立」【後編】

　本連載では、情報セキュリティの進化の中の10大潮流を取り上げていきます。10大潮流を「セキュリティ管理の確立」と「安全安心な電子社会の構築」の二つのカテゴリ毎にそれぞれ5大潮流を定義して概説し、社会環境の変化とともにその動きを振り返り、将来の方向感についても考えていく予定です。今回のコラムでは、第1の大潮流として「セキュリティ管理の確立」について説明します。

■■　セキュリティ管理の確立【カテゴリ1】　■■

1. 第1の潮流「情報セキュリティ評価・認定フレームの確立」

(1)情報セキュリティマネジメントシステム(ISMS)

　ネットワークや電子化の進展から情報の安全確保にかかわる関心が急速に増し、1990年代初頭から大企業を中心に情報セキュリティへの組織的な取り組みを本格化させてきました。同時に情報資産を安全に運用するために、組織としての方針、目標を定め整備していくために体系化された情報セキュリティマネジメントシステム(ISMS:Information Security Management System)が強く要求されてきていました。英国規格協会(BSI)では、特にセキュリティの運用管理に重点を置いたISMSの規格(BS7799)を1995年策定しました。BS規格はパート1とパート2の2部構成で、パート1(1995年策定)には情報セキュリティ管理の実施基準が規定され、ISO/IEC17799として国際標準化されました。パート1には、「セキュリティポリシー」「セキュリティ組織」「情報資産の分類および管理」など、10の管理分野があり、それぞれの分野について管理策がリストアップされています。パート2は実施すべき作業が列記されて審査や認証目的に使えるものです。

　パート1、2とも2005年にはISO/IEC27000シリーズとして統合されました。日本では情報処理サービス業のコンピュータシステムが十分な安全対策を実施しているかどうかを認定する制度として「情報システム安全対策実施事業所認定制度」（以下、安対制度という）がありました。平成12年にこの安対制度を廃止し、技術的なセキュリティの他に、人間系の運用・管理面をバランス良く取り込み、時代のニーズに合わせた新しい制度として、ISMS適合性評価制度(*参考1)を創設することとなりました。現在、財団法人　日本情報処理開発協会(JIPDEC)が制度を運用し、認証取得事業者数(*参考2、3)は2009年7月13日時点で3,224事業所で日本が群を抜いて世界一となっています。

*参考1　ISMS適合性評価認定制度
http://www.isms.jipdec.jp/isms.html
*参考2　ISMS認証取得組織数推移
http://www.isms.jipdec.jp/lst/ind/suii.html
*参考3　各国のISMS認証取得者数
http://www.iso27001certificates.com/Register%20Search.htm

(2)情報セキュリティ監査制度

　情報セキュリティ監査制度は、情報セキュリティマネジメントの確立をはじめとした情報セキュリティ対策の評価を、専門知識を持ったものが行う制度で経済産業省が2003年に創設した制度です。ISMSは国際基準で定められた認証基準に対して認証し、その認証基準は汎用的ですが、情報セキュリティ監査では、組織の監査ニーズに応じて個別の管理基準の策定が可能で、情報資産に特化した監査を受けることもできる、より自由度の高い制度です。

　また情報セキュリティ監査制度は、情報セキュリティ監査を通じて、組織の情報セキュリティ対策のレベルを向上させ、ISMS認証取得レベルにまで到達するような仕組みともなっています(*参考4)。

*参考4　JASA 日本セキュリティ監査協会
http://www.jasa.jp/kansa/katsuyou.html

(3)セキュリティ製品の評価認定制度

　セキュリティ製品に関する情報セキュリティ評価の国際基準としては、1999年ISO/IEC15408が策定され、ITSEC(Information Technology Security Evaluation Criteria)やCC(Common Criteria)とも呼ばれています。ISO/IEC15408(*参考5)では評価保証レベル(EAL :Evaluation Assurance Level)が規定され、レベル付けが決められています。EALは1〜7までの7階層のEALをあらかじめ定義されており、レベルの数値が高いほど保証の程度が厳密になります。

*参考5　ISO/IEC15408
http://www.ipa.go.jp/security/jisec/index.html

(4)プライバシーマーク制度

　プライバシーマーク制度(*参考6)は、実効性のある個人情報の保護のため「JIS Q 15001個人情報保護マネジメントシステム」に適合して、適切な保護措置を整備している事業者等を認定して、プライバシーマークを付与する制度です。財団法人日本情報処理開発協会では1998年より運用を開始しています。

*参考6　プライバシーマーク制度
http://www.jipdec.or.jp/

2. 新たな情報セキュリティ評価の仕組み

(1)PCI DSS

　PCI DSS(Payment Card Industry Data Security Standard)は、カード情報を扱う全てのクレジットカード事業者が遵守すべきセキュリティ規準として国際カードブランド5社(*注1)が2004年12月に共同で策定したものです。ネットワークの設定やパスワードの管理、ウイルス感染の防止、データ暗号化等12項目でカード加盟店や決済代行事業者が遵守すべき最低限の規準を決めています。PCI DSSはクレジットカード決済にかかわるセキュリティ基準ですが、規定内容が実際的で具体的なベストプラクティスとして作られていることから(*注2)、米国ではサプライチェーンリスクの低減を図るものとして業界横断的に高く評価され注目されています。また米国では、PCI DSSの法的な義務付けも進んでいるところです(*注3)。日本においてもその認知が広がりつつあり、オンラインショッピング従事者の約4割がPCI DSSの概要を知っており、見聞きしたレベルでの認知度は6割を超えているようです(*参考7)。

―広がるセキュリティ基準の範囲―

　PCI DSSの他にもカード決済に関係するアプリケーションソフトやデバイスの規格策定が進んでいます。

・PA-DSS(Payment Application Data Security Standard):ペイメントアプリケーションソフトに対するセキュリティ基準
・PED(PCI PIN Entry Device):PDSデバイス等に対するセキュリティ基準

*注1　5社は米ビザ・インターナショナル、米マスターカードインターナショナル、米アメリカン・エクスプレス、JCB、米ダイナースクラブ。また、クレジット決済と関係なく、PCI DSSを製品の実装基準として準拠していることをアピールしているベンダも出てきています。なお、NTTデータセキュリティ(株)は日本で最初の認定審査機関(QSA)を取得して、PCI DSS関連セキュリティサービスを提供しています。

*注2　パスワードにかかわる規定の例:パスワードは7文字以上の数字とアルファベットを含み90日毎に変更すること、6回の試行で認証確認が取れない場合はロックする。

*注3　テキサス州:PCI DSSに準拠せずに漏えい事件が発生した場合は、金融機関は損害賠償請求訴訟を起こすことができる(2007年)、またマサチューセッツ、ミネソタ、カルフォルニアの各州でも義務化法案が成立している。

*参考7　オンラインショップ運営者におけるPCIDSS 認知度調査
https://shop.ns-research.jp/form/fm/pcidss

(2)その他のセキュリティ評価

―情報セキュリティ格付けー

　情報セキュリティの格付けは、企業などの組織の情報セキュリティをマネジメントの成熟度、テクノロジーのレベル、コンプライアンスへの取り組み状況といった観点で定量化し、記号や数値などを用いて指標化するものです。今後のグローバル展開での必要性から、経産省を中心とした行政府のセキュリティ戦略の中でも検討されてきているテーマで、2008年には情報セキュリティ格付会社アイ・エス・レーティング(*参考8)が設立されています。

*参考8　情報セキュリティ格付け会社株式会社アイ・エス・レーティング
http://www.israting.com/

―情報セキュリティ成熟度モデルの適用―

　情報セキュリティ対策の整備状況を評価判断する基準を明確化する成熟度モデルが注目されています…

【執筆：元東京大学客員教授林誠一郎】

＊各規格名、会社名、団体名は、各社の商標または登録商標です。

【関連リンク】
NTTデータ・セキュリティ　セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec