情報セキュリティ読本 - it 時代の危機管理入門 -

1

情報セキュリティ読本

情報セキュリティ読本　– プレゼンテーション資料 -

情報セキュリティ読本　　　 - IT 時代の危機管理入門 -

プレゼンテーション資料（第 6 章情報セキュリティ関連の法規と制

度）

2情報セキュリティ読本　– プレゼンテーション資料 -

第 6 章　情報セキュリティ関連の法規と制度

1. 情報セキュリティの国際標準2. 情報セキュリティに関する法

律3. 知的財産を守る法律4. 迷惑メール関連法5. 情報セキュリティ関連制度


1. 情報セキュリティの国際標準

1) 情報セキュリティマネジメントの国際標準 ISO/IEC 17799 と 27000 シリーズ

2) セキュリティ製品の評価認証のための国際標準 ISO/IEC 15408

3) OECD 情報セキュリティガイドライン

第 6 章


1 ） ISO/IEC 17799 (JIS Q 27002)

• 情報セキュリティマネジメントの国際標準

– 組織として情報セキュリティの確保に取り組むための管理策を定めた国際標準

• 情報セキュリティを守るためのベストプラクティスを記述

第 6 章 > 1. 情報セキュリティの国際標準


2006年 5月発効2006年 5月発効

BS7799:1995

1998年に２部構成化（第１部：規範、第２部：

仕様 )

1995年英国規格

JIS X 5080：2002

BS7799-2:1998

BS7799-1:1998

ISMS認証基準

ISO/IECの規格として標準化

2002年 JIPDECにより制定 ISMS適合性評価制度発足

BS7799-2:2002

ISO/IEC 17799：20052005年 6月発効

ISO/IEC 27001:2005

JIS Q 27002 として JIS規格化

ISMSISMS 認証基準及びガイド等　認証基準及びガイド等　 http://www.isms.jipdec.jphttp://www.isms.jipdec.jp/std//std/

2005年 10月発効

JIS Q 27001 として JIS規格化

認証基準はISO/IEC27001に移行

ISO/IEC 17799： 2000


BS7799 から JIS Q 27001/27002 まで


2 ） ISO/IEC15408

• セキュリティ製品の評価認証のための国際標準

• 機能要件と保証要件の集大成• 7 段階の評価保証レベル (EAL) を定義• ISO/IEC15408→ （ JIS 化）→ JIS X 5070

• ISO/IEC15408 に基づいて「 IT セキュリティ評価及び認証制度」が運用される



3 ） OECD 情報セキュリティガイドライン

• 1992 年、 OECD （経済協力開発機構）により制定

• OECD 加盟国が尊重すべき情報セキュリティの基本方針

• 5 年ごとに見直し• 2002 年には、米国同時多発テロの影響

を受け、全面的に改正　


参考） OECD 情報セキュリティガイドライン見直しに関する調査 http://www.ipa.go.jp/security/fy14/reports/oecd/guideline.html


2. 情報セキュリティに関する法律

1) 刑法2) 不正アクセス行為の禁止等に関する法

律　（不正アクセス禁止法）

3) 電子署名及び認証業務に関する法律　（電子署名法）

4) 個人情報の保護に関する法律　（個人情報保護法）

第 6 章


1 ）刑法

• 1987 年の改正で、コンピュータ犯罪を防止するための 3 法が追加

– 電子計算機損壊等業務妨害罪– 電磁的記録不正作出及び供用罪– 電子計算機使用詐欺罪

　・コンピュータやデータの破壊や改ざんには　刑事罰が科せられる

第 6 章 > 2. 情報セキュリティに関する法律


2 ）不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）

• 電気通信回線を通じて行われる不正アクセス犯罪を防止することが目的

• 不正にアクセスする行為と不正アクセスを助長する行為を処罰

　　【不正アクセス行為】– 他人の ID やパスワードを無断使用し不正アクセス

する– 直接侵入攻撃– 間接侵入攻撃【不正アクセスを助長する行為】– 他人のパスワードを許可無く他人に教える


参考）不正アクセス行為の禁止等に関する法律　　 http://www.ipa.go.jp/security/ciadr/law199908.html 　


3 ）電子署名及び認証業務に関する法律（電子署名法）

• 電子署名（ディジタル署名）に署名や押印と同じ効力を持たせることが目的

• 電子署名により、電子政府や電子商取引における情報の真正性を証明

• 電子署名と電子証明書を規定し、さらに、認証業務や認証事業者についても規定


参考）電子署名、認証関連 http://www.meti.go.jp/policy/netsecurity/digitalsign.htm　


4 ）個人情報の保護に関する法律（個人情報保護法）（ 1 ）

• 個人情報を取り扱う事業者の遵守すべき義務を規定

• 個人情報– 氏名、生年月日その他の記述により特定の

個人の識別が可能な情報• 本人の了解なしに個人情報の流用、売買、譲渡することを規制




• 個人情報保護の基本原則を規定– 適正な方法による取得– 収集目的の範囲内での利用– 漏えいを防ぐためのセキュリティ対策を実施する　等

• 2005 年 4月より本格施行


参考）　個人情報の保護に関する法律　　　　　 http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/　　　　　　　分野別ガイドライン：経済産業分野　　　　　 http://www.meti.go.jp/policy/it_policy/press/0005321/ 　　



1. 利用目的による制限2. 適正な方法による取得3. 内容の正確性確保4. 安全管理措置の実施5. 透明性の確保


個人情報保護の基本原則


3. 知的財産を守る法律

1) 著作権法2) 不正競争防止法

第 6 章


1 ）著作権法

• 創造性のある思想や表現などの著作物や著作者を保護することが目的

• 著作者人格権と著作財産権に分けられる

– 著作者人格権　公表権、氏名表示権、同一性保持権

– 著作財産権　複製権、上演権、公衆送信権、口述権など

第 6 章 > 3. 知的財産を守る法律


2 ）不正競争防止法

• トレードシークレットを保護することが目的

– トレードシークレット著作権や商標権では保護されない、企業の重要な情報であるノウハウや営業秘密等

• 第三者がトレードシークレットを不正入手したり、不正使用することに対し、差止請求権、損害賠償請求権が認められる

第 6 章 > 3. 知的財産を守る法律


4. 迷惑メール関連法

• 2002 年 7 月 1 日に施行された次の 2 つの法律を迷惑メール関連法という

– 特定商取引に関する法律の改正– 特定電子メールの送信の適正化等に関する法律

• 迷惑メール（スパムメール）の規制が目的• 規定違反のメールを受信した際の連絡先

– （財）日本データ通信協会（ http://www.dekyo.or.jp ）

– （財）日本産業協会　（ http://www.nissankyo.or.jp ）

　　　

第 6 章


5. 情報セキュリティ関連制度

1 ） ISMS適合性評価制度2 ） IT セキュリティ評価及び認証制度3 ）プライバシーマーク制度4 ）情報セキュリティ監査制度5 ）コンピュータウイルス及び不正アクセ

スに関する届出制度6 ）脆弱性関連情報に関する届出制度

第 6 章


1 ） ISMS 適合性評価制度

• 組織の情報セキュリティマネジメントシステム（ ISMS ）が基準に適合しているかどうかを第三者機関が客観的に評価する制度　

• 認証基準は、 JIS Q 27001(ISO/IEC 27001) （読本 p.104 参照）

第 6 章 > 5. 情報セキュリティ関連制度

参考）　 ISMS 適合性評価制度　　　　　 http://www.isms.jipdec.jp/


2 ） IT セキュリティ評価及び認証制度• ISO/IEC 15408 に基づき、セキュリティ製品

やシステムを評価・認証する制度– 認証機関は IPA


参考） IT セキュリティ評価及び認証制度 http://www.ipa.go.jp/security/jisec

認証機関


3 ）プライバシーマーク制度

• 個人情報保護の取り組みが適切であると認められた事業者に、それを認定するプライバシーマークの使用を許可する制度

• 「 JIS Q 15001 個人情報保護に関するマネジメントシステムー要求事項」に適合しているかどうかを検証　


参考）　プライバシーマーク制度　　　　　 http://privacymark.jp/


4 ）情報セキュリティ監査制度

• 監査人が、組織の情報セキュリティ対策の状況を客観的に検証・評価し、保証及び助言を行う制度

• 情報セキュリティ管理基準と情報セキュリティ監査基準が策定されている

• 情報セキュリティ監査サービスを行う企業等を登録する情報セキュリティ監査企業台帳がある


参考）情報セキュリティ監査制度　　　　 http://www.meti.go.jp/policy/netsecurity/audit.htm 　


5 ）コンピュータウイルス及び不正アクセスに関する届出制度

• コンピュータや不正アクセスの届出を受け付ける制度

• コンピュータウイルス対策基準およびコンピュータ不正アクセス対策基準に基づく（経済産業省制定）

• 届出の受付機関として IPA が指定されている


参考）ウイルスの届出　　　　 http://www.ipa.go.jp/security/outline/todokede-j.html 　　　　　不正アクセスの届出　　　　 http://www.ipa.go.jp/security/ciadr/


6 ）脆弱性関連情報に関する届出制度

• ソフトウェア製品や Web アプリケーションの脆弱性に関する情報の届出を受け付ける制度

• ソフトウェア等脆弱性関連情報取扱基準に基づく（経済産業省制定）

• 届出の受付機関として IPA が指定されている• 調整機関として JPCERT/CC が指定されてい

る


参考）脆弱性関連情報の届出　　　　http://www.ipa.go.jp/security/vuln/report/ 　


本資料の利用条件1. 著作権は独立行政法人情報処理推進機構に帰属します。

著作物として著作権法により保護されております。

2. 本資料は、企業内での社員教育、学校での授業、各種セミナーや研修などでご使用下さい。セキュリティ専門家を社外から招き、本資料を使用して企業内のセキュリティ教育を行う際にお使いいただいても結構です。

3. 営利目的の使用はご遠慮下さい。

4. 授業や研修等で使用する際に、本資料を一部割愛したり、必要に応じて追加する等のカスタマイズは行っていただいて結構です。

5. 本資料を掲載する場合は、外部からアクセスできないイントラネット内のサーバとしてください。外部よりアクセスできる WEB サイトへの掲載はご遠慮下さい。　

6. 上の使用条件の範囲内でのご使用であれば、本資料に限り当機構からの使用許諾を取得する必要はありません。なお、参考までに、 [email protected] まで以下をお知らせ下さい。　・使用する方もしくは組織の名称　・使用目的　・教育への参加人数

7. ご質問、ご要望等は、 [email protected] までお知らせ下さい。

情報セキュリティ読本 - it 時代の危機管理入門 -

Documents