多様化するセキュリティ基準とその背景、 及びギャップ分析 …...iso/iec...
TRANSCRIPT
多様化するセキュリティ基準とその背景、
及びギャップ分析の事例について
大崎人士
産業技術総合研究所
サイバーフィジカルセキュリティ研究グループ
基準文書の分析技術
電磁波に耐えるマイコン技術
IoT機器の漏洩電磁波を解析する技術
組織や機器等、システムが満たすべき要件の分析や検証を支援する技術を開発します。
電磁波やパルス電流等のノイズにより、マイコンに発生した異常を高速に回復する技術を開発します。
フィールドで使用する機器の、漏洩(ろうえい)電磁波を解析する技術を開発します。
背景
多様化するサイバーセキュリティガイドライン
(米国)サイバーセキュリティ基準に関する法案提出
続々と発表されるサイバーセキュリティ問題に影響を受けて、アメリカの
両党代表は行政機関が購入するインターネットにつながっているデバイ
ス(IoTデバイス)に対して最低限のサイバーセキュリティ運用基準を策
定する法案を提案。 【2017.8.3】
近年のデータの詐取や政府の不安定化などを狙うサイバー攻撃、サイ
バーセキュリティー・インシデントの増加と、それに伴う経済的影響への
懸念を背景に、EUサイバーセキュリティー庁の設置、および欧州サイ
バーセキュリティー認証制度の導入を検討すると発表。 【2017.9.19】
(欧州)サイバーセキュリティ・パッケージを発表
背景
各国のサイバーセキュリティ基準への適合を求める外圧
セキュリティ要件(数百~数千件)
要件1 □ □ □要件2 □ □ □要件3 □ □ □
……
国際基準、国内基準
管理策
管理策1詳細管理策
詳細管理策
管理策2 詳細管理策
管理策3
詳細管理策
詳細管理策
人手では、照合困難
適合性の確認作業は高コスト
要件1 ×
×
要件2 ×
要件3 ×
× ×
×
特徴ベクトル空間
仕様
グループ1要件1
要件2グループ2
要件3
グループ3要件□
グループ△ 要件□
自動生成された階層木
仕様
基本要件1 要件1
要件2基本要件2
要件3
基本要件△要件□□
要件□□
体系化された要件
構造化編集
分析
セキュリティ要件(数百~数千件)
要件1 □ □ □要件2 □ □ □要件3 □ □ □
……
国際基準、国内基準
管理策
管理策1詳細管理策
詳細管理策
管理策2 詳細管理策
管理策3
詳細管理策
詳細管理策
正規化 比較
要件分析の自動化
照合
TACTの基本機能と用途
自動階層化
要件
要件
要件
要件
要件
要件
要件
要件
要件1.1
要件1.2
要件3.1
要件8.1
自動分類要件
要件
要件
要件
要件
基本機能
用途
基準の作成 基準の検証 文書の分類 文書の比較
… … …
(c) AIST, 2017
文書セルの一覧(薄青部分) 構造化された文書セル
機能① 自動階層化
分析結果表示・編集エリア
全体表示エリア
(c) AIST, 2017
(c) AIST, 2017
既存構造 既存構造にあわせて文書セルを分類配置
機能② 自動分類
ルート
カテゴリ1 副カテゴリ1.1
副カテゴリ1.2カテゴリ2
副カテゴリ2.1カテゴリ3
副カテゴリ○カテゴリ△
副カテゴリ△
文書セルの一覧
要件分析支援ツール
特徴ベクトル空間 自動生成された階層木
要件1 ×
×要件2 ×要件3 ×
× ××
仕様案
グループ1要件1
要件2
グループ2 要件3
グループ3 要件□
グループ△ 要件□
構造化
体系化された要件
分析
編集
自動処理
手動編集
管理策
管理策1詳細管理策
詳細管理策
管理策2詳細管理策
詳細管理策
管理策3 詳細管理策
国際基準
国内基準
社内基準
セキュリティ要件(数百~数千件)要件1 ☐☐☐…要件2 ☐☐☐…要件3 ☐☐☐…
・・・
国際基準
国内基準
社内基準
突 合
人手では多大なコスト
正規化して配置
トレーサビリティ管理
人の手で検証可能
仕様
基本要件1要件1
要件2
基本要件2 要件3
基本要件3 要件□□
基本要件△ 要件□□
TACTによる要件分析の流れ
情報セキュリティマネジメント基準
事業者のセキュリティ方針 事業者のセキュリティ規定
抽象度:高(概念的)
抽象度:低(具体的)
対策重視マネジメント
重視
米国サイバーセキュリティフレームワーク(CSF)
米国SP800-53
米国SP800-171
ISO/IEC 27001
ISO/IEC 27002
ISO/IEC 27017
情報セキュリティマネジメント基準
2000 2002 2004 2006 2008 2010 2012 2013 2014201120092007200520032001 2015
サ イ バ ー セキュリティ戦略
セキュア・ジャパン2006
第1次情報セキュリティ基本計画 第2次情報セキュリティ基本計画
国民を守る情報セキュリティ戦略
基本計画
年度計画
情報セキュリティ政策会議設置(2005)
情報システム安全対策実施事業所認定制度 (安対制度)2001.3末廃止
ISO/IEC 27017:2015
ISO/IEC 17799:2000
ISO/IEC 17799:2005
ISO/IEC 27002:2013
JIS Q 27002:2006
JIS Q 27002:2014
ISO/IEC 27001:2005
ISO/IEC 27001:2013
BS 7799:1995
BS 7799-1:1998
JIS Q 27001:2014
BS 7799-2:1998
JIS Q 27001:2006
クラウドサービス利用のための情報セキュリティマネジメントガイドライン初版 (2011)
高度情報化社会における情報システム・ソフトウェアの信頼性及びセキュリティに関する研究会(2008)
「ISMS適合性評価制度」と情報セキュリティ管理体制規格
「情報セキュリティ監査制度」と情報セキュリティ管理規格
クラウド利用者のための情報セキュリティ管理方針と監査制度
凡例 成果物 制度又は事業規格
「情報処理サービス業情報システム安全対策実施事業所認定規定」にもとづき、情報処理サービス
業における情報システムに関する安全対策の実施の促進と情報化の健全な発展を図るための制度。
情報処理サービスを行う事業所が対象で、安全対策の設備と運用を審査・認定する。更新は3年毎。
情報システム安全対策実施事業所認定制度 1981年7月20日告示
BS 7799-2:2002
移行
英国規格協会(BSI)により1995年に規定された情報セキュリティのマネージメントシステム(管理体制)に関する英国規格
「情報セキュリティ管理に関する国際的なスタンダードの導入および情報処理サービス業情報システム安全対策実施事業所認定制度の改革」公表
JIS X 5080:2002
ISO/IEC 27002:2005
(2012.8)
(2014.3)
(2009.2)
2016 2017
付録リスクとコントロールの整理
ISMS認証基準 V1.0
ISMS認証基準 V2.0
ISMS 適 合 性評 価 制 度パイロット事業
ISMS適合性評価制度(2002.4-)
情報セキュリティ管理基準V2.0
情報セキュリティ管理基準V1.0
情報セキュリティ監査制度
クラウド情報セキュリティ監査制度
クラウド情報セキュリ テ ィ 管 理 基 準
クラウド情報セキュリティ管理基準利用ガイド クラウド情報セ
キュリティ監査パイロット事業
クラウドサービス利用のための情報セキュリティマネジメントガイドライン 改訂版
クラウドセキュリティガイドライン活用ガイドブック
JIS Q 27017:2016
セキュア・ジャパン2007
セキュア・ジャパン2008
セキュア・ジャパン2009
情報セキュリティ2010
情報セキュリティ2011
情報セキュリティ2012
サイバーセキュリティ2013
サイバーセキュリティ2014
サイバーセキュリティ2015
サイバーセキュリティ2016
サイバーセキュリティ戦略(旧)
我が国の情報セキュリティ管理制度・監査制度の設置経緯
※閣議決定により策定
(2003.4)
(2003.4)
(2001.4) (2002.4)
(2015.1-)
ISO/IEC27001
ISO/IEC27002
NISTSP800-171
基準文書のギャップ分析
ギャップ
ISO/IEC27001
ISO/IEC27002
実施の手引
NISTSP800-171
基準文書のギャップ分析
ギャップ
重要データの取扱 情報セキュリティリスクの管理
NISTSP800-53
ISO/IEC27001
ISO/IEC27002
実施の手引
NISTSP800-171
要件109件
要件114件
管理策114件
(詳細管理策)276件 →1073件に分割
基準文書のギャップ分析
NISTSP800-53
ギャップ
重要データの取扱 情報セキュリティリスクの管理
26件 59件
(管理策カタログ)1185件
3.3 監査と説明責任
3.2 意識向上と訓練
3.5 識別と認証
3.4 構成管理
3.7 メンテナンス
3.6 インシデント対応
3.9 要員のセキュリティ
3.10 物理的保護
3.8 記憶媒体の保護
3.11 リスク評価
3.14 システムと情報の完全性
3.12 セキュリティ評価
3.13 システムと通信の保護
「3.14.6システムの監視」「3.14.7不正使用の特定」に対応なし
「3.13.3アプリケーションパーティショニング」「3.13.4共有資源内の保護」「3.13.6境界保護」「3.13.7遠隔装置へのトンネル禁止」「3.13.13モバイルコード」「3.13.14VoIP」「3.13.15セッションの真正性」に対応なし
「3.6.3インシデント対応試験」に対応する基準なし
「3.5.3多要素認証」「3.5.4リプレイ耐性」「3.5.6識別子の無効化」「3.5.9恒久パスワードの変更」に対応なし
3.1 アクセス制御
「3.1.5セキュリティ機能へのアクセス」「3.1.6非セキュリティ機能への非特権アクセス」「3.1.7非特権ユーザーの特権機能の実行禁止」「3.1.11セッション終結」に対応なし
「3.2.3セキュリティ意識向上訓練」に対応なし
「3.3.7信頼できるタイムソース」「3.3.8及び3.3.9監査情報の保護」に対応なし
「3.4.1ベースライン構成」「3.4.7最小機能構成」に対応なし
「3.7.4メンテナンスツール」「3.7.5非ローカルメンテナンス」「3.7.6メンテナンス要員」に対応なし
SP800-171 から見た ISO/IEC27001と27002
NIST SP800-171
米国基準
27001-7.5、9.2、9.3、10
27001-6.1
27001-4、5.3、6.2
27001-8
27002-6.1、7、12.1、他に12.2、13.2、14.1、18.1
27002-12.4、12.7、16.1、18.1、18.2
27002-8、12、14、他に9.2、9.4
27002-9
27002-16、他に6.1、7.2
27002-11.2
27002-8、他に11.2、12.3、17.1、18.1
27002-7、8.1、他に9.2
27002-11、他に6.2、13.2
27002-12.6
27002-13、14、他に8.2、10.1、18.1
27002-6.1、12.2、12.6、14.2
27002-9、他に6.1、6.2、10.1、11.2、
13.1、13.2、14.1、18.1
ISO/IEC27001,27002
国際基準
27002-14.2、18.2、他に6.1、12.6
開示しない
6 計画6.1 リスク及び機会に対処する活動6.2 情報セキュリティ目的及びそれを達成するための計画策定
4 組織の状況4.1 組織及びその状況の理解4.2 利害関係者のニーズ及び期待の理解4.3 情報セキュリティマネジメントシステムの適用範囲の決定4.4 情報セキュリティマネジメントシステム
ISO/IEC27001,27002
国際基準
ISO/IEC27001と27002 から見た SP800-171
5 リーダーシップ5.3 組織の役割、責任及び権限5.1 リーダーシップ及びコミットメント、5.2 方針
7 支援7.5 文書化した情報7.1 資源、7.2 力量、7.3 認識、7.4 コミュニケーション
8 運用8.1 運用の計画及び管理8.2 情報セキュリティリスクアセスメント8.3 情報セキュリティリスク対応
9 パフォーマンス評価9.1 監視、測定、分析及び評価9.2 内部監査9.3 マネジメントレビュー
10 改善10.1 不適合及び是正処置10.2 継続的改善
5 情報セキュリティのための方針群
6 情報セキュリティのための組織
7 人的資源のセキュリティ
8 資産の管理
9 アクセス制御
10 暗号
11 物理的及び環境的セキュリティ
12 運用のセキュリティ
13 通信のセキュリティ
14 システムの取得、開発及び保守
15 供給者関係
16 情報セキュリティインシデント管理
17 事業継続マネジメントにおける情報セキュリティの側面
18 順守
ISO/IEC
27001ISO
/IEC 27002
3.12.1 セキュリティ評価、3.12.2 実施計画と中間目標3.12.4 システムセキュリティ計画
3.3.1 システム監査記録の作成、保護及び保持3.3.3 監査事象(見直しと更新) 3.3.4 監査処理失敗への対応3.3.5 監査記録の点検、分析、報告プロセスの関連付け3.3.6 監査情報の集約及び報告書の生成
3.14.1 欠陥の改善3.14.3 セキュリティ警報、注意報、および指令
セキュリティ評価
3.11.1 リスク評価
リスク評価
監査と説明責任
システムと情報の完全性
対応なし
対応なし
3.2、3.9 要員のセキュリティ
3.4 構成管理
3.1、3.2、3.4、3.5 識別と認証、3.9
3.1、3.13 システムと通信の保護
3.8 記憶媒体の保護、3.10 物理的保護
3.2、3.3 監査と説明責任、3.4、3.8、3.11 リスク評価、3.12、3.14
3.1 アクセス制御、3.2 意識向上と訓練、 3.10 物理的保護、3.13 システムと通信の保護
3.1、3.2、3.4、3.12 セキュリティ評価、3.13、3.14 システムと情報の完全性
3.3 監査と説明責任、3.6 インシデント対応、
3.8 記憶媒体の保護
3.1 アクセス制御、3.2 意識向上と訓練、3.3、3.8、3.12 セキュリティ評価、3.13
部分的に対応あり
NIST SP800-171
米国基準
部分的に対応あり
3.1 アクセス制御、3.2 意識向上と訓練、3.6 インシデント対応、3.10 物理的保護、3.12 セキュリティ評価、3.14 システムと情報の完全性
開示しない
