本連載も3回目となった。今回は、情報セキュリティ対策に関する現在の世界的な標準化動向について述べる。
独自には解決できないネットワーク時代のセキュリティ問題
言うまでもなく、情報システムを適切に運用管理していくことは各組織にとって非常に重要である。そして、このための重要な部分をなすのがセキュリティ対策だ。ただし、各企業・組織の情報システムやネットワークがインターネットで結ばれた現在では、そうした対策を個別に講じていても充分な効力が得られない。手短にいうと、これが標準化を促す動機である。
セキュリティ対策に関して各種のガイドラインが定められることで、各組織・企業で抱える疑問、たとえば「情報セキュリティ対策を漏れなく行うには、何をやればいいのか?」「情報セキュリティ対策にはどんな事項があるのか?」「どれくらいやればいいのか?」「他組織はどうしているのか?」等々の疑問が解消される。そうしてまた、自社の情報システムについて充分な対策を講じているかどうかを標準に照らして正当に評価できるだけでなく、取引関係のあるベンダーやパートナー企業のシステムについても正しい評価をくだせるのだ。
国際標準制定に関わる歴史的経緯
さて、ここで少し、情報セキュリティ対策の標準化がこれまでたどってきた経緯についてみてみよう。いささか退屈な事柄かもしれないが、現存する各標準がどういった位置づけにあるものかを理解するために必要な事柄でもあるので、しばらくお付き合い願いたい。
標準化の動きについては、十数年前から欧米の一部で独自の基準に基づいて行われてきた。そこで、OECD(経済協力開発機構)では、1992年11月にセキュリティのための9原則を示し、セキュリティガイドラインを策定。この9原則とは、(1)責任 (2)認識 (3)倫理 (4)多面的統制 (5)均衡 (6)統合(7)適時性(8)再評価(9)民主性だが、これがその後のOECD加盟国におけるセキュリティ施策の指針となり、その後何度かの見直しを経ながら今日に至っている。また今後に関しては、継続的な啓蒙活動の必要を認識し、セキュリティ訓練や教育の充実、情報セキュリティインシデントへの対応、ならび情報提供を行うCERC(Computer Emergency Response Center)の充実を共通の課題としている。
いっぽう、1997年3月には、OECDの暗号政策ガイドラインが採択された。これは(1)暗号の使用を推進する(2)電子商取引を展開する(3)ネットワークに対するユーザからの信頼を高める(4)データの機密保護とプライバシーの保護を提供する、という4項目 を目的としており、以下8つの指針から構成されている。
これはあくまでもガイドラインであるため、拘束力を持つわけではない。だが、ネットワークをはじめとしたITの発展や、国際取引の進展のためには、OECD加盟国がこのガイドラインを尊重することが欠かせない。そこで、各国は自らの施策にこれを反映させることが重要となった。
さらに、最近の技術革新の進歩は目覚しいものがあり、従来の国際標準化の枠組みでは対応が困難になりつつある。その代表例がデファクト標準で、特定の企業が開発した技術が、実質的な国際標準となっている。これに対して、ISO/IECではデファクト標準をPAS(Public Available Specification)として国際規格化するメカニズムを検討し、現在試行中である。
日本国内の動向について
日本でも、上記のような国際的動向に合わせて、まず1992年に日本電子工業振興協会(JEIDA)が、欧米におけるセキュリティ評価CC(Common Criteria)第1版に基づいたセキュリティ基本要件が記されているPP(Protection Profile)を日本版として公示した(1997年には第2版公示)。その後は、情報処理振興事業協会(IPA)がJEIDAのこの活動を引継ぎ、1998年にCCTF(Common Criteria Task Force)を立ち上げた。CCTFは、評価技術の開発や実証実験などを通じた、セキュリティ評価技術の確立などを目的に活動している。また、セキュリティ評価制度の確立を図り、同時に国際的な相互承認の枠組みへの参加を目指してもいる。
このほか、国際標準化機構/国際電気標準会議(ISO/IEC)では、その標準的基準を提供する目的から,1999年6月にセキュリティ関連製品の基準を評価するISO/IEC15408を制定した。これを受けて、我が国でも、ISO/IEC15408のJIS化を行い、現在JIS X5070としてなっている。
さらに、政府内部においてもセキュリティ水準の高い製品や技術を利用することが推進されており、特に政府調達におけるセキュリティ評価基準(ISO/IEC15408)の導入が検討され,2002年12月にITセキュリティ評価・認定制度が施された。また、このための評価機関として「社団法人電子情報技術産業協会ITセキュリティセンター」「電子商取引安全技術研究組合研究所」が発足した。
政府の情報セキュリティに対する取り組みは、今年に入っても積極的な動きを見せている。代表例としては「e-Japan重点計画」のなかに「情報セキュリティ評価・認証事業の実施」が組み込まれた。これはIT製品・情報セキュリティ関連の国際規格ISO/IEC15408に基づいたものである。また、2001年11月には経済産業省で、運用管理におけるセキュリティ対策として「情報セキュリティマネジメントシステム(ISMS)適合評価制度」の導入が開始された。
このように、「情報」を守るための基準や制度がいろいろなところで検討され、またその実運用が開始されている。
いささか遠回りした感もあるが、次回はいよいよセキュリティマネジメントについてのさまざま具体的対策を取り上げる。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
データ活用は次のステージへ
トラディショナルからモダンへ進化するBI
未来への挑戦の成功はデータとともにある
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
