第3回 標準化へ向けたセキュリティ対策の動き

内山亮二(富士総合研究所)2003年04月23日 01時00分
特集

基礎から分かる 情報セキュリティマネジメントの記事一覧はこちら

 本連載も3回目となった。今回は、情報セキュリティ対策に関する現在の世界的な標準化動向について述べる。

独自には解決できないネットワーク時代のセキュリティ問題

 言うまでもなく、情報システムを適切に運用管理していくことは各組織にとって非常に重要である。そして、このための重要な部分をなすのがセキュリティ対策だ。ただし、各企業・組織の情報システムやネットワークがインターネットで結ばれた現在では、そうした対策を個別に講じていても充分な効力が得られない。手短にいうと、これが標準化を促す動機である。

 セキュリティ対策に関して各種のガイドラインが定められることで、各組織・企業で抱える疑問、たとえば「情報セキュリティ対策を漏れなく行うには、何をやればいいのか?」「情報セキュリティ対策にはどんな事項があるのか?」「どれくらいやればいいのか?」「他組織はどうしているのか?」等々の疑問が解消される。そうしてまた、自社の情報システムについて充分な対策を講じているかどうかを標準に照らして正当に評価できるだけでなく、取引関係のあるベンダーやパートナー企業のシステムについても正しい評価をくだせるのだ。

国際標準制定に関わる歴史的経緯

 さて、ここで少し、情報セキュリティ対策の標準化がこれまでたどってきた経緯についてみてみよう。いささか退屈な事柄かもしれないが、現存する各標準がどういった位置づけにあるものかを理解するために必要な事柄でもあるので、しばらくお付き合い願いたい。

 標準化の動きについては、十数年前から欧米の一部で独自の基準に基づいて行われてきた。そこで、OECD(経済協力開発機構)では、1992年11月にセキュリティのための9原則を示し、セキュリティガイドラインを策定。この9原則とは、(1)責任 (2)認識 (3)倫理 (4)多面的統制 (5)均衡 (6)統合(7)適時性(8)再評価(9)民主性だが、これがその後のOECD加盟国におけるセキュリティ施策の指針となり、その後何度かの見直しを経ながら今日に至っている。また今後に関しては、継続的な啓蒙活動の必要を認識し、セキュリティ訓練や教育の充実、情報セキュリティインシデントへの対応、ならび情報提供を行うCERC(Computer Emergency Response Center)の充実を共通の課題としている。

 いっぽう、1997年3月には、OECDの暗号政策ガイドラインが採択された。これは(1)暗号の使用を推進する(2)電子商取引を展開する(3)ネットワークに対するユーザからの信頼を高める(4)データの機密保護とプライバシーの保護を提供する、という4項目 を目的としており、以下8つの指針から構成されている。

1. 信頼性の有る暗号方式
情報通信システムの使用に対する信頼を生み出すため、暗号方式が信頼できるものである
2. 一般利用者の選択の自由
ユーザは適用すべき法律に従って任意の暗号方式を選ぶ権利を持つ
3. 市場主導の暗号方式開発
暗号方式は、個人、企業および政府のニーズ、需要、および責任に応じて開発される
4. 暗号方式の標準化
暗号方式についての技術上の規格、基準、およびプロトコルは、各国および国際のレベルで開発、公表される必要がある
5. 個人のプライバシーの確保
通信の機密および個人データの保護を含む個人のプライバシーに対する基本的権利が、各国の暗号手法方針および暗号方式の具体化と使用において尊重される必要がある
6. 合法的アクセスの行使
各国の暗号手法に関する方針は、暗号化データの普通テキストまたは暗号キーへの合法的アクセスを許可することができる。これらの方針は、ガイドラインに含まれるその他の原則を、可能な限り最大限の範囲で尊重しなくてはならない
7. 暗号利用者やサービスの責任
契約または法律のいずれかによって設定される場合も、暗号手法サービスを提供するか、または暗号キーを保持するか、もしくは暗号キーにアクセスする個人および企業の責任が明確に述べられる必要がある
8. 国際協力
各国政府は、暗号手法方針を調整するために協力する必要がある。この努力の一部として、各国政府は暗号手法方針の名の下で取引に対する正当化されない障害を取り除くか、またはそのような障害を生むことを避ける必要がある

 これはあくまでもガイドラインであるため、拘束力を持つわけではない。だが、ネットワークをはじめとしたITの発展や、国際取引の進展のためには、OECD加盟国がこのガイドラインを尊重することが欠かせない。そこで、各国は自らの施策にこれを反映させることが重要となった。

 さらに、最近の技術革新の進歩は目覚しいものがあり、従来の国際標準化の枠組みでは対応が困難になりつつある。その代表例がデファクト標準で、特定の企業が開発した技術が、実質的な国際標準となっている。これに対して、ISO/IECではデファクト標準をPAS(Public Available Specification)として国際規格化するメカニズムを検討し、現在試行中である。

日本国内の動向について

 日本でも、上記のような国際的動向に合わせて、まず1992年に日本電子工業振興協会(JEIDA)が、欧米におけるセキュリティ評価CC(Common Criteria)第1版に基づいたセキュリティ基本要件が記されているPP(Protection Profile)を日本版として公示した(1997年には第2版公示)。その後は、情報処理振興事業協会(IPA)がJEIDAのこの活動を引継ぎ、1998年にCCTF(Common Criteria Task Force)を立ち上げた。CCTFは、評価技術の開発や実証実験などを通じた、セキュリティ評価技術の確立などを目的に活動している。また、セキュリティ評価制度の確立を図り、同時に国際的な相互承認の枠組みへの参加を目指してもいる。

 このほか、国際標準化機構/国際電気標準会議(ISO/IEC)では、その標準的基準を提供する目的から,1999年6月にセキュリティ関連製品の基準を評価するISO/IEC15408を制定した。これを受けて、我が国でも、ISO/IEC15408のJIS化を行い、現在JIS X5070としてなっている。

 さらに、政府内部においてもセキュリティ水準の高い製品や技術を利用することが推進されており、特に政府調達におけるセキュリティ評価基準(ISO/IEC15408)の導入が検討され,2002年12月にITセキュリティ評価・認定制度が施された。また、このための評価機関として「社団法人電子情報技術産業協会ITセキュリティセンター」「電子商取引安全技術研究組合研究所」が発足した。

 政府の情報セキュリティに対する取り組みは、今年に入っても積極的な動きを見せている。代表例としては「e-Japan重点計画」のなかに「情報セキュリティ評価・認証事業の実施」が組み込まれた。これはIT製品・情報セキュリティ関連の国際規格ISO/IEC15408に基づいたものである。また、2001年11月には経済産業省で、運用管理におけるセキュリティ対策として「情報セキュリティマネジメントシステム(ISMS)適合評価制度」の導入が開始された。
 このように、「情報」を守るための基準や制度がいろいろなところで検討され、またその実運用が開始されている。

 いささか遠回りした感もあるが、次回はいよいよセキュリティマネジメントについてのさまざま具体的対策を取り上げる。

筆者略歴
内山 亮二(ウチヤマ リョウジ)
株式会社富士総合研究所
システム技術本部 生産技術部 技術支援セクション 次長
「セキュリティ対策ガイド」(中央経済社)「ITセキュリティソリューション大系」(共著:フジ・テクノシステム刊)など著書多数

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]