情報セキュリティの技術・関連法規に関すること

情報セキュリティ技術
関連法規

◆情報セキュリティ技術

◎アクセス管理技術
  ・S/Key パスワード
  ・ワンタイム パスワード
◎ウィルス対策技術
◎暗号技術
  ・共通かぎ暗号方式
  ・公開かぎ暗号方式
  ・楕円曲線暗号方式 (Elliptic Curve Cryptosystem)
    楕円曲線で定義される特殊な加算法に基づき暗号化・復号化を行う、
    公開鍵型の暗号方式。効率の良い解読法は未発見。短い鍵で高い
    安全性が確保でき、署名時の計算を高速に行えることから、
    ICカードや組み込み機器など、処理能力の比較的低い機器に適する。

◎認証技術

  ・PPP (Point to Point Protocol)
    リモートアクセスの標準的な手順。以下のユーザ認証プロトコルを持つ。
    (1) PAP (Passwork Authentication Protocol)
        アカウント名とパスワードを平文のまま送信する。
        従って第三者による盗聴の危険性がある。
    (2) CHAP (Challenge-Handshake Authentication Protocol)
        アカウント名とパスワードを以下の手順で暗号化する。
        a. RASサーバがRASクライアントに、接続毎に異なる値を
           送信する。この値のことを「Challenge」と言う。
        b. RASクライアントは、ハッシュ関数を使用して、Challengeと
           パスワードからハッシュ値を求めてRASサーバに送信する。
        c. RASサーバでは、システムに登録されていたパスワードと
           RASクライアントに送信したChallengeからハッシュ値を求める。
        d. 上記 b.とc.の値を比較し、同値であれば認証成功とする。

  ・TACACS+ (Terminal Access Controller Access Control System +)
    ダイアルアップ回線からのPPP接続を受け入れるホスト
    をTACと言う。パスワードを一元管理し高いセキュリティを実現する
    認証プロトコルをTACACSと言い、Cisco Systemsが独自拡張したのがTACACS+。

  ・RADIUS (Remote Access Dail-In User Service)
    リモート・アクセスを受け付けるアクセス・サーバ（RADIUSクライアント）が
    ユーザーの認証情報を格納した認証サーバ（RADIUSサーバ）にユーザ認証を
    依頼する際に使用するプロトコル。認証サーバが格納する様々なユーザ情報
    （例えば割当てるIPアドレスやコールバック番号、課金情報)を取り出す用途
    でも使用することが出来る。
    複数のアクセス・サーバの認証を一元管理できる。

  ・Kerberos
    通信経路上の安全が保障されないインターネット等のネットワークで、
    サーバとクライアントの間で暗号を用いて身元認証を行う方式。
    第三者機関である認証サーバを介してクライアントとターゲット・サーバ
    の間に安全な通信を確立する。以下にその具体的な手順を述べる。




クライアント認証
  
  クライアントが認証サーバ(AS:Authentication Server)にアクセスする。
  
クライアントの身元を確認したら、以下のものをクライアントに返す。

      
      セッション鍵１：クライアントと
          チケット交付サービス(TGS:Ticket Granting Service)の間で使用する。

          返却時はクライアントの鍵を用いて暗号化されている。
      
チケット交付チケット(TGT)：
          チケット交付サービス(TGS)にアクセスするためのチケット。

          認証サーバ(AS)とチケット交付サーバ(TGS)だけが知る
          秘密鍵で暗号化されている。
      
  
クライアントとチケット交付サーバ(TGS)とのやり取り
  
  セッション鍵１、チケット交付チケット(TGT)を用いてチケット交付サーバに
      アクセスして、ターゲット・サーバへのチケットを要求する。
  
チケット交付サーバ(TGS)はクライアントからの情報を復号して内容を確認、
      以下のものをクライアントに返す。
      
      セッション鍵２：
      クライアントとターゲット・サーバの間で使用する。

      返却時はセッション鍵１を用いて暗号化している。
      
チケット：
      クライアント名、有効期限、セッション鍵２等を含む。

      ターゲット・サーバの秘密鍵で暗号化している。
      
  
クライアントとターゲットサーバのやりとり
  
  セッション鍵２、チケットを用いてターゲットサーバにアクセスする。
  
ターゲットサーバはクライアントからの情報を復号して内容を確認、
       双方向認証が必要な場合、サーバが自分の身元を証明するための
       情報をセッション鍵２を用いて暗号化しクライアントに返却する。
  



    以上の手続きにより、ターゲットサーバに対してクライアントが本人であることを証明し、かつ、
    クライアントに対してターゲットサーバが正しく目的のサービスであることを証明する。
    （セッション鍵２は、クライアントとターゲットサーバ２だけに共有されている。)

  ・DCE (Distributed Computing Environment)
    非営利団体OSF(Open Software Foundation)の定義する分散処理環境。
    認証システムとしてKerberosver.4を採用した。

  ・FORTEZZA
    米国政府のセキュリティ標準で、メッセージの機密性、整合性、認証、否認不可性
    およびメッセージ、コンポーネント、システムに対するアクセス制御を提供する
    暗号メカニズムを備えている。

◎暗号応用システム
  ・DES
  ・RSA
  ・SSL
  ・PKI
  ・認証局(CA)
  ・IPSec

目次に戻る

◆関連法規

・知的所有権と著作権法
・プライバシ保護
・情報倫理

◎情報セキュリティ関連法規
  ・不正アクセス禁止法
    不正アクセスの禁止と罰則、再発防止措置が定められている。
    正式名称は「不正アクセス行為の禁止等に関する法律」



不正アクセス禁止法の罰則規定

不正アクセス行為の禁止：１年以下の懲役または５０万円以下の罰金
不正アクセス行為を助長する行為の禁止：３０万円以下の罰金
アクセス管理者による防御措置の努力義務：(罰則は無い)



     * pingやポートスキャンなどで侵入可能なサーバを探す等の
       調査行為自体は処罰の対象にはならない。
     * 不正にアクセスをしようとした段階で処罰の対象となる。
     * 第三者にIDとパスワードを教える、他人のIDとパスワードを使い、
       実際にアクセスを行うなどした段階で処罰の対象となる。
     * 実際に他人のホームページ等を書き換える等の犯罪は、
       不正アクセス禁止法ではなく刑法が適用される。
  ・不正競争防止法
    以下のような、商品の開発や販売に対し、正当な費用を負担せずに
    利益を得ようとする行為を防止する法律。
     * 他人の商品を模倣する
     * 他人の営業上の秘密(トレードシークレット)を不正に入手する
    このような行為で営業上の利益を害された場合には、その行為の
    停止を求めることが出来る。

◎国内標準・国際標準

標準や制度や団体が色々ありますがカテゴリ分けしてザックリ覚えておきましょう。

カテゴリ	母体	標準	日本の標準	日本の制度	日本の運営機関
情報セキュリティマネジメントガイドライン		ISO/IEC TR 13335
情報セキュリティマネジメント実施基準	BS7799	ISO/IEC 17799	JIS X 5080	ISMS	JIPDEC
製品セキュリティ評価基準	CC	ISO/IEC 15408		JISEC	IPA
個人情報保護			JIS Q 15001	プライバシーマーク制度	JIPDEC
第三者認証サービス		ISO/IEC TR 14516

ISO (国際標準化機構:International Organization for Standardization)
"IOS"でないのはギリシャ語で「平等・均等・均質」を意味する「isos」という言葉が起源のため。電気分野を除く工業分野の国際的な標準規格を策定するための民間の非営利団体。
IEC (国際電気標準会議:International Electrotechnical Commission)
IECとISOが双方に関連する分野は、ISO/IEC JTC 1(合同技術委員会)を作り標準化を行っている。
技術文書
IS（International Standard：ISOの正式規格）発行に至るまでの段階において、早急に文書化すべき事項や正式規格にまで至らない事項を ISOにおいて明確に位置付けし、正式文書として発行するもの。以下の種類がある。
1. ISO／PAS (Publicly Available Specification)：一般仕様書
  技術的には合意されたことを示す規範的な文書。
2. ISO／TS (Technical Specification)：技術仕様書
  ＷＧでの合意が得られたことを示す規範的な文書。
3. ISO／TR (Technical Report)：技術報告書
  委員会が幾つかの作業項目の支持の元に情報を集めた場合に発行され得る。
4. ISO／ITA (Industry Technical Agreement)
  指定されたISO会員団体からの管理的サポートをうけて、 ISOの外部の国際workshopで作成された技術文書。

ISMS Information Security Management System
企業や組織が自身の情報セキュリティを確保・維持するために、ルール（セキュリティポリシー）に基づいたセキュリティレベルの設定やリスクアセスメントの実施などを継続的に運用する枠組みのこと。

ISMSをその組織が保持しているかどうかを第三者が認定する制度として「ISMS適合性評価制度」と呼ばれる評価認定制度がある。日本情報処理開発協会（JIPDEC）を中心に2002年より正式運用。 (ISO/IEC17799：2000および BS7799-2：1999に基づく認定制度)
日本のISMS基準Ver2.0はISO27000シリーズに引き継がれ、 2007年11月には移行期間終了となる。
ISO/IEC 27000
情報セキュリティ管理の国際標準規格。旧基準となるISMSとの互換性を確保した上で、 PDCAサイクルの項目が強化され、新技術への適合性を確保している。 ISO 27000は、組織の情報セキュリティマネジメントが適切に実施されていることを第三者機関が審査・認証する制度であり、企業及び組織において、確実なセキュリティ向上が行われていることを保証し、審査・認証する第三者機関は認定機関により認定される。 ISO 27000シリーズは情報セキュリティマネジメントに関する以下の内容から構成される。
- 27000 概要及び用語
- 27001 要求事項
- 27002 実践のための規範
- 27003 導入の手引き
- 27004 管理策の測定(measurement)
- 27005 リスクマネジメント
- 27006 (認定機関に関する要件)
CC Common Criteria
ヨーロッパのITSEC(Infromation Technology Security Evaluation Criteria)や米国のTCSEC(Trusted Computer System Evaluation Criteria:通称オレンジブック) などを統一したもの。 CCV2 (Common Criteria for Information Security Evaluation Version 2)は米、英、仏、独、加、蘭の各国が共同開発したもので、一般企業システムのほか、市場に投入する製品にも適用できるセキュリティの評価基準であり、同時にセキュリティポリシを検討するベースとしても使用できる。
- ＣＣ Version2.3 (2008年度４月に適用不可、CCV3.1適用必須となる)
- ＣＣ Version3.1 (2006年10月より適用)
ISO/IEC TR 13335
ITセキュリティのマネジメント手法を示すガイドライン(手引き書)。通称GMITS(Guidelines for the Management for IT Security) 組織としてのセキュリティ戦略、セキュリティポリシの作成、 情報システムの運用にかかわる人や情報処理機器類の管理に必要な要件を規定したもの。
- Part1: コンセプトとモデル
- Part2: 管理と計画
- Part3: 管理手法
- Part4: セキュリティ対策手法
- Part5: ネットワーク接続のガイドライン
対象は基本的に電子媒体であるが、「ITセキュリティマネジメントは、適切なレベルの機密性、完全性、可用性、責任追跡性、真正性、および信頼性を達成して維持するためのプロセスである」と定義している。
BS7799、 ISO/IEC TR 17799や ISMS認定基準である「機密性、完全性、可用性を維持すること」よりも広範で詳細である。
ISO/IEC TR 14516
信頼性を持つ情報サービス(Trustes Service)に対するセキュリティ管理対策を規定したもの。電子認証、電子公証、タイムスタンプ、暗号機能のかぎ管理などのサービスを提供する「信頼できる第三者」に対する利用と管理の規定。 "Guidelines on the use and management of Trusted Third Party Services" とも呼ばれている。
ISO/IEC 15408
製品のセキュリティ評価基準。CCを元に標準化したもの。
- ＩＳＯ/ＩＥＣ１５４０８：１９９９
  ＝ＣＣ(Common Criteria) Version2.1
  ＝JISX5070(2000年)
- ＩＳＯ/ＩＥＣ１５４０８：２００５
  ＝ＣＣ Version2.3 (2008年度４月に適用不可、CCV3.1適用必須となる)
ＩＴ製品およびシステムのセキュリティ機能が適切に設計され、その設計が正しく実装されているかを第三者が客観的に評価する国際基準。提示されたプロテクションプロファイル（PP）からセキュリティターゲット（ST）を起こさねばならず、その製品に対するセキュリティ要件の実装の確かさを検証するまでに多くの費用がかかり得る。
1. セキュリティシステム構築のアプローチ
2. セキュリティ機能に関する要件
3. セキュリティの保証
セキュリティ水準をＥＡＬと呼ばれる7段階のレベルで保証する。ＥＡＬ(Evaluation Assuarnce Level)１～４は主に民需系、５～７は、主に軍需系に適用される。ＥＡＬは、セキュリティ機能の強さを表わしているのではなく、仕様通りに実装されている確かさを表わすものである。
- (レベル1) 機能テストの保証
- (レベル2) 構造テストの保証
- (レベル3) 系統的テストおよび確認の保証
- (レベル4) 系統的計画、テスト、レビューの保証
- (レベル5) 準形式的設計とテストの保証
- (レベル6) 準形式的な設計の検証とテストの保証
- (レベル7) 形式的な設計の検証およびテストの保証
ISO/IEC 15408 に基づくセキュリティ評価・認証制度は、 IT製品・システムの実装を評価するものであり、日本ではIPA:情報処理推進機構が運営している。 IPAが運営する評価・認証精度をＪＩＳＥＣ Japan Information Technology Security Evaluation and Certification Scheme という。各国で承認したＩＴ製品・システムはＣＣＲＡ Common Criteria Recognized Arrangement の加盟国間では認証を受けたものとして認められる。
情報基盤強化税制では、システム構築において ISO/IEC 15408認証製品を購入した場合、税制控除(10%)、または特別償却(50%)の適用を受けることができる。
ISO/IEC TR 17799
ITセキュリティ管理の実施基準。全社的な情報セキュリティ管理体制構築という観点で記述されている。 BS7799のpart-1がベースになっている。管理分野(10)、管理方針(36)、管理項目(127)に整理。管理の10分野は以下のようになっている。
1. セキュリティポリシ
2. セキュリティ組織
3. 資産の分類と管理
4. 人的セキュリティ
5. 物理的・環境的セキュリティ
6. 通信・運用管理
7. アクセス制御
8. システム開発と保守
9. 事業継続管理
10. 準拠
組織としてのセキュリティポリシの策定やその管理策まで言及しており、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)を管理の主眼としている。一方、ISO/IEC TR 13335(GMITS)では、情報システムに限ってはいるが、更に人の管理を含む責任追求性(Accountability)、真正性(Authenticity)、信頼性(Reliablity)にも言及し、具体的な方法、ガイドを提供している。これらに対し、ISO/IEC 15408は、 IT技術で防げる脅威を対象としており、 IT製品やシステムのセキュリティを評価・保証するレベルを規定している。
JIS Q 15001
個人情報保護に関するコンプライアンス・プログラム本基準に準拠し、個人情報を適切に取り扱うための対策を整備している事業所を認定する「プライバシーマーク制度」がある。 (財)日本情報処理開発協会(JIPDEC)により推進されている。認定、プライバシーマークの付与を受けた事業所はホームページや名刺などにプライバシーマークを利用できるようになり、消費者に安心と信頼感を与えることが出来る。

◎ガイドライン

  ・OECD (Organization for Economic Cooperation and Development : 経済協力開発機構)
    OECD「情報システムのセキュリティのためのガイドライン」
    情報セキュリティの定義として、「機密性、完全性、可用性」を挙げている。
    これら３つは頭文字を取って「CIA」とも呼ばれる。

    OECDの「プライバシー８原則」は個人情報保護、法制化の
    基本となっており、内容は以下のとおり。
      (1) 収集制限の原則
      (2) データの正確性の原則
      (3) 目的明確化の原則
      (4) 利用制限の原則
      (5) 安全保護の原則
      (6) 公開の原則
      (7) 個人参加の原則
      (8) 責任の原則


  ・BS7799 (British Standard 7799)
    BSI（英国規格協会）によって規定される、企業・団体向けの
    情報システムセキュリティ管理のガイドライン。
    特にセキュリティの運用管理に重点が置かれている。
    * BS7799-1 … 情報セキュリティ管理実施基準
      (Code of practice for information security management)
      → ISO/IEC17799として発行
      → リスクマネジメントに基づくコンプライアンスプログラム
    * BS7799-2 … 情報セキュリティ管理システム仕様
      (Specification for information security management)
      → 日本でもISMS（Information Security Management System）
         適合性評価制度として派生


  ・RFC 2196
    インターネット上のサイトのセキュリティポリシに関する
    IETF(Internet Engineering Task Force)のガイドライン

◎日本の情報技術関連機関
   
  ・JIPDEC((財)日本情報処理開発協会: Japan Information Processing DEvelopment Corporation)
    昭和４２年１２月に設立。中立的な公益法人として、
    経済産業省をはじめとする関係政府当局、関係団体、業界団体、企業
    および大学･研究機関と連携して、情報化環境整備の促進事業を行っている。
    主な事業分野は以下の通り。
    * 情報化環境整備の促進
    * 情報信頼性確保の推進 (ex. ISMS適合性評価制度の運用、プライバシーマーク制度の運用)
    * 電子商取引の推進 (ex. PKIの実現と普及)
    * 情報技術開発の促進
    * 情報化人材の育成
   
  ・IPA(情報処理推進機構: Information-technology Promotion Agency, Japan)
    昭和４５年「情報処理の促進に関する法律」に基づいて設立された
    政府関係機関（独立行政法人）。
    経済産業省が告示している「コンピューターウィルス対策基準」と
    「コンピューター不正アクセス対策基準」により、本機関は
    コンピューターウィルスおよび不正アクセス被害の届出機関になっている。
    IPAのセキュリティセンターではCCTF(セキュリティ評価技術タスクフォース)を
    発足させて、「情報技術セキュリティ評価基準(ISO/IEC15408)」に準拠した
    セキュリティ評価技術および認証制度を2004年4月よりJISEC(Japan Information-
    Technology Security Evaluation and Certification Scheme) として発足している。
    また、IPAではITスキル標準の制定、情報処理技術者試験の運営も実施している。

目次に戻る