The Journey to Stars〜未知への探求〜

好奇心の赴くままに。学んだことを中心に書いています。

<セキュリティ#8>セキュリティ関連規格・評価制度

f:id:yamaiririy:20210729171554p:plain


 

セキュリティ関連の規格は試験にも頻出ですし、


覚えておいてお客様に

「ああ、XXXではこのように定義されていますよね」

ってさらっと言えるとカッコ良いです。

 

 
ISO系

ISO/IEC 13335

ITセキュリティ・マネジメントに関する規格。

リスク分析について詳細に記載されているのが特徴。 

 

ISO/IEC 14516

電子認証、電子公証、タイムスタンプ、暗号機能の鍵管理などの、信頼できるサードパーティによるサービスの提供と運用に関するガイダンス。

 

ISO/IEC 15408 

セキュリティ関連の製品の適切性を評価するための規格。

Common Criteriaが元になっている。

 

 

この基準に基づいて第三者機関が評価する

「ITセキュリティ評価及び認証制度JISEC」 

IPAにより運営されている。

www.ipa.go.jp

 

 

ISO/IEC 17799

セキュリティマネジメントの実践のための国際標準。

ISMSの基盤となっている。

対応する国内規格はJIS X5080。

https://isms.jp/doc/ismsFAQ-V5.pdf

   

JIS系(Japanese Industrial Standards)

日本工業標準調査会(Japanese Industrial Standards Committee:JISC)がJISの制定・快晴・確認・廃止を行う

JIS Q 0073:2010

リスクマネジメントに関する規格。

JISQ0073:2010 リスクマネジメント-用語

 

JIS Q 9001

品質マネジメントに関する規格。

国際規格はISO9001。

 

JIS Q 14001

環境マネジメントに関する規格。

対応する国際規格はISO 14001。

※上場企業では80%が取得しているようです。

日本国内で認証件数は25,000を超えて今は申請件数は落ち着いているようですが、覚えておきたい規格の1つですね。

https://www.env.go.jp/policy/j-hiroba/kigyo/h25/gaiyo.pdf

insights.tuv.com

 

JIS Q 15001

個人情報を適切に保護するための規格。
プライバシーマークの認定基準でもある。

※近年収集できる個人情報の多さから個人情報保護が着目されています。個人情報保護法の改正もありましたし覚えておきたい規格の1つです。

upfsecurity.co.jp

 

JIS Q 27000

サービスマネジメントシステムのシステムの仕様を定めた規格

【JIS改正案内】「JIS Q 20000-1 情報技術-サービスマネジメント-第1部:サービスマネジメントシステム要求事項」が改正!|一般財団法人日本規格協会のプレスリリース

※この中でインシデントとは「サービスに対する計画外の中断、サービスの品質の低下、又は顧客へのサービスにまだ影響していない事象」と定義されている

平成28年秋期問42 インシデントに該当するもの|情報セキュリティマネジメント試験.com

 

情報セキュリティの要素も定義されています⬇︎

konomamaowaru.hatenablog.jp

JIS Q 27001:2006

ISMSを確立し、導入・運用・レビュー・維持・および改善を行うための要求事項を規定するJIS規格

平成22年春期問80 ISMSの確立に必要な事項|基本情報技術者試験.com

  

JIS Q 27002

組織の情報セキュリティマネジメントシステムの仕様を定めた規格。

https://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf

  

JIS Q 27017:2016★

JISQ27002をベースに、

クラウドサービスの提供及び利用のセキュリティ管理策の指針を定めた規格。

 

JIS Q 31000:2019

リスクマネジメントに関する国内規格。

本規格ではリスクアセスメントは、

リスク特定>リスク分析>リスク評価

のプロセスに従い、進めると定義されている。

https://www.ms-ins.com/pdf/business/rm/rmplan.pdf

 
JISX5070-1:2011

セキュリティ関連の製品の適切性を評価するためのJIS規格。

国際規格はISO/IEC 15408。

 

JIS X 5731

XML文書の暗号化とディジタル署名関連の規格。

ITU-T X.509に対応している。

 

その他 

FIPS( Federal Information Processing Standards)

アメリカ国立標準技術研究所 (NIST) が発行している、連邦政府用のコンピューター・システム用の標準規格のこと。

 

FIPS 140-2

暗号モジュールのためのセキュリティ要件の規定。

平成22年秋期問3 FIPS 140-2を説明したものはどれか|情報処理安全確保支援士.com

RFC

RFCとは、インターネット技術の標準化などを行うIETF(Internet Engineering Task Force)が発行している、技術仕様などについての文書群。TCP/IP関連のプロトコル(通信規約)の標準仕様などが記されたもので、インターネット上で公開されており誰でも入手・閲覧することができる。

RFC(Request For Comments)とは - IT用語辞典 e-Words

JCMVP(Japan Cryptographic Module Validation Program

ハードウェア、ソフトウェア等から構成される暗号モジュールの、暗号化機能、ハッシュ機能、署名機能等のセキュリティ機能が正しく機能するかどうかを客観的に評価するための認証制度。

www.ipa.go.jp

 

 

ISMAP

2021年に運用が開始された、内閣サイバーセキュリティセンター・情報通信技術(IT)総合戦略室・総務省経済産業省が運営する、政府情報システムのためのセキュリティ安全性の評価制度。

www.pwc.com

認証を受けたクラウドサービスも発表されました⬇︎

www.ismap.go.jp

 

 

デファクトスタンダード

公的な標準化機関からの認証があるわけではないが、事実上業界の標準となった規格。

※規格ではないのですが、試験に出ることがあるので載せました。

 

 

********

試験に出るところを中心に書いてみました。

セキスペ や情報セキュリティマネジメント試験に受かる、というだけなら、午前問題は過去問と同じものが出る傾向が強いので、過去問を何度も解いて、回答を覚える、というのもアリだと思います。

 

余力があったらISOとJISの対応表を作りたいと思います。。。