情報処理安全確保支援士の勉強 情報セキュリティに関する規格と制度
昨日の勉強記録
教科書 42ページ
昨日は久しぶりに家で勉強をした。が、テレビを見ながらだったので効率が悪い気がした。また、もうすぐ教科書の1周目が終わるので午前2の過去問を全然やらなかった。しかし、ようやく教科書が1周目終わる。正直どこが重要なのかよく分からない。ぶっちゃけ試験に殆ど問われない内容だと思う。まぁ、スペシャリストとして恥じない知識を得るために頑張ろうと思う。
教科書の内容は、
情報セキュリティおよびITサービスに関する規格と制度
個人情報保護及びマイナンバーに関する法律と制度について読んだ。
■情報セキュリティおよびITサービスに関する規格と制度
ここで取り上げられた規格は以下があった。
・ISO/IEC15408
・CMMI
・PCI DSS
・ISO/IEC20000
・ITL
順番に概要を振り返る。
●ISO/IEC15408
IT関連製品や情報システムのセキュリティレベルを評価するための国際規格。
概説と一般モデル、セキュリティ機能要件、セキュリティ保証要件の3パートから構成されている。
Part1 概説と一般モデル
セキュリティ基本設計書(ST)を作成する事を規定している。
STは評価対象となる個々の製品ごとに作成される。
同一分野の製品で共通して使用可能な共通仕様書としてセキュリティ要求仕様書(PP)がある。
STにて、PPに準拠する事を記載する事で記述を省略できる。
Part2 セキュリティ機能要件
製品やシステムに対して、セキュリティ対策して実装すべき機能に関する要件が11項目ある
・セキュリティ監査
・通信
・暗号サポート
・利用者データ保護
・識別と認証
・セキュリティ管理
・プライバシー
・TSFの保護
・資源利用
・TOEアクセス
・高信頼パス/チャンネル
Part3 セキュリティ保証要件
セキュリティ要件が正しく実装されていることを保証するための要件が8項目ある。
・プロテクションプロファイル評価
・セキュリティターゲット評価
・開発(STに記載された機能が正しく実装にブレークダウンされているか?)
・ガイダンス文書(開発者により提供されるマニュアルに関する要件)
・ライフサイクルサポート(TOE開発と保守における手順のルールと制御の要件)
・テスト(セキュリティ要件を満たすことを保証するテストに関する要件)
・脆弱性評定
・結合
※TOE 評価対象
また、Part3ではEALと呼ばれる7段階の評価保証レベルを規定している。
・EAL1 機能テスト
・EAL2 構造化テスト
・EAL3 方式的テスト、チェック
・EAL4 方式設計、テスト、レビュー
・EAL5 準形式的設計、テスト
・EAL6 準形式的検証済み設計、テスト
・EAL7 形式的検証済み設計、テスト
●CMMI
成熟度モデル。システム開発を行う組織がプロセス改善を行うためのガイドライン。
CMMIでは組織の成熟度や能力を評価するためのモデルが2つある。
・段階表現(成熟レベル)
段階的にプロセス改善に取り組むことを前提としたモデル。
複数プロセス領域に渡って、組織を構成する部署やプロジェクトを評価する場合に用いられる
・連続表現(能力レベル)
能力レベルで表すモデル。
個々のプロセス領域での組織プロセス改善の達成度を評価する際に用いられる
●PCI DSS
クレジットカード情報や取引情報の保護を目的として策定したセキュリティ基準。
PCI DSSの要件は以下に示すような、具体的な内容が示されているが特徴となっている
・ファイヤーウォールやルーターのルールセットは少なくても6か月ごとにレビューされる必要がある
・監査証跡の履歴は少なくとも1年間保持する。少なくても3か月はすぐに分析できる状態にする
・ベンダ提供の重要セキュリティパッチは、リリース後1か月以内にインストールする
●ISOIEC20000
IT関連サービスを提供する組織が顧客の求める品質を確保し、維持改善するための要求事項
●ITIL
ITサービスマネジメントにおける業務プロセスや管理手法を体系的に整理した書籍群。
■個人情報保護及びマイナンバーに関する法律と制度
ここでは、個人情報保護とマイナンバー、プライバシーマークについて説明がなされていた。
●個人情報保護
個人情報とはそれ単体もしくは組み合わせによって個人を特定できる情報を表す。
個人情報保護の基本的考えは、
別の人に渡ったり、間違った方法で使われたり、内容が勝手に変えられないように適切に管理する事である。
●マイナンバー
正式名称は「行政手続きにおける特定の個人を識別するための番号の利用などに関する法律」という。
マイナンバー法は行政の効率化や公正な給付と負担を実現し、
手続きの簡素化による国民の負担軽減を図る事を目的としている。
●プライバシーマーク
民間企業における個人情報保護措置の実践を促し、
それを適切に行っている事業者に対するインセンティブを与えることを目的とする。
個人情報を事業に活用する事を目的として保有している事業者が、
JISQ15001に準じたマネジメントシステムを構築して運用している事を第3者機関が客観的に評価し、
その証明としてロゴマークの使用を許可する