法律(1)
情報セキュリティ・ITサービスマネジメントに関する規格・制度
ISO/IEC 15408
ISO/IEC 15408とは
情報技術セキュリティの評価基準であり、情報技術の製品及びシステムのセキュリティ特性を評価する基盤として用いるためにCCと称した基準のこと
開発/製造/運用に関わった資材を検査して大丈夫と宣言
検査の対象物候補:
- セキュリティターゲット(セキュリティ脅威分析、装備すべき機能、品質対策など)
- プログラム設計書・ソースコード・オブジェクトコード
- テスト仕様書・脆弱性分析書・マニュアル・運用規則 など
大丈夫さの度合い(検査対象物の範囲とその内容)を評価
CC(Common Criteria)とは
情報技術に関するセキュリティの評価基準
情報技術セキュリティの観点から、情報技術に関連した製品及びシステムが適切に設計され、その設計が正しく実装されていることを評価するための国際標準規格
米国のTCSECやヨーロッパのITSECなど、各地域で独自の基準を統合したもの。1999年にISO/IEC 15408として国際標準化された
欧米等の軍事組織がコンピュータ等のIT製品を調達しようとする際にセキュリティ要件や評価基準が国ごとに異なるため、評価が困難であったため、IT製品等のセキュリティ評価基準を統一し、評価結果を相互に承認しようという考えのもと、コモンクライテリアとして策定され、国際標準ISO/IEC 15408 として規格化された。共通(common)の基準(criteria)でCC(Common Criteria)
ISO/IEC 15408の位置づけ
| 開発・技術 | 運用・管理 | |
|---|---|---|
| プロセス (製品) | ISO/IEC 21857(SSE-CMM) ISO/IEC TR 15504 CMMI ISO 9000 | ISO/IEC 17799 BS 7799 ISO/IEC TR13335(GMITS) ISO/IEC 21857(SEE-CMM) ISMS認証基準 |
| 製品・ システム | ISO/IEC 15408(CC) PKI、暗号等の個別技術 |
ISO/IEC 15408の構成
ISO/IEC 15408内容は以下の3つで構成されている
- Part 1:概要と一般モデル(Introduction and general model)
- Part 2:セキュリティ機能要件(Security functional components)
- Part 3:セキュリティ保証要件(Security assurance components)
Part 1:概要と一般モデル
- セキュリティ評価の背景、評価のアプローチ
- セキュリティターゲット(ST:Security Target)の仕様
- プロテクションプロファイル(PP:Protection Profile)の仕様
Part 2:セキュリティ機能要件
どのような機能を備えるか。
- セキュリティ機能要件集(11分類)
・セキュリティに関する機能のふるまいの要件
〜 監査、データ保護、識別・認証、等- セキュリティ監査 (Security audit:FAU)
- 通信 (Communication:FCO)
- 暗号サポート (Cryptographic support:FCS)
- 利用者データ保護 (User data protection:FDP)
- 識別と認証 (Identification and authentication:FIA)
- セキュリティ管理 (Security management:FMT)
- プライバシー (Privacy:FPR)
- TOEセキュリティ機能(TSF)の保護(Protection of the TSF:FPT)
- 資源利用 (Resource utilisation:FRU)
- TOEアクセス (TOE access:FTA)
- 高信頼パス/チャネル (Trusted path/channels:FTP)
Part 3:セキュリティ保証要件
検査の内容。
- セキュリティ保証要件集(10分類)
・セキュリティ機能が正確に実装されていることを確認する要件
〜 設計、テスト、管理、ドキュメント、等- PP評価 (PP evaluation: APE)
- ST評価 (ST evaluation: ASE)
- 構成管理 (Configuration management: ACM)
- 配付と運用 (Delivery and operation: ADO)
- 開発 (Development: ADV)
- ガイダンス文書 (Guidance documents: AGD)
- ライフサイクルサポート (Life cycle support: ALC)
- テスト (Tests: ATE)
- 脆弱性評定 (Vulnerability assessment: AVA)
- 保証維持 (Maintenance of assurance: AMA)
- 評価保証レベルの規定(EAL1〜EAL7)
検査の厳密性、深さのこと
EALの上位(番号の大きい方)レベルは、下位レベルの要件を含む。
(注:セキュリティの強度を表すものではない。)
一般の商用製品に求められるレベルはEAL3〜4といわれている
| レベル | 評価の概要 |
|---|---|
| EAL1 | セキュリティ機能仕様、マニュアルの確認、評価者によるテスト |
| EAL2 | サブシステムレベルまでセキュリティ機能設計の確認、構成管理の確認、開発者による機能強度・脆弱性分析、評価者による侵入テスト |
| EAL3 | サブシステムレベルまで開発者テスト結果の確認、構成管理システム使用の確認、開発環境の確認、開発者による誤使用分析 |
| EAL4 | モジュールレベルまで確認、実装表現レベル(最も具体レベルの設計: 例えばソースコードレベル)の部分的確認、普通程度の攻撃に対抗 |
| EAL5 | 実装表現レベルのセキュリティ機能を全て確認、サブシステムレベルまでの設計が半形式的表現、隠れチャネル分析、高度の攻撃に対抗 |
| EAL6 | モジュールレベルまでの設計が半形式的表現、非常に高度の攻撃に対抗 |
| EAL7 | サブシステムレベルまでの設計が形式的表現、開発者による分析・テストのすべてを評価者が再確認 |
ST (セキュリティターゲット)
- セキュリティ基本設計書
- 評価を受けるTOEに対してSTを作成する(TOEに固有)。
- ISO/IEC 15408のPart 1に基づき、以下のような内容で記述
・TOEの定義
・TOEセキュリティ環境
・セキュリティ対策方針
・セキュリティ要件
Part 2:機能要件
Part 3:保証要件
・セキュリティ要約仕様
・PP主張(*) * STがPPを参照する場合に記述
・根拠
※TOE(Target Of Evaluation):評価の対象
PP (プロテクションプロファイル)
- セキュリティ要求仕様書。
- 基本的に調達側の立場で作成。
- ISO/IEC 15408のPart 1に基づき、以下のような内容で記述
・TOEの定義
・TOEセキュリティ環境
・セキュリティ対策方針
・セキュリティ要件
Part 2:機能要件
Part 3:保証要件
・根拠
ST:評価対象となる個々の製品ごとに作成される
PP:同一分野の製品で共通して使用可能な汎用化された共通仕様書
ISMS(ISO/IEC 27001):セキュリティのマネジメント(管理)面での制度
ISO/IEC 15408 :セキュリティの製品やシステムに対する基準
評価基準であるCCを使ってどう評価するかは、共通評価方法 (CEM:Common Methodology for Information Technology Security Evaluation)としてまとめられている
CMMI(能力成熟度モデル統合版)
CMMI(Capability Maturity Model Integration)とは
CMMIとは、組織のプロジェクトマネジメント力を5段階評価で表したもの。もともとは1980年に発表されたソフトウェア開発を対象にしたCMM(能力成熟度モデル)がベース。その後エンジニアリングやソフトウェア調達、人材開発などさまざまな分野向けに派生版が生まれ、これらを1999年に統合したものがCMMI。CMMにI(Integration)という文字が加わっている。
| レベル | 段階 | 内容 |
|---|---|---|
| 成熟度レベル1 | 初期 | プロジェクトの遂行は個人に依存、組織的な管理なし |
| 成熟度レベル2 | 反復可能 | プロジェクトの計画・管理手段が存在、プロセスを反復可能 |
| 成熟度レベル3 | 定義されている | 開発プロセスの標準化がされ、標準プロセスの改善を行う |
| 成熟度レベル4 | 管理されている | 開発プロセスを定量的に管理し、変更にも即座に対応可能 |
| 成熟度レベル5 | 最適化 | 開発プロセスを自発的に改善可能 |
CMMIの認定(アプレイザル)
組織がCMMIレベルの認定を受けるには、認定アプレイザーとそのチームに依頼してプロジェクトマネジメント状況を評価(アプレイザル)してもらい、定められている水準に達しているかの認定を得る必要がある。
認定アプレイザー(SCAMPIアプレイザー)
SEI(カーネギーメロン大学のソフトウェア工学研究所)によりは教育・認定された、組織のCMMIレベルを認定できる人のこと。
PCI DSS (Payment Card Industry Security Standards)
PCI DSSとは
クレジットカード業界のセキュリティ基準のこと。PCIデータセキュリティ基準ともよばれる
クレジットカード情報や取引情報の保護を目的としている
国際クレジットカードブランド5社(MasterCard、VISA、JCB、American Express、Discover)が共同で設立したPCISSCという国際協議会が設けた業界基準
| 安全なネットワーク の構築と維持 | 要件1 | カード会員データを保護するために、ファイアウォールをインストールして構成を維持する |
|---|---|---|
| 要件2 | システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない | |
| カード会員データの保護 | 要件3 | 保存されたカード会員データを保護する |
| 要件4 | オープンな公共ネットワーク経由でカード会員デー夕を伝送する場合、暗号化する | |
| 脆弱性管理 プログラムの整備 | 要件5 | 全てのシステムをマルウェアから保護し、ウィルス対策ソフトウェア又はプログラムを使用し、定期的に更新する |
| 要件6 | 安全性の高いシステムとアプリケーションを開発し、保守する | |
| 強固なアクセス制御 手法の導入 | 要件7 | カード会員データへのアクセスを、業務上必要な範囲内に制限する |
| 要件8 | コンピュータにアクセスできるユーザに一意のIDを割り当てる | |
| 要件9 | カード会員データへの物理アクセスを制限する | |
| ネットワークの 定期的な監視 及びテスト | 要件10 | ネットワークリソース及びカード会員データへのすべてのアクセスを追跡及び監視する |
| 要件11 | セキュリティシステム及びプロセスを定期的にテストする | |
| 情報セキュリティ ポリシの維持 | 要件12 | 従業員及び派遣社員向けの情報セキュリティポリシを整備する |
ISO/IEC 20000
ISO/IEC20000とは
ISO/IEC20000は、ITILを参照してまとめられたITサービスマネジメントの国際標準規格(ITSMSとも言われる)
ITサービスマネジメントの「理想的なお手本」であるITILから「どのような組織でも共通してやっておくべきこと」を抜き出したもの
構成
Part 1とPart 2との2部で構成されている
Part 1 ITサービスマネジメントの認証基準についての規定
ITサービスを提供する組織が満たすべき要求事項(義務)が定められている
Part 2 ITサービスマネジメントを実施するうえでの実施基準を記述
要求事項を満たすための指針が挙げられている
また、Part 3として、ISO/IEC 20000認証取得時の適用範囲と審査の指針についての検討が進められている(2010年7月時点では技術報告書(TR))
ITILの概要
ITILとは、企業情報システムの運用管理の先進事例を体系的に集めた書籍のこと。
ITTLは広く普及しているVer2と2007年5月リリースされたVer3がある
<参照>
Ver2については基本情報技術者試験まとめ⇒サービスマネジメント⇒ITIL
Ver3.については応用情報技術者試験まとめ⇒マネジメント⇒サービスマネジメント⇒ITIL
