参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

Similar documents
ISMSクラウドセキュリティ認証の概要

FJAS図書クラウドサービスホワイトペーパー(第1.2版)

<4D F736F F F696E74202D A8E5289BA5F4A4E E D FEE95F1835A834C A AA96EC82CC8D918DDB95578F8082CC93AE8CFC2E >

Microsoft Word - JIS_Q_27002_.\...doc

Microsoft PowerPoint - ISMS詳細管理策講座

PowerPoint プレゼンテーション

スライド 1

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

untitled

資料 5-2 Government 公的個人認証サービスのスマートフォンでの利活用の実現に向けた実証 について iphone に於ける利用者証明書ダウンロードの検証 2016 年 10 月 25 日日本アイ ビー エム株式会社 2016 IBM Corporation

KARTE セキュリティホワイトペーパー KARTE セキュリティホワイトペーパー 2.1 版 株式会社プレイド 1

ログを活用したActive Directoryに対する攻撃の検知と対策

スライド 1

基本 CMYK

Microsoft Word HPコンテンツ案 _履歴なし_.doc

内閣官房情報セキュリティセンター(NISC)

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

ServerView Agents 補足情報

[ 参照規格一覧 ] JIS C5973 (F04 形単心光ファイバコネクタ ) JIS C6835 ( 石英系シングルモード光ファイバ素線 1991) JIS C6832 ( 石英系マルチモード光ファイバ素線 1995) IETF RFC791(Internet Protocol

00hyoshi

Cisco CallManager および Cisco Unity でのパスワード変更の設定例

15288解説_D.pptx

CCM (Cloud Control Matrix) の役割と使い方

サブスクライバー / 署名者 Subscriber 側 ( アリス ) の要件 セキュアな署名 なりすましをいかに防ぐか 署名に使用する私有鍵をいかに保護私有鍵をいかに保護するか?? セキュアなハードウェアトークンなどが有効 セキュアな装置のセキュリティ基準 欧州の電子署名では SSCD (Secu

情報分野のアクセシビリティ標準について

橡セキュリティポリシー雛形策定に関する調査報告書

実務に役立つサーバー運用管理の基礎 CompTIA Server+ テキスト SK0-004 対応

Information Security Management System 説明資料 2-2 ISMS 適合性評価制度の概要 一般財団法人日本情報経済社会推進協会情報マネジメント推進センター副センター長高取敏夫 2011 年 9 月 7 日

目次 第 I 部 序編 目的 ISO/IEC 27002:2013 及び他のガイドライン等との関係 供給者関係のモデル クラウドサービス提供における利用者接点の実務の5つのポイント 第 Ⅱ 部の構成とクラウド事業者への適

ムの共有アドレス帳 インスタント メッセージングの宛先に活用することも考えられる 統合アカウント管理 認証 認可 ( アクセス制御 ) の機能 サービス機能 サービス定義統合アカウント管理利用者の認証情報 ( ユーザ ID パスワード) と属性情報 ( グループ 所属部門等 ) を一元的に管理する機

3. RIR 3.1. RIR Regional Internet Registry APNIC Asia Pacific Network Information Centre RIR RIPE NCC Réseaux IP Européens Network Coordination Centre

スライド 1

制御システムセキュリティアセスメントサービス

CIA+

Cisco Unity と Unity Connection Server の設定

PDF Information

CSR報告書

PowerPoint Presentation

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

2ACL DC NTMobile ID ACL(Access Control List) DC Direction Request DC ID Access Check Request DC ACL Access Check Access Check Access Check Response DC


Information Security Management System ISO/IEC 27001:2005 ISMS A Copyright JIPDEC ISMS,

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

目次 1 調査の目的 用語定義 実施概要 電子署名法との関係性の整理 概要 電子署名法における規定との関係 電子署名法第 3 条との関係 電子署名法施行規則第 6 条第 3 号及び第 3

みつめて_あなたを.indd

技術的条件集別表 26.2 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv4 トンネル方式 -10GBASE LR インタフェース )

<4D F736F F F696E74202D208E9197BF E08A748AAF965B8FEE95F1835A834C A A E815B92F18F6F8E9197BF2E70707

企業ネットワークにおける 認証基盤の構築に関する研究

最近の電子認証・署名の考え方

LGWAN-5月.indd

はじめに レーザとは? 1) レーザ光の性質と特徴 補助資料 (1) 2) レーザ光による目の障害 補助資料 (2) IEC/EN の規格要求は? 3) レーザクラスと製造上の要求事項 補助資料 (3) 4) レーザクラス分けのための放射測定 補助資料 (4) 5) レーザ機器に表示す

1 暗号化通信におけるリスク ~ SSH に潜む落とし穴 ~ 暗号化すれば安全ですか? 目次 1. はじめに SSH とは SSH に潜む落とし穴 SSH での効果的な対策 最後に... 13

Windows PowerShell 用スクリプト形式編 改版履歴 版数 日付 内容 担当 V /4/1 初版 NII V /2/26 動作環境の変更に伴う修正 NII V /8/21 タイムスタンプ利用手順の追加 NII 目次 1. コード署名用証明

セキュリティ委員会活動報告

ワークショップのシステム要件とガイドライン VIDA ON WEB

Oracle Identity Managementの概要およびアーキテクチャ

マイナンバー対策セミナー(実践編) 「マイナンバー対策マニュアル」を利用した具体的な対策方法について

Linkexpress トラブル初期調査資料 採取コマンド使用手引書


Microsoft PowerPoint - 渡辺先生.ppt

ServerView Agents補足情報

Microsoft PowerPoint pptx

総合行政ネットワーク NO.71 地方公共団体組織認証基盤(LGPKI)が発行する証明書について

<4D F736F F D BD896694C C668DDA FEE95F1835A834C A AC7979D8AEE8F BD90AC E89FC90B394C5816A2E646F6378>

Unified CVP インストールの計画

借上くんマイナンバー制度対応

セキュリティー機能(TPM)設定ガイド

全てのパートナー様に該当する可能性のある 重要なお知らせです 2015 年 8 月 28 日 パートナー各位 合同会社シマンテック ウェブサイトセキュリティ SSL サーバ証明書における階層構造オプションの追加 および DNS Certification Authority Authorizatio

JIS Q 27001:2014への移行に関する説明会 資料1

Microsoft PowerPoint - X-Road.pptx

ISO/IEC 27000family 作成の進捗状況

2 目次 1. 実証事業の全体概要 1.1 Androidスマートフォンへの利用者証明機能ダウンロード ( 仕組み ) 1.2 iosスマートフォンへの利用者証明機能ダウンロード ( 仕組み ) 1.3 システム検証と安全性対策検討 2. 利用者証明機能ダウンロードに関するシステム検証 2.1 An

AP-700/AP-4000 eazy setup

ISO/IEC27000ファミリーについて

第 1-4 条用語の定義 本ガイドラインにおいて, 次の各号に掲げる用語の定義は, それぞれ次に定めるところによる (1) 委託先等 とは, 委託先, 再委託先及び発注先をいう (2) 外部記憶媒体 とは, 機器に接続してそのデータを保存するための可搬型の装置をいう (3) 外部ネットワーク とは,

untitled

MC-04 暗号アルゴリズム移行における オペレータ認証基盤の運用ガイドライン 平成 23 年 12 月 26 日 1.0 版 一般社団法人電波産業会 高度無線通信研究委員会 モバイルコマース部会

進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は 改定の度に進化している Ver. Ver. I

Veritas System Recovery 16 Management Solution Readme

Cisco ASA Firepower ASA Firepower

規格の概要前図の 作成中 及び 発行済 ( 改訂中 含む ) 規格の概要は 以下の通りです O/IEC 27000:2012 Information technology Security techniques Information security management systems Over

R80.10_FireWall_Config_Guide_Rev1

卵及び卵製品の高度化基準

Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 1

Microsoft PowerPoint - クラウドサービスセキュリティセミナー

Microsoft PowerPoint - PCG-AssessmentReportSummary (J) v2.0d3.pptx

Recommendation M

ISO/IEC 27000ファミリーについて

本章では サービス参加機関の利用管理者に配付するサーバ証明書の発行 更新 失効及び管理を行う登録担当者の操作方法について記述します サービス参加機関の利用管理者からサーバ証明書の発行要求があり サーバ証明書の新規発行が必要な場合は 1-1. サーバ証明書新規発行 を行ってください 既にサーバ証明書を

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

ALogシリーズ 監査レポート集

PassSureExam Best Exam Questions & Valid Exam Torrent & Pass for Sure

インドネシアにおける人材マネジメントの現状

metis ami サービス仕様書

資料1

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

IT 製品の利用でセキュリティを考慮すべき場面 IT 製品 OS DBMS FW IDS/IPS 1-1 製品調達時 製品に必要なセキュリティ機能は? セキュリティ要件 ( 要求仕様 ) の検討 2 運用 保守時 セキュリティ機能を正しく動作させる 適切な設定値 パッチの適用 IC カード デジタル


WL-RA1Xユーザーズマニュアル

Microsoft PowerPoint - 第6章_要員の認証(事務局;110523;公開版) [互換モード]

Transcription:

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

参考情報 Ⅰ: ISO/IEC 27017:2015 項番 / 管理策 5. 情報セキュリティのための方針群 (Information security policies) 昨年度検討との関連 5.1.1 情報セキュリティのための方針群 (Policies for information security) 6. 情報セキュリティのための組織 (Organaization of information security) 6.1.1 情報セキュリティの役割及び責任 (Information security roles and responsibilities) 6.1.3 関係当局との連絡 (Contact with authorities) 7. 人的資源のセキュリティ (Human resource security) 7.2.2 情報セキュリティの意識向上 教育及び訓練 (Information security awareness, education and training) 8. 資産の管理 (Asset management) 8.1.1 資産目録 (Inventory of assets) 8.2.2 情報のラベル付け (Labelling of information) ISO/IEC 27002 を参照している項目以外を抜粋 2

参考情報 Ⅰ: ISO/IEC 27017:2015 項番 / 管理策 昨年度検討との関連 9. アクセス制御 (Access control) 9.1.2 ネットワーク及びネットワークサービスへのアクセス (Access to networks and network services) 9.2.1 利用者登録及び登録削除 (User registration and deregistration) 機能 2 9.2.2 利用者アクセスの提供 (User access provisioning) 機能 1 9.2.3 特権的アクセス権の管理 (Management of privileged access right) ー 9.2.4 利用者の秘密認証情報の管理 (management of secret authentication information of users) 機能 2 9.4.1 情報へのアクセス制限 (Information access restriction) 機能 1 9.4.4 特権的なユーティリティプログラムの使用 (Use of privileged utility programs) 10. 暗号 (Cryptographic controls) 10.1.1 暗号による管理策の利用方針 (Policy on the use of cryptographic controls) 機能 3 10.1.2 鍵管理 (Key management) 機能 5 6 11. 物理的及び環境的セキュリティ (Physical and environmental security) 11.2.7 装置のセキュリティを保った処分又は再利用 (Secure disposal or reuse of equipment) ー ISO/IEC 27002 を参照している項目以外を抜粋 3

参考情報 Ⅰ: ISO/IEC 27017:2015 12. 運用のセキュリティ (Operations security) 項番 / 管理策 昨年度検討との関連 12.1.2 変更管理 (Change management) 12.1.3 容量 能力の管理 (Capacity management) 12.3.1 情報のバックアップ (Information backup) 機能 6 12.4.1 イベントログ取得 (Event logging) 機能 4 12.4.3 実務管理者及び運用担当者の作業ログ (Administrator and operator logs) 12.4.4 クロックの同期 (Clock synchronization) 12.6.1 技術的ぜい弱性の管理 (Management of technical vulnerabilities) 13. 通信のセキュリティ (Communications security) 13.1.3 ネットワークの分離 (Segregation in networks) 14. システムの取得 開発及び保守 (System acquisition, development and maintenance) 14.1.1 情報セキュリティ要求事項の分析及び仕様化 (Information security requirements analysis and specification) 14.2.1 セキュリティに配慮した開発のための方針 (Secure development policy) ISO/IEC 27002 を参照している項目以外を抜粋 4

参考情報 Ⅰ: ISO/IEC 27017:2015 15. 供給者関係 (Supplier relationships) 項番 / 管理策 15.1.1 供給者関係のための情報セキュリティの方針 (Information security policy for supplier relationships) 15.1.2 供給者との合意におけるセキュリティの取扱い (Addressing security within supplier agreements) 15.1.3 ICTサプライチェーン (Information and communication technology supply chain) 16. 情報セキュリティインシデント管理 (Information security incident management) 昨年度検討との関連 16.1.1 責任及び手順 (Responsibilities and procedures) 16.1.2 情報セキュリティ事象の報告 (Reporting information security events) 16.1.7 証拠の収集 (Collection of evidence) ー 17. 事業継続マネジメントにおける情報セキュリティの側面 18. 順守 (Compliance) 18.1.1 適用法令及び契約上の要求事項の特定 (Identification of applicable legislation and contractual requirements) 18.1.2 知的財産権 (Intellectual property rights) 18.1.3 記録の保護 (Protection of records) 18.1.5 暗号化機能に対する規制 (Regulation of cryptographic controls) 18.2.1 情報セキュリティの独立したレビュー (Independent review of information security) 5

参考情報 Ⅱ: 検討内容 ( 昨年度の調査結果を詳細化 : 書き下しイメージ ) 10. 暗号 (Cryptographic controls) 10.1.1 暗号による管理策の利用方針 (Policy on the use of cryptographic controls) 電子政府推奨暗号リストに記載された公開鍵暗号による署名方式を用いることが求められ 安全な署名結果を得るために重要である ( レベル3 相当 ) さらに安全性を求める場合 ( レベル4) は 電子署名用証明書の用途を電子署名のみに限定することが求められる ( 昨年度の検討では 電子署名 認証ガイドラインを参照し書き出した ) 10.1.2 鍵管理 (Key management) 署名鍵管理機能は 署名鍵 IDと署名鍵を管理する 署名鍵管理機能は 署名鍵 IDに対応した署名鍵を格納しているDB2を制御する 署名鍵等の管理には 登録 更新 / 再発行 失効を含む 利用者の署名鍵 IDの関連付け情報を格納しているDB2は保護する必要があり アクセスを限定する必要がある DB2へのアクセスは必ず署名鍵管理機能を介して行われる必要があり DB2の登録者及び管理者に限定される 6

参考情報 Ⅱ: 検討内容 ( 昨年度の調査結果を詳細化 : 書き下しイメージ ) 12. 運用のセキュリティ (Operations security) 12.3.1 情報のバックアップ (Information backup) 署名鍵は署名者以外に利用できない ( 活性化できない ) ように保管する必要あり 署名者以外に知り得ない状態でバックアップ保管することが求められることに注意する必要がある ( 昨年度の検討では 欧州の CEN/TS 419 241 を参照し書き出した ) 12.4.1 イベントログ取得 (Event logging) サーバ署名で正しく署名をしたことのログを残すことは安全性の観点から重要であるため 少なくとも署名生成に関する一連の処理のすべてをログとして保存することが必須とした なお ログの対象や保管期間及び完全性や改ざん検知等については利用形態に基づき別途検討する必要がある ( 参照した欧州のCEN/TS 419 241の内容 ) レベル1では 署名生成に関する一連の処理のすべてをログとして保存することが規定されている レベル2ではレベル1に追加して 署名鍵へアクセスするすべての動作をログとして保存することが規定されている 7

参考情報 Ⅲ: 検討内容 (1) 現行の電子署名法に関する検討項目 (2) 利活用モデルと第三者による安全性の確認に関する検討項目 (3) リモート署名事業者に求められる業務要件に関する検討項目 (4) 鍵ペア生成や設置及び保管状態に関する検討項目 (5) 鍵のバックアップ及びログ機能に関する検討項目 (6) 利用者情報に関する検討項目 (7) 利用者に求められる制約や要件に関する検討項目 (8) その他の必要と考えられる検討項目 8

参考情報 Ⅲ: 検討内容 詳細 (1)~(2) (1) 現行の電子署名法に関する検討項目 (2) 利活用モデルと第三者による安全性の確認に関する検討項目 別途アンケートやヒアリング調査を実施予定 ( 小川 ) 9

参考情報 Ⅲ : 検討内容 詳細 (3)~ (4) (3) リモート署名事業者に求められる業務要件に関する検討項目 (4) 鍵ペア生成や設置及び保管状態に関する検討項目 10

参考情報 Ⅲ : 検討内容 詳細 (5)~(6) (5) 鍵のバックアップ及びログ機能に関する検討項目 (6) 利用者情報に関する検討項目 11

参考情報 Ⅲ : 検討内容 詳細 (7)~(8) (7) 利用者に求められる制約や要件に関する検討項目 (8) その他の必要と考えられる検討項目 a) 必要に応じて検討が求められる検討項目 b) リモート署名の最低限必要と考えられる機能ではなかった項目を再度確認? 12

関連情報 METI/ 経済産業省電子署名法研究会 http://www.meti.go.jp/committee/kenkyukai/mono_info_service.html#denshi shomeihou 平成 27 年度サイバーセキュリティ経済基盤構築事業 ( 電子署名 認証業務利用促進事業 ( 電子署名及び認証業務に関する調査研究等 )) 調査報告書 http://www.meti.go.jp/committee/kenkyukai/shoujo/denshishomeihou/pdf/h2 7_004_01_00.pdf 13

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック