伏 見 諭 JTC1/SC7 SC27 Liaison Officer (CISSP, CSSLP, SSE-CMM Lead Appraiser)
セキュリティのコミュニティはISMSのような 規 格 やCCのような 規 格 を 生 み 出 していますが それらの 補 強 の 動 きは 他 方 で 行 われているソ フトウェア 及 びシステムエンジニアリングの 信 頼 性 確 保 の 動 きと 多 方 面 でオーバーラップしつつある 感 があります それらの 全 体 像 を 俯 瞰 する 試 みをしてみたいと 思 います
1. 国 際 標 準 化 組 織 2. SC27 3. SC7 4. 相 互 浸 透 5. Liaison 活 動 6. セキュア システム エンジニアリングとアプリケー ションセキュリティ 7. プロセス とSSE-CMMのこと 8. まとめ
IEC( 国 際 電 気 標 準 会 議 ) 1906-1908 年 設 立 英 国 電 気 学 会 米 国 電 気 学 会 などが 中 心 日 本 を 含 めた13ヶ 国 最 初 の 仕 事 は 電 気 分 野 の 測 定 単 位 ガウス ヘルツ ウェーバなどの 開 発 ISA ISO 1928 年 ISA( 万 国 規 格 統 一 協 会 ) 設 立 ねじ ボルト ナット 公 差 などの 標 準 化 から 開 始 1947 年 にISO( 国 際 標 準 化 機 構 )に 再 編 広 範 な 産 業 分 野 の 標 準 化 に 発 展 ほかにITU-T( 国 連 下 部 組 織 ), IETF, W3Cなどもあり
1960 年 ISO TC97(Computers and Information Processing) 技 術 委 員 会 設 置 1961 年 IEC TC53(Computers and Information Processing) 技 術 委 員 会 設 置 1981 年 IEC/TC 47/SC 47B (Microprocessor Systems)マイク ロプロセッサ 用 プログラム 言 語 等 用 語 の 統 一 文 字 符 号 の 標 準 化 文 字 認 識 入 出 力 プログラム 言 語 デイジタルデータ 変 換 定 義 と 分 析 機 械 装 置 の 数 値 制 御 1987 年 ISOとIEC 共 管 の 技 術 委 員 会 JTC1(Joint Technical Committee 1: Information Technology) 設 置 1982 年 IEC/TC 83(Information Technology Equipment)
http://www.jtc1.org/
クラウドの 標 準 化
Technical Areas JTC1 Subcommittees and Working Groups (by François Coallier) Application Technologies Cultural and Linguistic Adaptability and User Interfaces Data Capture and Identification Systems Data Management Services Document Description Languages SC 36 - Learning Technology SC 02 - Coded Character Sets, SC 22/WG 20 Internationalization, SC 35 - User Interfaces SC 17 - Cards and Personal Identification, SC 31 - Automatic Identification and Data Capture Techniques SC 32 - Data Management and Interchange SC 34 - Document Description and Processing Languages Information Interchange Media SC 11 - Flexible Magnetic Media for Digital Data Interchange, SC 23 - Optical Disk Cartridges for Information Interchange Multimedia and Representation SC 24 - Computer Graphics and Image Processing, SC 29 - Coding of Audio, Picture, and Multimedia and Hypermedia Information Networking and Interconnects Office Equipment Programming Languages and Software Interfaces Security SC 06 Telecommunications and Information Exchange Between Systems, SC 25 - Interconnection of Information Technology Equipment SC 28 - Office Equipment SC 22 Programming Languages, their Environments and Systems Software Interfaces SC 27 - IT Security Techniques, SC 37 - Biometrics Software and Systems Engineering SC 07 - Software and Systems Engineering
Scope The development of standards for the protection of information and ICT. This i ncludes generic methods, techniques and guidelines to address both security a nd privacy aspects, such as Security requirements capture methodology; Management of information and ICT security; in particular information security m anagement systems (ISMS), security processes, security controls and services; Cryptographic and other security mechanisms, including but not limited to mecha nisms for protecting the accountability, availability, integrity and confidentiality of information; Security management support documentation including terminology, guidelines as well as procedures for the registration of security components; Security aspects of identity management, biometrics and privacy; Conformance assessment, accreditation and auditing requirements in the area of information security; Security evaluation criteria and methodology. SC 27 engages in active liaison and collaboration with appropriate bodies to en sure proper development and application of SC 27 standards and technical rep orts in relevant areas.
SC27 WG1 WG2 WG3 ISMS Standards Security Techniques Security Evaluation Security Controls & Services WG4 WG5 Privacy Technology, ID management and Biometrics
歴 史 的 視 点 ISO 1996-2001 DoD Directive 5200.28 GMITS ( ISO/IEC TR 13335) 1996, ISO=2002 SSE-CMM US TCSEC ( Orange Book ) TNI ( Red Book) 1972 1985 1987 1996, ISO=1999 ITSEC EU 1990 1995,1999 BS7799 2004-2006 ISO/IEC 13335 MICTS (management of ICT security) ISO/IEC 18028 (network security) Common Criteria 2005 ISO/IEC 27000 series ISMS 等 (management system) ISO/IEC 17799 ( code of practice)
1987 - Creation of JTC1/ SC7 1991: Name changed to Software Engineering Publication of ISO/IEC 9126 - Software Product Quality 1995 - Publication of ISO/IEC 12207 - Software Life Cycle Processes 1997: 1998: Terms of references broadened to Software Systems Transfer of ISO 9000-3 from ISO/TC176 Transfer of ODP and E-LOTOS projects from SC33 Process architecture 2000 - Name changed to Software and System Engineering 2002 Publication of ISO/IEC 15288 System Life-Cycle 2005: Publication of ISO/IEC 19759 (SWEBOK) Publication of ISO/IEC 20000 - IT Service Management 2006 - Publication of the last core part of ISO/IEC 15504 - Process Asses sment 2008: Publication of and harmonized edition of 12207 and 15288 Publication of ISO/IEC 38500 - IT Governance
UML なども
ISO/IEC 27000シリーズ vs ISO/IEC 20000シリーズ Common Criteria (ISO/IEC 15408) vs Software Assurance Secure System Engineering( 29193 ) vs SWEBOK(ISO/IEC 19759 ), SEBOK アーキテクチャ 設 計 (SC7/WG42) SSE-CMM (21827) vs ISO/IEC 15504(SPA) Application Security (SC27/WG4: 27034) vs Process Assessment -- Safety Extension Part Security Measurement and Metrics (27004) vs Software Quality Metrics
ITIL 規 格 をベースとした ITサービスマネージメントの 規 格 サービスレベル 的 な 側 面 とサービスプロセスの 品 質 評 価 的 な 側 面 がある 提 供 するサービスの 一 部 としてセキュリティサービス がある
元 は Software Integrity 規 格 であり 最 近 Software Assuranceに 拡 張 されつつある クリティカルシステム( 航 空 宇 宙 原 子 力 etc)のクリ ティカル レベルと 関 係 する
従 来 のISO/IEC 9126シリーズ(ソフトウェア 品 質 評 価 尺 度 )とISO/IEC 14598シリーズ( 品 質 評 価 プロセス) を 統 合 して 体 系 整 備 した(しつつある)もの 重 要 な 要 素 として セキュリティの 評 価 尺 度 も 含 む
IT Governance SC7 + SC27から JTC1 直 下 のWG6へ Incident Response(SC27) vs Digital Forensics Governance Framework(SC7) セキュリティ テスト vs ソフトウェア(システム)テスト セキュリティ 要 求 工 学 vs ソフトウェア(システム) 要 求 工 学 組 み 込 み 系 セキュリティ Vs 組 込 み 系 ソフトウェアエンジ ニアリング セキュリティ 監 査 等 の 中 小 企 業 対 応 Vs VSE 規 格 (ISO/IEC 29110)
プログラミングと 言 語 (SC22) 1. セキュアコーデイング 2. 高 品 質 コーディング( 一 般 組 み 込 み クリティカルシステム) ユーザビリティ(ISO/TC159) 1. セキュリティとユーザビリティのトレードオフ 2. ネットショッピングや 電 子 政 府 のユーザインタフェース 安 全 性 (IEC/TC65など)とディペンダビリティ(IEC/TC56) 1. 機 能 安 全 規 格 (IEC 61508) ディペンダビリティ 規 格 (IEC 60300) 2. SIL(Safety Integrity Level)などの 考 え 方 マネージメントシステムなど 1. ISO9000の 影 響 統 合 マネージメントシステム 化? 2. 日 本 における 信 頼 性 ガイドライン の 流 れ および 電 子 政 府 のガ イドラインの 流 れ(それらへのコンプライアンス)
クラウドコンピューティング(SC38) 1. 技 術 要 素 2. サービス 品 質 3. セキュリティ 4. ガバナンスと 監 査
JTC1には JTC1 内 のSC 相 互 のリエゾン( 連 携 ) 活 動 の 制 度 がある SC 間 その 下 のWG 間 リエゾン オフィサーというものが 選 任 される SC7 SC27 SC27 SC7 実 際 には 異 なるSC 間 の 風 通 しはあまり 良 くない
2
SC27/WG3の 新 しい 規 格 案 ( 現 状 WDレベル ISO/IEC 29193)は セキュア システム エンジニアリングの 原 則 をまとめようとしている SC27/WG4では アプリケーションセキュリティの 規 格 案 が 進 行 している(ISO/IEC (CD1) 27034) 形 式 上 はISMSのアプリケーションセキュリティ 部 分 の 補 強 詳 細 化 実 質 は 新 しい アプリケーション セキュリティ プロセス 実 施 仕 様 の 記 述 言 語 の 提 案 マイクロソフトは ここに 自 社 のSecurity Development Lifecycle モデルを 事 例 として 持 ち 込 んでいる(CC 対 抗 の 意 味 もあるか?)
最 小 特 権 の 原 則 以 下 省 略
ここでいう プロセス とは ソフトウェアプロセス 概 念 の 拡 張 であり IT 開 発 および 運 用 業 務 の 仕 事 のまとまった 単 位 ( 業 務 区 分 業 務 の 内 訳 種 別 )を 指 す 開 発 ステップとか 単 純 な 手 順 とかのことではないことに 注 意!! プロセス は 現 在 SC7 活 動 のカナメとなるコンセプトである ソフトウェア 開 発 では プロダクト(パッケージ 的 製 品 と 個 別 のシステムの 双 方 を 意 味 する)の 品 質 を 支 配 する 重 要 な 要 因 としてプロダクト 提 供 の 前 提 となる 開 発 (と 運 用 )の 業 務 のあり 方 が 重 要 であるととらえる プロセス 成 熟 度 のモデルとして 米 国 のCMMIと それに 対 応 し( 少 し 違 う) 国 際 規 格 ISO/IEC 15504がある
リスク 分 析 管 理 のプロ セス 開 発 のプロ セス システムの セキュリティ が 形 成 され る システム 企 画 運 用 とインシデ ントレスポンスの プロセス セキュリティ 評 価 (CC,ISMS,ガイ ドライン 類 )のプ ロセス プロセスの 実 施 能 力 レ ベルとして 評 価 する
CMMでは 開 発 (と 運 用 )のプロセスの 能 力 を 評 価 す る プロセスの 考 え 方 は 抽 象 的 なので その 中 に 当 然 セ キュリティの 要 素 は 含 まれる +SAFEでは CMMIの 適 用 分 野 として セキュリティに 強 く 留 意 すべき 場 合 の 考 慮 点 を 列 挙 するという 方 向 でモデル 化 している(SSE-CMMのように 新 たにセ キュリティプロセスを 考 えるというアプローチではな い)
SC27の 分 野 は 具 体 的 なシステムを 考 慮 すればする ほど 狭 義 のセキュリティの 分 野 からはみ 出 していく SC7のソフトウェアエンジニアリングは 現 代 的 な 課 題 を 扱 おうとすれば 必 然 的 にセキュリティを 大 きな 要 素 として 考 えざるをえない 両 者 のアプローチはこれまで 現 実 的 には 交 差 してい なかったが 今 後 はますます 多 くの 場 面 で 実 際 に 交 差 することとなるだろう