情 報 を 相 手 に 渡 せない.そこで, 企 業 で 共 通 に 実 施 されて いるベースラインとしてのセキュリティ 管 理 について 1992 年 に 調 査 を 実 施 して,その 結 果 をまとめた. 企 業 間 で の 取 引 に 関 係 することから DTI がまとめ 役 となったも



Similar documents
Microsoft PowerPoint - 報告書(概要).ppt

小 売 電 気 の 登 録 数 の 推 移 昨 年 8 月 の 前 登 録 申 請 の 受 付 開 始 以 降 小 売 電 気 の 登 録 申 請 は 着 実 に 増 加 しており これまでに310 件 を 登 録 (6 月 30 日 時 点 ) 本 年 4 月 の 全 面 自 由 化 以 降 申

<4D F736F F D E598BC68A8897CD82CC8DC490B68B7982D18E598BC68A8893AE82CC8A C98AD682B782E993C195CA915B C98AEE82C382AD936F985E96C68B9690C582CC93C197E1915B927582CC898492B75F8E96914F955D89BF8F915F2E646F6

・モニター広告運営事業仕様書

Microsoft Word 第1章 定款.doc

Microsoft Word - 不正アクセス行為の禁止等に関する法律等に基づく公安

通 知 カード と 個 人 番 号 カード の 違 い 2 通 知 カード ( 紙 )/H27.10 個 人 番 号 カード (ICカード)/H28.1 様 式 (おもて) (うら) 作 成 交 付 主 な 記 載 事 項 全 国 ( 外 国 人 含 む)に 郵 送 で 配 布 希 望 者 に 交

一般競争入札について

Microsoft Word - ★HP版平成27年度検査の結果


預 金 を 確 保 しつつ 資 金 調 達 手 段 も 確 保 する 収 益 性 を 示 す 指 標 として 営 業 利 益 率 を 採 用 し 営 業 利 益 率 の 目 安 となる 数 値 を 公 表 する 株 主 の 皆 様 への 還 元 については 持 続 的 な 成 長 による 配 当 可

<819A955D89BF92B28F BC690ED97AA8EBA81418FA48BC682CC8A8890AB89BB816A32322E786C7378>

別 紙 第 号 高 知 県 立 学 校 授 業 料 等 徴 収 条 例 の 一 部 を 改 正 する 条 例 議 案 高 知 県 立 学 校 授 業 料 等 徴 収 条 例 の 一 部 を 改 正 する 条 例 を 次 のように 定 める 平 成 26 年 2 月 日 提 出 高 知 県 知 事 尾

1 書 誌 作 成 機 能 (NACSIS-CAT)の 軽 量 化 合 理 化 電 子 情 報 資 源 への 適 切 な 対 応 のための 資 源 ( 人 的 資 源,システム 資 源, 経 費 を 含 む) の 確 保 のために, 書 誌 作 成 と 書 誌 管 理 作 業 の 軽 量 化 を 図

学校教育法等の一部を改正する法律の施行に伴う文部科学省関係省令の整備に関する省令等について(通知)

<6D313588EF8FE991E58A778D9191E5834B C8EAE DC58F4992F18F6F816A F990B32E786C73>

定款  変更

公 的 年 金 制 度 について 制 度 の 持 続 可 能 性 を 高 め 将 来 の 世 代 の 給 付 水 準 の 確 保 等 を 図 るため 持 続 可 能 な 社 会 保 障 制 度 の 確 立 を 図 るための 改 革 の 推 進 に 関 する 法 律 に 基 づく 社 会 経 済 情

平成25年度 独立行政法人日本学生支援機構の役職員の報酬・給与等について

1 林 地 台 帳 整 備 マニュアル( 案 )について 林 地 台 帳 整 備 マニュアル( 案 )の 構 成 構 成 記 載 内 容 第 1 章 はじめに 本 マニュアルの 目 的 記 載 内 容 について 説 明 しています 第 2 章 第 3 章 第 4 章 第 5 章 第 6 章 林 地

スライド 1

<4D F736F F D2090AD957B94468FD88AEE94D B292428C7689E68F912E646F63>

m07 北見工業大学 様式①

財団法人○○会における最初の評議員の選任方法(案)

2. 会 計 規 程 の 業 務 (1) 規 程 と 実 際 の 業 務 の 調 査 規 程 や 運 用 方 針 に 規 定 されている 業 務 ( 帳 票 )が 実 際 に 行 われているか( 作 成 されている か)どうかについて 調 べてみた 以 下 の 表 は 規 程 の 条 項 とそこに

の 購 入 費 又 は 賃 借 料 (2) 専 用 ポール 等 機 器 の 設 置 工 事 費 (3) ケーブル 設 置 工 事 費 (4) 防 犯 カメラの 設 置 を 示 す 看 板 等 の 設 置 費 (5) その 他 設 置 に 必 要 な 経 費 ( 補 助 金 の 額 ) 第 6 条 補

ができます 4. 対 象 取 引 の 範 囲 第 1 項 のポイント 付 与 の 具 体 的 な 条 件 対 象 取 引 自 体 の 条 件 は 各 加 盟 店 が 定 めます 5.ポイントサービスの 利 用 終 了 その 他 いかなる 理 由 によっても 付 与 されたポイントを 換 金 すること

プライバシーマーク 付 与 適 格 性 審 査 業 務 基 本 規 程 改 廃 履 歴 版 数 制 定 改 定 日 改 訂 箇 所 改 訂 理 由 備 考 年 8 月 26 日 初 版 制 定 年 7 月 1 日 JIPDEC プライバシーマーク 制 度 基 本

1 総 合 設 計 一 定 規 模 以 上 の 敷 地 面 積 及 び 一 定 割 合 以 上 の 空 地 を 有 する 建 築 計 画 について 特 定 行 政 庁 の 許 可 により 容 積 率 斜 線 制 限 などの 制 限 を 緩 和 する 制 度 である 建 築 敷 地 の 共 同 化 や

改 訂 来 歴 改 訂 番 号 発 行 日 改 訂 内 容 承 認 照 査 作 成 新 規 発 行 ( 認 証 ロゴマークは 別 途 ) 熊 野 熊 野 関 谷 改 訂 番 号 1~13 の 改 訂 内 容 は 旧 版 PCG-00


Microsoft Word - 佐野市生活排水処理構想(案).doc

1 特 別 会 計 財 務 書 類 の 検 査 特 別 会 計 に 関 する 法 律 ( 平 成 19 年 法 律 第 23 号 以 下 法 という ) 第 19 条 第 1 項 の 規 定 に 基 づき 所 管 大 臣 は 毎 会 計 年 度 その 管 理 する 特 別 会 計 について 資 産

第2回 制度設計専門会合 事務局提出資料

Microsoft PowerPoint - 【那須野】セキュリティ問題について

<4D F736F F D C482C682EA817A89BA90BF8E7793B1834B A4F8D91906C8DDE8A A>

<4D F736F F D2091E F18CB48D C481698E7B90DD8F9590AC89DB816A2E646F63>

<4D F736F F D D3188C091538AC7979D8B4B92F F292B98CF092CA81698A94816A2E646F63>

IAF ID x:2010 International Accreditation Forum, Inc. Page 2 of 8 国 際 認 定 機 関 フォーラム(IAF)は 適 合 性 評 価 サービスを 提 供 する 機 関 の 認 定 のためのプログラ ムを 運 営 している この 認 定

する ( 評 定 の 時 期 ) 第 条 成 績 評 定 の 時 期 は 第 3 次 評 定 者 にあっては 完 成 検 査 及 び 部 分 引 渡 しに 伴 う 検 査 の 時 とし 第 次 評 定 者 及 び 第 次 評 定 者 にあっては 工 事 の 完 成 の 時 とする ( 成 績 評 定

< F2D D D837C815B B8EC08E7B97768D80>

(2) 地 域 の 実 情 に 応 じた 子 ども 子 育 て 支 援 の 充 実 保 育 の 必 要 な 子 どものいる 家 庭 だけでなく 地 域 の 実 情 に 応 じた 子 ども 子 育 て 支 援 の 充 実 のために 利 用 者 支 援 事 業 や 地 域 子 育 て 支 援 事 業 な

2 役 員 の 報 酬 等 の 支 給 状 況 平 成 27 年 度 年 間 報 酬 等 の 総 額 就 任 退 任 の 状 況 役 名 報 酬 ( 給 与 ) 賞 与 その 他 ( 内 容 ) 就 任 退 任 2,142 ( 地 域 手 当 ) 17,205 11,580 3,311 4 月 1

6 構 造 等 コンクリートブロック 造 平 屋 建 て4 戸 長 屋 16 棟 64 戸 建 築 年 1 戸 当 床 面 積 棟 数 住 戸 改 善 後 床 面 積 昭 和 42 年 36.00m m2 昭 和 43 年 36.50m m2 昭 和 44 年 36.

4 参 加 資 格 要 件 本 提 案 への 参 加 予 定 者 は 以 下 の 条 件 を 全 て 満 たすこと 1 地 方 自 治 法 施 行 令 ( 昭 和 22 年 政 令 第 16 号 ) 第 167 条 の4 第 1 項 各 号 の 規 定 に 該 当 しない 者 であること 2 会 社

<6D33335F976C8EAE CF6955C A2E786C73>

仕様書案

(6) 事 務 局 職 場 積 立 NISAの 運 営 に 係 る 以 下 の 事 務 等 を 担 当 する 事 業 主 等 の 組 織 ( 当 該 事 務 を 代 行 する 組 織 を 含 む )をいう イ 利 用 者 からの 諸 届 出 受 付 事 務 ロ 利 用 者 への 諸 連 絡 事 務

(2) 検 体 採 取 に 応 ずること (3) ドーピング 防 止 と 関 連 して 自 己 が 摂 取 し 使 用 するものに 責 任 をもつこと (4) 医 師 に 禁 止 物 質 及 び 禁 止 方 法 を 使 用 してはならないという 自 己 の 義 務 を 伝 え 自 己 に 施 される

Microsoft Word - 目次.doc

<4D F736F F D F8D828D5A939982CC8EF68BC697BF96B38F9E89BB82CC8A6791E52E646F63>

新 行 財 政 改 革 推 進 大 綱 実 施 計 画 個 票 取 組 施 策 国 や 研 究 機 関 への 派 遣 研 修 による 資 質 向 上 の 推 進 鳥 インフルエンザ 等 新 たな 感 染 症 等 に 対 する 検 査 技 術 の 習 得 など 職 員 の 専 門

ていることから それに 先 行 する 形 で 下 請 業 者 についても 対 策 を 講 じることとしまし た 本 県 としましては それまでの 間 に 未 加 入 の 建 設 業 者 に 加 入 していただきますよう 28 年 4 月 から 実 施 することとしました 問 6 公 共 工 事 の

一 般 社 団 法 人 全 国 銀 行 協 会 御 中 依 頼 人 氏 名 平 成 年 月 日 印 登 録 支 援 専 門 家 委 嘱 ( 初 回 委 嘱 )の 依 頼 について(GL5 項 (2)) 私 は 自 然 災 害 による 被 災 者 の 債 務 整 理 に 関 するガイドライン 第 5

Microsoft Word - 全国エリアマネジメントネットワーク規約.docx

5 民 間 事 業 者 における 取 扱 いについて( 概 要 資 料 P.17~19) 6 法 人 番 号 について( 概 要 資 料 P.4) (3) 社 会 保 障 税 番 号 制 度 のスケジュールについて( 概 要 資 料 P.20) 1 平 成 27 年 10 月 から( 施 行 日 は

Taro13-公示.jtd

文化政策情報システムの運用等

独立行政法人国立病院機構

Microsoft PowerPoint 資料6 技術基準.ppt [互換モード]

【労働保険事務組合事務処理規約】

(10) 本 工 事 の 契 約 締 結 日 において 現 場 代 理 人 を 工 事 現 場 に 常 駐 で 配 置 し 得 ること ただし 本 入 札 の 一 般 競 争 入 札 参 加 申 込 書 の 提 出 日 現 在 において 3カ 月 以 上 直 接 的 かつ 恒 常 的 な 雇 用 関

(3) その 他 市 長 が 必 要 と 認 める 書 類 ( 補 助 金 の 交 付 決 定 ) 第 6 条 市 長 は 前 条 の 申 請 書 を 受 理 したときは 速 やかにその 内 容 を 審 査 し 補 助 金 を 交 付 すべきものと 認 めたときは 規 則 第 7 条 に 規 定 す

答申第585号

<4D F736F F D20D8BDB8CFC8BCDED2DDC482A882E682D1BADDCCDFD7B2B1DDBD8B4B92F E646F63>

は 固 定 流 動 及 び 繰 延 に 区 分 することとし 減 価 償 却 を 行 うべき 固 定 の 取 得 又 は 改 良 に 充 てるための 補 助 金 等 の 交 付 を 受 けた 場 合 にお いては その 交 付 を 受 けた 金 額 に 相 当 する 額 を 長 期 前 受 金 とし

防犯カメラの設置及び運用に関するガイドライン

Taro-2220(修正).jtd

●電力自由化推進法案

(5) 給 与 制 度 の 総 合 的 見 直 しの 実 施 状 況 について 概 要 の 給 与 制 度 の 総 合 的 見 直 しにおいては 俸 給 表 の 水 準 の 平 均 2の 引 き 下 げ 及 び 地 域 手 当 の 支 給 割 合 の 見 直 し 等 に 取 り 組 むとされている

3. 選 任 固 定 資 産 評 価 員 は 固 定 資 産 の 評 価 に 関 する 知 識 及 び 経 験 を 有 する 者 のうちから 市 町 村 長 が 当 該 市 町 村 の 議 会 の 同 意 を 得 て 選 任 する 二 以 上 の 市 町 村 の 長 は 当 該 市 町 村 の 議

国 税 クレジットカード 納 付 の 創 設 国 税 のクレジットカード 納 付 については マイナンバー 制 度 の 活 用 による 年 金 保 険 料 税 に 係 る 利 便 性 向 上 に 関 するアクションプログラム( 報 告 書 ) においてその 導 入 の 方 向 性 が 示 されている

< 目 次 > 8. 雇 用 保 険 高 年 齢 雇 用 継 続 給 付 27 ( 育 児 休 業 給 付 介 護 休 業 給 付 ) 8.1 高 年 齢 雇 用 継 続 給 付 画 面 のマイナンバー 設 定 高 年 齢 雇 用 継 続 給 付 の 電 子 申 請 高

た 者 ( 個 人 番 号 関 係 事 務 実 施 者 )となります 個 人 番 号 (マイナンバー)の 取 扱 いについて 雇 用 保 険 被 保 険 者 資 格 取 得 届 などの 様 式 へのマイナンバーの 記 載 や 本 人 確 認 事 務 については できるだけ 事 業 主 に 対 応 い

<4D F736F F D2095CA8E A90DA91B18C9F93A289F1939A8F D8288B3816A5F E646F63>

続 に 基 づく 一 般 競 争 ( 指 名 競 争 ) 参 加 資 格 の 再 認 定 を 受 けていること ) c) 会 社 更 生 法 に 基 づき 更 生 手 続 開 始 の 申 立 てがなされている 者 又 は 民 事 再 生 法 に 基 づき 再 生 手 続 開 始 の 申 立 てがなさ

スライド 1

(2) 質 問 受 付 回 答 方 法 電 子 メールにて 行 うものとし 下 記 担 当 宛 に 送 信 すること 誤 認 防 止 のため 電 話 による 質 問 は 受 け 付 けない また 誤 送 信 等 による 不 達 を 防 止 するた め 質 問 を 送 信 後 に 下 記 担 当 に

<4D F736F F D A94BD837D836C B4B92F62E646F6378>

独立行政法人国立病院機構呉医療センター医療機器安全管理規程

その 他 事 業 推 進 体 制 平 成 20 年 3 月 26 日 に 石 垣 島 国 営 土 地 改 良 事 業 推 進 協 議 会 を 設 立 し 事 業 を 推 進 ( 構 成 : 石 垣 市 石 垣 市 議 会 石 垣 島 土 地 改 良 区 石 垣 市 農 業 委 員 会 沖 縄 県 農

慶應義塾利益相反対処規程

Microsoft Word - 【履歴なし】27000HPコンテンツ案 doc

PowerPoint プレゼンテーション

18 国立高等専門学校機構

当社の法人関係情報の管理態勢およびその強化に向けた今後の対応策について

為 が 行 われるおそれがある 場 合 に 都 道 府 県 公 安 委 員 会 がその 指 定 暴 力 団 等 を 特 定 抗 争 指 定 暴 力 団 等 として 指 定 し その 所 属 する 指 定 暴 力 団 員 が 警 戒 区 域 内 において 暴 力 団 の 事 務 所 を 新 たに 設

( 補 助 金 等 交 付 決 定 通 知 に 加 える 条 件 ) 第 7 条 市 長 は 交 付 規 則 第 11 条 に 規 定 するところにより 補 助 金 の 交 付 決 定 に 際 し 次 に 掲 げる 条 件 を 付 するものとする (1) 事 業 完 了 後 に 消 費 税 及 び

<4D F736F F D F4390B3208A948C E7189BB8CE F F8C668DDA97702E646F63>

( 別 紙 ) 以 下 法 とあるのは 改 正 法 第 5 条 の 規 定 による 改 正 後 の 健 康 保 険 法 を 指 す ( 施 行 期 日 は 平 成 28 年 4 月 1 日 ) 1. 標 準 報 酬 月 額 の 等 級 区 分 の 追 加 について 問 1 法 改 正 により 追 加

った 場 合 など 監 事 の 任 務 懈 怠 の 場 合 は その 程 度 に 応 じて 業 績 勘 案 率 を 減 算 する (8) 役 員 の 法 人 に 対 する 特 段 の 貢 献 が 認 められる 場 合 は その 程 度 に 応 じて 業 績 勘 案 率 を 加 算 することができる

検 討 検 討 の 進 め 方 検 討 状 況 簡 易 収 支 の 世 帯 からサンプリング 世 帯 名 作 成 事 務 の 廃 止 4 5 必 要 な 世 帯 数 の 確 保 が 可 能 か 簡 易 収 支 を 実 施 している 民 間 事 業 者 との 連 絡 等 に 伴 う 事 務 の 複 雑

(Microsoft Word - \212\356\226{\225\373\220j _\217C\220\263\201j.doc)

(別紙3)保険会社向けの総合的な監督指針の一部を改正する(案)

Ⅰ 調 査 の 概 要 1 目 的 義 務 教 育 の 機 会 均 等 その 水 準 の 維 持 向 上 の 観 点 から 的 な 児 童 生 徒 の 学 力 や 学 習 状 況 を 把 握 分 析 し 教 育 施 策 の 成 果 課 題 を 検 証 し その 改 善 を 図 るもに 学 校 におけ

平成27年度大学改革推進等補助金(大学改革推進事業)交付申請書等作成・提出要領

入 札 参 加 者 は 入 札 の 執 行 完 了 に 至 るまではいつでも 入 札 を 辞 退 することができ これを 理 由 として 以 降 の 指 名 等 において 不 利 益 な 取 扱 いを 受 けることはない 12 入 札 保 証 金 免 除 13 契 約 保 証 金 免 除 14 入

<4D F736F F D208ED089EF95DB8CAF89C193FC8FF38BB CC8EC091D492B28DB88C8B89CA82C982C282A282C42E646F63>

Taro13-01_表紙目次.jtd

<4D F736F F D208E52979C8CA78E598BC68F5790CF91A390698F9590AC8BE08CF D6A2E646F6378>

Transcription:

情 報 セキュリティマネジメント 規 格 の 改 訂 と 問 題 点 について 原 田 要 之 助 1 ISO/IEC27001 /27002 が 2014 年 10 月 に 改 定 された. 改 訂 にあたっては, 旧 バージョンから IT の 急 速 な 技 術 進 歩, 利 活 用 の 変 化, 社 会 の 変 化,サイバー 攻 撃 など 新 しい 現 実 に 向 けて, 様 々な 工 夫 がなされている. 本 稿 では, 改 訂 の 内 容 から 始 め, 今 後 の ISMS の 方 向 などを 論 じる.また, 新 旧 バージョンを 比 較 することに より,この 20 年 ほどに おける 情 報 セキュリティマネジメントの 進 展 についてまとめる.さらに, 改 定 の 内 容, 考 え 方, 注 意 すべき 点 などを について 述 べる. A study on Revision of ISO/IEC27001/27002 and its impact YONOSUKE HARADA 1 ISO/IEC27001/27002 (International standard for Information Security Management) have revised at October, 2014. This paper overviews the major changes on those document from Information Security management, especially, how the standard is focused on topics and change the weight of importance among subjects. Also, the improvement on IT technologies, legislations, business manner, management tools are discussed how standards are considered. In the end, some suggestions to standards are studied and proposed for next revision. 1. はじめに ISO/IEC27000 シリーズは,2013 年 に 大 きく 改 定 された.こ れは, 前 回 の 改 定 が 2005 年 であり,この 8 年 間 に 情 報 セキ ュリティをとりまく 環 境 が 大 きく 変 わった.とくに,IT 分 野 では,ハードウェアの 性 能 向 上,ソフトウェアの 仮 想 技 術 やセキュアコンピューティング,インターネットのバッ クボーンおよびアクセス 回 線 の 速 度 の 向 上,サイバー 攻 撃 や 情 報 漏 えいの 増 加,IT 分 野 の 法 制 度 の 制 改 訂 など,さま ざまな 分 野 で 変 化 が 起 きた. 詳 細 については, 付 録 1に 述 べる. 情 報 セキュリティの 認 証 制 度 では,2005 年 に ISO/IEC27001:2005[1]を 要 求 条 件 として ISMS(Information Security Management System: 情 報 セキュリティマネジメン トシステム) 適 合 性 評 価 制 度 ( 以 下,ISMS という)が 始 まった.2013 年 末 時 点 では, 全 世 界 で 約 8,000 事 業 所, 日 本 国 内 では 約 4,500 事 業 所 *1が 認 証 されている[2].とくに, ISMS 認 証 は, 国 内 的 には 企 業 の 契 約 や 政 府 の 入 札 要 件 な どさまざまな 用 途 に 用 いられている.また,CSA(Cloud Security Alliance)による STAR(クラウドサービスの 認 証 制 度 ) [3]では,CCM(Cloud Control Matrix)[4]の 管 理 策 の 検 証 として ISMS の 管 理 策 (ISO/IEC27001 の Annex A)が 参 照 されている. 本 稿 では,2013 年 に 改 定 された ISO/IEC27000:2013, 27001:2013,27002:2013*2の 改 定 について 解 説 する.また, 改 定 版 の 使 い 方, 注 意 すべき 点 などを 論 じ 残 された 課 題 に ついてまとめる. 最 後 に, 情 報 セキュリティマネジメント の 変 遷 から, 今 後, 情 報 セキュリティマネジメントの 進 展 について 論 じる. 2. 情 報 セキュリティマネジメント 規 格 の 変 遷 2.1 情 報 セキュリティマネジメント 規 格 の 黎 明 期 情 報 セキュリティマネジメントは,1990 年 以 前 には,ホス トコンピュータのセキュリティとして 議 論 されてきた.こ の 時 代 には,ホストコンピュータがデータセンタなどの 中 で 物 理 的 に 隔 離 された 環 境 の 中 で 利 用 されてきたため,セ キュリティについてはデータセンタ 内 部 でのハードウェア の 管 理 やシステムの 運 用 面 での 論 理 的 なアクセス 管 理 が 中 心 となってきた.1990 年 代 になって,クライアントサーバ 環 境 に 変 わる 中 で, 企 業 の 多 くが, 物 理 的 に 離 れた 環 境 に 設 置 された 複 数 の 機 器 をネットワークで 接 続 し, 様 々な 関 係 者 が 情 報 システムを 利 用 するようになった.このような 状 況 のなかで, 英 国 の DTI(Department of Trade and Industry)のもとで, 英 国 の 大 企 業 が 集 まって 情 報 セキュリ ティの 管 理 策 をまとめた.これらの 企 業 は,ネットワーク を 接 続 したり, 情 報 を 交 換 したりするときに, 相 手 の 情 報 セキュリティの 管 理 状 況 が 分 からないままに, 自 社 の 機 密 *1 ISMS 認 証 は, 組 織 ( 企 業 など)の 事 業 所 や 部 署 を 対 象 に 認 証 を 受 ける ことができる.なお,P マークでは 組 織 単 位 に 認 証 を 受 ける. *2 本 稿 では,ISO/IEC27001 の 場 合 は,27001 の 複 数 の 版 を 総 称 したものと し,ISO/IEC27001:2005 と 年 号 をつけるものは 特 定 の 年 次 の 版 を 指 す 1

情 報 を 相 手 に 渡 せない.そこで, 企 業 で 共 通 に 実 施 されて いるベースラインとしてのセキュリティ 管 理 について 1992 年 に 調 査 を 実 施 して,その 結 果 をまとめた. 企 業 間 で の 取 引 に 関 係 することから DTI がまとめ 役 となったもの の, 国 による 規 制 にすると 貿 易 上 不 利 となるので, 自 主 的 なフレームワークと 考 えて,DISCPD0003 Code of practice for Information Security Management [5]とした.この 規 範 は, 様 々な 企 業 の 参 考 になること, 規 範 を 維 持 管 理 す る 必 要 があることから, 英 国 の BSI(British Standard Institute 英 国 規 格 協 会 )が, 英 国 の 規 格 BS7799-1 [6]とし て 引 き 継 ぐことになった.この 経 過 を 図 2-1 に 示 す. 1987-1990 1992 1995 I-4 baseline Controls (SRI) CCTA Baseline Controls BOC Group, BT, M&S Midland Bank, Nationwide Building Society, Shell, and magnificent seven! DTI Industry Group DTI User Requirement Survey DTI Code of Practice BSI/DISC0007 Code of Practice BS7799-1 の 一 部 には, 既 に DTI の 翻 訳 も 出 回 っており,セキュリテ ィポリシの 策 定 や 内 部 のセキュリティ 基 準 としての 利 用 が 始 まっていた.さらに,グローバルな 企 業 にとっては, 国 内 と 国 外 で 規 格 が 異 なることへの 反 対 もあった. 英 国 では,BS7799-1 を 利 用 する 組 織 が 増 えており,この 規 格 をベースに 情 報 セキュリティを 構 築 していることの 認 証 ニーズが 顕 在 化 していた.そこで,1997 年 に 情 報 セキュリ ティマネジメントの 要 求 条 件 を BS7799-2[12]として 制 定 し,この 要 求 条 件 をもとに 国 内 を 対 象 にした 認 証 制 度 を 開 始 した.これらの 規 格 は 1999 年 に 一 部 改 訂 された. また, 各 国 とも, 企 業 が 情 報 セキュリティマネジメントの 国 際 規 格 を 必 要 としていることから,2000 年 に BS7799-1 が 国 際 規 格 ISOIEC7799:2000 となることを 承 認 した.この 経 過 を 図 2-2 に 示 す. 1995 1996 1997 1998 1999 2000 BS7799-1 rejected by ISO (CA, F, DE, JP, KR, SE, CH, US voted No) Public Consultation on the need for a Benchmarking (ISMS) st5andard BS7799-2 ISMS spec. BS7799-1 and 7799-2 revisions ISO/IEC17799 (7799-1) input in 2000 Published in 2002 図 2-1 1995 年 以 前 の 情 報 セキュリティマネジメント 2.2 情 報 セキュリティマネジメントの 規 格 の 国 際 化 BSI では,1995 年 当 時, 品 質 や 環 境 の 国 際 認 証 をリードし ており,BS7799-1 も, 国 際 間 で 企 業 が 情 報 セキュリティを 国 際 間 で 取 り 決 めする 際 に 利 用 するのに 適 しているとして, 国 際 規 格 として ISO に 提 唱 した.しかし, 標 準 化 を 担 当 し ている ISO/IEC JTC 1/SC 27 - IT Security techniques ( 情 報 セキュリティの 標 準 化 を 担 当 しているグループ)では, 主 要 国 が 基 準 の 必 要 性 に 疑 問 を 呈 して 反 対 した. なお, 日 本 では, 後 年,BS7799-1 が 持 ち 込 まれたときに, この 実 践 規 範 は 誰 もが 従 うべきガイドラインと 誤 解 された. 一 部 には,BS7799-1 や ISACA の CobiT[7]などの 海 外 のフレ ームワークが 意 味 する 概 念 が 分 かりにくいことから,ベス トプラクティスとして 紹 介 された.これは, 多 くの 日 本 企 業 は, 省 庁 などからのガイドラインを 利 用 するという 受 け 身 のマインドであつたため,フレームワークなど 自 社 の 都 合 で 決 めるという 新 しい 概 念 について 取 扱 いに 苦 慮 したた めである.また, 多 くの 企 業 担 当 者 にとっては, お 上 から の 通 達 の 方 が, 内 部 での 意 思 決 定 が 楽 であったという 企 業 カルチャにもよる.このように, 企 業 からの 要 請 が 多 か ったため, 結 局 は, 経 済 産 業 省 が,JIS X.5080 [8]をベー スに 情 報 セキュリティ 管 理 基 準 V.1[9]を 2003 年 に 策 定 し ている. 1997 年 には 経 済 産 業 省 では, 情 報 処 理 サービス 業 情 報 シス テム 安 全 対 策 実 施 事 業 所 認 定 基 準 [10]を 策 定 して, 事 業 者 を 認 定 する 制 度 を 準 備 していたこともあり, 英 国 からの BS7799-1 の 国 際 規 格 化 に 反 対 している.ただし, 日 本 企 業 7 Response was overwhelming with 90% of the 700 organization responding a benchmarking scheme and 65% in favor of the third party certification Certification scheme developed (BSI/DISC) 図 2-2 ISMS 黎 明 期 の 情 報 セキュリティマネジメント 2.3 情 報 セキュリティマネジメントの 規 格 の 国 際 化 日 本 では,2000 年 に ISO/IEC17799 の 国 際 規 格 化 に 賛 成 し たあと,ISMS の 国 内 での 認 証 制 度 を 検 討 して,2001 年 から, JIPDEC( 情 報 処 理 開 発 協 会 )が ISMS の 認 証 制 度 のパイロッ ト 事 業 を 行 い,この 成 果 を 受 けて 2002 年 4 月 より,ISMS の 本 格 運 用 を 始 めた. 認 証 規 格 としては, 要 求 条 件 を BS7799-2, 管 理 策 は ISO/IEC17799:2000 を 用 いた.この 経 過 を 図 2-3 に 示 す. 2000 2005 2006 2008 2011 2013 ISO/IEC17799 (7799-1) input in 2000 Published in 2002 ISO/IEC17799 :2005 ISO/IEC17799 Renamed as ISO/IEC27002 BS7799--2 revised and as ISO/IEC27001 requirement ISO/IEC27001/ 27002 revision decided ISO/IEC27005: 2008 risk management ISO/IEC27000: 2011 vocabulary and ISO/IEC27005: 2011 risk management revised ISO31000:2009 ISO/IEC27000: 2013 ISO/IEC27002: 2013 ISO/IEC27001: 2013 図 2-3 2000 年 以 降 の 国 際 規 格 としての 発 展 2005 年 には, 日 本 や 英 国 での ISMS の 順 調 な 進 展 が 見 られ ることから,BS7799-1 が,ISO/IEC27001:2005 として 国 際 2

規 格 となった.また, 同 時 に ISO/IEC17799:2000 も 内 容 を 見 直 して,ISO/IEC17799:2005 が 発 行 された.この 規 格 は, 名 称 を 合 わせることから,ISO/IEC27002:2005 に 名 称 変 更 された( 内 容 は 変 えずに 表 紙 のみ 差 し 替 え). 3. ISO/IEC27000 シリーズについて ISO/IEC 27001 と 27002 の 規 格 は,ISO/IEC27000:2012[13]の 用 語 を 始 め,ISMS を 実 装 するための 規 格 ISO/IEC27003:2010 [14], 運 用 で 定 量 的 な 管 理 をする 場 合 の 測 定 項 目 に 関 する 規 格 ISO/IEC27004:200[15],リスクマネジメントに 関 する 規 格 ISO/IEC27005:2011[16]が 開 発 されている.これらの 規 格 は, ISO/IEC27000 ファミリー 規 格 と 呼 ばれている.これを 図 3-1 に 示 す. 規 格 名 は, 付 録 2を 参 照 のこと.なお, 現 在 の 規 格 の,27003, 27004,27005 は 2005 年 の 規 格 と 整 合 がとられており,ISO/IEC 27001:2013 や 2700:2013 年 とは 整 合 しない. 現 在,ISO/IEC SC27 で 改 定 作 業 が 実 施 されている.なお,ISO/IEC27000:2014 (Overview and Vocabulary: 概 要 と 用 語 )*3[17]については, ISO/IEC27001:2013 年 版 との 対 応 がとられている. ISMS 要 求 条 件 27003 Implementation Guidance 27001 ISMS Requirements 27004 Management Measurement 管 理 策 27002 Code of Practice 実 装 測 定 評 価 リスクマネジメント 27005 Risk Management 図 3-1 ISO/IEC27000 のファミリー 規 格 について 4. ISO/IEC27001 の 改 定 について 用 語 + 概 要 27000 Overview and Vocabulary 4.1 MSS 共 通 テキストへの 準 拠 ISOでは,2006 年 から2011 年 にかけて,ISO 9001,ISO 14001, ISO/IEC 27001などのISOマネジメントシステム 規 格 (ISO MSS:ISO Management System Standard)の 整 合 性 を 確 保 する ための 議 論 が 行 われて,MSS 上 位 構 造 (HLS),MSS 共 通 テキス ト( 要 求 事 項 ) 及 び 共 通 用 語 定 義 [18]が 開 発 された.この 一 連 のISO MSS 共 通 要 素 は2012 年 2 月 に 承 認 され, 今 後, 制 定 / 改 正 される 全 てのISO MSSが 原 則 としてこのISO MSS 共 通 要 素 を 採 用 して 開 発 することが 義 務 付 けられた[19].これらのISO MSS 共 通 要 素 は,5 月 1 日 に 発 行 されたISO/IEC Directives( 専 門 業 務 用 指 針 )のSupplement( 補 足 指 針 )の 改 訂 版 の 附 属 書 SLに 盛 り 込 まれている.この 構 造 を 図 4-1に 示 す. 内 容 は,マネジメントシス テムとしてのPDCAが 中 心 となっている. *3 この 規 格 は 2010 年,2012 年,2014 年 に 改 定 されているので, 利 用 するときには 注 意 されたい. (1. 適 用 範 囲 ) (2. 引 用 規 格 ) (3. 用 語 及 び 定 義 ) 4. Context of th e organization( 組 織 の 状 況 ) 5. Leadership(リーダーシップ) 6. Planning( 計 画 ) 7. Support( 支 援 ) 8. Operation( 運 用 ) 9. Performance Evaluation(パフォーマンス 評 価 ) 10. Improvement( 改 善 ) MSS(Management System Standard) 図 4-1 ISO MSS 共 通 要 素 [15]より ISO/IEC27001:2013の 改 定 では,このMSSに 準 拠 することになり, 規 格 化 にあたっては,どう 共 通 要 素 を 当 てはめるかがが 議 論 され た.MSSに 準 拠 することと,ISMSの 最 大 の 特 徴 であるリスクベ ースの 考 え 方 を 取 り 入 れることとなった. 具 体 的 には,MSSに 以 下 の 章 を 追 加 している.これを 図 4-2に 示 す. 6.1.2 情 報 セキュリティリスクアセスメント 6.1.3 情 報 セキュリティリスク 対 応 8.2 情 報 セキュリティリスクアセスメント 8.3 情 報 セキュリティリスク 対 応 図 4-2 ISO MSS 共 通 要 素 に 追 加 されたリスク 関 連 4.2 リスクベースの 概 念 への 変 更 ISO/IEC27001:2005では,ISMSを 実 施 するにあたって,リスク を 特 定 するために, 情 報 資 産 *4を 洗 い 出 して, 次 のように 進 める. これは,ほとんどの 情 報 が 紙, 磁 気 記 録 媒 体,メモリ,サーバ, PCなどの 物 理 的 な 媒 体 に 格 納 されていることと,これらの 物 理 媒 体 は 資 産 として 管 理 されることが 多 いことによる.ISMSを 採 用 す る 場 合 には, 組 織 の 膨 大 な 情 報 に 関 連 する 資 産 を 洗 い 出 す 必 要 が あり, 体 系 的 かつ 具 体 的 に 実 施 できることが 必 要 となる.また, 情 報 のリスクへの 責 任 については, 媒 体 を 管 理 する 管 理 者 に 一 意 に 関 係 づけられるからである.これを 図 4-3に 示 す. IT 情 報 資 産 リスク 分 析 対 策 企 業 にとって 価 値 を 生 むIT 個 人 情 報 などの 情 報 資 産 情 報 システム 情 報 資 産 に 関 係 するリスクは 何 か? 資 産 管 理 者 を 決 める 対 策 : 情 報 セキュリティ 対 策 図 4-3 ISO/IEC27001:2005 でのリスク 分 析 の 考 え 方 ISO/IEC27001:2013[20]は,リスクについては,ISO31000:2009 Risk Management[21] 及 びISO Guide73:2009[22]に 基 づき, 目 *4 英 語 では, 資 産 (asset)となっているが,ガイドラインの 利 用 にあたっ て, 誤 解 されないように, 情 報 資 産 と 呼 称 されている. 3

的 に 対 する 不 確 かさの 影 響 としている.これに 基 づき, 情 報 へ のリスクを 考 える 場 合,2000 年 代 と2010 年 代 で 情 報 の 捉 え 方 が 大 きく 変 化 した. 具 体 的 には,2010 年 代 になって,ネットワークが 高 速 広 帯 域 となったため, 情 報 を 一 か 所 のサーバやPCで 管 理 す るのではなく,ネットワークに 接 続 された 複 数 のサーバに 複 数 に 分 散 して 管 理 されたりするようになった.このようになると, 資 産 管 理 者 が 情 報 に 関 して 責 任 をとれないケースも 出 てくる.また, クラウドでは, 物 理 的 にどこに 所 在 するかも 不 明 である.そのた め, 情 報 が 存 在 するポイントでリスクを 管 理 する 責 任 者 を 決 めて, 管 理 責 任 を 果 たさせるように 拡 張 された.これを 図 4-4に 示 す. 情 報 リスク 分 析 対 策 リスクの 見 直 し 組 織 にとって 価 値 を 生 む 情 報 を 特 定 する 情 報 に 関 係 するリスクは 何 か?リスク 管 理 者 を 決 める 対 策 : 情 報 セキュリティ 対 策 情 報 に 関 係 するリスクの 変 化 や 変 更 の 際 に 見 直 し 図 4-4 ISO/IEC27001:2013 でのリスク 分 析 の 考 え 方 すなわち,ISO/IEC27001:2013の 6.1.2 情 報 セキュリティリス クアセスメント では, 以 下 のようなプロセスが 述 べられている. c) 次 によって 情 報 セキュリティリスクを 特 定 する. 1) ISMSの 適 用 範 囲 内 における 情 報 の 機 密 性, 完 全 性 及 び 可 用 性 の 喪 失 に 伴 うリスクを 特 定 するために, 情 報 セキュ リティリスクアセスメントのプロセスを 適 用 する. 2) これらのリスク 所 有 者 を 特 定 する. d) 次 によって 情 報 セキュリティリスクを 分 析 する. 1) c) -1)で 特 定 されたリスクが 実 際 に 生 じた 場 合 に 起 こ り 得 る 結 果 についてアセスメントを 行 う. 2) c) 1) で 特 定 されたリスクの 現 実 的 な 起 こりやすさに ついてアセスメントを 行 う. 3) リスクレベルを 決 定 する. e) 次 によって 情 報 セキュリティリスクを 評 価 する. 図 4-5 新 しいリスク 分 析 の 考 え 方 (ISO/IEC27001:2013[20] の6.1.4 章 より 抜 粋 ) 表 5-1 情 報 セキュリティ 管 理 策 の 変 遷 ISO/IEC27002'2013 DISC PD0003 BSI7799-1 27002:2000 27002:2005 リスク 分 析 序 文 序 文 3 5 情 報 セキュリティのた めの 方 針 群 1 3 3 5 6 情 報 セキュリティのた めの 組 織 2 4 4 6 7 人 的 資 源 のセキュリ ティ 4 6 6 8 8 資 産 の 管 理 3 5 5 7 9 アクセス 制 御 7 9 9 11 10 暗 号 (8) (10) (10) (12) 11 物 理 的 及 び 環 境 的 セ キュリティ 5 7 7 9 12 運 用 のセキュリティ 6 8 8 10 13 通 信 のセキュリティ 6 8 8 10 14 システムの 取 得, 開 発 及 び 保 守 8 10 10 12 15 供 給 者 関 係 - - - - 16 情 報 セキュリティイ ンシデント 管 理 - - - 13 17 事 業 継 続 マネジメン トにおける 情 報 セキュリ 9 11 11 14 ティの 側 面 18 順 守 10 12 12 15 まず,DTIのDISC0003では, 企 業 の 情 報 セキュリティに 関 する 共 通 の 基 盤 とするための 最 小 限 の 情 報 セキュリティ 対 策 がリストア ップされている.また,コントロール 目 標 やコントロール( 管 理 策 )という 概 念 は 述 べられていない.これが,BS7799-1に 引 き 継 がれた 時 点 で,リスクベースの 概 念 が 導 入 され,リスク 分 析 を 実 施 して,セキュリティの 要 求 条 件 を 明 確 にして, 管 理 策 を 選 択 す るという 概 念 が 持 ち 込 まれた.これば, 現 在 のISO/IEC27002の ベースとなっている. なお,リスク 分 析 については,2005 年 の 改 訂 の 時 点 で,この 基 準 だけでリスク 分 析 からリスク 対 策, 管 理 策 の 導 入, 見 直 しができ るようになった.これは,BS7799-2が 国 際 規 格 となっていないた め,リスク 分 析 からのアプローチを 導 入 することにしたためであ る.したがって,ISO/IEC27002:2005 年 版 はある 意 味, 組 織 が 情 報 セキュリティマネジメントを 実 施 する 上 で, 自 己 完 結 した 規 格 であったと 言 えよう.2007 年 に 始 まった 改 定 では,ISO/IEC27001 と27002での 規 格 の 作 られたタイミングの 違 いで,ずれが 生 じて いた 部 分 や 齟 齬 がある 部 分 の 修 正 が 必 須 のこととなった. 5.2 2005 年 版 と 2013 年 版 の 位 置 づけの 変 更 1) 27001 と 27002 の 関 係 について 27001は 認 証 のための 要 求 条 件 であり, 具 体 的 な 管 理 策 について は 付 属 書 Aに 述 べている.この 関 係 を 図 5-1に 示 す. 5. ISO/IEC27002 の 改 定 について 5.1 DISC003 からの 情 報 セキュリティマネジメントの 変 容 について ISO/IEC27002:2013[23]は,2 章 で 述 べたように, 歴 史 の 長 い 規 格 である.DISC0003を 含 めると 既 に,20 年 間 にわたって5つ 目 の 版 が 出 版 されているが, 基 本 的 な 内 容 については,あまり 変 化 はな い. 章 について 比 較 したものを 表 5-1に 示 す. 図 5-1 ISO/IEC27001 付 属 書 AとISO/IEC27002の 管 理 策 の 関 係 この 付 属 書 Aは, 管 理 目 的 と 管 理 策 の 対 応 表 であり, 具 体 的 な 管 理 策 の 内 容 については 記 載 されていない.2005 年 の 改 訂 では,こ 4

の 管 理 目 的 と 管 理 策 は,27002の5 章 以 降 の 章 と 対 応 するように 策 定 されている.また, 今 後,27002をベースにセクター 別 などの 管 理 策 群 を 追 加 できる 構 造 が 可 能 としている. 2) 27002 のタイトルの 変 更 2013 年 の 改 訂 では,2つの 規 格 間 の 整 合 性 をとることが 重 視 さてた ため,ISO/IEC27002:2005に 記 載 されていたリスク 分 析 などがなく なり, 管 理 策 のみの 規 格 となった.また,2つの 規 格 の 位 置 づけを 明 確 にするため, 規 格 のタイトルが,ISO/IEC27002:2005では, Information technology- Security techniques - Code of practice for information security management( 情 報 セキュリ ティ 管 理 の 実 践 のための 規 範 ) となっていたものを, Information technology- Security techniques - Code of practice for information security controls( 情 報 セキュリテ ィ 管 理 策 の 実 践 のための 規 範 ) と 変 えている.そのため,27002 単 独 では 情 報 セキュリティマネジメントを 遂 行 することができな くなっている 点 に 注 意 する 必 要 がある. 5.3 章 構 成 と 管 理 策 について 管 理 目 的, 管 理 策 の 多 くは, 基 本 的 には,ISO/IEC27002:2005のも のを 継 承, 踏 襲 している. 内 容 的 には, 章 の 表 題 と 管 理 策 がほぼ 同 一 となっている. 両 者 の 関 係 を 図 5-2に 示 す.ただし, 実 施 の 手 引 きや 関 連 情 報 については, 見 直 されているものが 多 いので, 管 理 策 が 同 じといっても, 注 意 が 必 要 である. 図 5-3 管 理 策 27002 Code of Practice ネットワーク 事 業 継 続 プライバシ 2703xシリー ズ + 33201 33221 事 業 継 続 分 野 別 管 理 策 管 理 策 と 他 のガイドラインの 関 係 270xxd Code of Practice 2910xシリー ズ 表 5-2 ISO/IEC27002:2013 が 参 照 しているガイドライン 分 野 と 参 照 規 格 13 ネットワークセキュリティ 管 理 ISO/IEC 27033, Information technology Security techniques Network security, Parts 1, 2, 3, 4 and 5 15 サプライチェーンのセキュリティ 管 理 ISO/IEC 27036, Information technology Security techniques Information security for supplier relationships, Parts 1, 2 and 3 16 情 報 セキュリティインシデント 管 理 ISO/IEC 27035, Information technology Security techniques Information security incident management ISO/IEC 27037, Information technology Security techniques Guidelines for identification, collection, acquisition and preservation of digital evidence 17 事 業 継 続 管 理 ISO/IEC 27031, Information technology Security techniques Guidelines for information and communication technology readiness for business continuity ISO 22313, Social security Business continuity management systems Guidance 18 プライバシのフレームワーク ISO/IEC 29100, Information technology Security techniques Privacy framework 図 5-2 ISO/IEC27002:2005と2013の 章 構 成 の 対 応 [24] 管 理 策 については, 技 術 的 なものやマネジメントに 整 合 しないも のが 削 除 されて,133の 管 理 策 が114に 削 減 された.2005 年 以 降 に, ISO/IEC SC27では, 多 数 の 技 術 分 野 の 規 格 が 策 定 されており,と くに,ネットワークのセキュリティ, 情 報 セキュリティインシデ ント 管 理 などのガイドラインが 策 定 されている.また, 事 業 継 続 計 画 したがって, 管 理 策 の 選 択 や 実 施 にあたっては, ISO/IEC27002:2013に 詳 述 するのではなく, 必 要 な 部 分 について は 他 の 規 格 を 参 照 して,マネジメントとして 実 践 する 必 要 がある 部 分 を 詳 述 して, 重 複 を 防 いでいる.そのため, 参 照 されている ガイドラインを 参 考 にする 必 要 がある.この 関 係 を 図 5-2に 示 す. また, 参 照 されるガイドラインを 表 5-2に 示 す. 5.4 セキュリティポリシについて ISO/IEC27002:2005では, 組 織 の 情 報 セキュリティポリシであり, ISO/IEC27001:2005のISMSポリシと 用 語 が 異 なり,かつ, 両 者 の 関 係 が 不 明 確 であった.ISO/IEC27002: 2013では, 方 針 文 書 でなく, 方 針 ( 群 )に 関 する 管 理 策 とした.ポリシを 策 定 する 際,この 中 から 選 択 して, 組 織 のポリシを 策 定 することになり, 両 者 の 齟 齬 が 解 消 された.なお, 組 織 が 実 施 する 管 理 策 をどのように 選 択 す るかが 分 かり 易 くするために, 各 章 の 管 理 策 の 方 針 にあたるもの 許 可 されるIT 使 用 の 方 針 ネットワークセキュリティの 方 針 外 部 委 託 の 方 針 モバイルデバイスの 方 針 等 が 集 められ, 選 択 できる 構 造 としている. 5.5 組 織 について ISO/IEC27002:2005では,6 章 に 組 織 について, 経 営 者,マネジメ メントが 詳 しく 詳 述 されていた.ISO/IEC27002:2013では, 管 理 策 として 必 要 な 最 小 限 の 内 部 組 織 について 役 割 が 述 べられているだ けとなった.とくに, 経 営 層 の 役 割 については,ISO/IEC27014:2013 5

情 報 セキュリティガバナンス[25]を 参 照 することとなった. 一 方, 組 織 にとっては, 昨 今 のモバイル 環 境 でのビジネス 遂 行 が 重 要 な 管 理 対 象 となっている.これを 反 映 する 形 で,6.2 章 にモバイル 機 器 およびテレワーキングが 設 けられている.ISO/IEC27002:2005 までは,アクセス 制 御 の 一 項 目 でしかなかった 管 理 策 群 が, 重 要 な 観 点 としてクローズアップされている. 6.1 内 部 組 織 6.1.1 情 報 セキュリティの 役 割 及 び 責 任 6.1.2 職 務 の 分 離 6.1.3 関 係 当 局 との 連 絡 6.1.4 専 門 組 織 との 連 絡 6.1.5 プロジェクトマネジメントにおける 情 報 セキュリティ 6.2モバイル 機 器 及 びテレワーキング 6.2.1 モバイル 機 器 の 方 針 6.2.2 テレワーキング 図 5-2 ISO/IEC27002:2013の 組 織 について 5.6 新 しい 概 念 や 用 語 の 整 理 ISO/IEC27002: 2013では 次 の 新 しい 概 念 を 取 り 入 れている. 1 関 係 者 の 整 理 今 まで, 関 係 者 としては, 従 業 員, 契 約 者, 第 三 の 利 用 者 となっ ていたが, 第 三 の 利 用 者 が 分 かりにくく,どこまで, 組 織 のセキ ュリティの 管 理 対 象 とするかが 曖 昧 となる 原 因 であった.これを, 供 給 者 関 係 (supplier relationships)という 概 念 を 持 ち 込 み 整 理 した. 一 方, 組 織 の Web にアクセスしてくる 利 用 者 は 第 三 者 として 管 理 対 象 とはしないこととなった. 2 秘 密 認 証 情 報 パスワード 以 外 のバイオメトリックス, 秘 密 鍵 などパスワード 以 外 の 手 段 も 認 証 のための 手 段 となっている 現 実 に 合 わせた 新 しい 概 念 を 取 り 入 れた.ただし, 管 理 策 の 多 くは,パスワードを 念 頭 においたものとなっている. 3 2005 年 版 の 古 い 用 語 を 見 直 した 10.9 電 子 商 取 引 サービス, 10.9.1 電 子 商 取 引, 10.9.2 オンライン 取 引, 10.9.3 公 開 情 報 が,2013 年 版 では, 14.1.2 公 共 ネットワーク 上 の 業 務 処 理 サービスのセキュリティ, 14.1.3 業 務 処 理 サービスのトランザクションの 保 護 となって いる. 4 開 発 に 関 する 具 体 的 な 内 容 を 削 除 セキュアプログラミングの 進 展,SOX などによる 内 部 統 制 の 進 展 などとバッテッングしないように, 一 部 の 管 理 策 を 削 除 している. 12.2 業 務 用 ソフトウェアでの 正 確 な 処 理 12.2.1 入 力 デー タの 妥 当 性 確 認 12.2.2 内 部 処 理 の 管 理 12.2.3 メッセージ の 完 全 性 12.2.4 出 力 データの 妥 当 性 確 認 など. 5ロールベース( 役 割 に 基 づく)のアクセス 制 御 9.2.1 利 用 者 登 録 および 登 録 削 除 については, 9.2.1 利 用 者 登 録 および 登 録 削 除 User Registration and de-registration と 9.2.2 利 用 者 アクセスの 提 供 User Access Provisioning の 二 つに 分 けられた.これは,アクセスについては, 組 織 に 配 属 さ れた 時 点 でIDが 登 録 され,アクセス 権 の 付 与 については, 正 式 な 利 用 申 請 に 基 づいて 役 割 からアクセス 権 を 提 供 (Provisioning) する 考 え 方 である. 5.7 通 信 と 運 用 の 分 離 ISO/IEC27002:2005では, 10 通 信 及 び 運 用 管 理 が 管 理 策 も 多 く, 他 の 章 とのバランスが 悪 かった.これについては, ISO/IEC27002:2013では, 12 運 用 のセキュリティ と 13 通 信 のセキュリティ に 分 けられた.とくに, 情 報 セキュリティマ ネジメントでは, 運 用 に 重 点 が 置 かれたのが 見 てとれる. 5.8 ログについての 誤 解 を 訂 正 ログについては,ISO/IEC27002:2005から, 監 査 ログ(Audit log) という 概 念 が 持 ち 込 まれた.これは,ログ 情 報 を 闇 雲 に 集 めるの ではなく, 監 査 などの 目 的 に 合 わせて 収 集 するという 意 味 であっ たが, 監 査 ログという 言 葉 が 説 明 なしに 用 いられており,マネジ メントに 必 要 なログの 収 集 と 読 まれないという 誤 解 が 生 じていた. そのため,ISO/IEC17799:2000まで 用 いられていたイベントログ に 戻 すことになった.ここでのイベントログの 収 集 は, 利 用 者 の 活 動, 例 外 処 理, 過 失 及 び 情 報 セキュリティ 事 象 を 記 録 し, 保 持 し, 定 期 的 にレビューするためとしている. 5.9 事 業 継 続 管 理 の 位 置 づけの 変 更 事 業 継 続 管 理 は,そもそものガイドラインのDISC0003での 主 要 な 目 的 であった.しかし,2012 年 にISO/IEC22301 22323など の 事 業 継 続 管 理 が 新 しいマネジメントシステムとして 独 立 した. そのため,ISO/IEC27002:2013では 14 事 業 継 続 管 理 から, 17 事 業 継 続 管 理 の 情 報 セキュリティの 側 面 とスコープを 情 報 セキュリティの 範 囲 に 主 題 を 限 定 した.この 観 点 から, 新 しい 17.2( 冗 長 性 ) の 管 理 策 が 追 加 され, 具 体 的 には, 17.2.1 情 報 処 理 施 設 の 可 用 性 を 重 視 し, 情 報 処 理 施 設 は, 可 用 性 の 要 求 に 対 応 するために 十 分 な 冗 長 性 を 実 装 することが 望 ましい. としている. 5.10 プライバシーと PII について ISO/IEC27002:2013では, 今 までの 個 人 情 報 を 18.1.4 プライバ シーおよび 個 人 を 特 定 できる 情 報 (PII)の 保 護 管 理 策 に 拡 張 し ている. プライバシーおよびPIIの 保 護 は, 適 用 がある 場 合 には, 関 連 する 法 令 及 び 規 制 の 要 求 に 従 って 確 実 にすることが 望 まし い. としており, 国 内 的 には 影 響 は 限 定 的 であるが, 海 外 拠 点 においてISMSを 構 築 するときには,その 地 の 法 令 等 が 関 連 しない か 厳 重 にチェックする 必 要 がある. 5.11 暗 号 の 管 理 策 について ISO/IEC27002:2013では, 暗 号 が 様 々な 管 理 策 が 暗 号 化 に 触 れて いることから, 単 独 の 章 にまとめられている. 具 体 的 な 管 理 策 に ついては 利 用 方 針 と 鍵 管 理 の2つとなっている. 5.12 法 令 遵 守 について ISO/IEC27002:2013では, 法 的 な 問 題 について, 従 来 よりも, 法 令 遵 守 を 強 調 している. 例 えば, 暗 号 の 利 用 では, 貿 易 での 制 限 について 述 べ, 供 給 者 関 係 では, 国 が 異 なるサービスについての 法 的 な 問 題 に 注 意 を 促 している. 知 的 財 産 関 係 では,ライセンス の 問 題 や 著 作 権 について 述 べている.さらに,アクセスログの 取 得, 監 視 カメラ, 採 用 前 のスクリーニングなど 個 人 情 報 の 収 集 に 関 わる 管 理 策 では, 地 域 の 法 令 法 制 度 との 調 整 遵 守 を 今 まで より 強 調 している. 6

ISMS( 情 報 セキュリティマネジメントシステム) の 拡 張 5.13 ISMS の 管 理 策 について ISMS の 認 証 では, 図 5-1 に 示 したように,ISO/IEC27001 は 付 属 書 A から 管 理 目 的 に 合 わせて 管 理 策 を 選 択 すること になっている.この 付 属 書 A は,ISO/IEC27002 の 管 理 目 的 と 管 理 策 に 対 応 している.2008 年 に ISO/IEC27011:2008 が 策 定 され, 通 信 分 野 では,27002 と 27011 を 組 み 合 わせて 認 証 を 受 けられるようになった.また,2012 年 には, ISO/IEC IR27015 が 金 融 分 野 を 対 象 に 策 定 された.この 関 係 を 図 6-1 に 示 す. このように ISMS の 認 証 については, 分 野 別 やクラウド, プライバシーなどを 組 み 合 わせて 認 証 できれば, 組 織 が 外 部 に 対 して 説 明 責 任 を 高 めることができる.ISO/IEC SC27 では, 図 6-1 や 図 6-2 の 構 造 をより, 一 般 化 して, 管 理 策 の 追 加 が 容 易 な 構 造 をとることができるようにガイドライ ン ISO/IEC27009 を 策 定 中 である. 図 6-3 に 示 す.このガイ ドラインができれば, 基 本 部 分 としての ISO//IEC27002 と 分 野 別 やサービス 別 に 追 加 の 管 理 策 で 認 証 をより 専 門 化 で ぃるようになる.これによって,ISMS の 認 証 がより, 利 用 者 に 魅 力 的 なものとなると 考 えられる. 図 6-1 分 野 別 の 管 理 策 の 追 加 図 6-3 分 野 別 の 管 理 策 を 追 加 できる 仕 組 み クラウドについては, 当 初,ISO/IEC27002 の 管 理 策 に 追 加 する 案 も 検 討 されたが, 開 発 のスケジュールが 合 わないこ とやクラウドのサービスでは,サービス 提 供 側,サービル 利 用 側 と 分 かれるため,ISO/IEC27002 に 追 加 するのは 得 策 でないこと. 経 済 産 業 省 が 2011 年 に クラウドサービス 利 用 のための 情 報 セキュリティマネジメントガイドライン を 策 定 した.ガイドラインは,ISO/IEC27002 と 組 み 合 わせ て 利 用 すること 意 図 している. 日 本 はこの 構 造 を ISO/IEC SC27 に 提 案 して,ISO/IEC 27017 の 開 発 が 始 まった.これ を 図 6-2 に 示 す. 図 6-2 クラウドの 管 理 策 の 追 加 6. 情 報 セキュリティマネジメントの 課 題 情 報 セキュリティマネジメントは,この 20 年 間 に 大 きく 進 化 して,ISMS による 認 証 制 度 も 大 きく 成 長 した.また,IT の 技 術 進 歩 やマネジメントの 進 化 のおかげで, 管 理 方 法 に ついても 変 遷 している. 事 業 継 続 計 画 については, 重 症 性 が 認 知 されて, 別 の 体 系 として 独 立 した.これに 合 わせて, 情 報 セキュリティ 本 来 の 管 理 策 である 可 用 性 に 落 ち 着 いた. また,インシデント 管 理 については,2005 年 の 改 訂 で 盛 り 込 まれたが,さらに 詳 細 化 されて, 一 つの 管 理 分 野 となっ ている. 現 在 は,サプライチューンセキュリティなど 供 給 者 関 係 が 同 様 に 独 立 した 管 理 体 系 となると 考 えられる. モバイルコンピューティングでは, 個 々の 管 理 策 となって いるが,MDM(Mobile Device Management)というシステ ム 化 が 図 られて 自 動 化 が 進 んでいる. 運 用 面 では,MDM の 管 理 が 新 しい 課 題 となっている.また, 物 理 セキュリテ ィ 分 野 では, 入 退 室 のシステムが 自 動 化 され,このシステ ムの 脆 弱 性 や 運 用 がマネジメントの 新 たな 課 題 となってい る.このように, 情 報 セキュリティマネジメントは,ある 情 報 セキュリティの 問 題 が 表 出 すると,まず, 問 題 が 検 討 されて, 対 策 として,ポリシの 策 定,ルール 化,しくみの 定 常 化 と 進 み, 新 しく 導 入 されたしくみについては, 範 囲 が 大 きい 場 合 には,それだけでマネジメントシステムが 必 要 となるため, 独 立 したものとなる. 一 方,システム 化 さ 7

れたものについては,システムの 運 用 が 新 しい 課 題 となり マネジメントが 深 化 していく.すなわち, 情 報 セキュリテ ィマネジメント 全 体 としての PDCA も 重 要 な 課 題 となって いる. 国 際 規 格 はこれらの 動 向 を 後 追 いするものの, 時 間 遅 れが 問 題 となっている. 7. まとめ 情 報 セキュリティマネジメントは,この 20 年 間 の IT の 進 歩 や 利 用 面 の 変 化 で 位 置 づけが 大 きく 変 わってきている. 企 業 のほとんどが 情 報 セキュリティの 対 策 を 実 施 するよう になっている.これを 支 えてきたのが ISO/IEC27001 と 27002 と 言 えよう. 今 回 の 改 訂 では,ISMS の 認 証 が, ISO9000,14000 などと 共 通 なフレームワークとなり, 企 業 等 の 組 織 にとってより 身 近 なツールとなる. 本 稿 では,こ の 20 年 間 の 動 向 を 俯 瞰 して, 改 定 の 位 置 づけを 明 らかして, 新 しい 規 格 の 動 向 と ISMS の 将 来 像 について 紹 介 した.さ らに, 情 報 セキュリティマネジメントは, 今 後, 運 用 面 が 拡 充 して 別 の 管 理 体 系 となるなり, 自 動 化 して 運 用 そのも のが 変 わることを 紹 介 した. 8. 謝 辞 本 研 究 を 実 施 するにあたり,ISO/IEC SC27の 会 議 に 出 席 す るために,2007 年 ~2011 年 はISACA( 情 報 システムコント ロール 協 会 ),2012 年 はJISC( 情 報 処 理 規 格 協 会 )から 旅 費 を 支 援 して 頂 きました.ここに 感 謝 いたします. また, 本 研 究 を 実 施 するにあたり,アドバイスやコメ ントを 頂 いたISO/IEC SC27 国 内 委 員 会 の 委 員, 情 報 セキュリティ 大 学 院 大 学 の 教 授, 原 田 研 究 室 の 学 生, 客 員 研 究 員 の 皆 様 に 感 謝 いたします. 9. 参 考 文 献 [1] ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems -- Requirements, 2005 年 及 び JIS Q27001:2006 情 報 技 術 -セキュリティ 技 術 - 情 報 セキュリティマネジメントシステム- 要 求 事 項 [2] JIPDEC, 認 証 取 得 組 織 数 推 移, 認 証 機 関 別 県 別 認 証 取 得 組 織 数,www.isms.jipdec.jp/lst/ind/suii.html,2014 年 1 月 アクセス [3] CSA, Security, Trust & Assurance Registry (STAR), //cloudsecurityalliance.org/star/,2014 年 1 月 アクセス [4] CSA, Cloud Controls Matrix v3.0, cloudsecurityalliance.org/download/cloud-controls-matrix-v3/, 2014 年 1 月 アクセス [5] DTI, DISC PD0003, Code of practice for Information Security Management, DTI, 1993 年 9 月 [6] BS7799-1, Code of practice for Information Security Management, 1997 年 9 月 [7] ISACA, CobiT(Control Objectives for IT) version 3, 2000 年 [8] JIS X5080:2002 情 報 技 術 -セキュリティ 技 術 - 情 報 セ キュリティマネジメンの 実 践 のための 規 範 -,2002 年 ( 廃 止 ) [9] 経 済 産 業 省, 情 報 セキュリティ 管 理 基 準 ( 平 成 15 年 に 経 済 産 業 省 告 示 第 112 号 として 制 定 され, 平 成 20 年 に 改 正 ), www.meti.go.jp/policy/netsecurity/.../is_management_standard.pdf,2014 年 1 月 アクセス [10] 経 済 産 業 省, 情 報 処 理 サービス 業 情 報 システム 安 全 対 策 実 施 事 業 所 認 定 基 準 ( 通 商 産 業 省 告 示 406 号 ),1997 年 制 定,2001 年 廃 止 [11] ISO/IEC 17799:2000, Code of practice for Information Security Management, 2000 年 [12] BS7799-2, Information security management systems -- Requirements, 1997 年 [13] ISO/IEC 27000:2012, Information security management systems - Overview and vocabulary [14] ISO/IEC 27003:2010, Information security management system implementation guidance [15] ISO/IEC 27004:2009, Information security management measurements [16] ISO/IEC 27005:2011, Information security risk management [17] ISO/IEC 27000:2014, Information security management systems - Overview and vocabulary [18] ISO, Annex SL(normative) Proposals for management system standards, www.unit.org.uy/misc/anexosl.pdff,2014 年 1 月 アクセス [19] ISO/TMB/TAG 対 応 国 内 委 員 会 事 務 局,ISO マネジメ ン ト シ ス テ ム 規 格 の 整 合 化 に 関 し て ( ISO/TMB/TAG13-JTCG の 動 向 ),2012 年 5 月, www.jsa.or.jp/stdz/mngment/pdf/mns_4.pdf,2014 年 1 月 アク セス [20] ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements, 2013 年 [21] ISO 31000:2009 - Risk management(jis Q31000:2010 リ スクマネジメント- 原 則 及 び 指 針 ),2009 年 [22] ISO Guide 73:2009,Risk management-vocabulary,(jis Q0073:2010 (リスクマネジメント 用 語 ),2009 年 [23] ISO/IEC 27002:2013 Information technology - Security techniques - Code of practice for information security controls, 2013 年 [24] ISO/IEC SC27, SD3 Mapping Old?New Editions of ISO/IEC27001 and ISO/IEC27002, SC 27 N13143, 2013 年 10 月,www.jtc1sc27.din.de/sixcms_upload/media/3031/SD3.pdf, 2014 年 1 月 アクセス [25] ISO/IEC 27014:2013 Information technology - Security 8

techniques - Governance of information security 10. 付 録 1 10.1 外 部 環 境 の 変 化 球 環 境 の 変 化 ITによるモニタリングシステム 自 然 災 害 の 増 加 気 象 のIT 情 報 の 重 要 性 グローバル 化 ( 経 済, 取 引, 流 通, 旅 行, 情 報, ) 企 業 へのITの 普 及 ( 全 企 業 の99%がPCを 活 用 ) テロの 頻 発 テロリストもITを 利 用 中 国,インド,ロシア,ブラジル, 南 アフリカなどの 経 済 発 展 携 帯 電 話 やインターネットを 利 用 EUの 拡 大 (27カ 国 ) 10.2 技 術 の 変 化 IT の 進 歩 が 重 要 クラウド スマートフォン 検 索 サービスの 一 般 電 子 ショッピングの 拡 大 楽 天,Amazon 放 送 のデジタル 化 写 真 のデジタル 個 人 の 無 線 LAN 利 用 地 球 人 口 の 半 数 以 上 が 携 帯 電 話 を 利 用 SNSの 広 がり 高 速 大 容 量 ブロードバンド 組 み 込 みコンピュータの 広 がり 車 の 自 動 運 転 スマートグリッド スマートメータ 電 子 マネーの 拡 大 入 退 出 管 理 システムの 普 及 監 視 カメラのデジタル 化 と 普 及 10.3 関 連 法 令 制 度 の 変 化 IT,ネットワークへの 対 応 個 人 情 報 保 護 法 完 全 施 行 (2005) 金 融 商 品 取 引 法 の 内 部 統 制 報 告 書 制 度 (2007) 特 定 電 子 メールの 送 信 の 適 正 化 等 に 関 する 法 律 (2008) 不 正 競 争 防 止 法 の 改 正 (2011) 不 正 アクセス 禁 止 法 の 改 正 (2012) 不 正 指 令 電 磁 的 記 録 :ウィルス 作 成 罪 (2011) 著 作 権 法 改 正 (2012) プロバイダ 責 任 制 限 法 (2007) 情 報 セキュリティガバナンス 制 度 (2005-2010) 情 報 セキュリティ 監 査 制 度 (2004) 10.4 事 件 事 故 機 密 性 ( 個 人 情 報 漏 えい) 個 人 情 報 漏 えい 事 故 多 発 (JNSA IISECのインシデント 調 査 ) Winny 利 用 PCのウイルス(ワーム)(2005) ボーダーレス(Sony 個 人 情 報 流 出 (2011 年 )) 米 復 員 軍 事 省 の 管 理 する 退 役 軍 人 の 約 2,000 万 件 の 個 人 情 報 漏 え い(2006) 自 衛 隊 のイージス 艦 機 密 情 報 内 部 漏 えい 事 件 (2007) 小 規 模 な 情 報 漏 洩 えいについては 増 加 傾 向 にある(JNSAと 情 報 セキュリティ 大 学 院 大 学 によるインシデント 調 査 ) 10.5 可 用 性 完 全 性 全 日 空 の 発 券 システムで 障 害 (2007) ファーストサーバの 障 害 とデータ 消 失 (2012) みずほ 銀 行 システム 障 害 (2011) Gumblerウイルスによる 改 ざん 被 害 (2009) 東 京 証 券 取 引 所 システム 障 害 (2005) 311 東 日 本 大 震 災 に 伴 う 情 報 システムへの 被 害 (2011) 10.6 その 他 食 品 偽 装 (2007) 消 えた 年 金 記 録 問 題 (2007) Googleストリートビュー 開 始 (2008) パンデミックが 明 らかにしたBCPの 不 備 (2009) ウィキリークス(2010) イカタコウイルス 作 者 器 物 損 壊 容 疑 で 逮 捕 (2010) 尖 閣 諸 島 中 国 漁 船 衝 突 映 像 流 出 (2010) 大 阪 地 検 特 捜 部 証 拠 改 竄 事 件 (2010) アノニマス(2011) 11. 付 録 2 ISO/IEC27000 ファミリー 規 格 標 準 英 語 名 称 標 準 実 施 年 概 要 日 本 基 準 Information technology Security techniques Information IS ISO/IEC27000 標 準 あり 情 報 セキュリティ 管 理 に 関 する 用 語 集 JIS Q27000 security management systems Overview and vocabulary 2014 Information technology Security techniques Information IS 情 報 セキュリティ 管 理 の 要 求 条 件 ISO/IEC27001 標 準 あり JIS Q27001 security management systems Requirements 2013 ISMS 認 証 基 準 Information technology Security techniques Code of IS ISO/IEC27002 標 準 あり 情 報 セキュリティ 管 理 の 技 術 管 理 項 目 JIS Q27002 practice for information security management 2013 Information technology Security techniques Information 標 準 あり WD ISO/IEC27003 情 報 セキュリティの 実 装 方 法 security management system implementation guidance 改 訂 開 始 2016 Information technology Security techniques Information 標 準 あり WD ISO/IEC27004 情 報 セキュリティ 管 理 のための 測 定 方 法 security management measurements 改 訂 開 始 2016 Information technology Security techniques Guidelines 標 準 あり WD ISO/IEC27005 情 報 セキュリティ 分 野 のリスク 管 理 未 定 for information security risk management 改 訂 開 始 2016 Information technology Security techniques 標 準 あり IS ISO/IEC27006 Requirements f or bodies providing audit and certification of ISMSの 認 証 機 関 に 対 する 要 求 条 件 JIS Q27006 改 定 中 2011 information security management systems Information technology Security techniques Guidelines IS ISO/IEC27007 標 準 あり 情 報 セキュリティ 内 部 監 査 のガイドライン f or inf ormation security management systems auditing 2011 Information technology Security techniques Guidance for ISO/IEC TR auditors on information security management systems 標 準 あり 情 報 セキュリティ 監 査 の 技 術 ガイドライン TR27008 2011 controls Information technology Security techniques Information IS ISO/IEC27010 標 準 あり 産 業 間 の 情 報 セキュリティ 管 理 security management for inter-sector communications 2012 Information technology Security techniques Information 標 準 あり WD 情 報 通 信 事 業 者 が27002を 用 いて 情 報 セキュリ ISO/IEC27011 security management guidelines for telecommunications 改 訂 開 始 2016 ティ 管 理 を 実 施 するためのガイドライン organisations based on ISO/IEC 27002 Information technology Security techniques Guidance on IS ISO/IEC20000-1と27001の 両 方 の 認 証 を 統 合 ISO/IEC27013 the integrated implementation of ISO/IEC 20000-1 and 標 準 あり 2012 的 に 受 けるときのガイドライン ISO/IEC 27001 Information technology Security techniques Governance IS ISO/IEC27014 標 準 あり 情 報 セキュリティガバナンスのガイドライン JIS Q27014 of Information security 2013 Information technology Security techniques Information IS 金 融 証 券 業 向 けの 情 報 セキュリティ 管 理 シス ISO/IEC27015 security management system for financial and insurance 標 準 あり 2013 テム services sector 標 準 英 語 名 称 標 準 実 施 年 概 要 日 本 基 準 ISO/IEC Information technology Security techniques Information 標 準 あり IS ISMSの 経 済 性 TR27016 security management Organizational economics 2014 Information technology Security techniques Guidelines on 標 準 化 CD 情 報 セキュリティ 管 理 の 要 求 条 件 ISO/IEC27017 ISMS for the use of cloud computing services 作 業 中 2015 ISMS-Cloud 認 証 基 準 Information technology Security techniques Guidelines on 標 準 化 WD 情 報 セキュリティ 管 理 の 要 求 条 件 ISO/IEC27018 ISMS for the use of cloud computing services 作 業 中 2016 ISMS-プライバシ 認 証 基 準 The Use and Application of ISO/IEC 27001 for 標 準 化 WD I ISMS 認 証 における 要 求 条 件 に 付 加 的 な 基 準 を ISO/IEC27009 Sector/Service-Specific Third-Party Accredited Certifications 提 案 中 2016? 組 み 合 わせるときの 考 え 方 (2013 年 末 の 状 況 ) 12. 付 録 3 ISO/IEC 27001:2013 の 目 次 1. 適 用 範 囲 2 引 用 規 格 3 用 語 及 び 定 義 9

4 組 織 の 状 況 4.1 組 織 及 びその 状 況 の 理 解 4.2 利 害 関 係 者 のニーズ 及 び 期 待 の 理 解 4.3 情 報 セキュリティマネジメントシステムの 適 用 範 囲 の 決 定 4.4 情 報 セキュリティマネジメントシステム 5 リーダーシップ 5.1 リーダーシップ 及 びコミットメント 5.2 方 針 5.3 組 織 の 役 割, 責 任 及 び 権 限 6 計 画 6.1 リスク 及 び 機 会 に 対 処 する 活 動 6.1.1 一 般 6.1.2 情 報 セキュリティリスクアセスメント 6.1.3 情 報 セキュリティリスク 対 応 6.2 情 報 セキュリティ 目 的 及 びそれを 達 成 するための 計 画 8 運 用 8.1 運 用 の 計 画 及 び 管 理 8.2 情 報 セキュリティリスクアセスメント 8.3 情 報 セキュリティリスク 対 応 9 パフォーマンス 評 価 9.1 監 視, 測 定, 分 析 及 び 評 価 9.2 内 部 監 査 9.3 マネジメントレビュー 10 改 善 10.1 不 適 合 及 び 是 正 処 置 10.2 継 続 的 改 善 13. 付 録 4 ISO/IEC 27002:2013 の 目 次 0 序 文 0.1 背 景 及 び 状 況 0.2 情 報 セキュリティ 要 求 事 項 0.3 管 理 策 の 選 定 0.4 組 織 固 有 の 指 針 の 策 定 0.5 ライフサイクルに 関 する 考 慮 事 項 0.6 関 連 規 格 1 適 用 範 囲 2 引 用 規 格 3 用 語 及 び 定 義 4 規 格 の 構 成 4.1 箇 条 の 構 成 4.2 管 理 策 のカテゴリ 5 情 報 セキュリティのための 方 針 群 5.1 情 報 セキュリティのための 経 営 陣 の 方 向 性 6 情 報 セキュリティのための 組 織 6.1 内 部 組 織 6.2 モバイル 機 器 及 びテレワーキング 7 人 的 資 源 のセキュリティ 7.1 雇 用 前 7.2 雇 用 期 間 中 7.3 雇 用 の 終 了 及 び 変 更 8 資 産 の 管 理 8.1 資 産 に 対 する 責 任 8.2 情 報 分 類 8.3 媒 体 の 取 扱 い 9 アクセス 制 御 9.1 アクセス 制 御 に 対 する 業 務 上 の 要 求 事 項 9.2 利 用 者 アクセスの 管 理 9.3 利 用 者 の 責 任 9.4 システム 及 びアプリケーションのアクセス 制 御 10 暗 号 10.1 暗 号 による 管 理 策 11 物 理 的 及 び 環 境 的 セキュリティ 11.1 セキュリティを 保 つべき 領 域 11.2 装 置 12 運 用 のセキュリティ 12.1 運 用 の 手 順 及 び 責 任 12.2 マルウェアからの 保 護 12.3 バックアップ 12.4 ログ 取 得 及 び 監 視 12.5 運 用 ソフトウェアの 管 理 12.6 技 術 的 ぜい 弱 性 管 理 12.7 情 報 システムの 監 査 に 対 する 考 慮 事 項 13 通 信 のセキュリティ 13.1 ネットワークセキュリティ 管 理 13.2 情 報 の 転 送 14 システムの 取 得, 開 発 及 び 保 守 14.1 情 報 システムのセキュリティ 要 求 事 項 14.2 開 発 及 びサポートプロセスにおけるセキュリティ 14.3 試 験 データ 15 供 給 者 関 係 15.1 供 給 者 関 係 における 情 報 セキュリティ 15.2 供 給 者 のサービス 提 供 の 管 理 16 情 報 セキュリティインシデント 管 理 16.1 情 報 セキュリティインシデントの 管 理 及 びその 改 善 17 事 業 継 続 マネジメントにおける 情 報 セキュリティの 側 面 17.1 情 報 セキュリティ 継 続 17.2 冗 長 性 18 順 守 18.1 法 的 及 び 契 約 上 の 要 求 事 項 の 順 守 18.2 情 報 セキュリティのレビュー 10