NTTデータ・セキュリティ創立10周年特別コラム情報セキュリティの10大潮流－その1－
～情報セキュリティ評価・認定フレームの確立～

情報セキュリティは前々回のコラム(2009.05.01)<参考1>でも説明しましたように、技術をベースとして始まり、セキュリティのマネジメント時代を経て、現在ガバナンスの時代に入っております。この情報セキュリティは、主に組織内(企業や行政府など)の「セキュリティ管理の確立」に向けた動きとネットワークを通じた電子取引を視野に入れた「安全安心な電子社会の構築」に向けた動きの2つに分けられます。
<参考1> 創立10周年 特別コラム「情報セキュリティの10大潮流」～プロローグ～
　http://www.nttdata-sec.co.jp/article/security/090501.html

「セキュリティ管理の確立」では、1990年代後半から2000年代初頭にかけて世界的な動きとなったセキュリティの評価・認定の基準となる標準化や制度の構築です。これが第1の潮流「セキュリティ評価・認定フレームの確立」です。この評価認定制度の確立と同時期に、個人情報の漏洩に関わる「個人情報保護法」、営業秘密の漏洩に関わる「不正競争防止法」が相次いで制定され、これが第2の潮流「情報漏洩への社会的取り組み」です。これらの情報漏洩防止に関する法律の制定により、セキュリティ管理が特にわが国において定着したといえます 。
さらに米国SOX(企業改革法)を契機として企業のガバナンスが世界的に求められ、日本でも2006年に金融商品取引法の中で証券取引法の改正の形で日本版SOX法が制定されました。SOX法では企業内の内部統制が求められますので、当然情報セキュリティはその要になっております。これが第3の潮流「ガバナンス(内部統制)時代の到来」です。
SOX法や新会社法に見られるように企業には、内部統制を通じた社会的責任(CSR)が強く求められるようになってきました。こうした動きを企業へのリスクと捉えて、新しいリスクマネジメントに基づいたビジネス展開を進めるイノベーションがおき始めています。これが第4の潮流「新しいリスクマネジメント」です。
第5の潮流「事業継続管理(BCM)」は、国際的な議論も進み、そろそろ国際標準化(ISO化)されようとしています。日常的には頻度は少ないものの、想定される被害が大規模な災害、テロ、新型インフルエンザに対応したBCMが注目されているところです。

安全な電子政府に向けて国が動きだした2005年には、内閣官房情報セキュリティセンタ(NISC)が開設され、個人から企業・自治体、商取引、インフラの各分野で精力的に展開し始めました。これが第1の潮流「情報セキュリティ政策の推進」です。安全安心な電子社会構築のうちで商取引の安全性を確保する技術開発や法制度が整備されつつあります。これが第2の潮流「安全な商取引の展開」です。
一方電子社会の進展にともなってペーパドキュメントに代わって電子ドキュメントの流通が必須となり法整備も進んできました。同時に電子文書特有の脆弱性を有する電子文書に対する、安全性の確保が求められるようになってきました。これが第3の潮流「電子文書基盤の確立」です。そして電子社会の進展にともなって安全性が増す反面依然としてネットに関わる不正、犯罪が絶えず、主に法制度、教育の観点から対応が積極的に進められています。これが第4の潮流「ネットの健全性確保(不正対応への取組み)」です。
最後に第5の潮流「基盤的技術の進展」は、暗号技術や不正コードなどに対する防御技術などの基盤技術をとりあげます。

■■　セキュリティ管理の確立【カテゴリ1】　■■

第1の潮流「情報セキュリティ評価・認定フレームの確立」

(1) 情報セキュリティマネジメントシステム(ISMS)

ネットワークや電子化の進展から情報の安全確保に関わる関心が急速に増し、1990年代初頭から大企業を中心に情報セキュリティへの組織的な取り組みを本格化させてきました。同時に情報資産を安全に運用するために、組織としての方針、目標を定め整備していくために体系化された情報セキュリティマネジメントシステム(ISMS：Information Security Management System)が強く要求されてきていました。
英国規格協会(BSI)では、特にセキュリティの運用管理に重点を置いたISMSの規格(BS7799)を1995年策定しました。
BS規格はパート1とパート2の2部構成で、パート1(1995年策定)には情報セキュリティ管理の実施基準が規定され、ISO/IEC17799として国際標準化されました。パート1には、「セキュリティポリシー」「セキュリティ組織」「情報資産の分類および管理」など、10の管理分野があり、それぞれの分野について管理策がリストアップされています。パート2は実施すべき作業が列記されて審査や認証目的に使えるものです。
パート1,2とも2005年にはISO/IEC27000シリーズとして統合されました。
日本では情報処理サービス業のコンピュータシステムが十分な安全対策を実施しているかどうかを認定する制度として「情報システム安全対策実施事業所認定制度」(以下、安対制度という)がありました。平成12年にこの安対制度を廃止し、技術的なセキュリティのほかに、人間系の運用・管理面をバランス良く取り込み、時代のニーズに合わせた新しい制度として、ISMS適合性評価制度<参考2>を創設することとなりました。現在、財団法人　日本情報処理開発協会(JIPDEC)が制度を運用し、認証取得事業者数<参考3>は2009年7月13日時点で3,224事業所と日本が群を抜いて世界一となっています。
<参考2> ISMS適合性評価認定制度　http://www.isms.jipdec.jp/isms.html
<参考3>
・認証取得組織数推移、認証機関別・県別認証取得組織数
　http://www.isms.jipdec.jp/lst/ind/suii.html
・各国のISMS認証取得組織数
　http://www.iso27001certificates.com/Register%20Search.htm

(2) 情報セキュリティ監査制度

情報セキュリティ監査制度は、情報セキュリティマネジメントの確立をはじめとした情報セキュリティ対策の評価を、専門知識を持ったものが行う制度で経済産業省が2003年に創設した制度です。ISMSは国際基準で定められた認証基準に対して認証し、その認証基準は汎用的ですが、情報セキュリティ監査では、組織の監査ニーズに応じて個別の管理基準の策定が可能で、情報資産に特化した監査を受けることもできる、より自由度の高い制度です。 また情報セキュリティ監査制度は、情報セキュリティ監査を通じて、組織の情報セキュリティ対策のレベルを向上させ、ISMS認証取得レベルにまで到達するような仕組みともなっています<参考4>。

<参考4> JASA日本セキュリティ監査協会 http://www.jasa.jp/kansa/katsuyou.html

(3) セキュリティ製品の評価認定制度

セキュリティ製品に関する情報セキュリティ評価の国際基準としては、1999年ISO/IEC15408が策定され、ITSEC(Information Technology Security Evaluation Criteria)やCC(Common Criteria)とも呼ばれています。ISO/IEC15408<参考5>では評価保証レベル(EAL :Evaluation Assurance Level)が規定され、レベル付けが決められています。EALは1～7までの7階層のEALをあらかじめ定義されており、レベルの数値が高いほど保証の程度が厳密になります。

<参考5> ISO/IEC15408　 http://www.ipa.go.jp/security/jisec/index.html

(4) プライバシーマーク制度

プライバシーマーク制度<参考6>は、実効性のある個人情報の保護のため「JIS Q 15001個人情報保護マネジメントシステム」に適合して、適切な保護措置を整備している事業者等を認定して、プライバシーマークを付与する制度です。財団法人日本情報処理開発協会では1998年より運用を開始しています。

<参考6> プライバシーマーク制度　 http://www.jipdec.or.jp/

(5) 新たな情報セキュリティ評価の仕組み

－PCI DSS－

PCI DSS(Payment Card Industry Data Security Standard)は、カード情報を扱う全てのクレジットカード事業者が遵守すべきセキュリティ基準として国際カードブランド5社<注1>が2004年12月に共同で策定したものです。ネットワークの設定やパスワードの管理、ウイルス感染の防止、データ暗号化等12項目でカード加盟店や決済代行事業者が遵守すべき最低限の基準を決めています。PCI DSSはクレジットカード決済に関わるセキュリティ基準ですが、規定内容が実際的で具体的なベストプラクティスとして作られていることから<注2>、米国ではサプライチェーンリスクの低減を図るものとして業界横断的に高く評価され注目されています。また米国では、PCI DSSの法的な義務付けも進でいるところです。<注3>
日本においてもその認知が広がりつつあり、オンラインショッピング従事者の約4割がPCI DSSの概要を知っており、見聞きしたレベルでの認知度は6割を超えているようです<参考7>。

－広がるセキュリティ基準の範囲－

PCI DSSの他にもカード決済に関係するアプリケーションソフトやデバイスの規格策定が進んでいます。

• PA-DSS(Payment Application Data Security Standard)：ペイメントアプリケーションソフトに対するセキュリティ基準
• PED(PCI PIN Entry Device)：PDSデバイス等に対するセキュリティ基準

また、クレジット決済と関係なく、PCI DSSを製品の実装基準として準拠していることをアピールしているベンダも出てきています。
なお、NTTデータセキュリティ(株)は日本で最初の認定審査機関(QSA)を取得して、PCI DSS関連セキュリティサービスを提供しています。

<注1> 5社は米ビザ・インターナショナル、米マスターカードインターナショナル、米アメリカン・エクスプレス、JCB、米ダイナースクラブ

<注2> パスワードに関わる規定の例：パスワードは7文字以上の数字とアルファベットを含み90日毎に変更すること、6回の試行で認証確認が取れない場合はロックする。

<注3> テキサス州：DSSに準拠せずに漏洩事件が発生した場合は、金融機関は損害賠償請求訴訟を起こすことができる(2007年)、またマサチューセッツ、ミネソタ、カルフォルニアの各州でも義務化法案が成立している。

<参考7> オンラインショップ運営者におけるPCIDSS 認知度調査
　https://shop.ns-research.jp/form/fm/pcidss

(6) その他のセキュリティ評価

－情報セキュリティ格付け－

情報セキュリティの格付けは、企業などの組織の情報セキュリティをマネジメントの成熟度、テクノロジーのレベル、コンプライアンスへの取り組み状況といった観点で定量化し、記号や数値などを用いて指標化するものです。今後のグローバル展開での必要性から、経産省を中心とした行政府のセキュリティ戦略の中でも検討されてきているテーマで、2008年には情報セキュリティ格付会社　アイ・エス・レーティング<参考8>が設立されています。

－情報セキュリティ成熟度モデルの適用－

情報セキュリティ対策の整備状況を評価判断する基準を明確化する成熟度モデルが注目されています。環境変化に対応したセキュリティ対策やセキュリティレベルの高水準化に向け、セキュリティ対策の改善に有用であるとして、セキュリティ監査への導入が始まっています。 セキュリティ成熟度モデルはNIST,COBITで提案されており、国際標準としてはSSE-CMM(Systems Security Engineering - Capability Maturity Model)「セキュリティエンジニアリングに関する組織能力成熟度モデル」<参考9>が規定されております。

<参考8> 情報セキュリティ格付け会社　http://www.israting.com/
<参考9> IPAの調査(SSE-CMM)
　http://www.ipa.go.jp/security/awareness/vendor/ssecmm.html