情報セキュリティに関する規格

情報セキュリティに関して様々な規格が存在します．「JIS規格」などでは，この解説でもすでに登場していますし，情報セキュリティ分野に限らず「JISマーク」などで身近な工業製品でも見ることがあります．「JIS規格」は日本工業標準調査会というところで定めている日本の規格です．日本以外でも各国の標準を決める団体があり，国際的な規格を決める団体があります．

標準と標準化団体

「標準」とはなんでしょうか．情報セキュリティに限らず，様々な分野で「標準」が存在します．例えば，ネジひとつをとっても，標準に合わせて作られています．標準の規格が決まっていれば，特殊なネジを作る必要はなく，ネジの提供者も標準の規格に合わせて作ってさえいれば，それを使ってくれる人がいることになります．つまり，「標準」とは，なんらかのモノを使うためのモノサシであり，モノを提供するための基準となります．「標準」は「スタンダード」と表現されることもあります．

「標準」(スタンダード)と言うからには，みんなが使わなければなりません．みんなが使うためには，誰か一人が「これが標準です」と叫んでも(普通は)使ってくれません．いろいろな案を検討し，それがお互いに使えるものであることを納得して決めていく必要があります．そのような「標準」を決める組織を「標準化団体」と呼んでいます．

一人で決めても「標準」として使ってくれないと書きましたが，実は一人(あるいは一組織)が決めたものが「標準」になる場合があります．これをデファクト(de facto)・スタンダードと呼びます．例えば，ビデオテープのVHSはデファクト・スタンダードになります．

デファクト・スタンダードに対して，国際標準化団体などが定めた標準をデジュール(de jure)・スタンダードと呼びます．デファクト・スタンダードが国際標準化団体が採用して，デジュール・スタンダードになるようなケースもあります．

日本には日本工業標準調査会(以下JISC: Japanese Industrial Standards Committee)が工業製品などの標準を定めています．JISCは経済産業省の中の審議会組織で，独立した団体ではありません．

それでは，主な団体について説明をしていきます．

(オアシス)(略称 OASIS: Organization for the Advancement of Structured Information Standards)
http://www.oasis-open.org/
http://www.oasis-open.org/jp/
　アプリケーション寄りの国際標準を定める国際的な非営利団体．
 SAML(Security Assertion Markup Language)やXACML(eXtensible Access Control Markup Language)などを定めている．

国際標準化機構(略称 ISO: International Organization for Standardization)
http://www.iso.org/
　各国の標準化団体が参画し，国際的な標準を決める団体．電気技術分野および電子技術分野を除く産業分野の国際標準規格を策定します．ISOで定めた規格はISO 7498などのように表記されます．

国際電気標準会議(略称 IEC: International Electrotechnical Commition)
http://www.iec.ch/
　各国の標準化団体が参画し，国際的な標準を決める団体．電気技術分野および電子技術分野の国際標準規格を策定します．IECで定めた規格はIEC 60839 などのように表記されます．

ISOとIECは合同の委員会を設置し，共通の規格も定めています．情報セキュリティに関する規格のほとんどはISOとIECの合同委員会によって策定され，ISO/IEC 27001のように表記されます．ISO/IEC合同委員会で検討した規格は，各国の標準化団体メンバーの投票によって採択の可否を問い，75%以上の賛成によって国際標準として公開されます．

英国規格協会(略称 BSI: British Standards Institusion)
http://www.bsi-global.com/
　英国の標準化団体．BSIで定められた規格は BS7799などのように表記されます．

(米国)トレッドウェイ委員会組織委員会
（略称 COSO:Committee of Sponsoring Organizations of Treadway Commission）
http://www.coso.org/
　財務報告の質を向上させるためにアメリカ公認会計士協会(AICPA)は、アメリカ会計学会、財務担当経営者協会、内部監査人協会、全国会計人協会によって組織された委任意団体．内部統制や企業統治の面から，Enterprise Risk Management Framework(COSO ERM)が注目を浴びています．

経済協力開発機構(OECD: Organization for Economic Cooperation and Development)
http://www.oecd.org/
 OECD（経済協力開発機構）はヨーロッパ諸国を中心に30ヶ国が加盟する国際機関．国際マクロ経済動向、貿易、開発援助といった分野に加え、ガバナンスといった分野についても加盟国間の分析・検討を行っています。「プライバシー保護と個人データの国際流通についてのガイドライン」(http://www.mofa.go.jp/mofaj/gaiko/oecd/privacy.html)や「OECD情報システム及びネットワークのセキュリティのためのガイドライン – セキュリティ文化の普及に向けて」(http://www.meti.go.jp/policy/netsecurity/oecd2002.htm)などが有名です．

英国中央コンピュータ・電気通信局(略称 CCTA: the Central Computer and Telecommunications Agency)
http://www.ccta.gov.uk/
 英国の政府組織ですが，内部統制（ガバナンス)に必要な「リスクアセスメント」の手法などを公表しているため，情報セキュリティ分野でも覚えておく必要がある機関です．リスクアセスメントのためのCRAMMやITILなどを公開しています．(CRAMMやITILについては後述します)

インターネット・ソサエティ(略称 ISOC: Internet Society)
http://www.isoc.org/
http://www.iaj.or.jp/isoc-jp/indexj.html
　「ISOC(インターネット・ソサエティ）は、1992年に設立されたもので、米国バージニア州（ワシントンの近く）に本部を置く、インターネット関係では最大の非営利団体である。この組織は一種の国際的な学会であるが、業界団体のような性格も持っている。」(ISOC-JPのホームページより)
　インターネットで使用される技術やプロトコル(手順)の標準を定め，RFC(Request for Comment)として公表しています．

情報システムコントロール協会（略称 ISACA: Information Systems Audit and Control Association）
http://www.isaca.org/
http://www.isaca.gr.jp/homepage_j.htm

T.B.D.

日本工業標準調査会(略称 JISC: Japanese Industrial Sstandards Committee)
http://www.jisc.go.jp/
　経済産業省の審議会．日本の工業製品の標準規格を定めています．規格はJIS規格と呼ばれています．JIS規格はAからZのカテゴリに分けられ，情報処理に関する規格はXカテゴリになります．情報セキュリティに関する規格もXカテゴリになります．技術的な標準としてTR(Technical Report)があり，情報セキュリティはTR Xとなります．
　品質に関する基準はQカテゴリになりますが，情報セキュリティの品質や評価の基準はQカテゴリにも含まれています．

日本情報処理開発協会(略称 JIPDEC: Japan Information Processing Development Corporation)
http://www.jipdec.jp/
　経済産業省を中心とする情報化政策に関連して，ISMS（情報セキュリティマネジメントシステム）適合性評価制度やプライバシーマーク制度の運用などの事業を行っています．リスクアセスメントの手法であるJRAMやJRMSを公開しています．

週一ペースで更新している情報セキュリティ解説です．今回は「脅威」を分類します．

脅威の分類

脅威にはどのようなものがあるのかを考えて見ます．

ここでまた車の例に戻って考えて見ましょう．自動車が晒される脅威にはどのようなものがあるでしょうか．まず盗難などが思い浮かびます．次に車の中を覗くという脅威があります．地震や洪水などの自然災害による脅威もあります．時には，部品に不具合があり，リコールが行われることもあります．テレビや映画に出てくるように，ブレーキに細工をして犯罪につなげるようなことも，おそらくあるでしょう．

前回まではセキュリティの「対象による分類」について説明しました．今回は「目的による分類」として，「予防セキュリティ」，「臨床セキュリティ」，「戦略セキュリティ」について紹介します．

「セキュリティの分類」四回目です．「組織セキュリティ」について説明します．

「セキュリティの分類」三回目です．「人的セキュリティ」について説明します．

論理セキュリティ

「論理セキュリティ」という言い方は，「物理セキュリティ」に対応する呼び方で，コンピュータシステムに対する物理セキュリティ以外のセキュリティを指します．「情報セキュリティ」を狭い意味で使用する場合には，「論理セキュリティ」とほとんど同じ意味になります．

こうした分類を行うのは，名前のない漠然とした領域のままでは物事にヒトが馴染めないからなのですが，逆に名前をつけて分類すると分類自体が目的となってしまったり，初めて学ぶ人の障壁になったりします．特に，「論理セキュリティ」というような漠とした名前は一般にも馴染みが無いため，なんだか難しそうに聞こえてしまいます．

しかし，分類の中身は，要するにソフトウェアなどで守ることや，物理的に人が近づかなくても盗めてしまう「情報」の守り方を指しています．さらに，物理的に接触が許される環境でも，権限のない人からどのように「情報」そのものを守るかというのが，「論理セキュリティ」になります．ここでは，大きく分けて 「ネットワークのセキュリティ」と「ホストのセキュリティ」を紹介しておきます．

情報資産を守るのが情報セキュリティであると書きましたが，情報資産を守るには様々な方法で対策をとる必要があります．そこで，情報セキュリティの方法を分類してみます．まず，何に対するセキュリティかという観点から物理セキュリティ，論理セキュリティ，人的セキュリティ，組織セキュリティの4つに分けて記述します．次に，何を目的とするセキュリティかという観点から，予防セキュリティ，臨床セキュリティ，戦略セキュリティの3つを紹介します．

本日は，対象による分類として「物理セキュリティ」について紹介します．

前回までに，情報セキュリティとはどのようなものであるかを身近な自動車に置き換えて説明しました．車と車の中の物を守るように，情報を可用性，完全性，機密性の面から維持することを情報セキュリティと呼びます．

情報資産とは

情報セキュリティは機密性，完全性，可用性によって「情報資産」を守るためにあります．それでは「情報資産」とは何でしょうか．

先日紹介した他にも情報セキュリティの分野でよく使用される用語がありますので，以下に定義しておきます．いずれもJIS規格からの引用です．

脅威，脆弱性，リスク，攻撃

脅威(threat)：JIS X 0008:2001 08.05.04

セキュリティの潜在的な違反．

ぜい(脆)弱性(vulnerability)：JIS X 0008:2001 08.05.08

データ処理システムの弱点または欠陥．

危機(risk)：JIS X 0008:2001 08.05.09

特定の脅威がデータ処理システムの特性のぜい弱性を利用する可能性．

攻撃(attack)：JIS X 0008:2001 08.05.19

セキュリティに違反しようとする試み．例 悪意ある論理，盗聴．

車の例に置き換えると，「車上荒らし」「盗難」などが脅威になります．脆弱性は鍵をかけても車の中の物が盗まれてしまうような弱点を指します．車の鍵を ロックしてしまい，JAF を呼んで開けてもらうことがありますが，道具があって方法さえ知っていれば鍵を無効化出来てしまうような状態は，実は脆弱性があ ることになります．

危機とは，例えば泥棒が前述のような方法で鍵を開けて中の物を盗む可能性を指します．最近はむしろ，「リスク」という言葉の方が一般的です．実際の被害額などの「損失」とは区別します．

攻撃は文字通り鍵をこじ開けたり，窓ガラスを割ったりするような行為です．

セキュリティ方針，資源

セキュリティ方針(security policy)： JIS X 0008:2001 08.01.06

セキュリティを提供するために採用した，計画又は一連の行動．

資源，計算機資源(resource, computer resource)： JIS X 0001:1994 01.01.23

要求された操作を遂行するのに必要なデータ処理システムの要素．例 記憶装置，入出力装置，処理装置，データ，ファイル，プログラム．

セキュリティ方針とは，情報セキュリティをどのように実施するかを決めたものです．車の例では，子供を車に乗せるときの「しつけ」と考えるとわかりやすいと思います．例えば，窓から首を出さない，シートベルトをつけるというような，車に乗る上で必要な事柄を「乗せた子供の安全を守る」という「方針」で表します．

資源や計算機資源というのは，利用できるものすべてを指します．車は移動手段ですから，それを実現するために必要なものすべてを指します．自動車ではハンドルやブレーキ，アクセル，座席などの表面に見えるものもありますし，エンジンやバッテリーなど普段は見えないけれども車を動かすために必要なものもあり ます．これらのものを「資源」とよび，コンピュータに対しては「計算機資源」と呼んでいます．

前回は自動車を例にして，「情報セキュリティ」とはどういうものかを説明しました．

用語定義の標準 (規格)

情報セキュリティというものがなんとなくわかってきたところで，改めて用語を定義します．勝手に定義するのではなく標準的な規格を元にして定義していきます．

この分野に限らず，用語を定義するのは，お互いの意思疎通のためにあります．主に規格に定義された用語を使用するのは，それが共通に使えるためです．人によって解釈がまちまちな言葉を使用すると，伝えた側と伝えられた側で正しく伝達できていない場合があります．そのために，標準として決まった言葉を使用します．

情報セキュリティに関する用語は財団法人　日本規格協会 (JISC) が作成するJIS規格(日本工業規格)のなかで定められています．JIS という言葉は工業用製品の規格で使用されていますので，聞いたことがあると思います．JIS マークというものを見たことがあるかもしれません．このマークは，JIS が定めた規格に則って作成されたものだという印です．その他の団体が定めているものもありますが，ここでは JIS を中心に話を進めます．

国際的な規格もあります．これも様々な団体がありますが，ISO (国際標準化機構： International Organization for Standardization) や IEC (国際電気標準会議： International Electrotechnical Comission) が有名です．情報セキュリティに関する国際的標準規格の主だったものは，JISC が翻訳して JIS の規格として国内に公表しています．

情報セキュリティの主な用語は JIS X 0008 「情報処理用語-セキュリティ」で規定しています．JIS X 0008 は，国際規約である ISO/IEC 2382-8 を翻訳したもので，一部は日本の環境に合わせて変更していますが，技術的な内容については変更されていません．2001年に改訂され，JIS X 0008:2001 となっています[JISX0008]．

JIS X 5080「情報技術-情報セキュリティマネジメントの実践のための規範」では情報セキュマネジメントの規範を定めていますが，この中でも情報セキュリティについて触れています．JIS X 5080 は ISO/IEC 17799 を翻訳して作成されています[JISX5080]．

これらの規格に現れる用語は，精確に定義しようとしている反面，読み慣れていないと意味が汲み取れません．解説を加えることで齟齬や誤解が生じるのは本末転倒ですが，実際には解説がないと理解が難しいものになっているのも事実です．そこで，JIS などの定義を参照しながら，適宜解説を加えることにします．

用語の定義

以下に JIS X 0008 および JIS X 5080 で規定されている主な用語を示して解説します．

(情報)セキュリティ

セキュリティ (security)： JIS X 0008:2001 08.01.01

通常，適切な行動をとることにより，事故又は悪意に基づく行為からデータ及び資源を保護すること．

情報セキュリティ (information security)： JIS X 5080:2002

情報の機密性，完全性および可用性の維持

一つ目は今まで説明してきたように，データと資源を守るということを指しています．車の例で言えば，「鍵をかける」という「適切な行動をとる」ことによって，車と車の中にあるものを「保護すること」であるということです．

二つ目は「可用性」「完全性」「機密性」という新しい用語が出てきました．この三つは情報セキュリティの三要素と呼ばれるもので，現代の情報セキュリティの概念はこの三つを守るということに着目されています．それではそれぞれの用語について解説します．

可用性

可用性 (セキュリティにおける) (availability)： JIS X 0008:2001 08.01.17

認可されたエンティティから請求があり次第，アクセスし利用できるようにする，データ又は資源の特性．

可用性 (availability)： JIS X 5080:2002

認可された利用者が，必要なときに，情報及び関連する資産にアクセスできることを確実にすること．

二つ目には「情報」と「関連する資産」という用語が出てきますが，車の中の物と車そのものと置き換えるとわかりやすいかもしれません．例えば，ハン ドルを盗まれてしまったら，車を運転することが出来ません．この場合は車というものの完全性も失われているわけですが，それと同時に車を利用することが出 来なくなります．このように必要なときに利用可能であるかどうかを可用性という言葉で表します．資産については後節で解説します．

完全性

データ完全性 (data integrity)： JIS X 0008:2001 08.01.07

データの特性であって，その正確さと一貫性が，データにどのような変更を行っても保存されるもの．

システム完全性 (system integrity)： JIS X 0008:2001 08.01.27

データ処理システムの品質であって，認可されていない利用者による資源の変更又は利用を防ぐとともに，認可された利用者による資源の不適切な変更又は不適切な利用を防ぎながら，データ処理システムがその運用上の目的を満たす度合い．

完全性 (integrity)： JIS X 5080:2002

情報及び処理方法が，正確であること及び完全であることを保護すること．

最初の二つは「データ」と「システム」に分けて定義していますが，いずれも対象となるものが過不足無く，変更が加えられない状態に保つことを指しています．車の例で言えば，シートを刃物で傷つけられたり，車の中がゴミ捨て場にされたりというようなことです．あるべき状態になっていることが完全性です．

機密性

機密性 (confidentiality)： JIS X 0008:2001 08.01.09

データの特性であって，そのデータが，認可されていない個人，プロセス又は他のエンティティに利用可能とならない程度，又は暴露されない程度を示すもの．

機密性 (confidentiality)： JIS X 5080:2002

アクセスを認可された (authorized )者だけが情報にアクセスできることを確実にすること．

二つ目のほうが理解しやすいでしょうか．車の例で言えば，「鍵を持っている人＝アクセスを認可された者」だけが車の中の物に触れる(アクセスでき る)ことを確実にすることです．一つのドアの鍵を閉めていても別のドアに鍵がかかっていなければ意味がありません．ドアの鍵だけでなく，中を覗かれるとい うことも考えられます．秘密の文書を窓から見えるところにおいてしまったら，いくら鍵をかけても覗かれてしまいます．

見る権利のある人だけが見れる，触る権利のある人だけが触れるようにするのが機密性です．

「可用性」，「完全性」，「機密性」というものがどのようなものかお分かりいただけたでしょうか．繰り返しになりますが，この三つを「情報セキュリティの三要素」と呼び，これらを維持することを「情報セキュリティ」と呼んでいます．

情報セキュリティの三要素は，OECD (Organization for Economic Cooperation and Development： 経済協力開発機構)が1992年に発表した “OECD Guidelines for the Security of Information Systems”[OECD1992] の中で初めて明確に公表されました．このガイドラインは2002年に“OECD Guidelines for the Security of Information Systems and Networks TOWARDS A CULTURE OF SECURITY”[OECD2002] として改訂されています．

情報セキュリティ概要

本章では情報セキュリティとは何かを説明し，本書全体を読むための基本となる事項を解説します．

情報セキュリティとは

IT (Information Technology: 情報技術) の分野では，一般的なセキュリティと区別するために「情報セキュリティ」という用語を使用します．情報セキュリティとは何かを説明する前に，理解を容易にするために私たちの周りに目を向けてみることにします．

身近なものとして自家用車について考えて見ます．車の中にはどのようなものが置いてあるでしょうか．バッグ，財布，免許証，ゴルフ道具など，いろいろなものが置いてあるに違いありません．車そのものを動かすためのハンドルや座席なども存在します．このようなものが置いてある車を何もせずに放置している人はおそらくいないでしょう．車に鍵をかけて中の物を盗られないようにするはずです．もちろん，車そのものが盗難に合わないようにすることも鍵の目的の一つです．

この「鍵をかける」という行為はどういう意味をもつのでしょうか．一つは，明らかに悪意を持って他人の物を盗もうとするあるいは破壊しようとする人の行為を阻止するためです．もう一つは，間違って他人が車の中の物を見たり壊したりしてしまうのを防ぐためです．後者は少しわかりづらいかもしれません．他人の車の例では現実にはあまり起こらないので，自分の車の「チャイルド・ロック」で考えるとよいかもしれません．子供が運転中に間違ってドアを開けたり，停車中に他の車の通行する側へ飛び出したりするのを防ぐためにあります．

このような，「鍵をかけること」がセキュリティです．つまり，間違って他人の物に触れてしまったり，誤ってドアを開けたり，悪意で行われる行為から盗られたり壊されたりすることを防ぎ，車に関連する事故や盗難から守ることです．車を車庫に入れるというのも一つのセキュリティです．

情報セキュリティも考え方は自動車と同様です．「情報」という言葉がついていることからわかるように，「情報」そのものを盗難や破壊から守るものが情報セキュリティです．「情報」というものを広い意味で捉え，ありとあらゆるものに情報があると考えますが，ここではコンピュータによって処理されるデータなどを「情報」として考えます．文書やデータだけでなく，コンピュータを動かすためのプログラムも情報です．

「情報」が車の中の「物」と違って厄介なのは，情報は盗まれたりちょっと書き換えられただけではわかりにくいという点にあります．また，車の中の物を盗るためには車に近づく必要がありますが，インターネットに代表されるようにネットワークにつながれたコンピュータには物理的に近づかなくても情報に触れることが出来てしまいます．さらに，見るだけで情報は盗めますし，電子的な情報は簡単にコピーできてしまいます．こうした点が「情報セキュリティ」を難解にしている点であり，どのようにして情報を守るかということに頭を悩ます点でもあります．

ネットワークという言葉が出てきましたが，これはコンピュータ同士がつながっている状態を示します．昔のコンピュータは一台単独で動き，他のコンピュータとつながるということはほとんどありませんでした．逆に言えば，他のコンピュータにつながらなくてもやりたいことが出来ていたともいえます．しかし今日では，コンピュータが単独で外部とつながらないことはほとんど考えられません． 総務省の「通信白書2005年度版」 ( http://www.johotsusintokei.soumu.go.jp/whitepaper/ja/h17/index.html) によると，平成16年末にはインターネット利用人口は7,948万人と推計され，国民の62.3%がインターネットを利用していると報告されています．ほぼ三人に二人の割合でインターネットを利用しているということですし，それを超える数のコンピュータがネットワークにつながっていることになります．「コンピュータ」とひとくくりにして説明しましたが，この中には携帯電話やゲーム機，家電なども含まれています．このような一見コンピュータとは見えないようなものにも情報が含まれ，ネットワークでつながれているのです．

ネットワークにつながれた状況では，他人の情報にいたずらをしたり，そのつもりが無くても他人の情報が見えてしまったりします．ちょっとしたいたずらなら笑って済まされるかもしれませんが，金銭が絡んだり，他人に見られたくないプライバシーが覗かれたり，人に見せてはいけない重要な情報が盗み見られたり，無くなっては困る情報が壊されたりすると，取り返しの付かないことになります．このようなことから大切なもの(情報)を守るのが「情報セキュリティ」です．

某ブログサイトでやっていた情報セキュリティ解説をここのブログに移設します．時々ですが，解説を掲載していきます．

情報セキュリティって結局どういうこと？ という部分を一般の人にもわかりやすく書けたらなぁと思っています．難しいと思わずに，質問などをコメントで書いていただければできるだけ易しい言葉で答えていきたいと思います．お気軽にコメントしてください．

「あれ？どこかで見たことがあるなぁ」と思ったアナタ．たぶん，正解です．でも，どこで見たのかは知らなかったことにしてください(笑)

どうぞよろしくお願いします．

まずは，ここから⇒「情報セキュリティとは」