情報セキュリティ総論①
・本稿は法令(法律や条例)等に関するものですが、その解釈はこのブログ筆者である私の独自のものであったり、誤りが含まれている可能性があります。
・法令等は日々更新されるものです。本稿に記載される法令名や条文等が最新のものとは限りませんし、最新情報を漏れなく補っていくことはしません。
・以上はこのブログに関する免責事項ですが、このブログの元となる研修や書籍等に対して上記の責任を帰するものでもありません。しかし、本稿を参考にされる場合、ご自身で書籍や法令等を一度ご確認いただくことを推奨いたします。
前回のブログで宣言した情報セキュリティ管理士認定試験合格のために、公式テキスト(http://www.joho-gakushu.or.jp/isme/book.html 、2015年12月16日アクセス)の「Chapter Ⅰ 情報セキュリティ総論」の内容を独自にまとめてみました(内容が多少古かったので、何ヶ所かは自力で調べて内容を新しくしています)。
(↑記事は読み飛ばしていただいても結構です。)
【用語及び定義】
JISは、たとえば、
JIS Q 27000 : 2014
のように表され、
JISのあとに続くアルファベットは、分野を表し、ここで「Q」は、「管理システム」を表します。
アルファベットのあとに続く番号は各部門で一意のようですが、国際的な規格の番号と対応している場合もあります。
また、そのあとに続くコロン以下は、改正年を表します。
JISには、情報セキュリティに関する事項を規定するものがいくつか存在します。そして、JIS Q 27000 : 2014による情報セキュリティ(information security)の定義は、
情報の機密性、完全性及び可用性を維持すること。
ということです。が、こうした情報セキュリティに関する説明というのはどうも全般的にわかりにくいです。それは、これらが海外からの輸入品であり、英文の翻訳であることに起因するように思います(ちなみに、JIS Q 27000 : 2014は、国際規格のISO/IEC 27000をベースにしています)。
機密性、完全性、可用性についてもそれぞれ定義があるものの、それを説明すると余計にわかりにくくなりそうなので、情報セキュリティというのは、要は私たちが情報セキュリティと聞いて期待する、
情報を第三者には知られたくないなー
データを改ざんされたくないなー
機能を停止されたくないなー
が守られることだと考えていいと思います。
また、情報資産に対して想定される危険性を脅威と呼び、脅威が起こる可能性のある弱点を脆弱性と呼びます。
ここで、情報資産(information asset)というのは、また聞きなれない用語ですが、情報及び情報を管理する仕組み全般のことを指します。
【情報セキュリティに関連する法律】
情報セキュリティに関連する法律といえば、
- 刑法
- 不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)
- 個人情報保護法(個人情報の保護に関する法律)
- 番号法(行政手続における特定の個人を識別するための番号の利用等に関する法律)
- サイバーセキュリティ基本法
などが挙げられます。
このうち個人情報保護法は、OECD(経済協力開発機構)が公表した、「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」(OECD8原則)をベースにしておりhttp://www.caa.go.jp/planning/kojin/kaisetsu/pdfs/gensoku.pdf(消費者庁ホームページより。2015年12月16日アクセス)、
この法律では、個人情報の利用目的の通知(第24条第2項)、開示(第25条第1項)、訂正(第26条第1項)、利用停止(第27条第1項、第2項)などを認めています。
http://www.caa.go.jp/planning/kojin/kaisetsu/pdfs/kanyo.pdf(消費者庁ホームページより。2015年12月16日アクセス)