セキュリティ標準の 必要性 1 1.1 IT セキュリティの必要性 IT(情報技術)ほどグローバル化された分野はない。特に,IT の基盤であるネット ワークは今や世界の隅々まで張りめぐらされており,世界中のネットワークの集合で あるインターネットを使って情報は瞬時に全世界に伝わる。今や,大量の音声データ や画像データがインターネットで配信される。急を要する通信手段として,わずか数 十文字に深い意味を忍ばせてテレタイプで送信していた時代がそれほど昔ではないこ とを思うと,IT の急速な進歩は驚きである。 しかし,世の常としてメリットの裏には必ずデメリットがあり,便利さには危険が 付きまとう。IT も同様である。地球上のどこにでも瞬時にデータが伝わるということ は,地球上のどこからでもアクセスされることを意味する。この中には不正にアクセ スする人も多い。ウイルスがその代表である。どこからかメールが届く。うっかりそ の添付ファイルをクリックしたとたんに,そのパソコンからクレジットカードの情報 が盗み出される。IT は,うまく使えば非常に便利な道具であるが,アタッカにとって も便利な道具である。 残念なことに,被害に遭っても犯人を取り押さえることはなかなか難しい。IT 世界 では,自分の身は自分で守らなければならない。しかし,個人でできることは限られ ている。まず,IT を使ってビジネスをしている企業関係者がセキュリティ対策を実施 して,セキュアな IT 機能を利用者に提供しなければならない。 利用者の身近にある IT にはパソコン,マイクロチップを内蔵したクレジットカー ドなどがある。これらは IT 製品であるが,IT 製品はまた別の IT 製品と接続されて業 務を実現している。これが IT システムである。IT 製品あるいは IT システムにセキュ リティ対策が実施されていなければ,利用者は安心して IT を使用することができな い。 1 1. セキュリティ標準の必要性 1.2 セキュリティ標準 単に,IT がセキュリティ機能を装備していればよいわけではない。IT セキュリティ やっ かい には厄介な特性がある。セキュリティ機能を強化すれば一般に使い勝手は悪くなり, IT 製品,IT システムの開発コストも高くなる。例えば,本人確認をするためのパス ワードは,桁数が多ければ破られる確率は減少する。1 つのパスワードより 2 つのパ スワードのほうが安全である。しかし,人間が覚えておけるパスワードはそれほど多 くはない。桁数も短くなければ忘れてしまう。利用者には,記憶が得意な若者もいれ ば覚えることが不得意なお年寄りもいる。少なくとも,一般の利用者のための IT 製 品/システムのセキュリティ機能に完全を求めることはできない。 一方,どこかの国が所有する核の発射システムは,その国の最高責任者以外が押し てはならない。100%完全に本人確認をしなければならない。多分,最高責任者自身 の生体反応も使ってセキュリティの完全性を追求しなければならないだろう。 このように,セキュリティといっても,その対象によって対処方法を変えなければ ならない。セキュリティの考え方,方針をセキュリティポリシーと呼ぶ。適切なセキュ リティポリシーの作成方法,セキュリティポリシーに従って使用される技術,管理・ 運用対策などの標準を決めておかなければならない。 セキュリティ機能を実装しようとすると,次の課題が顕在化する。 ① セキュリティ機能をどの程度実装すればよいのかが分からない。 セキュリティ機能の実装には切りがない。無制限に時間とお金が掛かるように 見える。 ② セキュリティ対策を実施しても,どの程度効果があるのか分からない。 このような課題を解決するためにセキュリティ国際標準が策定された。代表的なセ キュリティ国際標準は 2 つある(図 1.1)。 2 ① ISO/IEC15408:セキュリティ論理の正当性に焦点 ② ISO/IEC17799:セキュリティの運用管理の正当性に焦点 1.2 セキュリティ標準 クライアントシステム サーバシステム 公開 公開 サ−バ サ−バ 利用者 ゲー ート トウ ウェ ェ イ ゲ イ ネットワ−ク ファイア ファイア ウォ−ル ウォ−ル 業務サ−バ 業務アプリ 業務アプリ メ−ル メ−ル 運用管理 運用管理 デ−タベ−ス デ−タベ−ス ISO/IEC17799 OS OS セキュリティ管理の 保証 ISO/IEC15408 管理者 管理者 業務実施者 業務実施者 運用者 運用者 個別に標準化 プログラムの 信頼性確保 セキュアな情報処理技術 図 1.1 ISO/IEC15408 の位置付け ISO/IEC17799 は,IT を含む組織を対象としており,運用管理に重点を置いたセ キュリティ国際標準である。一方 ISO/IEC15408 は,特定の IT 製品または IT シス テムを対象としており,それらのセキュリティプログラムの論理の正当性に焦点を当 てたセキュリティ国際標準である。 IT 製品を組み合わせて,ある業務を行う IT システムは,それらの IT 機器を運用す る管理規則と, さらにその外側にある組織の管理規則に従って運用される。 図 1.2 は, ISO/IEC15408 と ISMS(ISO/IEC17799)の適用範囲を示している。 ISO/IEC15408 は,IT 製品またはシステム自体のセキュリティ論理の正当性と IT システムに直接関係する運用・管理規則の適用を受けており,その外側は, ISO/IEC17799(ISMS) に よ り検 証 が 行わ れる 。 こ のよ うに , ISO/IEC15408 と ISO/IEC17799 は競合するのではなく補完し合う関係にある。 3 1. セキュリティ標準の必要性 組織の管理規則 運用の管理規則 外部 攻撃 ITシステム/製品 外部 攻撃 プログラム 内部攻撃(内部不正) :ISO/IEC15408 (セキュリティプログラム主体の正当性) :ISO/IEC17799(組織と運用の管理規則主体の検証) 図 1.2 ISO/IEC15408 と ISMS の適用 1.3 IT セキュリティ標準の歴史 セキュリティの標準化は,1980 年代に米国で始まった。このとき作成された米国セ キュリティ標準は,TCSEC(Trusted Computer System Evaluation Criteria)と呼ば れている。その後カナダ(CTCPEC),ヨーロッパ(ITSEC)でもセキュリティの標準化 が実施されたが,各セキュリティ標準に互換がなかった。 1990 年代に入り,IT のグローバリゼーションにとともにセキュリティ標準にも国 際標準化が強く求められ,これら 3 つのセキュリティ標準を統合したセキュリティ標 準が作成された。これが Common Criteria(CC)と呼ばれるものである(図 1.3)。 CC は,V01 が 1994 年に作成され,以降現在も改訂が続けられている。CC を基に 正式なセキュリティ国際標準として ISO/IEC15408 が制定されており,CC は ISO/IEC15408 の開発バージョンとして位置づけることもできる。しかし,実質的に は CC がセキュリティ国際標準として扱われており,CC のあるバージョンが ISO 化 される形態を採っている。したがって,ISO/IEC15408 は対応するあるバージョンの CC と同一物である。 4 1.3 IT セキュリティ標準の歴史 1991年 1991年 ISO国際標準化 ISO国際標準化 開始 開始 1999年 1999年 2005年 2005年 国際標準 国際標準 改定 改定 欧米評価基準の統一 1980年代 1990年代 1985年 アメリカ アメリカ TCSEC 1999年 1988年 カナダ カナダ CTCPEC 1991年 ヨーロッパ ヨーロッパ 2005年 2006年 Common Common Common Criteria V2.1 Criteria V2.3 Criteria V3.1 ITSEC TCSEC:Trusted Computer System Evaluation Criteria,CTCPEC:Canadian Trusted Computer Product Evaluation Criteria, ITSEC:Information Technology Security Evaluation Criteria 図 1.3 セキュリティ評価基準作成の歴史 ① CC V2.1 → ISO/IEC15408,1999 → JIS X 5070,2000 ② CC V2.3 → ISO/IEC15408,2005 1999 年に制定された ISO/IEC15408 の初版は JIS 規格にもなっており, JIS X 5070 と呼ばれる。JIS X 5070 は ISO/IEC15408 1999 年版の第 1 分冊のみを日本語化した もので,第 2 および第 3 分冊は原文(英語)のままである。 5 1. セキュリティ標準の必要性 1.4 IT セキュリティ評価認証制度 1.4.1 セキュリティ評価認証制度の仕組み セキュリティ国際標準に基づき,IT 製品またはシステムのセキュリティ機能検証制 度が各国で実施されている。 IT 製品またはシステムの認証を取得しようとする開発者(通常メーカ,ベンダ)は, 評価機関に IT 製品またはシステムのセキュリティ評価(評価)を依頼しなければなら ない。セキュリティ認証を依頼する者を認証申請者と呼ぶ。評価機関は,認証申請者 が依頼する IT 製品/システムの評価を行い,その評価結果を認証機関に送り,評価結 果の認証を受ける。評価の結果を認証機関が承認することによって,認証書が認証申 請者に授与される。 IT 製品/システムの評価および認証は, CC に従って検証される(図 1.4)。 認証書 合 格 評価 IT製品/システム 評価機関 評価機関 認証申請者 評価機関 評価機関 メーカ,ベンダ メーカ,ベンダ 認証 独立行政法人 独立行政法人 情報処理推進 情報処理推進 機構 機構 (IPA) (IPA) 評価機関 評価機関 セキュリティ国際標準(ISO/IEC15408) セキュリティ国際標準(ISO/IEC15408) 図 1.4 IT セキュリティ評価および認証制度 6
© Copyright 2024 Paperzz