講演 「情報セキュリティ標準化の動向」
桝本 幸雄氏(会員、情報工学)
平成14年11月27日 (水) 18時〜20時 電気技術開発株式会社JRビル会議室 出席者15名
情報セキュリティとは、情報の機密性、完全性、可用性を確保し維持することであり、
英語ではConfidentiality, Integrity, Availability即ちCIAと呼ばれる。
最近の事件として、コンピュータウイルス、不正アクセス及び情報漏洩の説明があった。
コンピュータウイルスについては、届出先の情報処理振興協会セキュリティセンター
(IPA/ISEC)と対策基準である元通産省の告示並びに近年の急激な増加具合のデータが紹介された。
不正アクセスについては、届け先としてIPA/ISECとコンピュータ緊急対応センター(JPCERT/CC)
があることと、前同様な紹介があった。
OECD/ISO/JISの動向として、製品、管理、個人に対応する各規格と認証制度の進展具合が紹介された。
e-Japan重点計画について、基本的方針と高度情報通信ネットワークの安全性及び信頼性の確保につい
ての内容が紹介された。e-Japan2002プログラムについても、概要と高度情報通信ネットワークの安全性
及び信頼性の確保についての内容が紹介された。
情報技術セキュリティ評価・認証制度に関しては、先ず、情報技術セキュリティの評価基準としての
JIS X 5070(ISO/IEC15408)の紹介と評価・認証制度の仕組み並びにそのレベルがEAL1から航空、宇宙関係
の高度なEAL7まであることが紹介された。
情報技術セキュリティマネジメントシステム適合性評価制度に対して、関連規格制定動向、考え方が
品質管理などと同じPDCAサイクルによるスパイラルアップ方式になっていること、認証基準の内容、
制度の運用体制が紹介された。リスク・クライシスマネジメントについてもその内容、考え方が紹介
された。
個人情報保護制度については、1月講演に譲るとして、個人情報保護法とプライバシーマーク制度の
概要のみが紹介された。
今後の動向は、管理システムの規格、手順が共通の基盤になっていて、方針のみが、品質、環境、
セキュリティ等毎にある仕組みで、グローバル化、ガーバナビリティ、第3者による認定が求められる。
各自が武装必要とのことだった。 (後藤昭夫 記)