出版社内容情報
「水と空気と安全はタダ」 外国との比較において日本人の考え方がこのように表現されるが、我々の周囲の変化はこれを許してくれなくなっていることに、賢明な諸兄は気づいておられるものと思う。このフレーズの「タダ」には、「求めずとも与えられている」というニュアンスと、「お金を払うような対象ではない」というニュアンスが含まれているように思う。今や清冽な水も空気も費用を投じて求めなくては得られなくなった。
「安全」も同様に「タダ」でもなければ、座して与えられる物でもない。従来の実社会「リアルワールド」においては警察を始めとする国家や地方自治体が、税金を費やして安全の確保にあたり、警備保安ビジネスも伸びている。
加えて近年急速に普及してきた情報の世界「サイバーワールド」での安全確保「セキュリティ」は、リアルワールドとは異質なテクノロジーのため、警察をはじめとする従来の安全確保の仕組みも十分に機能できていないのが現状であり、情報システムのセキュリティはサイバーワールドの市民であるすべての情報システム利用者や関係者にとって、避けられない責務となっている。
この点の認識と実績では日本より欧米が先行している。また情報セキュリティ対策のような、機械的な対応だけでは処理できず、人間のメンタルワークを求められる領域への客観性の導入、標準化についても優れた成果を挙げている。その一つの集大成が本書で取り上げる情報セキュリティ評価基準「ISO15408」である。
情報セキュリティ評価という考え方も制度も持たない日本にとっては、それが先行各国の国内標準を経て国際標準が作られるまでに成熟したものであることに大きなギャップを感じる。さらに10数年に及ぶ各国の経験を盛り込んだその内容の網羅性は、これから情報セキュリティに取り組む我々にとってたいへん優れた指針となる。ISO15408は情報セキュリティの世界での辞書となり、その用語は情報セキュリティの標準語になっていくであろうと信ずる。
ISO15408は1999年6月に国際標準となり、同年、この標準のインポートによる国内標準化が開始され、2000年にはJIS標準(JIS X 5070)として制定される見込みである。しかしながら、情報セキュリティは日本において馴染みが少ないうえ、セキュリティ的な発想は得意とはいえない。このことは、われわれがセキュリティに関する言葉をあまり持っておらず、情報セキュリティ用語を的確に表現できる日本語がない場面に遭遇して強く感じる。それ故、ISO15408に限らず情報セキュリティに関して実際に取り組み、利用する場合は、大変であっても和訳だけでなく原文を読み、参照することを強くお勧めする。
そうは言うものの、本書が取り上げたISO15408は大変に量が多く、かつ初めて読む者にとって馴染みのない考え方も少なくない。本書を執筆した目的は、日本で情報システムに関わる皆さんが、一刻も早く情報セキュリティの重要性、情報セキュリティ評価基準や情報セキュリティ評価・認証制度の重要性を理解され、それらを活用して電子商取引「eビジネス」を始めとするサイバーワールドでの安全と繁栄を享受することに少しでも貢献することと、ISO15408を筆者が読んで理解したポイントをまとめて、ISO15408を少しでも容易に読み、利用していただくための道しるべになることを願ってである。
情報セキュリティ評価基準に関して、日本では日本電子工業振興協会「JEIDA」が委員会のテーマとして取り上げたのが最初で、その後1998年からは情報処理振興事業協会「IPA」セキュリティセンターにおいてセキュリティ評価の実施に向けた調査研究と技術開発が続けられ、2000年には電子商取引安全技術研究組合「ECSEC」も業種横断的な取り組みを始めている。
筆者は、1997年から1999年にかけてIPAセキュリティセンターに研究員として出向し、セキュリティ評価・認証の調査研究にあたった。日本における最初の公的取り組みのスタートに直接関われたのはたいへん幸せであった。ここを借りて、セキュリティ評価・認証の調査研究を支援していただいたIPAの役員各位、直接的に御指導いただいた前セキュリティセンター所長前川徹氏並びに通産省機情局情報セキュリティ政策室各位、また一緒に調査研究にあたったセキュリティセンターの皆さんに感謝申し上げます。
最後に、本書を企画され、執筆にあたって御支援をいただいた、東京電機大学出版局の植村八潮氏、菊地雅之氏に心から感謝申し上げます。
2000年4月
著者しるす
1章 情報セキュリティ
1.1 ネットワーク社会における危険の増大
1.1.1 ネットワークの時代
1.1.2 ネットワーク社会のリスク
1.2 情報セキュリティの重要性と社会的責任
1.2.1 情報セキュリティの重要性
1.2.2 情報セキュリティの社会的責任
1.2.3 箱のセキュリティと情報のセキュリティ
1.3 情報セキュリティの今後
1.3.1 民需領域での情報セキュリティ強化
1.3.2 情報セキュリティの国際的整合
1.4.1 情報セキュリティおよびIT
1.4.2 脅威と情報セキュリティ事故
1.5 情報セキュリティ対策
1.5.1 秘密性に対する脅威への対策
1.5.2 完全性に対する脅威への対策
1.5.3 可用性に対する脅威への対策
1.5.4 ITの運用と管理による情報セキュリティ対策
1.5.5 不正アクセス対策
1.5.6 コンピュータウィルス対策
1.5.7 暗号およびデジタル署名
1.6 情報セキュリティ対策の構築
1.6.1 セキュリティポリシーの準備
1.6.2 セキュリティポリシーの展開
1.6.3 使用者の責務
2章 ISO15408「ITセキュリティ評価基準」とその背景
2.1 ITセキュリティ評価とは
2.1.1 情報セキュリティへの取り組み
2.1.2 個別セキュリティ技術への取り組み
2.1.3 ITセキュリティ全体への取り組み
2.1.4 ITセキュリティ評価基準の国際標準化ニーズ
2.2 ITセキュリティ評価の歴史とISO15408「CC」の背景
2.2.1 アメリカのTCSEC
2.2.2 EUのITSEC
2.2.3 その他の国の状況
2.3 CCプロジェクト
2.3.1 CCプロジェクトの発足
2.3.2 目的・効果
2.3.3 CCEB
2.3.4 CCIBとタスクグループ
2.3.5 CCIMB
2.4 ISOによる国際標準化と金融におけるセキュリティ
2.4.1 ISOによる国際標準化
2.4.2 ISO/TC68のITセキュリティに関する標準化活動
2.4.3 ICカードのセキュリティ
2.5 セキュリティ評価、認証、制度、相互承認
2.5.1 ITセキュリティ評価の困難さ
2.5.2 評価認証
2.5.3 セキュリティ評価・認証制度
2.5.4 相互承認
2.6 第三者評価の文化
2.6.1 製品評価と評価ビジネス
2.6.2 評価機関認定
2.6.3 評価機関認定の相互承認
2.7 ISO15408「CC」の特徴と留意点
2.7.1 ISO15408「CC」の特徴
2.7.2 ISO15408「CC」の留意点
2.8 ISO15408「CC」のインパクト
2.8.1 ITセキュリティ技術へのインパクト
2.8.2 IT製品ビジネスへのインパクト
2.8.3 ネットワークビジネスへのインパクト
2.8.4 評価ビジネスとの関連
3章 ISO15408「ITセキュリティ評価基準」の概要
3.1 ISO15408「CC」の構成
3.2 ISO15408「CC」Part1の要点と考え方
3.2.1 適用範囲と除外項目
3.2.2 利用者と利用方法
3.2.3 セキュリティの実現
3.2.4 開発プロセスと評価用提出資料
3.2.5 ITセキュリティ評価結果
3.2.6 PPおよびSTに対する留意事項
3.3 ISO15408「CC」Part1付属書とCC利用法
3.3.1 付属書B(規定)PPの仕様
3.3.2 付属書C(規定)STの仕様
3.3.3 PP/STの内容
3.3.4 ISO15408「CC」と製品開発および評価の流れ
3.4 ISO15408「CC」Part2の要点と考え方
3.4.1 ISO15408「CC」Part2の構成
3.4.2 セキュリティ機能のモデルと用語
3.4.3 機能要件の構成と記述の構成
3.4.4 コンポーネント記述における留意事項
3.4.5 セキュリティ機能クラス、ファミリー一覧
3.5 ISO15408「CC」Part3の要点と考え方
3.5.1 ISO15408「CC」Part3の構成
3.5.2 ISO15408「CC」における保証の考え方
3.5.3 PPおよびSTの評価
3.5.4 保証要件の構成と記述の構成
3.5.5 セキュリティ保証クラス、ファミリー一覧
3.6 評価保証レベルと保証維持の考え方と要件
3.6.1 評価保証レベルの考え方
3.6.2 評価保証レベル概要
3.6.3 保証維持の考え方
3.6.4 保証要件クラス AMA:保証維持
4章 情報セキュリティに貢献するISO15408「CC」
4.1 情報セキュリティ対策の考慮点
4.1.1 基本3条件
4.1.2 追加2条件
4.2 「PP/ST作成ガイド案」と情報セキュリティ
4.2.1 「PP/ST作成ガイド案」と情報セキュリティの関連
4.2.2 セキュリティニーズの決定
4.2.3 セキュリティ目標の決定
4.2.4 セキュリティ要件の決定
4.3 ベンダにおけるISO15408「CC」への対応と活用
4.3.1 ISO15408「CC」対応にむけて
4.3.2 ISO15408「CC」への計画的対応
4.3.3 セキュリティ品質の作り込み
4.4 ユーザにおけるISO15408「CC」の活用
4.4.1 PPによるセキュリティ要求仕様の提示
4.4.2 STを活用した製品の選択と運用
4.4.3 技術標準としての利用
4.5 ユーザにおける情報システムの運用
4.5.1 セキュリティ評価基準とシステムセキュリティ基準
4.5.2 システムセキュリティ基準
4.5.3 自社のシステムセキュリティ基準づくり
4.6 セキュリティ評価、認証の利用
4.6.1 ITセキュリティ評価・認証済み製品の利用
4.6.2 適切な評価保証レベルの選択
4.6.3 製品・サービスの差別化
付録A セキュリティ機能要件の概要
A.1 クラスFAU:セキュリティ監査
A.2 クラスFCO:通信/否認防止
A.3 クラスFCS:暗号利用
A.4 クラスFDP:ユーザデータ保護
A.5 クラスFIA:識別と認証
A.6 クラスFMT:セキュリティ管理
A.7 クラスFPR:プライバシー
A.8 クラスFPT:セキュリティ機能保護
A.9 クラスFRU:可用性とリソース管理
A.10 クラスFTA:アクセス制御
A.11 クラスFTP:高信頼性経路
付録B セキュリティ保証要件の概要
B.1 クラスAPE:PPの評価
B.2 クラスASE:STの評価
B.3 クラスACM:構成管理
B.4 クラスADO:配布と運用
B.5 クラスADV:開発と実装
B.6 クラスAGD:ガイダンス文書
B.7 クラスALC:ライフサイクルサポート
B.8 クラスATE:テスト
B.9 クラスAVA:脆弱性評価
B.10 クラスAMA:補償維持
参照文献・参考規格
参照資料
参考WEBページ
索引
内容説明
欧米諸国から突きつけられたeビジネス時代の絶対条件である「第2のIT革命」情報セキュリティ“ISO15408”を解説。
目次
1章 情報セキュリティ(ネットワーク社会における危険の増大;情報セキュリティの重要性と社会的責任;情報セキュリティの今後 ほか)
2章 ISO15408「ITセキュリティ評価基準」とその背景(ITセキュリティ評価とは;ITセキュリティ評価の歴史とISO15408「CC」の背景;CCプロジェクト ほか)
3章 ISO15408「ITセキュリティ評価基準」の概要(ISO15408「CC」の構成;ISO15408「CC」Part1の要点と考え方;ISO15408「CC」Part1付属書とCC利用法 ほか)
4章 情報セキュリティに貢献するISO15408「CC」(情報セキュリティ対策の考慮点;「PP/ST作成ガイド案」と情報セキュリティ;ベンダにおけるISO15408「CC」への対応と活用 ほか)
著者等紹介
内山政人[ウチヤママサト]
山梨大学工学部電気工学科卒業(1964)。職歴は日本電気株式会社入社(1964)。情報処理振興事業協会(IPA)セキュリティセンター参事役(1997)。現職 日本電気株式会社NECソリューションズ サービス品質管理本部主席技師長(2000)。委員会等は電子商取引安全技術研究組合(ECSEC)顧問。ISO/TC154国内審議委員会委員
※書籍に掲載されている著者及び編者、訳者、監修者、イラストレーターなどの紹介情報です。
-
- 和書
- ヴィクトリアン・ホテル
