ポイント

●ISOとIECの共通部分になる情報技術は,標準化のために合同専門委員会が設けられている
●ISO/IEC TR 13335は,ITセキュリティのマネジメントに関する文書である。リスク分析に関する記述があるのが特徴
●ISO/IEC 15408は,情報技術製品やシステムのセキュリティ評価基準である。EALと呼ばれる7段階の基準で評価する
●情報セキュリティ・マネジメント・システムの国際標準であるISO/IEC 27001,および27002(17799)は英国規格BS7799が基になっている

 ここまでは,情報セキュリティに関する国内法規を見てきました。今回は,情報セキュリティに関する国際標準の中からよく目にする規約である,ISO/IEC TR 13335,ISO/IEC 15408,27001,27002(17799)の概要を学びます。

ISOとIEC

 ISO(International Organization for Standardization:国際標準化機構)では,さまざまな分野においての標準化を推進しています。

 IEC(The International Electrotechnical Commission:国際電気標準会議)では,主に電気・電子に関するテクノロジーを中心に標準化を行っています。

 この二つの団体はそれぞれで標準化を行っています。情報技術の分野は両者の守備範囲が重なっています。そこで,合同専門委員会(JTC:Joint Technical Committee)を設けて,情報技術の標準化活動を行っています。この委員会の中では,複数の分科委員会(SC:sub committee)が活動していて,その中にITセキュリティの分科委員会(SC27)があります(図1)。情報セキュリティに関する技術やマネジメント・システムで「ISO/IEC」となっているのは,合同専門委員会のプロジェクト配下にあるためです。

図1●JTC1/SC27は,ISOとIECの合同専門委員会配下の分科会で,ITセキュリティ技術に関する標準化を行っている
図1●JTC1/SC27は,ISOとIECの合同専門委員会配下の分科会で,ITセキュリティ技術に関する標準化を行っている  [画像のクリックで拡大表示]
出展:ISOのWebサイトより
  • http://www.iso.org/iso/en/CatalogueListPage.CatalogueList?scopelist=CATALOGUE&COMMID=0
  • http://www.iso.org/iso/en/CatalogueListPage.CatalogueList?COMMID=1&scopelist=CATALOGUE
  • http://www.iso.org/iso/en/stdsdevelopment/tc/tclist/
    TechnicalCommitteeDetailPage.TechnicalCommitteeDetail
    ?COMMID=143
  •  ISOのWebサイトで,SC27のプロジェクト下にある規格を確認してみると,情報セキュリティ分野でよく目にする規格が並んでいます(http://www.iso.org/iso/en/CatalogueListPage.CatalogueList?COMMID=143&scopelist=ALL)。今回は,これらの中からISO/IEC TR 13335,ISO/IEC 15408,27001,27002(17799)の概要を見ていきます。

    ISO/IEC TR 13335(GMITS)

     ISO/IEC TR 13335は,ITセキュリティ・マネジメントに関する規格です。Guidelines for the management of IT Securityというタイトルが付いていて,これの頭文字をとって「GMITS(ジーミッツまたはジーミツ)」と呼ばれます。

     13335はパート1からパート5までの5パート構成になっています。特徴的なのはパート3「Techniques for the management of IT Security(ITセキュリティ・マネジメントのための手法)」です。ここでは,リスク分析の手法について規定しています。そして,13335-3を日本語訳したものがTR X 0036-3です。この規格の内容に関しては,「情報セキュリティ・マネジメントの実施手順(前編)」で勉強しましたので,確認してみてください。

     セキュリティ・マネジメントに関する規格としては,後述のISO/IEC 27001や27002(17799)が一般的です。しかし,いずれもリスク分析に関しては詳細に記述していません。このため,13335の中でも特にパート3が有名なのです。

    ISO/IEC 15408

     ISO/IEC 15408(Evaluation criteria for IT security)は,ITセキュリティの評価基準です。この規格では,情報技術に関連した製品やシステムのセキュリティ品質を確保するための要件と,評価のための基準を標準化しています。

     IT製品のセキュリティ評価基準は,もともと各国で整備されていました。米国ではTCSEC(Trusted Computer System Evaluation Criteria),ヨーロッパではITSEC(Information Technology Security Evaluation Criteria)という基準がありました。しかし,IT製品は国内開発にとどまらず,輸出・輸入されます。この時に国際的な統一規格があったほうが便利です。そこで,これらを統合しようということでCC(Common Criteria:コモン・クライテリア)プロジェクトが発足し,活動の結果をまとめた成果物を基にISO/IEC 15408が誕生しました。このため15408は「コモン・クライテリア」と呼ばれます。

     15408の中で特に覚えておきたいのは「EAL(Evaluation Assurance Level)」という用語です。EALとは評価保証レベルのことです。製品またはシステムのセキュリティ品質を7段階で評価します。数値が大きい方は下位レベルの要件を満たしています。すなわち,数値が大きいほど,より厳しい条件をクリアしていることになります。ユーザーがIT製品を購入する際,EALを確認することにより,必要なセキュリティ要件を満たしているかが容易に判断できます。

     日本でもコモン・クライテリアを基にした評価認証制度があります。JISECのWebサイトでは,認証制度の詳細や認証製品が確認できます。また評価基準となるコモン・クライテリアをダウンロードすることもできます。