セキュリティ

 情報セキュリティ、ITセキュリティに関する規格は近年急速に整備されてきた。その一つの方向性は、いわゆるISMS (Information Security Management System) すなわちISO/IEC 27000シリーズで規定されるマネジメントシステム規格のシリーズである。このシリーズは、次のような規格を含んでいる。

ISMSのシリーズ(いずれもInformation technology -- Security techniques –のタイトルが付く)
ISO/IEC 27000:2009 Information security management systems -- Overview and vocabulary
ISO/IEC 27001:2005 Information security management systems – Requirements
ISO/IEC 27002:2005 Code of practice for information security management
ISO/IEC 27003:2010 Information security management system implementation guidance
ISO/IEC 27004:2009 Information security management – Measurement
ISO/IEC 27005:2008 Information security risk management
ISO/IEC 27006:2007 Requirements for bodies providing audit and certification of information security management systems
ISO/IEC CD 27007 Guidelines for information security management systems auditing(開発中)
<分野規格として>
ISO/IEC 27011:2008 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

 ISMSの制定の前に、同様のセキュリティマネジメントを規定していた規格にGMITSといわれているシリーズがあったが、現在それらはISMS規格のシリーズに吸収されてきている。2010年現在では、GMITSの後継であるMICTS(ISO/IEC 13335:「情報技術−セキュリティ技術−情報通信技術セキュリティマネジメント−第1部:情報通信技術セキュリティマネジメントの概念及びモデル」)規格の第1部がJIS Q 13335-1 としてよく参照されている。

 ISMSの認証制度に関する情報は、JIPDECのホームページJABのホームページなどを参照するとよい。

 このISMSと異なり、製品または実装・運用システムのセキュリティを評価するための規格がCommon Criteriaと呼ばれるものであり、正式の規格番号はISO/IEC 15408(JIS X 5070「セキュリティ技術−情報技術セキュリティの評価基準」)である。Common Criteria とその認証の制度については、JISECホームページを参照。

 Common Criteriaの系統で、暗号モジュールについての評価は、特定の形式で行うことが可能であり、その仕組みは、ISO/IEC 19790 Security requirements for cryptographic modules (JIS X19790「セキュリティ技術−暗号モジュールのセキュリティ要求事項」)で定められている。この暗号モジュールに関する認証制度は「暗号モジュール試験及び認証制度」(JCMVP®)と呼ばれている。

 暗号モジュールと同様にPC等のセキュリティ確保のためのチップであるTPMの規格は次のものである。ISO/IEC 11889 Trusted Platform Module

 広い意味でのセキュリティ関連の規格で、必ずしもJTC1/SC27の取り扱い範囲でないもののうち代表的なものとしてバイオメトリクス関連の規格があるが、次の規格はSC27が決めたものである。ISO/IEC 19792:2009 Information technology -- Security techniques -- Security evaluation of biometrics

 セキュリティに関して、国内での暗号技術標準の運用の観点からは、日本の電子政府向け暗号規格を整備するものとして作成された、「電子政府暗号標準」およびそれを技術的にバックアップしている団体CRYPTRECの基準も見逃せない。

 一方、セキュリティを企業内で確実に実施するための仕組みとして、セキュリティガバナンスという考え方も浸透してきた。セキュリティガバナンスの国際規格の動きもあるが、国内では経済産業省のもとで、セキュリティガバナンス研究会等が一連のガイドラインを公表してきている。