0.はじめに
情報セキュリティマネジメントを学習してます。
- 普段書籍で読んだ内容
- 超基本的な知識
- なかなか覚えられず、忘れてしまいやすい内容…など
そういった箇所から個人的に学習用として投稿しました。
第1章「基本知識」
第2章 「セキュリティ管理」
第3章「情報セキュリティ対策」
第5章「マネジメントについて」
第6章「テクノロジ ストラテジ」
参考文献
徹底攻略 情報セキュリティマネジメント教科書 令和2年度
著者 株式会社わくわくスタディワールド 瀬戸美月/齋藤健一 著
出版 インプレス#関連法規
サイバーセキュリティ基本法
内閣にサイバーセキュリティ戦略本部を設置することが定められている
そもそもサイバーセキュリティとは
サイバーセキュリティ基本法の第2項
「サイバー攻撃に対する防御行為全般」をサイバーセキュリティと記されている
サイバーセキュリティ戦略本部
内閣サイバーセキュリティセンター(NISC)内に
設置されたサイバーセキュリティ戦略本部は
国のサイバーセキュリティ対策の司令塔である
各業界や団体が協力し専門機関等から得られた対策情報を戦略的かつ迅速に共有するための仕組みとしてサイバーセキュリティ協議会が創設されている
不正アクセス禁止法
被害がなくても不正アクセスをしただけや、それを助けただけの助長行為も処罰の対象になる、同じく不正目的で利用者のIDやパスワードの情報集めただけでも処罰の対象となる
対策としてアクセス制御機能お餅行って利用者のアクセス制限をすることが推奨されている
不正アクセス行為
具体的に次のようなことが想定されてい
・なりすまして認証を行う
・認証を行わずにコンピュータ資源にアクセスできるようにしている
・ゲートウェイを強制突破し目的の端末にアクセスしている
個人情報保護法
あくまで想像している個人を特定できる情報のこと(死亡者は対象外)
個人情報守るためにはシステムであるPMS個人情報保護マネジメントシステム
を構築しISMSと同様に管理していく必要がある
OECD ( Organization for Economic Co-operation Development )
OECDプライバシーガイドラインは国際的なプライバシーに関する減速が表記されている
ガイドラインには8原則が定められてる
・収集制限の原則:個人情報の収集は本人の同意が必要
・データ内容の原則:個人情報を扱う時は必要な範囲内性格で完全で最新のもの
・目的明確化の原則:個人情報を何に使うのか特定しなければいけない
・利用制限の原則:収集目的を超えて開示提供利用はいけない
・安全保護の原則:紛失改ざん等のリスクに関して安全対策が必要
・公開の原則:個人情報の取り扱いについて基本方針を公開する
・個人参加の原則:本人の求めに対し回答がなければいけない
・責任の原則:管理者から上記の1~7のルールに準拠する責任をもつ
個人情報保護法
個人情報データベース等として保持し事業に用いている事業者は個人情報事業者と言われる
・利用目的の特定
・利用目的の制限
・適切な取得
・本人の権利への対応:開示や訂正など
オプトアウト
提供して欲しくない場合には本人が拒否を通知するという仕組みのこと
基本的に第三者への個人情報の提供は原則自由
要配慮個人情報
人種病歴など特別な配慮が必要となる情報
これはオプトアウトでは提供できない
オプトイン
提供するためには本人の同意を得る必要がある仕組みのこと
プライバシーマーク
JISQ15001の要求を満たし個人情報保護に関して適切な処理を行っている事業者に与えられるマーク
この制度の認定はISMS適合性評価制度を管轄している同様、JIPDECが行なっている
マイナンバー法
行政手続きにおける特定の個人を識別するための番号の利用等に関する法律
社会保障の税に関する情報を一元管理する番号
マイナンバー法に関しては内閣府の外局として個人情報保護委員会という機関の設置が記載されている
特定個人情報
マイナンバーやマイナンバーに対応する符号をその内容に含む個人情報のこと
#特定個人情報の適切な取り扱いに関するガイドライン
個人情報保護委員会のホームページに公開されているもの
ガイドラインないでは
源泉徴収票などの特定の業務以外でのマイナンバーの利用を制限している
三つの柱
ここの組織やプロジェクトでカスタマイズされる大元となるプライバシーの三つの対策
プライバシーフレームワーク
個人情報保護に関するガイドラインや法律指令等のこと
プライバシー影響評価
組織での個人情報保護がどのように運用されているのか組織の判断を支援するシステムのこと
プライバシーアーキテクチャ
技術面からのプライバシー強化策
#刑法
コンピューター犯罪防止法
1987年にコンピューターに関する処罰の対象となる法が策定された
電子計算機損壊等業務妨害罪
企業が運営するWebページを改竄する、またはその改竄によって情報を流すなど業務の進行を妨害した場合に適用される
手をつけた段階で==未遂に終わった場合でも罰せられる
電子計算機使用詐欺罪
財産上不法の利益を得る犯罪を処罰する法律
・不実の電磁的記録の作出:虚偽の内容や不正な内容を作成する
・電磁的記録の供用:内容が虚偽のものを他人のコンピュータで使用する
大きく2種類の型が定められている
電磁的記録不正作出及び供用罪
人の事務処理を誤らせる目的で電磁的記録を不正に作る罪
支払用カード電磁的記録不正作出等罪
人の財産上の事務処理を誤らせる目的でカードを不正に作成するという罪
不正指令電磁的記録に関する罪
ウイルス作成罪という
マルウェアなど不正な指示を与える電磁的記録の作成および提供を正当な理由がないのに故意に扱うことを処罰する法律
電子署名法
電子署名に法的な効力をもたらせる法律のこと
捺印と同じ効力が認められるようなもの
・認定認証事業者
電子証明書発行できる機関、国の認定を受ける必要がある
プロバイダ責任制限法
個人情報の情報の開示を請求する権利を定めた法律
サイトの掲示板などでの誹謗中傷個人情報の不正の公開などが増えている中
提供者はプロバイダだけではなくWebサイトの運営者なども含まれる
特定電子メール法
スパムメールや迷惑メールなどの規制に関する法律
知的財産権
・著作権や著作隣接権
文化的な創作の権利
・産業上の創作の権利
特許権や実用新案権
・営業所の権利
商標権の営業秘密
産業財産権法
特許権、実用新案権、商標権、意匠権の4つがある
自然法則を利用した技術的思想の創作のうち高度なものである発明を保護する
審査を通し、通過しなければ保護されないしくみ
不正競争防止法
事業者間の不正な競争防止市公正な競争を確保するための法律
類似のドメイン名を使用するなどのドメイン名に関わる不正行為なども禁止されている
営業秘密として保護を受けるためには次の三つを満たす必要がある
・秘密管理性:秘密として管理されていること
・有用性
・非公知性:公然と知られていないこと
労働基準法
36協定:これ結ばないと残業を行わせることができない
1日8時間、1週間で40時間
開発契約
請負契約:完成させる責任がある
準委任契約:完成させる責任はない
ITによる法律
IT基本法
e-文書法
電子帳簿保存法
国税関係の帳簿書類を電子保存するための法律
スキャナを使用し作成した電子データで保存できるようになった
JIS
日本産業規格
工業やデータ経営管理等に関する標準
IS
国際規格
世界の標準
デジュールスタンダード
JISやISなどの標準化団体によって定められた標準規格
デファクトスタンダード
公的に標準化されていなくても事実上の規格、基準となっているもの