1日1規格で覚えるセキュリティ規格
※記事を進めていくうえでISO/IECの各序文に以下のような記述がありましたので、ボツとさせていただきました。
ISO/IEC規格の著作権はISOとIECに帰属する
許可なく複製・再配布はできない
引用や要約は出典を明示すること
R.7秋 情報処理安全確保支援士試験を受けてきましたが、その中の午前Ⅱ 問17について
「セキュリティ関連の業務についていたら応えられて当然だよね」
「支援士は内容を把握していて当たり前」
上記のような手痛い言葉を数多く聞きましたので、さすがにまずいと思い今回の企画を発案しました。
終わったものについてはリンクを付けていきます。
🔐 情報セキュリティ関連規格
| 規格 | 内容 | キーワード |
|---|---|---|
| ISO/IEC 27000 | 情報セキュリティマネジメントの概要と用語を定義 | ISMS全体像、用語定義 |
| ISO/IEC 27001 | ISMSの要求事項(認証基準) | ISMS認証、PDCA、リスク対応 |
| ISO/IEC 27002 | セキュリティ管理策の実践規範 | 管理策、ベストプラクティス、付属書A |
| ISO/IEC 27003 | ISMS構築の実装ガイド | 導入手順、計画、実施 |
| ISO/IEC 27004 | 効果測定の方法を規定 | KPI、評価、モニタリング |
| ISO/IEC 27005 | リスクマネジメント手順を規定 | リスク分析、評価、対応 |
| ISO/IEC 27006 | 認証機関の要求事項 | 審査基準、認証機関 |
| ISO/IEC 27007 | ISMS監査の指針 | 内部監査、外部監査 |
| ISO/IEC 27017 | クラウドサービスのセキュリティ管理策 | クラウド事業者、利用者、責任分界点 |
| ISO/IEC 27018 | クラウドでの個人情報保護 | PII、GDPR、クラウドプライバシー |
| ISO/IEC 27019 | エネルギー業界向け情報セキュリティ | ICS、制御システム、電力 |
| ISO/IEC 27031 | 事業継続とIT復旧のガイドライン | BCP、DR、復旧計画 |
| ISO/IEC 27032 | サイバーセキュリティのガイドライン | サイバー攻撃、防御、協調 |
| ISO/IEC 27033 | ネットワークセキュリティ管理 | ファイアウォール、VPN、境界防御 |
| ISO/IEC 27034 | アプリケーションセキュリティ | 安全な開発、SDL、セキュアコーディング |
| ISO/IEC 27035 | インシデントマネジメント | 検知、対応、CSIRT |
| ISO/IEC 27036 | サプライチェーンセキュリティ | 委託先管理、契約、供給網 |
| ISO/IEC 27701 | プライバシーマネジメント拡張(PIMS) | 個人情報保護、GDPR、拡張ISMS |
| ISO/IEC 15408 | IT製品のセキュリティ評価基準(CC) | セキュリティ機能、評価保証、EAL |
| ISO/IEC 19790 | 暗号モジュールのセキュリティ要件 | 暗号装置、FIPS、ハードウェア |
| ISO/IEC 24760 | アイデンティティマネジメントの枠組み | ID管理、認証、アクセス制御 |
| ISO/IEC 29100 | プライバシーフレームワーク | 個人データ、プライバシー原則 |
| ISO/IEC 29134 | プライバシー影響評価(PIA) | 影響評価、個人情報リスク |
| ISO/IEC 24762 | IT災害復旧サービスのガイドライン | DRサービス、代替サイト |
🌍 国際規格・標準化団体系
| 規格・団体 | 概要 | 覚え方・特徴 |
|---|---|---|
| ISO(International Organization for Standardization) | 国際標準化機構。あらゆる分野の国際規格を策定。 | 世界の標準ルールを決める組織。 |
| IEC(International Electrotechnical Commission) | 電気・電子分野の国際規格を担当。ISOとセットで「ISO/IEC」と表記されることが多い。 | 電気系の標準はIEC。 |
| IEEE(Institute of Electrical and Electronics Engineers) | 電子・通信・IT系の技術標準(LAN、Wi-Fiなど)を策定。 | Wi-Fi=IEEE 802.11で有名。 |
| ITU(International Telecommunication Union) | 国際電気通信連合。通信規格(電話、インターネットなど)を策定。 | 通信の国際ルールを決める。 |
| IETF(Internet Engineering Task Force) | インターネット技術標準(RFC)を策定。HTTP/TCP/IPもここ。 | 「RFC=IETFの成果」。 |
| W3C(World Wide Web Consortium) | Web技術(HTML、CSS、XMLなど)の標準化。 | Web標準=W3C。 |
🏢 組織・国主導のセキュリティ基準
| 組織・基準 | 概要 | 備考 |
|---|---|---|
| NIST(National Institute of Standards and Technology) | 米国標準技術研究所。CSFやSP800シリーズ策定。 | 米国政府系。 |
| CIS(Center for Internet Security) | セキュリティ設定ベンチマークを公開。 | CIS Benchmarks。 |
| IPA(情報処理推進機構) | 日本のITセキュリティ推進機関。 | ISMS認証や情報処理試験を運営。 |
| FISC(金融情報システムセンター) | 金融機関向けセキュリティ基準を策定。 | 銀行系システムで重要。 |
| JPCERT/CC | 日本のCSIRT(インシデント対応支援)。 | 国内インシデント情報共有。 |