2.4 関連法規


2.4.1 電子計算機システム安全対策基準

 通商産業省が1977年に策定。1984年と1991年に改訂され現在にいたる。国内の一般的な情報システム運用上のセキュリティ指針となっている。
同基準は、設備基準、技術基準、運用基準の3部構成で、自然災害、ハード/ソフト障害、誤動作、不正アクセスなどによって生じるデータの漏洩や改ざん、破壊などを防止するための措置、または発生した場合の影響の最小化、回復の迅速化について網羅的に記述したガイドラインである。

(1)設備基準(95項目)
情報システムおよび関連設備を自然災害、不法侵入者による破壊などの危険から物理的に保護するための設備面の対策を記述している。

(2)技術基準(19項目)
情報システムの安全性、信頼性をハードウェア、ソフトウェアで解決するための対策で、システムの設置、運営者が実施可能なものを記述している。

(3)運用基準(48項目)
情報システムの安全性、信頼性をシステムの運用管理面から充実させていくための対策を記述している。


2.4.2 システム監査基準

 通商産業省が1984年に策定、1985年に公表した。情報システム監査人が情報システムの監査を実施する際の必要事項を記述しており、一般基準、実施基準、報告基準の3基準から構成されている。実際に情報システムで行われるセキュリティ対策と関連が深いのはこのうちの実施基準であり、企画業務、開発業務、運用業務に関してチェック項目が定められている。

(1)一般基準(13項目)
システム監査の目的、対象、実施者であるシステム監査人、監査時期、監査計画および監査手順の基本的要件について記述している。

(2)実施基準(105項目)
情報システムの企画、開発、運用業務の各工程に沿って、監査実施上の監査項目、観点を列挙している。システム監査人は、これをガイドラインに、業務に沿って監査を実施する事ができる。
a.企画業務
計画、調査、分析、開発検討、要員管理
b.開発業務
開発手順、要員管理、システム設計、プログラム設計、プログラミング、システムテスト
c.運用業務
オペレーション、入力データの作成と入力、データとプログラムの管理、ファシリティ(設備、資材)管理、出力情報の管理と活用、要員管理、外部委託管理

(3)報告基準(9項目)
監査結果の報告内容、報告先および改善勧告の実施状況フォローアップの規定、報告書への記載事項について記述している。


2.4.3 コンピュータウィルス対策基準

 通商産業省により1990年策定。従前からの基準(電子計算機システム安全対策基準)では対応しきれない、コンピュータウィルスという新しいリスクへの対策基準を記述している。
同基準はユーザ基準、システム管理者基準、ソフトウェア開発管理者基準の3部から構成される。

(1)ユーザ基準(19項目)
コンピュータシステム利用者のためのソフトウェア管理、運用管理、ウィルスに汚染された場合の事後対応に付いての対策を記述している。

(2)システム管理者基準(27項目)
コンピュータシステム管理者のためのソフトウェア管理、運用管理、ネットワーク管理、事後対応についての対策を記述している。

(3)ソフトウェア開発管理者基準(13項目)
ソフトウェア開発管理の責任者のための開発環境管理、製品管理、事後対応についての対策を記述している。


2.4.4 セキュリティ評価基準

 通商産業省配下の(社)日本電子工業振興協会にて、現在策定中である。1992年に機能要件のドラフトを作成し公開している。

(1)管理体制
a.システムコントロール
・ 権限の分散化、特定の人に集中させない
・ 利用者登録
利用許可抹消時に登録簿からの削除
長時間利用されない利用者の一時的利用禁止

(2)本人確認
a.識別、認識
・ 利用者IDの特定
・ パスワード露見の防止、推測による暴露防止
単純なパスワードの禁止
パスワードの暗号化
再入力回数の上限値設定
利用者が自分のパスワードを変更できること(強制的に変更もさせる)
不正使用検出時は直ちにパスワードがリセットできる

(3)システムへのアクセス管理
a.システム、アクセス制御
・ 本人認証終了後、前回利用の日時、場所、それに今回までの間に利用に失敗(パスワード入力ミス等)した回数の情報を利用者に認知
・ 利用できる端末やプリント、時間帯の規制、権限を持った利用者のシステム利用条件の規制
・ 一定時間利用者から入力のなかった場合、セションを強制的に切断

(4)情報アクセス管理
a.資源アクセス制御
・ 重要な情報はアクセスコントロールリストにより管理され、アクセス権限をチェックする

(5)送信
・ 送信データの暗号化
・ 送信者の特定が常に可能であること

(6)保管
a.完全性
・ データの暗号化により、他人に洩れても判別できないようにする
・ 保管中改ざんのなかったことを検証できるよう、チェックサム等の採用

(7)削除
a.オブジェクトの再利用時の注意
・ データ削除時は、メモリーおよび媒体からデータそのものを削除しなければならない

(8)履歴
a.追跡性、監査
・ 利用管理簿、登録簿、送信簿にて履歴を残すこと
・ 利用者認証、システムの利用、情報の利用、プログラムやコマンドの実行、管理者の操作など全事象に対し、日時、場所、利用者、対象情報、成功か失敗かを含む履歴情報を収集しなければならない
・ 特定の利用者や端末の状況が即時表示されること

(9)その他
・ 障害の検出とその回復
・ ファイルバックアップとリストア
・ CPU、メモリの使用量管理


2.4.5 その他
 その他、安全対策に関する法規とそのポイントについて以下に簡単に示す。なお、詳細についてはそれぞれの法規の各条文にて参照されたい。(なお、ここに挙げたもの以外にも、安全対策を検討する上で関連してくる法規および基準等は存在する。)

(1)建築基準法(および施行令)
a.建築物の耐火構造、防火構造について
b.防火戸その他の防火設備について
c.防火戸の構造について
d.防火区画について

(2)消防法(および施行令)
a.消防用設備等の設置業務について
b.消防用設備等の検査、点検について
c.工事の届出について
d.二酸化炭素消火設備、ハロゲン化物消火設備に関する基準
e.自動火災報知設備に関する基準
f.非常警報器具または非常警報設備に関する基準

(3)電気通信事業法
a.電気通信設備の維持について
b.端末設備の接続の技術基準について

(4)著作権法
a.著作者の権利の保護について
b.損害賠償請求について
c.プログラム登録制度について
d.法人著作について
e.国際的保護について

(5)刑法
a.電磁的記録の不正作出、および毀棄について
b.コンピュータに対する業務妨害罪について
c.不当利得罪(財産犯関連)について

(6)不正競争防止法
a.企業の営業機密保護の前提について
「営業機密が秘密として十分に管理されていること」



情報技術スキルアップの種のページへ
GLORY's OFFICEへ

Copyright(c)1998 by glory