本サイトはCISSPを受験時に学習した内容をまとめたノートを公開しているものです。
内容の正確性は保証しませんので、あくまで参考程度にご参照ください。
セキュリティとリスクマネジメント
1-1 職業倫理を理解し、遵守し、促進する
倫理規約(The (ISC)2 Code of Ethics Canons(ISC)2)
ISC2のメンバが遵守しなければならない倫理規約であり、認定の条件となる。規約には以下の4規範があり、違反した場合は認定が取り消される場合がある。 ※なお、上から順により優先されるべき規範として位置づけられる。つまり、専門性を高めることよりも、社会や公益を保護することの方が優先される。
- 社会、公益、公共から求められる信頼と信用、インフラを守る。
- 法律に違わず、公正かつ誠実に責任を持って行動する。
- 当事者に対して、十分かつ適切なサービスを提供する。
- 専門性を高め、維持する。
Computer Ethics Institute
コンピュータ倫理研究所が提供しているコンピュータ倫理の規範。
- 汝、コンピュータを他人に危害を加えるために使用してはならない。
- 他人のコンピュータ作業を妨害してはならない。
- 他人のコンピュータファイルを覗き見してはならない。
- コンピュータを使って盗んではならない。
- 汝、虚偽の証言をするためにコンピュータを使ってはならない。
- 汝、代金を支払っていないプロプライエタリ・ソフト ウェアをコピーしたり使用したりしてはならない。
- 他人のコンピュータ資源を、許可なく、あるいは適切な対価を支払わずに使用してはならない。
- 他人の知的生産物を盗用してはならない。
- 汝、自分が書いているプログラムや設計しているシステムの社会的影響について考えるべし。
- 汝は常に、仲間への配慮と尊重を確実にする方法でコンピュータを使うべし。
IAB Ethics and the Internet
IABが定めたインターネット利用者の倫理規定。RFC1087「Ethics and the Internet」で規定されている。
- インターネットのリソースへの不正アクセスを試みる
- インターネットの意図された利用を妨害する
- そのような行為によって資源(人、能力、コンピュータ)を浪費する
- コンピュータベースの情報の完全性を破壊する
- ユーザーのプライバシーを侵害する。
1-2 情報セキュリティの基礎概念
The CIA Triad
Confidentiality(機密性)、Integrity(完全性)、Availability(可用性)は「The CIA Triad」と呼ばれ、情報セキュリティの基礎となる概念である。
Confidentiality (機密性)
機密性は情報の不正な開示を防止しようとするものであり、データを秘密にする。つまり、機密性はデータへの不正な読み取りアクセスを防止しようとするものである。データにアクセスできるのは、アクセス許可、正式なアクセス承認、および知る必要性を持つユーザーのみでなければならない。
機密性に対する攻撃の例としては、クレジットカード情報などの個人を特定できる情報(PII)の盗難など。
Integrity ( 完全性)
完全性は、情報の不正な変更を防止しようとするものである。つまり、完全性はデータへの不正な書き込みアクセスを防止しようとするものである。
完全性はデータ完全性とシステム完全性の2種類に分類される。データ完全性は不正な改ざんからデータを保護しようとするもので、システム完全性はWindowsOSなどのシステムを不正な改ざんから保護しようとするものである。
Availability (可用性)
可用性とは、情報が必要なときに利用可能であることを保証するものである。
可用性に対する攻撃の例は、システムのサービス(または可用性)を拒否しようとするサービス拒否(DoS)攻撃である。
Disclosure, Alteration and Destruction (情報開示, 改ざん, 破壊)
CIA Triadに対する対立概念がDADである。Disclosure(開示)は情報の不正な公開であり、Alteration(改ざん)とはデータの不正な変更であり、Destruction(破壊)とはシステムやデータを利用できなくすること。
IAAA(Identity, Authentication, Authorization, Accountability)
ユーザ認証における要素である、Identification(識別)、Authentication(認証)、Authorization(認可)、Accountability(説明責任)頭字語を表す。
Identity and Authentication(識別と認証)
Identityとは、「私はXXXです」と自身のIDを主張すること。主張されたIDをパスワードや身分証などで検証し、証明することがAuthentication(認証)である。
Authorization(認可)
認証されたIDに割り当てられた権限を検証し、アクセス可否を判断するプロセス。
Accountability(説明責任)
ユーザーの行動に責任を持たせること。これは通常、監査ログの記録と分析によって行われる。ユーザはデータが記録され、監査され、ポリシー違反によって制裁が課される可能性があることを知らなければならない。
Non-Repudiation(否認防止)
否認防止とは、ユーザーがトランザクションを実行したことを否定(否認)できないことを意味する。これは認証と完全性を組み合わせたものである。否認防止は、トランザクションを実行するユーザーの身元を認証し、そのトランザクションの完全性を保証する。
例:マンション購入の契約書に署名したことを証明しても、不動産屋が契約価格を書き換えられるのであれば意味がない。
Least Privilege and Need to Know(最小権限と知る必要)
最小権限とは、ユーザが仕事をするために必要な最小限の権限を与えるべきで、それ以上の権限を与えてはならないことを意味する。
「知る必要」は、ユーザが特定の情報にアクセスする際に(たとえアクセス権があったとしても)当該の情報を知る必要がない場合はアクセスさせないという原則であり、業務上必要な場合に限りアクセス可能であることを意味する。
Subjects and Objects(サブジェクトとオブジェクト)
サブジェクトはユーザやプログラム、プロセスなどのデータを扱い、受け取るエンティティを指す。
オブジェクトはファイルや物理的な資料、データベースなどのデータを提供するエンティティを指す。
情報セキュリティに関連する法律および規制
法系
Civil Law(制定法主義)
立法機関が制定した制定法が重視される。ドイツやフランス、日本で採用されている。
Common Law(コモンロー)
過去の判例が重視される。英国、米国、カナダなどで採用されている。
Religious Law (宗教法)
宗教における教義や戒律を法規制の根拠とする。
法的責任
Due Care(デューケア)
組織や個人が顧客に対して負う、努めなければならない最低限の義務(=善管注意義務)。
分別のある人物であれば、そのような事情では当然するであろう注意のこと。
実行できなかった場合、過失とみなされ訴訟の対象となる。
Due Diligence(デューデリジェンス)
資産や利害関係者を保護するための要件を満たしているか確認するプロセスおよびその裏付け。
何かを実行する前に行う実践的な全てのこと指す。(例:適切な人員の配置、予算の整備など)
証拠の種別
Direct Evidence(直接証拠)
証人が実際に体験したことによる証言。証人は他人を通じて間接的に知識を得るのではなく、証言していることを経験していなければならない。
Circumstantial Evidence(状況証拠)
特定の点、またはほかの証拠に関連する状況を立証することを補強する証拠。間接的な証拠を提供するものであり、通常は事件の唯一の証拠として採用することはできない。
Corroborative Evidence(補強/裏付け証拠)
事件における特定の事実や要素を補強するために裏付けとなるための証拠。それ自体で特定の事実を立証するものではないが、ほかの事実に対する追加的な裏付けを提供する。
Hearsay Evidence(伝聞証拠)
間接的な情報が含まれており、通常裁判では証拠として認められない。
ビジネス記録やコンピュータで作成された記録は一般的に伝聞とみなされる。
→連邦証拠規則第802条に定義されている伝聞証拠の一般的不許可に対する例外を
803条および804条で規定している。
同規則803条では、以下の記録またはレポートを証拠として認めている。
「知識を有する者によって、またはその人物から伝達された情報から、定期的に行われる業務活動の過程で保管され、その業務活動の通常の慣行としてメモ、レポート、記録またはデータのコンパイルを作成することが状態である場合」
証拠の原則
Best Evidence Rule(最良証拠の原則)
裁判所は可能な限り最良の証拠を好む。
→原本はコピーより優先され、決定的な有形物は口頭証言よりも優先される 。
<証拠の基準>
証拠は、正確で、完全で、関連性があり、信ぴょう性があり説得力があるものでなければならない。これらの基準を満たす証拠が優先される。
Secondary Evidence(二次的証拠)
オリジナルから複製されたものであり、原本のコピーやl口頭での説明や伝聞から構成される。
米国連邦証拠規則1001条で、コンピュータに含まれるデータの読み取り可能な報告書を、二次的証拠ではなくオリジナルの証拠としてみなすことを認めている。
Evidence Integrity(証拠の完全性)
証拠は信頼できるものでなければならない。
<フォレンジックを実施する場合>
フォレンジックはコピーに対して行われ、オリジナルに対して行われることはない。
→フォレンジックの前後に、オリジナルとコピーの双方に対しハッシュをチェックし、完全性を
確認する。
Chain of Custody(管理の連鎖、証拠保全)
証拠の信頼性を保証するために、Chain of Custody(保管の連鎖)文書を維持する。証拠のライフサイクル全体を通して、証拠がどのように取り扱われたかを記録、文書化する。
Reasonable Searches(合法的な捜査)
合衆国憲法修正第4条は、政府による不合理な捜索や押収から市民を保護する。いかなる場合も、証拠が合法的に取得されたかどうかは裁判所が判断する。ほとんどの場合、法執行機関が私人の財産を捜索するには、正当な理由と裁判官によって発行された令状の双方が必要となる。
↔人命が差し迫っている場合や、証拠が隠滅される可能性がある場合は、緊急事態の例外が適用され、令状なしでの捜索が正当化される。
<The color of law>
民間人が法執行機関に代わって行動や捜査を行う場合、これらの個人は”法のあいまいさ”(表見性?)の下に行動しているとみなされ、法執行機関の代理人とみなされる。”法のあいまいさ”の下で行動する人物は合衆国憲法修正第4条を理解しなければならず、憲法上保護されている権利を侵害した場合、有罪となる可能性がある。
例)セキュリティ専門家が法執行機関の直接の監督下でデータを押収する場合
Entrapment(囮捜査)
囮捜査は、法執行機関が犯罪を犯すつもりがない(犯意がない)人物を犯罪を犯すよう働きかけ、その後捜査や逮捕をすること。違法かつ非倫理的とみなされ、不起訴となる。
Enticement(誘惑)
既に犯罪を実行している、あるいは犯罪を実行する意思を有している人物に対し、その犯意を実現する機会を提供し、仕向けること。合法かつ倫理的とみなされる。
例:ハニーポットやハニーネットの使用
知的財産
Copyriught(著作権)
文学作品、音楽、芸術、ソフトウェアなどを保護する。
著作権は自動的に付与され、有効期間は創作者の死後70年間、または法人著作の場合95年間付与される。
Trademarks(商標)
ブランド名、ロゴ、シンボル、画像などを対象として保護する。
有効期間は登録後10年間だが、更新可能であるため実質無制限。
TMマーク:未登録の商標を示す
®マーク:米国特許商標庁に正式に登録された商標を示す
SMマーク:(TMマークが形ある商品に対して付けられるのに対し)形のないサービスに対して付けられる。未登録でも使用可
Patent(特許)
特許は、特許権者が発明を公開することと引き換えに、一定期間当該の発明を使用、製造、販売する権利を独占するもの。
有効期間は、米国と欧州では最初の出願日から20年間。
特許の登録には、その発明が新規で、ユニークであり、かつ実際に実用できてなければならない。
Trade Secret(企業秘密/営業秘密)
組織の競争力にとって重要なビジネス上の専有情報。
保護の方法として、競業避止義務(NCA)や秘密保持契約(NDA)がある。
Non-Complete-Agreement(NCA : 競業避止義務)
:従業員や役員が、組織の競合他社に転職したり、自ら競合する会社を設立するなどの
競業行為を行ってはならないという義務を課す契約。
Non-Disclosure Agreement(NDA : 秘密保持契約)
:業務上知り得た営業秘密や個人情報などを、第三者に開示しないことを義務付ける契約。
Licenses(ライセンス)
アプリケーションやソフトウェアの提供者と消費者間の契約。
一般的に、ほとんどの商用ソフトウェアライセンスは、ソフトウェアの使用と配布に関する明示的な制限を規定している。
著作権の制限
ⅰ. First – Sale(ファーストセール・ドクトリン)
著作権の正当な購入者が、それを他人に販売することを認めること
ⅱ. Fair – Use(フェアユース、公正利用)
著作権者への支払いや許諾なしに、著作物を複製することを認めること。
以下の4つの観点で判断される。
・抜粋の性質と目的、スタイル
・著作物の性質
・著作物全体と比較した、複製物の量
・複製物が元の著作物の価値や望ましさを低下させるかどうか
批評、解説、報道、教育、研究、調査などを目的とする場合、フェアユースが認められる。
知的財産の侵害
Cybersquatting
個人または組織が、悪意を持って他人の商標に関するドメインを登録、あるいは使用すること。
(法的にはグレーもしくは違法)
Typosquatting
実際のWebサイト名に近いドメインを購入、使用すること
Privacy
プライバシーとは、個人情報の機密性を保護すること。
EUのプライバシー保護政策
DPD(EU Data Protection Directive:EUデータ保護指令)
GDPRの前身として制定されていた、EU域内の個人データ保護を目的としてプライバシー情報の管理についての指令。GDPRが加盟国に一律に適用される一方で、DPDは加盟国が国内法としてそれぞれの国で法整備を実施したため、各国でばらつきがあった。
<原則>
・個人データがそのように収拾され、使用されるのかを通知すること
・個人データを第三者と共有しないことを選択できるようにする(オプトアウト)こと
・最も機密性の高い個人データを共有する場合、オプトインすること
・個人データに合理的な保護を提供すること
GDPR(General Data Protection Regulation:一般データ保護規則)
EU域内における個人データの保護を規定した法律。対象はEU域内に居住する人、サービスのため、非EU諸国外の人物もEU域内に居住していれば対象となる。
企業がGDPRに違反した場合、最高で2000万ユーロ、もしくは年間売り上げの4%のどちらか高い方が科される。
<GDPRの主な規則>
・アクセス権
データ管理者(Data Controller)は、要求に応じて個人データのコピーを無料で提供できる
必要がある
・消去権
全てのユーザは「忘れられる権利」を有する
・データのポータビリティ
全てのユーザは電子形式で自らのデータへのアクセスを要求することができる
また、別のシステム/データ管理者と共有することができる。
・データ侵害通知
データ管理者(Data Controller)は、データ侵害の発生を認識してから72時間以内に
通知しなければならない
・データ保護責任者
データプロセスを設計する際は、個人データが安全であることを確認する必要がある。
企業はデータのみが「職務の遂行に絶対必要」であることを確認する必要がある。
<EU域外へのデータ転送>
EU域内からEU外へデータ転送を行うには、SCC(Standard Contractual Clauses:
標準契約条項)を導入し、満たす必要がある。
SCCは欧州委員会が決定したデータ移転契約のひな型で、EU域内からEU域外への個人データの
移転をGDPR上適法化するための「適切な保護措置」の一つ
EU – US Safe Harbor
Privacy Shield の前身となる仕組み。
EUと米国間でデータを転送する際のルールを確立するための枠組み。
後に、EUの欧州司法裁判所が無効の判断をしたため、現在は失効している。
EU – US Privacy Shield
Safe Harbor ののちに制定されたEUと米国間のデータ転送に関する保護のための枠組み。
2020年に欧州司法裁判所により無効とされた。
米国のコンピュータ保護関連政策
HIPPA(Health Insurance Portability and Accountability Act )
PHI(Protected Health Information:保護された医療情報)を不正な利用や開示から保護することを目的とした連邦法。対象は医療提供者、医療保険プログラム、決済機関などの事業体。
PHIを保護するために管理的、物理的、技術的な保護措置を講じることを義務付けている。
CFAA(Computer Fraud and Abuse Act:コンピュータ詐欺および不正使用防止法)
コンピュータ犯罪に関する米国初の法律の一つ。
保護されたコンピュータに対する攻撃で、1年間に5000ドル以上の損害を与えたものに対し、犯罪と規定した。大半のコンピュータ犯罪の訴追に関連する。
ECPA(Electronic Communications Privacy Act:電子通信プライバシー法)
電子通信の保護を目的として制定された。
令状無しの盗聴から電子通信を保護している。
↔ PATRIOT Act(愛国者法)により一部制限を緩和
PATRIOT Act of 2001(米国愛国者法)
アメリカ同時多発テロを受け、テロ防止を目的として法執行機関の電子監視能力の拡大のため制定。盗聴の適用範囲を拡大し、即時開示を必要としない捜索と押収を許可する。
一人の人間に対し、一度の令状で包括的な監視が許可される。
また、法執行機関がISPの顧客情報を取得できるようになる。
CALEA(Communications Assistance for Law Enforcement Act:法執行機関のための通信支援法)
通信事業者に対し監視機能を義務付けることで、法執行機関の通信傍受能力を拡大することを目的とした法律。
GLBA(Gramm-Leach-Bliley Act:グラム・リーチ・ブライリー法)
金融機関に対し、消費者の金融情報の機密性と完全性を保護することを目的として制定。
金融機関は顧客に対し、プライバシー保護について通知しなければならない。
SOX法(Sarbanes-Oxley Act of 2002)
エンロン事件やワールドコム事件などの粉飾決算事件の結果、上場企業に対して規制遵守を義務付けるため制定。主な目的は適切な財務開示と監査人の独立性の確保。
SOX法では財務情報の開示、監査人の独立性、リスク評価などの内部セキュリティ管理が義務付けられており、意図的な違反は刑事罰の対象となる。
FERPA(Family Educational Rights and Privacy Acts:家族の教育の権利とプライバシーに関する法律)
学生の教育記録のプライバシーを保護する法律。
COPPA(Children’s Online Privacy Protection Act:児童オンラインプライバシー法)
子供のオンライン個人情報が保護者の管理下で安全に管理することを目的として制定。
13歳未満の子供から情報を収集する場合は、保護者から許可を得ることを義務付けている。
California Senate Bill 1386
米国初の情報漏えい通知法の一つ。カリフォルニア州住人のデータを含む個人情報漏えいを発生させた組織に対して、通知することを義務付けた。
Security Breach Notification Laws(セキュリティ侵害の通知に関する法律)
米国には現在、連邦レベルで統一されたセキュリティ侵害の通知に関する法律は無く、各州法によって制定されている。(50州全てで制定されている。)
その他スタンダードやガイドライン、規制
OECD Privacy Guidelines(OECDプライバシーガイドライン)
米国含むOECDの30ヶ国が加盟。プライバシー保護と個人データの国境を越えた流通に関する
ガイドライン。(強制力はない)
<個人データのプライバシーに関する8つの推進原則>
・収集の原則
・データ品質の原則
・目的の特定原則
・使用制限の原則
・セキュリティ保護の原則
・公開の原則
・個人の参加の原則
・説明責任の原則
Wassenaar Arrangement(ワッセナーアレンジメント)
通常兵器および軍民両用物品と技術の輸出入管理に関する枠組み。
COCOM(対共産圏輸出統制委員会)の終了後に創設され、旧ソ連諸国も加盟している。
暗号技術に関する輸出制限を大きく緩和している。
(イラン、中国、ロシアなどは強力な暗号の輸入を引き続き制限。)