1. 情報セキュリティ概論
1.1. 情報セキュリティ基礎
1.1.1. 情報セキュリティの3大要件
情報セキュリティが保たれている状態は以下状態を指す。
- 情報・インフラ環境が健全
- 情報やサービスに対して盗聴・改ざん・破壊などが起こる可能性が低い
具体的には情報セキュリティはCIA要件として規定されている。
- 機密性(Confidentiality) 「不正な読み取りをさせない」 - ユーザーは、読み取りが許可されている情報のみ読み取ることができる。
- 完全性(Integrity) 「不正な修正(書き込みや削除)をさせない」 - ユーザーは、修正することを許可された情報のみ修正することができ、修正には追加、変更、削除が含まれる。
- 可用性(Availability) 「攻撃を受けても動作し続ける」 - 攻撃を受けている間でもソフトウェアが動作し続けることを意味する。サービス妨害(Denial of Service:DoS)攻撃とは、ソフトウェアを利用できなくさせようとする攻撃のこと。
CIA要件のうち、CIをサポートするのが識別、認証、認可、監査(Auditing: ロギング)の機能となる。
1.1.2. セキュリティの要素と多層防衛
情報にアクセスするためには様々な要素を経由する。 それらの要素それぞれでセキュリティの対策を行うことはDID(多層防衛)と呼ばれる。
これらを適切に設定し運用するためにはセキュリティポリシを規定するのが一般的である。
セキュリティポリシ 組織やシステムに対するセキュリティに関する理想像を規定し、運用計画、プロセス、標準やガイドラインの手続き/手段の構成を要素ごとに明文化したもの
また、セキュリティの検証と評価には以下の3つの項目を把握/管理することが基本となる。
- リスク ... 情報資産に被害が及ぶ可能性
- 脅威 ... 情報資産を危険に晒す事象/要素
- 脆弱性 ... 情報資産を危険にさらすセキュリティホール
1.1.3. 情報セキュリティの防衛
またセキュリティの防衛には以下の3つのフェーズがある。
- 予防フェーズ ... 初期設定とそのフィードバックによる設定変更等
- 運用フェーズ ... 通常運用時におけるセキュリティレベルの維持
- 対処フェーズ ... インシデント発生時の対処方法
1.1.3.1. 予防フェーズ
予防フェーズでは以下手順でセキュリティ防衛を実現する。
- 情報資産の設定/ラベリング ... 守るべき対象とその基準をセキュリティポリシーにより決定する
- リスクの評価 ... リスクレベルの設定とリスクの種類ごとに対応を定める(リスクマトリックスの策定)
- 防衛方法の検討 ... 防衛機器の必要性の有無/手順の策定/多層防衛か/など
- 機器の選定と導入
- 機器の構築と設定
防衛機器の例 ・NFW ・IPS/IDS ・UTM ・WAF ・SandBox/HoneyPot
1.1.3.2. 運用フェーズ
運用フェーズでは以下手順でセキュリティ防衛を実現する。
- 監視 ... インシデントの兆候(アラート/ログ)
- 分析 ... 誤検知/見落としの排除、セキュリティレベルの維持
- レポーティング ... 上記2つをレポートする
- 評価・検証 ... 脆弱性の検証を行う
1.1.3.3. 対処フェーズ
対処フェーズ(IH&R)では以下手順でセキュリティ防衛を実現する。
- 検出・分析 ... インシデントを検知する
- 分類・優先順位付けと通知 ... 対応やインシデントの分類と有線付けを行い、通知する
- 封じ込め ... インシデントを起こした原因の根絶/システムの復旧を行う
- フォレンジック調査 ... 証拠収集
- 事後処理
1.1.4. セキュリティに関する用語
セキュリティの概念を表す用語には以下のようなものがある。
用語 | 説明 |
---|---|
脆弱性 | プログラムの欠陥やシステム/ネットワーク上のセキュリティ上の欠陥全般のこと。 |
脅威 | 攻撃を与えうる存在。技術的脅威、人的脅威、物理的脅威に分けられる。 |
リスク | 情報セキュリティで危険な事象を起こすことにつながると判断されたもの |
インシデント | 情報セキュリティを脅かす発生した事件や事故のこと。 |
1.1.5. 脆弱性とリスク
脆弱性
脆弱性はコンピュータのOSやソフトウェアにおいてプログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを指す。
リスク
リスクは脅威、資産、脆弱性を組み合わせたものであるとJNSAは定義している。 つまり脆弱性が重大でも資産や脅威が0であるならばリスクは0ということになる。
1.1.6. 個人のアクセス権の付与と管理
個人が必要とする情報技術システムへのさまざまなレベルのアクセスを管理し、正しく定義することセキュリティの概念上重要になる。 個人に与えられるアクセスレベルは以下の2つの要素によって決定する。
- 組織内での個人の役割/機能
- システムに保存される情報の機密性
個人のアクセス権の付与と管理にはPIM(Privileged Identity Management)とPAM(Privileged Access Management)という2つの概念が使用される。
PIM
PIM(Privileged Identity Management)は組織内のユーザーの役割をシステム上のアクセス役割に変換するのに使用する管理概念のこと。 組織におけるユーザーの役割/責任に基づいたシステム役割を作成したい場合に使用する。
PAM
PAM(Privileged Access Management)はシステムのアクセス ロールが持つ権限の管理概念のこと。 システムアクセスロールが持つ権限を管理したい場合に使用する。
1.2. 攻撃的セキュリティ
1.2.1. 攻撃的セキュリティの概要
1.2.1.1. 攻撃的セキュリティとは
攻撃的なセキュリティはシステムへ侵入することに重点を置いたセキュリティのこと。 システムへの侵入は、バグの悪用、既存設定の悪用、制限されていないアクセス制御ポリシーの利用などを通じて行う。
攻撃的セキュリティのタスクは以下の通り。
- システムへの侵入
- レポートの作成
攻撃的セキュリティはレッドチームやペネトレーションテスタなどの部隊が専門とする。
1.3. 防衛的セキュリティ
1.3.1. 防衛的セキュリティの概要
1.3.1.1. 防衛的セキュリティとは
防衛的セキュリティはシステムへの侵入を防ぐことに重点を置いたセキュリティのこと。 システムへの侵入は、バグの悪用、既存設定の悪用、制限されていないアクセス制御ポリシーの利用などを通じて行われる可能性がある。
防衛的セキュリティのタスクは以下の通り。
- 侵入の防止
- 侵入の検知と対応
防衛的セキュリティはブルーチームやSOCなどの部隊が専門とする。 また防衛的セキュリティに関連するタスクには次のようなものがある。
- ユーザーのサイバセキュリティ意識の向上
- デジタル資産の文書化と管理
- システムの更新とパッチ適用
- IPS/IDSなどの予防セキュリティデバイスのセットアップ
- ログ記録および監視デバイスのセットアップ
1.3.1.2. 防衛的セキュリティのタスク
セキュリティ運用には保護を確保するためのさまざまなタスクがあり、具体的には以下のようなタスクがある。
- 脅威インテリジェンス
- デジタルフォレンジック
- インシデント対応
- マルウェア解析
1.3.2. 防衛的セキュリティの組織
1.3.2.1. SOC
SOC(Security Operation Center)はネットワークとそのシステムを監視して悪意のあるサイバセキュリティイベントを検出するチームのこと。 具体的には通常時は以下のようなことを24時間で行う。
- ネットワークセキュリティ監視(NSM) ... ネットワークの監視とトラフィックの分析に焦点を当て侵入の兆候を検出する
- 脅威ハンティング ... SOCは侵入がすでに行われたと想定し、この想定を確認できるかどうかを確認するために探索を行う
- 脅威インテリジェンス ... 潜在的な敵対者とその戦術とテクニックについて学習する
なお侵入検知時は以下内容を行う。
- セキュリティ体制の監視 ... セキュリティアラートと通知についてネットワークとコンピュータを監視し、必要に応じてそれらに応答することが含まる
- 脆弱性管理 ... システムの脆弱性を発見しパッチを当てる
- マルウェア分析 ... 制御された環境で実行することで基本的な分析を行う
- 侵入検出 ... 侵入検出システム(IDS)を保守し、そのアラートを監視し必要に応じてログを調べる
- 報告 ... インシデントやアラームを報告する
1.3.2.2. BlueTeam
BlueTeamはサイバー攻撃への防御力を検証するため、自組織を模擬的に攻撃するレッドチームに対し、それを防御するチームのこと。
1.3.3. 脅威インテリジェンス
脅威インテリジェンスは企業/組織が潜在的な敵に対してより適切に備えるのに役立つ情報を収集することを目的とする。 その目的は脅威に基づいた防御を実現することであり、企業/組織が異なれば敵も異なることとなる。
敵対者の例としては以下のようなものがある。
- 政治的理由で活動する国家サイバー軍
- 金銭目的で活動するランサムウェアグループ
インテリジェンスにはデータが必要であり、またデータは収集、処理、分析する必要がある。 データ収集はネットワークログなどのローカルソースおよびフォーラムなどのパブリックソースなどから行われる。 データの処理はデータを分析に適した形式に整理することを目的とし、分析フェーズでは攻撃者とその動機に関するさらなる情報の発見を目指す。 さらに推奨事項と実行可能な手順のリストを作成することもインテリジェンスの目的としている。
インテリジェンスを使って敵について学ぶことで、敵の戦術、テクニック、手順を知ることができる。 脅威インテリジェンスの結果として脅威アクター (敵対者) を特定し、その活動を予測することで、その攻撃を軽減し、対応戦略を準備することが可能となる。
1.3.4. デジタルフォレンジック
デジタルフォレンジックはデジタルシステムを応用して犯罪を調査し、事実を立証することを指す。
防御セキュリティでは、デジタルフォレンジックの焦点は、攻撃とその実行者の証拠の分析、および知的財産の盗難、サイバースパイ行為、未承認のコンテンツの所持などの他の分野に渡る。よってデジタルフォレンジックはさまざまな領域に焦点を当てることになる。
具体的には以下のようなものを分析することで実現する。
- ファイルシステム/ストレージ
- インストールされたプログラム、作成されたファイル、部分的に上書きされたファイル、削除されたファイルなどの多くの情報がわかる
- システムメモリ
- 攻撃者が悪意のあるプログラムをディスクに保存せずにメモリ内で実行している場合に有効となる方法
- システムログ
- ログ ファイルには、システムで何が起こったかに関する多くの情報が含まれる
- ネットワークログ
- ネットワークを通過したパケットのログは、攻撃が発生しているかどうか、および攻撃が何を引き起こすかについてのより多くのことを知るのに役立つ
1.3.5. インシデント対応(DFIR)
インシデントはデータへの侵害またはサイバー攻撃を指す。 インシデントへの対応は場合によって、構成ミス、侵入の試み、ポリシー違反など、それほど重大ではないことがある。
サイバー攻撃の例には、攻撃者によるネットワークやシステムへのアクセス不能化、公開 Web サイトの改ざん (変更)、データ侵害 (企業データの窃取) などがある。 サイバー攻撃に対処するには、インシデントによるダメージを軽減し、できるだけ短い時間でサービスを回復することにある。 具体的に言えば、インシデント対応に備えた計画を作成することが重要となる。
インシデント対応プロセスの4つの主要なフェーズは以下のとおり。
- 準備 ... インシデントに対処できる準備ができているチームがインシデントの発生を最初から防ぐためにさまざまな対策が講ずる
- 検出と分析 ... 検出されたインシデントをさらに分析して、その重大度を知る
- 封じ込め/根絶/回復 ... インシデントが検出後に他のシステムへの影響を阻止し、排除し、影響を受けたシステムを回復することが重要となる
- 後処理 ... 正常に回復した後にレポートを作成し、学んだ教訓が共有され、将来の同様のインシデントが防止する
1.3.6. マルウェアの解析
マルウェアとは悪意のあるソフトウェアの略。 ソフトウェアはディスクに保存したりネットワーク経由で送信したりできるプログラム、ドキュメント、ファイルを指す。 マルウェアには次のような種類が含まれる。
- ウィルス
- トロイの木馬
- ランサムウェア
またマルウェア解析の方法には以下の2通りが存在する。
- 動的解析 ... 悪意のあるプログラムを実行せずに検査すること
- 解析にはアセンブリ言語についての知識が必要
- 静的解析 ... 制御された環境でマルウェアを実行しそのアクティビティを監視して検査すること
1.4. ハッカーに関して
1.4.1. ハッカーとは
ハッカーの本来の意味は以下の通り。
優れたコンピュータのスキルを持ち、ソフトウェア/ハードウェアの仕組みを理解し、その作成や調査が行える個人
また本来のハッキングの意味はハッカーがそのスキルを利用して何かすることを指している。
しかしながら今現在、ハッカーはこうしたコンピュータスキルを悪用し犯罪や不正行為を行う人という意味で使われるようになってしまった。
本来こうしたハッキングを不正行為に用いる者はクラッカー(クライムハッカー)、そしてクラッカーがする不正行為はクラッキングと呼ばれる。
1.4.2. ハッカーの種類
ハッカーやクラッカー、またそれに関する活動を行うものは以下のように呼ばれる。
種類 | 説明 |
---|---|
ブラックハットハッカー | ハッキングを犯罪や不正行為に用いるハッカー |
ホワイトハットハッカー | ハッキングをセキュリティのために用いるハッカー |
グレーハットハッカー | 犯罪行為を行った経験があるが改心しホワイトハッカーになったが、再び不成功をしてしまう、またはその可能性のあるハッカー |
サイバーテロリスト | ハッキングをテロリズムに用いるハッカー |
ハクティビスト | ハッキングを自分や組織の思想/理念や教義を公布するのに使うハッカー |
国営ハッカー | 国やその関連機関に雇用されたハッカー、諜報機関/軍事機関に所属する場合がある |
スーサイドハッカー | 身元特定を恐れないハッカー、(無敵の人ハッカー) |
スクリプトキディ | スキルもほとんどないが他人の生み出した攻撃手法を用いて攻撃を行う人 |
1.4.3. ホワイトハッカーに関して
ホワイトハッカーは前述の通り、ハッキングをセキュリティのために使う人を指す。 ホワイトハッカーの企業/組織での仕事は多岐にわたり以下のようなことを行う。
- 適切な対策方法の助言
- 監視におけるインシデントの判断
- フォレンジック
- 脆弱性の診断
- 組織のセキュリティ意識向上活動
またホワイトハッカーは持つ知識やスキルの悪用ができてしまうという特性上、知識や技術だけではなく高い倫理観が求められる。 ホワイトハッカーはセキュリティの各防衛フェーズに関して以下内容を提供する。
- 予防フェーズ
- 脆弱性評価によるリスク管理への参加
- 防衛方法検討時の知識提供
- 機器の構築/テストの支援
- 運用フェーズ
- 監視/分析の技術支援/知識提供
- 定期的な脆弱性の評価/検証
- 対処フェーズ
- 対応チームトレーニングへの参加
- インシデントに対する助言
- フォレンジック調査への助言
1.4.4. ホワイトハッキングの活用
ホワイトハッキングを脆弱性管理に応用する場合、以下フェーズで応用できる。
- 脆弱性の検出
- 資産の優先順位付け
- 評価とレポート
- 軽減・改善
- 検証
1.4.4.1. 脆弱性の検出 (スキャニング)
検出ではネットワーク機器の特定と特定した機器のフットプリンティングを行う。
フットプリンティング: 攻撃を行う前に攻撃対象の情報やネットワーク環境を事前調査すること
1.4.4.2. 資産の優先順位付け (列挙)
資産の優先順位付けでは脆弱性の検出された機器を識別しリストアップを行い対応の優先順位付けを行う。
1.4.4.3. 評価とレポート (疑似攻撃)
評価ではセキュリティ脆弱性の調査を行う。
- 攻撃が脅威になるか
- 新しい攻撃手法に対して脆弱性があるか
- 新機能に脆弱性があるか
これらの結果をまとめてリポートする。
1.4.4.4. 軽減・改善
軽減・改善では検出された脆弱性に対して改善するのが軽減するのかの判断を行う。 基本的には改善を行う。できない場合は軽減を行う。
1.4.4.5. 検証 (疑似攻撃)
検証では検出された脆弱性が解決しているかを確認する。 評価方法としては評価とレポートと同じことを行う。
1.4.5. フォレンジック
フォレンジックはIT分野においては不正アクセスや通信ログを分析する行為を指す。 フォレンジックの目的は以下の通り。
- 攻撃者の特定
- 攻撃の本質(攻撃の意図)の特定
1.4.6. ROE
ROE(Rules of Engagement: 関与規則)は侵入テスト作業の初期段階で作成するドキュメントのこと。 侵入テストの実施方法を定義する文書といえる。 この文書は3つの主要なセクションで構成され、これらのセクションが最終的に侵入テストの実施方法を決定する。
セクション | 説明 |
---|---|
許可 | 関与する実行内容を明示的に許可する。個人や組織が実行する活動を法的に保護するために必須といえる |
テスト範囲 | 侵入テストを適用する必要がある特定のターゲットに注釈を付ける。(ネットワーク,アプリ内,ホストなど) |
ルール | 侵入テストにて許可されるテクニックを正確に定義する |
1.5. サイバーセキュリティ業界の職業
ホワイトハッカー以外のサイバーセキュリティの職業について紹介する。
1.5.1. セキュリティアナリスト
セキュリティアナリストは企業ネットワークを調査および評価して、実用的なデータと、エンジニアが予防策を開発するための推奨事項を明らかにする職務。 この職務ではセキュリティ要件とセキュリティ環境を理解するためにさまざまな関係者と協力する必要がある。
職務内容は以下の通り。
- さまざまなステークホルダーと協力して全社のサイバーセキュリティを分析する
- ネットワークの安全性に関する継続的なレポートを作成し、セキュリティの問題とそれに対応して講じられた措置を文書化する
- 新しい攻撃ツールと傾向に関する調査、およびデータセキュリティを維持するためにチーム全体で必要な対策を組み込んだセキュリティ計画を作成する
1.5.2. セキュリティエンジニア
セキュリティエンジニアは脅威と脆弱性のデータを使用してセキュリティ ソリューションを開発および実装する職務。 Webアプリケーションへの攻撃、ネットワークの脅威、進化する傾向や戦術など、幅広い攻撃の回避に取り組む。 この職務の目標は、攻撃やデータ損失のリスクを軽減するためにセキュリティ対策を維持および導入することにある。
職務内容は以下の通り。
- ソフトウェア全体のセキュリティ対策のテストとスクリーニング
- ネットワークとレポートを監視してシステムを更新し、脆弱性を軽減する
- 最適なセキュリティに必要なシステムを特定して実装する
1.5.3. インシデント対応者
インシデント対応者はセキュリティ侵害に対して生産的かつ効率的に対応する職務。 職務にはインシデント中およびインシデント後に組織が制定する計画、ポリシー、プロトコルの作成が含まる。 企業のデータ、評判、財務状況をサイバー攻撃から守るのがメインの仕事となる。
職務内容は以下の通り。
- 徹底的で実行可能なインシデント対応計画を策定/採用する
- 強力なセキュリティのベストプラクティスを維持しインシデント対応措置をサポートする
- インシデントから得られる教訓と適応を考慮したインシデント後の報告と将来の攻撃への準備
1.5.4. デジタルフォレンジック検査官
デジタルフォレンジック検査官は警察関連機関などの法執行部門の一員としてサイバーセキュリティ業界で働く場合の職業。
職務内容は以下の通り。
- 法的手続きを遵守しながらデジタル証拠を収集
- デジタル証拠を分析して事件に関連する答えを捜査
- 調査結果を文書化し、ケースについて報告
1.5.5. ペネトレーションテスター
ペネトレーションテスタの仕事は企業内のシステムとソフトウェアのセキュリティをテストすること。 これは、システム化されたハッキングを通じて欠陥や脆弱性を発見するペネトレーションテストによって達成される。 ペネトレーションテスターはこれらの脆弱性を悪用して、各インスタンスのリスクを評価し、企業や組織に報告する。
職務内容は以下の通り。
- コンピュータシステム、ネットワーク、Webアプリケーションへの侵入テストの実施
- セキュリティ評価、監査、およびポリシーの分析
- 分析情報を評価してレポートし、攻撃を防ぐためのアクションを推奨
1.6. 情報セキュリティに関する関連法規と法令
日本国内の情報セキュリティに関わる者が概ね把握しておくべき関連法規/法令を記載する。
出典は総務省 | 国民のためのサイバーセキュリティサイトより。
1.6.1. 刑法
刑法とは「犯罪と刑罰に関する法律である」と定義される。
電磁的記録: 第七条の二 この法律において「電磁的記録」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものをいう。
1.6.1.1. 第161条の2 - 電磁的記録不正作出及び供用
第百六十一条の二 人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、五年以下の懲役又は五十万円以下の罰金に処する。
- 前項の罪が公務所又は公務員により作られるべき電磁的記録に係るときは、十年以下の懲役又は百万円以下の罰金に処する。
- 不正に作られた権利、義務又は事実証明に関する電磁的記録を、第一項の目的で、人の事務処理の用に供した者は、その電磁的記録を不正に作った者と同一の刑に処する。
- 前項の罪の未遂は、罰する。
関連犯罪: 私電磁的記録不正作出罪、不正作出電磁的記録供用罪
1.6.1.2. 第233条 - 信用毀損及び業務妨害
虚偽の風説を流布し、又は偽計を用いて、人の信用を毀損し、又はその業務を妨害した者は、三年以下の懲役又は五十万円以下の罰金に処する。
関連犯罪: 偽計業務妨害罪、信用毀損罪
1.6.1.2. 第234条の2 - 電子計算機損壊等業務妨害
第二百三十四条の二 人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、又はその他の方法により、電子計算機に使用目的に沿うべき動作をさせず、又は使用目的に反する動作をさせて、人の業務を妨害した者は、五年以下の懲役又は百万円以下の罰金に処する。 2. 前項の罪の未遂は、罰する。
関連犯罪: 電子計算機損壊等業務妨害罪
1.6.1.3. 第246条の2 - 電子計算機使用詐欺
第二百四十六条の二 前条に規定するもののほか、人の事務処理に使用する電子計算機に虚偽の情報若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、財産上不法の利益を得、又は他人にこれを得させた者は、十年以下の懲役に処する。
第二百五十条 この章の罪の未遂は、罰する。
関連犯罪: 電子計算機使用詐欺罪
1.6.1.4. 第618条の2 - 不正指令電磁的記録作成等
第百六十八条の二 正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一 人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録 二 前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
- 正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
- 前項の罪の未遂は、罰する。
関連犯罪: 不正指令電磁的記録に関する罪
1.6.1.5. 第618条の3 - 不正指令電磁的記録取得等
第百六十八条の三 正当な理由がないのに、前条第一項の目的で、同項各号に掲げる電磁的記録その他の記録を取得し、又は保管した者は、二年以下の懲役又は三十万円以下の罰金に処する。
関連犯罪: 不正指令電磁的記録に関する罪
1.6.2. サイバーセキュリティ基本法
(目的) 第一条 この法律は、インターネットその他の高度情報通信ネットワークの整備及び情報通信技術の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化その他の内外の諸情勢の変化に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている状況に鑑み、我が国のサイバーセキュリティに関する施策に関し、基本理念を定め、国及び地方公共団体の責務等を明らかにし、並びにサイバーセキュリティ戦略の策定その他サイバーセキュリティに関する施策の基本となる事項を定めるとともに、サイバーセキュリティ戦略本部を設置すること等により、高度情報通信ネットワーク社会形成基本法 (平成十二年法律第百四十四号)と相まって、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、もって経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現を図るとともに、国際社会の平和及び安全の確保並びに我が国の安全保障に寄与することを目的とする。
(国民の努力) 第九条 国民は、基本理念にのっとり、サイバーセキュリティの重要性に関する関心と理解を深め、サイバーセキュリティの確保に必要な注意を払うよう努めるものとする。
1.6.3. 著作権法
著作権法は著作物などに関する著作者等の権利を保護するための法律。
1.6.3.1. 第112条 - 差止請求権
第百十二条 著作者、著作権者、出版権者、実演家又は著作隣接権者は、その著作者人格権、著作権、出版権、実演家人格権又は著作隣接権を侵害する者又は侵害するおそれがある者に対し、その侵害の停止又は予防を請求することができる。
- 著作者、著作権者、出版権者、実演家又は著作隣接権者は、前項の規定による請求をするに際し、侵害の行為を組成した物、侵害の行為によって作成された物又は専ら侵害の行為に供された機械若しくは器具の廃棄その他の侵害の停止又は予防に必要な措置を請求することができる。
1.6.3.2. 第113条 - 侵害とみなす行為
第百十三条 次に掲げる行為は、当該著作者人格権、著作権、出版権、実演家人格権又は著作隣接権を侵害する行為とみなす。 一 国内において頒布する目的をもって、輸入の時において国内で作成したとしたならば著作者人格権、著作権、出版権、実演家人格権又は著作隣接権の侵害となるべき行為によって作成された物を輸入する行為
二 著作者人格権、著作権、出版権、実演家人格権又は著作隣接権を侵害する行為によって作成された物(前号の輸入に係る物を含む。)を情を知って頒布し、又は頒布の目的をもつて所持する行為
-
プログラムの著作物の著作権を侵害する行為によって作成された複製物(当該複製物の所有者によって第四十七条の二第一項の規定により作成された複製物並びに前項第一号の輸入に係るプログラムの著作物の複製物及び当該複製物の所有者によって同条第一項の規定により作成された複製物を含む。)を業務上電子計算機において使用する行為は、これらの複製物を使用する権原を取得した時に情を知っていた場合に限り、当該著作権を侵害する行為とみなす。
-
次に掲げる行為は、当該権利管理情報に係る著作者人格権、著作権、実演家人格権又は著作隣接権を侵害する行為とみなす。
一 権利管理情報として虚偽の情報を故意に付加する行為
二 権利管理情報を故意に除去し、又は改変する行為(記録又は送信の方式の変換に伴う技術的な制約による場合その他の著作物又は実演等の利用の目的及び態様に照らしやむを得ないと認められる場合を除く。
三 前二号の行為が行われた著作物若しくは実演等の複製物を、情を知って、頒布し、若しくは頒布の目的をもつて輸入し、若しくは所持し、又は当該著作物若しくは実演等を情を知って公衆送信し、若しくは送信可能化する行為
-
第九十五条第一項若しくは第九十七条第一項に規定する二次使用料又は第九十五条の三第三項若しくは第九十七条の三第三項に規定する報酬を受ける権利は、前項の規定の適用については、著作隣接権とみなす。この場合において、前条中「著作隣接権者」とあるのは「著作隣接権者(次条第四項の規定により著作隣接権とみなされる権利を有する者を含む。)」と、同条第一項中「著作隣接権」とあるのは「著作隣接権(同項の規定により著作隣接権とみなされる権利を含む。)」とする。
-
国内において頒布することを目的とする商業用レコード(以下この項において「国内頒布目的商業用レコード」という。)を自ら発行し、又は他の者に発行させている著作権者又は著作隣接権者が、当該国内頒布目的商業用レコードと同一の商業用レコードであつて、専ら国外において頒布することを目的とするもの(以下この項において「国外頒布目的商業用レコード」という。)を国外において自ら発行し、又は他の者に発行させている場合において、情を知って、当該国外頒布目的商業用レコードを国内において頒布する目的をもつて輸入する行為又は当該国外頒布目的商業用レコードを国内において頒布し、若しくは国内において頒布する目的をもつて所持する行為は、当該国外頒布目的商業用レコードが国内で頒布されることにより当該国内頒布目的商業用レコードの発行により当該著作権者又は著作隣接権者の得ることが見込まれる利益が不当に害されることとなる場合に限り、それらの著作権又は著作隣接権を侵害する行為とみなす。ただし、国内において最初に発行された日から起算して七年を超えない範囲内において政令で定める期間を経過した国内頒布目的商業用レコードと同一の国外頒布目的商業用レコードを輸入する行為又は当該国外頒布目的商業用レコードを国内において頒布し、若しくは国内において頒布する目的をもつて所持する行為については、この限りでない。
-
著作者の名誉又は声望を害する方法によりその著作物を利用する行為は、その著作者人格権を侵害する行為とみなす。
1.6.4. 電気通信事業法
電気通信事業法は電気通信の健全な発達と国民の利便の確保を図るために制定された法律。
(秘密の保護) 第四条 電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。
2 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。
第百七十九条 電気通信事業者の取扱中に係る通信(第百六十四条第二項に規定する通信を含む。)の秘密を侵した者は、二年以下の懲役又は百万円以下の罰金に処する。
2 電気通信事業に従事する者が前項の行為をしたときは、三年以下の懲役又は二百万円以下の罰金に処する。
3 前二項の未遂罪は、罰する。
1.6.5. 電子署名及び認証業務に関する法律
電子署名及び認証業務に関する法律は、電子商取引などのネットワークを利用した社会経済活動の更なる円滑化を目的として、一定の条件を満たす電子署名が手書き署名や押印と同等に通用することや、認証業務(電子署名を行った者を証明する業務)のうち一定の水準を満たす特定認証業務について、信頼性の判断目安として認定を与える制度などを規定している。
詳細はコチラから。
1.6.6. 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律
電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(公的個人認証法)は、行政手続オンライン化関係三法のひとつ。
詳細はコチラから。
1.6.7. 電波法
電波はテレビや携帯電話、アマチュア無線などさまざま場面で利用されている。電波法はこの電波の公平かつ能率的な利用を確保するための法律で、無線局の開設や秘密の保護などについての取り決めが規定されている。
1.6.7.1. 第519条 - 秘密の保護
第五十九条 何人も法律に別段の定めがある場合を除くほか、特定の相手方に対して行われる無線通信(電気通信事業法第四条第一項 又は第九十条第二項 の通信たるものを除く。第百九条において同じ。)を傍受してその存在若しくは内容を漏らし、又はこれを窃用してはならない。
1.6.7.2. 第109条 - 罰則
第百九条 無線局の取扱中に係る無線通信の秘密を漏らし、又は窃用した者は、一年以下の懲役又は五十万円以下の罰金に処する。
1.6.8. 不正アクセス行為の禁止等に関する法律
不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)は不正アクセス行為や、不正アクセス行為につながる識別符号の不正取得・保管行為、不正アクセス行為を助長する行為等を禁止する法律。
識別符号とは 情報機器やサービスにアクセスする際に使用するIDやパスワード等のことです。不正アクセス行為とは、そのようなIDやパスワードによりアクセス制御機能が付されている情報機器やサービスに対して、他人のID・パスワードを入力したり、脆弱性(ぜいじゃくせい)を突いたりなどして、本来は利用権限がないのに、不正に利用できる状態にする行為をいいます。
(目的) 第一条 この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による援助措置等を定めることにより、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。
(定義) 第二条 1~3略 4 この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。 一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。) 二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。) 三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
(不正アクセス行為の禁止) 第三条 何人も、不正アクセス行為をしてはならない。
(他人の識別符号を不正に取得する行為の禁止) 第四条 何人も、不正アクセス行為(第二条第四項第一号に該当するものに限る。第六条及び第十二条第二号において同じ。)の用に供する目的で、アクセス制御機能に係る他人の識別符号を取得してはならない。
(不正アクセス行為を助長する行為の禁止) 第五条 何人も、業務その他正当な理由による場合を除いては、アクセス制御機能に係る他人の識別符号を、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者に提供してはならない。
(他人の識別符号を不正に保管する行為の禁止) 第六条 何人も、不正アクセス行為の用に供する目的で、不正に取得されたアクセス制御機能に係る他人の識別符号を保管してはならない。
(識別符号の入力を不正に要求する行為の禁止) 第七条 何人も、アクセス制御機能を特定電子計算機に付加したアクセス管理者になりすまし、その他当該アクセス管理者であると誤認させて、次に掲げる行為をしてはならない。ただし、当該アクセス管理者の承諾を得てする場合は、この限りでない。 一 当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電気通信回線に接続して行う自動公衆送信(公衆によって直接受信されることを目的として公衆からの求めに応じ自動的に送信を行うことをいい、放送又は有線放送に該当するものを除く。)を利用して公衆が閲覧することができる状態に置く行為 二 当該アクセス管理者が当該アクセス制御機能に係る識別符号を付された利用権者に対し当該識別符号を特定電子計算機に入力することを求める旨の情報を、電子メール(特定電子メールの送信の適正化等に関する法律(平成十四年法律第二十六号)第二条第一号に規定する電子メールをいう。)により当該利用権者に送信する行為
(罰則) 第十一条 第三条の規定に違反した者は、三年以下の懲役又は百万円以下の罰金に処する。
第十二条 次の各号のいずれかに該当する者は、一年以下の懲役又は五十万円以下の罰金に処する。 一 第四条の規定に違反した者 二 第五条の規定に違反して、相手方に不正アクセス行為の用に供する目的があることの情を知ってアクセス制御機能に係る他人の識別符号を提供した者 三 第六条の規定に違反した者 四 第七条の規定に違反した者
第十三条 第五条の規定に違反した者(前条第二号に該当する者を除く。)は、三十万円以下の罰金に処する。
1.6.9 特定電子メールの送信の適正化等に関する法律
特定電子メールの送信の適正化等に関する法律は利用者の同意を得ずに広告、宣伝又は勧誘等を目的とした電子メールを送信する際の規定を定めた法律。
詳細はコチラから。
1.6.10. 有線電気通信法
有線電気通信法は有線電気通信の設備や使用についての法律で、秘密の保護や通信妨害について規定されている。
詳細はコチラから。
1.7. 国際的なセキュリティ規格と関連法令
1.7.1. DMCA(デジタルミレニアム著作権法)
DMCAはアメリカ合衆国の法律で盗用コンテンツを運営するサイトのプロバイダーに対して、著作権保有者が著作権侵害の申し立てを通告することができるものとなっている。
この通告を受け取ったプロバイダーが当該コンテンツを迅速に削除した場合、著作権侵害の責任が免除されるというものとなる。 DMCAはGoogleの検索エンジンなどに適用されている。
ちなみに日本国内のDMCA類似法律としてはプロバイダ責任制限法などがある。
なおDMCAの申請は以下手順で行われる。
- 表示管理元の「著作権侵害による削除」のページにアクセスする
- 「連絡先情報」を入力する
- 「著作権侵害の内容」を記述する
- 「宣誓供述書」の内容を確認してチェックする
- 「署名」する
これにより認定されることでコンテンツが削除されるものとなる。
なおDMCA申請情報はLumonに掲載される。
1.7.2. ISO/IEC 27XXXシリーズ
ISO/IEC27000シリーズは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって策定された情報セキュリティマネジメントシステムに関する規格群のことを指し、中核を成すISO27001を始めとしたISMSに関する第三者認証規格のこと。
ISO27000シリーズは情報セキュリティの管理・リスク低減に関するフレームワークとして国際的に活用されている。
内容 | 説明 |
---|---|
ISO27001 | 組織のISMSを認証するための要求事項が示されている |
ISO27002 | 情報セキュリティマネジメントの管理策を示した規格 |
ISO27003 | ISO27001の要求事項に従って構築したISMSを組織で実施するためのガイド |
ISO27004 | 実装されたISMS及びISO27001で規定されたマネジメントシステムの有効性を評価するための手段とリスクアセスメント/ガイド |
ISO27005 | リスク管理プロセスと情報セキュリティ管理に関わる作業や手順を規格化されている |
ISO27006 | ISO27001で規定された要求事項をもとに企業のISMSを審査する審査機関及び認証機関に対する要求事項が示されている |
ISO27007 | ISMS監査の指針が示されている |
ISO27008 | 審査のための規格(審査員のための規格) |
ISO27010 | 部門間あるいは組織間の通信(コミュニケーション)のための情報セキュリティマネジメントに関する規格 |
ISO27011 | 電気通信事業者におけるISMSの実装をサポートするガイドライン、通信事業者のISMS適用に関するガイドが示されている |
ISO27013 | ISO20000(ITサービスマネジメント規格)とISO27001の統合実装に関するガイドが示された規格 |
ISO27014 | 情報セキュリティガバナンス(内部監査)の枠組みを示したもの |
ISO27015 | 金融や保険などの商材を扱う企業を対象として具体的なISMSの管理策を示した規格 |
ISO27017 | クラウドサービスの利用者や提供者を対象として具体的なISMSの管理策を示した規格 |
ISO27018 | クラウドサービス提供事業者がクラウド上に存在する個人情報を保護する目的で行うべき管理策が示された規格 |
ISO27031 | IT-BCP(ITシステムの事業継続性)に必要な管理策が示された規格 |
ISO27032 | サイバーセキュリティに特化した具体的な管理策などを示した規格 |
ISO27033 | 情報技術ネットワークに関するセキュリティマネジメントシステムの規格 |
ISO27704 | アプリケーションセキュリティに関する管理策などが示された規格 |
ISO27701 | 組織が扱う個人情報について、プライバシーの観点で管理・保護していくことを目的とした2019年に発行された規格 |
ISO27729 | 医療機関などを対象とした個人の健康情報を保護することを目的とした規格 |
ISMS(Information Security Management System): 情報セキュリティマネジメントシステムのことで、企業や組織が保持している情報資産を守るための仕組み
1.7.3. PCI-DSS
PCI-DSSはクレジットカード決済を提供する加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定されたクレジットカード業界のセキュリティ基準を指す。
PCI-DSS遵守することは、ハッカーやクラッカー等による様々な不正アクセスからサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減していることを示す。