情報セキュリティ試験直前対策メモ2006=規格編=

2006年4月に情報処理技術者試験テクニカルエンジニア(情報セキュリティ)試験が実施されました。この試験の受験に向けて作成した直前対策メモを公開します。最終回は、『規格』編です。

このメモは、キーワードを見て、自分なりに内容が理解できていることを確認するのが目的のため、詳しい解説は記載しておりません。今後、解説を付け加えていく予定です。

試験の受験テキスト、あるいは、専門書の選択時に、これらのキーワードの解説の有無や、解説の詳細さなどが、基準になるのではないかと思います。

標準化団体

1:国際標準化団体

・ ISO:国際標準化機構( International Organization for Standardization )

・ IEC:国際電気標準会議( International Electrotechnical Commission )

・ ISO/IEC:ISO/IEC合同専門委員会( ISO/IEC Joint Technical Committees , ISO/IEC JTC1 )

・ ISO/IECの国際標準( International Standards )

 →例1:英国規格協会( BSI )が定めた BS 7799-1 は、ISO/IEC 17799 標準となる。

 →例2: CC プロジェクト( The Common Criteria Project Sponsoring Organizations )の定めた CC( Common Criteria for Information Technology Security Evaluatoin )は、ISO/IEC 15408 標準となる。

・ JIS:日本工業規格( Japanese Industrial Standards )

 →情報処理は、カテゴリ X に分類されている。

 → JIS には TR(Technical Reference )と呼ばれる分類がある。

・ IEEE:電気電子学会( Institute of Electrical and Electronic Engineers )

インターネットの標準( RFC )

・ ISOC( Internet Society )

 →下部組織に IAB がある。

・ IAB( Internet Architecture Board )

 → ISCO の下部組織。IAB の役割は、RFC1358 に定義。下部組織に IETF 、IRTF がある。

・ IETF( Internet Engineering Task Force )と IESG( Internet Engineer Steering Group )

 → IETF は、インターネット技術の標準化を推進する組織。IESG は、IETF の標準化プロセスにおいて技術面に責任をもつグループ。

・ IRTF( Internet Research Task Force )と IRSG( Internet Research Steering Group )

 → IRTF は、IRSG を中心に、インターネットの将来技術などを研究する。

・ RFC

 → ISOC が管理する。STD、FYI、BCP というサブシリーズがある。

・ STD( Internet Standards )

 → Internet Standards プロトコルを集めた RFC のサブシリーズ。

・ FYI( For Your Information)

 →インターネットに関連する情報の RFC 文書( Informational )をまとめたサブシリーズ。何ら標準を定めるものではない。

・ BCP( Best Current Practice )

 → IESG の承認を得た RFC 文書( Informational )をまとめたサブシリーズ。

情報セキュリティに関する規格

1:ガイドライン

・ OECD:経済協力開発機構( Organization for Economic Co-operation and Development による、『情報システムとネットワークのセキュリティに関する OECD ガイドライン:セキュリティ文化のために』( OECD Guidelines for the Security of Information Systems and Networks:Towards a Culture of Security )

2:情報セキュリティ技術

・ ISO/IEC TR 13335

 → IT セキュリティ管理のガイドラインとしての技術参考(テクニカルリファレンス)情報。

・ ISO/IEC 9594

 →ディレクトリサービスについての標準を規定。

・ ISO/IEC 9594-8 (X.509)

 → ISO/IEC 9594 の一部で、公開かぎを使用した X.509 証明書について規定。

3:情報セキュリティ管理の評価

・ ISO/IEC 17799

 →情報セキュリティ管理のための規格。BS 7799-1 をもとにする。

・ BS 7799-2 : 2002

 →ISMS:情報セキュリティマネジメントシステム( Information Security Management System)の仕様と利用の手引き

4:情報システム機器の評価

・ TCSEC:( Trusted Computer Systems Evaluation Criteria )

 →米国国防省が定めた、信頼できるコンピュータシステムの評価基準。

・ ITSEC:( Information Technology Security Evaluation Criteria )

 → TCSEC の評価基準を一般化し、欧州統一評価基準として拡張された規格。

・ CTCPEC:( Canadian Trusted Computer Product Evaluation Criteria )

 → カナダで発表された規格。

・ FC:( Federal Criteria for Information Technology Security )

 → CTCPEC を受けて、TCSEC の非軍事分野の利用を目的とした米国の規格。

・ ISO/IEC 15408

 → IT 製品の評価標準を定めた標準文書。

 → TCSEC、ITSEC、CTCPEC、FC の組織が、それぞれの評価基準を共通に使用するために定めた CC:コモンクライテリア、情報セキュリティ評価基準( Common Criteria for Information Technology Security Evaluatoin )をもとにする。