ＩＳＯの本棚:国際規格による情報セキュリティの保証手法

	[ ビジネス - 一般 ]		livedoor ホーム

スポンサードリンク

ブログトップ＞カテゴリ： ISMS(情報セキュリティマネジメント）＞国際規格による情報セキュリティの保証手法

国際規格による情報セキュリティの保証手法

スポンサードリンク

現在は、独立行政法人情報処理推進機構の情報セキュリティ認証室室長でＩＳＯの「セキュリティ評価基準」に関わる国際標準化活動に参画されるなど多年にわたり情報セキュリティの第一人者として関わってきた著者：田渕　治樹氏が、情報セキュリティに関する国際規格であるCommon Criteria V3（ISO/IEC15408）、ISO/IEC27002、ISO/IEC FCD27005にもとづくセキュリティ機能の保証手法を、具体例とポイントを挙げて詳しく分かり易く解説している本を紹介します。

本書：「国際規格による情報セキュリティの保証手法」です。

「CC V3、ISO27002、ISO27005のポイントと具体例」との副題が付いています。

本書は、著者：田渕治樹氏にて、2007年6月に日科技連出版社より発行されています。

同社の【Information Security Library】の一冊になります。

本書の帯には、以下のように書かれてあります。

「内部統制、

個人情報保護に必須！

情報セキュリティの第一人者がそのハウハウを公開

保証のある情報セキュリティを確保する方法がこの一冊でわかる！」

　本書では、製品や情報システムに装備されている安全（セキュリティ）機能がいざというときに動作するか？

もともと必要なセキュリティ機能が製品やシステムに備わっているのか？

これらのセキュリティ機能が正常に動作するはずということをどのようにして評価し、検証したらよいか？

といった情報セキュリティに関わる読者の疑問について、解消してくれるよう情報セキュリティに関する国際規格であるCommon Criteria V3（ISO／IEC15408）、ISO／IEC27002、ISO／IEC FCD27005にもとづくセキュリティ機能の保証手法について、開発者、運用者、評価者やレビュアー、調達に当たる発注者までの読者の立場に応じた活用方法も考慮され、具体例とポイントを挙げて、筆者の多くのノウハウを交えて詳しく解説しています。

また上記の規格に関する部分では、【要求事項】、【ガイダンス】（規格を解釈する上での考え方や作成時の推奨例を記載）、ポイント（特に箇条書きで枠内で括って記載）といった要領でその解説が進められています。

本書は、４部から構成されています。

第Ⅰ部では、「情報セキュリティ機能の保証」
として、３つの章から成ります。すなわち、セキュリティ保証の必要性から始まり、そのセキュリティ保証を確保する本書の全貌の解説に続いて、リスク管理についての概説から用語の定義、リスク管理のプロセス（ISO/IEC FCD 27005 情報セキュリティリスク管理）に基づくリスクの評定、セキュリティ対策の策定）、ISMSの解説などここでは、セキュリティ保証および情報セキュリティ評価認証制度などの概要が解説されています。

第Ⅱ部では、「セキュリティ目標」
として、９つの章から成ります。ここでは、Common Criteria V3（ISO／IEC15408）のパート１：「情報セキュリティ評価基準」に基づくセキュリティ目標（以下STと略）の設定について、STの位置づけから始まり、CC（Common Criteria for Information Technology Security Evaluation）評価保証レベル（EAL）、CEM、TOE、識別などのSTの概要の解説に続けて、以降、章タイトルのみ紹介するとST作成、ST概説、適合主張、セキュリティ課題定義、セキュリティ対策方針、拡張コンポーネント定義、セキュリティ要件、TOE要約仕様などが解説されています。

第Ⅲ部では、「セキュリティ機能と機能用件」
として、Common Criteria V3（ISO／IEC15408）のパート２：「情報セキュリティ評価基準」に基づくセキュリティ技術対策について、第1章は、セキュリティ機能と機能要件の概説が記載されていますが、以降の章では、各技術を章立てて解説しています。ここでは18の章から成ります。セキュリティ監査、利用者の識別から、送受信否認拒否、セキュリティ管理までが解説されています。各章において、とくに機能仕様の策定の際に考慮すべきポイントについて「機能仕様のポイント」として記述されています。

第Ⅳ部では「セキュリティ機能の開発と運用」
として、CEM（Common Evaluation Methodlogy）：情報セキュリティの評価方法に基づく、セキュリティ保証の評価について、7つの章から構成されています。ここでは、セキュリティ機能の開発と運用の概説に始まり、保証のアプローチ、開発、情報セキュリティに関する課題の解決ができることを検証するテスト、残存する脆弱性に問題がないことを検証する脆弱性認定、TOE（評価対象）をセキュアな状態で利用できることを検証するガイダンス、TOEライフサイクルにおいてセキュリティの維持を検証するライフサイクサポート等について章立てて解説しています。

なお以下の付録が添付されています。
付録Ａ：情報セキュリティ管理機能コンポーネント（ISO/IEC 27002:2005規格を参考に情報セキュリティの管理機能コンポーネントをチェックリスト的に利用可能としたもの）。付録Ｂ：セキュリティ脅威とセキュリティ対策方針事例（セキュリティ対策方針について抑止、予防、検出、回復の段階についてのマトリックス表としてまとめたもの）。付録Ｃ：情報処理製品／システムの脆弱性識別とその対策事例。付録Ｄ　セキュリティ対策と機能要件。付録Ｅ：セキュリティ評価基準で使用される用語

国際規格による情報セキュリティの保証手法―CC V3、ISO27002、ISO27005のポイントと具体例 (情報セキュリティライブラリ)

日科技連出版社

田渕治樹（著）

発売日：2007-06

発送時期：通常3～5週間以内に発送

ランキング：63448

amazon.co.jpで詳細をみる (Amazy)

なお本書の目次は、以下の内容です。
第Ⅰ部　情報セキュリティ機能の保証
第Ⅱ部　セキュリティ目標
第Ⅲ部　セキュリティ機能と機能用件
第Ⅳ部　セキュリティ機能の開発と運用
付録Ａ　情報セキュリティ管理機能コンポーネント
付録Ｂ　セキュリティ脅威とセキュリティ対策方針事例
付録Ｃ　情報処理製品／システムの脆弱性識別とその対策事例
付録Ｄ　セキュリティ対策と機能要件
付録Ｅ　セキュリティ評価基準で使用される用語

情報セキュリティ

CC V3

ISO/IEC15408

ISO/IEC27002

ISO/IEC FCD27005

（広告）

トレンドマイクロソフト

「ＩＳＯの本棚」ページのトップへ！

Yahoo!ブックマーク	はてなブックマーク
livedoorクリップ	FC2ブックマーク
Buzzurlブックマーク	newsingブックマーク
イザ！ブックマーク	del.icio.usブックマーク
ニフティクリップ	BlogPeople Instant Bookmark
PingKingポッケ