★☆★JNSAメールマガジン 第278号 2023.12.22☆★☆
2023/12/22 (Fri) 15:30
★☆★JNSAメールマガジン 第278号 2023.12.22☆★☆
こんにちは
JNSAメールマガジン 第278号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
一般社団法人情報マネジメントシステム認定センター(ISMS-AC)
代表理事 山内 徹様にご寄稿いただきました。
【連載リレーコラム】
情報セキュリティに関する国際標準化と適合性評価
一般社団法人情報マネジメントシステム認定センター(ISMS-AC)
代表理事 山内 徹(JIPDEC常務理事)
情報セキュリティに関する国際標準は、ISO、IEC、ITU-T等の国際標準化機関、
IT企業が構成する国際的なフォーラム、インターネット系のエンジニアによる
コミュニティ活動としてのIETFなど、多様な仕組みで作成されてきている。
私は、20年以上前から、ISO及びIECが発行する国際規格に関連する仕事に携わり、
近年は「ISMS適合性評価制度(https://isms.jp/index.html)」に係る事業の
責任者になっている。初対面の方に名刺を渡す際に「ISMSをやっています」と
自己紹介することがあるが、多くの方が、ISO/IEC 27001 Information security
management systems(ISMS)に基づく認証機関の一員かコンサルタントと
思われるようだ。
実は、私は、認証機関ではなく、認証機関を認定する機関(認定機関)の
トップマネジメントである。ただ、「認証」と「認定」の違いは、普通の
日本人には理解不能だ。
本コラムを借りて、認証機関と認定機関の活動を含めた「適合性評価」という
概念を説明したい。適合性評価(Conformity Assessment)とは、ISOの定義に
よると、「製品、プロセス、システム、人、組織などが、ある特定の基準を
満たしているかどうかを確認し、実証する行為」を指す。
さらに、適合性評価は、試験、検査、認証などに分類されるが、それらの共通
点は証拠に基づいて予め定められた基準に適合していることを表明することで
ある。このうち、認証とは、特定の基準(ISO規格とは限らない)への適合に
係る証明を求められて審査を行い、認証文書を発行する行為である。
このような認証機関の力量が一定以上の水準に保つとともに、信頼できる認証
機関を選択できる仕組を提供するのが、認証機関(Certification Body)を
審査して認定を行う機関(Accreditation Body)の役割である。
情報セキュリティにおいては、ISMSを構築・運用する組織が適合すべき基準が
ISO/IEC 27001であり、それへの適合を審査して認証文書を発行するのが認証
機関、そして認証機関を審査して認定するのが認定機関となる。
ポイントは、ISO/IEC 27001に関する国際標準化活動は、ISOとIECの合同
技術委員会であるISO/IEC JTC1の分科会SC27で行われていること、発行された
ISO/IEC 27001に基づく適合性評価は、ISO/IECとは独立した認証機関とそれら
を認定する認定機関で営まれていることである。
我が国のISMS適合性評価制度は、2001年度、経済産業省の支援を受けて、一般
財団法人日本情報経済社会推進協会(JIPDEC)が立ち上げた。当初は、ISOの
国際規格はなく、英国の国家規格BS 7799-2を認証基準とした認証機関の活動
が始まった。JIPDECの役割は、ISMSの広報宣伝とともに、認証機関の認定を
行うものであった。
2005年にISO/IEC 27001が発行されると、それを認証基準としたISMS認証の
取得が急増した。国内のISMS認証取得組織の数は、BS 7799を開発した英国を
はるかに超え、長年世界一位を維持し続けた。近年は、デジタル化の進展が
著しい中国に抜かれたものの、2023年の時点で7,500を超えて、日本は世界
第2位のISMS普及国となっている。
それならば、制度を立ち上げたJIPDECの役割は終わったのではないかと思う方
がいるかもしれない。しかし、事実は逆である。日本の産業界がグローバルに
活動するためには、公平性、中立性等が担保された信頼できる認証機関から
ISMS認証を受けていることの客観的な証拠が不可欠である。すなわち、国際規格
として定まっているISMS認証機関に対する要求事項(ISO/IEC 27006など)
への適合を審査し、認定する機関が国内に引き続き存在することが不可欠である。
2018年、JIPDECが行ってきたISMS関連事業から、認定機関(Accreditation
Body)の事業を分離し、一般社団法人情報マネジメントシステム認定センター
(ISMS-AC)を設立した。国際的な認定機関の団体であるIAF(International
Accreditation Forum)の相互承認協定(Multilateral Recognition Arrangement:
MLA)に加盟するためであった。
このように、国際標準化と適合性評価とは、日本の情報セキュリティのレベル
を上げ、かつ、国際社会に認められるために必要な両輪であることを、改めて
ご理解いただきたい。
以上
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
http://tinyurl.com/mrx2nthj
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSAソリューションガイドサービスサイト
新サービス始めました!JNSA会員の製品・サービス情報がいっぱいです!
https://sg.jnsa.org/
★1月24日開催 教育部会主催JNSAセキュリティ カフェ #2
「IT業界で働きたい女子集合!~セキュリティ、いかがですか?~」
参加登録受付中です!
(学生限定・IT業界の技術職に興味のある女子学生募集!)
https://www.jnsa.org/result/edu/index.html
★12月18日開催「情報セキュリティマネジメント・セミナー2023」
資料公開中です。
https://www.jnsa.org/seminar/std/isms/2023/index.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━……‥‥・・
マンガでわかる!
Windows11への移行ポイントや業者選定のポイントとは?
JBサービス株式会社
・‥‥……━━━━━━━━━━━━━━━━━━━━━━━━━
JBサービス株式会社では、Windows 10を使い続けるデメリットや
Windows11の移行への移行ポイントや業者選定のポイントについて
マンガでわかりやすくご紹介しています。
Windows 11化対応の準備がまだお済でない方は是非ご覧ください。
▽マンガコンテンツはこちら▽
https://lp.jbsvc.co.jp/windows11
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
クレジットカード業界におけるセキュリティ基準「PCI DSS」
に関わる様々なご要望に幅広く対応可能できるサービスをご提供
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
QSAとして認定されたユービーセキュアの審査員が、PCI DSSの
各セキュリティ要件と現状とのギャップ分析をはじめ、
効果的な対策案の提示、訪問審査までを行います。
さらに、ユービーセキュアはASV(認定スキャニングベンダー)
としての認定を受けているため、PCI DSS準拠審査だけでなく
脆弱性スキャンの実施を含め一気通貫で支援することが可能です。
■製品詳細
⇒ https://hubs.ly/Q02csyWb0
《株式会社ユービーセキュア》
==============================================================
┏┓━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┗□テクマトリックス株式会社/エンドポイントの安全確認!┏┓
━━━━━━━━━━━━━━━━━━━━━━━━━━━━┗□
/
タニウム合同会社が提供する統合型エンドポイント管理プラット
フォーム「Tanium」の特別キャンペーン大好評実施中!
\
Tanium Risk Assessment(TRA)により、お客様環境を迅速かつ
統合的なリスクの可視化を行います。
当社では、お客様のセキュリティレベルと改善計画の策定を支援
するTanium Risk Assessment(TRA)を無償提供するキャンペーン
を実施しています。
★Tanium Risk Assessment(TRA)のサービス概要はこちら
http://www.techmatrix.co.jp/product/tanium/tra.html
==============================================================
┏★【JNSA会員様特別価格】SANS Tokyo January 2024のご案内
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2024年1月22日より開催いたしますSANS Tokyo January 2024の
お申込みを、全コース早期割引価格で受付中です!
JNSA会員様専用Webサイトよりお申込みいただくと、更に割引
がございます。※詳細はJNSA様のWebサイトをご確認ください。
また、近日中にSANS Secure Japan 2024のお申込み受付を開始
いたします!ぜひ、ご検討くださいませ。
▼開催日程、コース、詳細
https://www.sans-japan.jp/events/sans_tokyo_january_2024
▼JNSA様会員専用Webサイト
https://www.jnsa.org/member/cissp_sans_egg.html
【NRIセキュアテクノロジーズ株式会社】
==============================================================
*************************************
JNSAメールマガジン 第278号
発信日:2023年12月22日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第278号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
一般社団法人情報マネジメントシステム認定センター(ISMS-AC)
代表理事 山内 徹様にご寄稿いただきました。
【連載リレーコラム】
情報セキュリティに関する国際標準化と適合性評価
一般社団法人情報マネジメントシステム認定センター(ISMS-AC)
代表理事 山内 徹(JIPDEC常務理事)
情報セキュリティに関する国際標準は、ISO、IEC、ITU-T等の国際標準化機関、
IT企業が構成する国際的なフォーラム、インターネット系のエンジニアによる
コミュニティ活動としてのIETFなど、多様な仕組みで作成されてきている。
私は、20年以上前から、ISO及びIECが発行する国際規格に関連する仕事に携わり、
近年は「ISMS適合性評価制度(https://isms.jp/index.html)」に係る事業の
責任者になっている。初対面の方に名刺を渡す際に「ISMSをやっています」と
自己紹介することがあるが、多くの方が、ISO/IEC 27001 Information security
management systems(ISMS)に基づく認証機関の一員かコンサルタントと
思われるようだ。
実は、私は、認証機関ではなく、認証機関を認定する機関(認定機関)の
トップマネジメントである。ただ、「認証」と「認定」の違いは、普通の
日本人には理解不能だ。
本コラムを借りて、認証機関と認定機関の活動を含めた「適合性評価」という
概念を説明したい。適合性評価(Conformity Assessment)とは、ISOの定義に
よると、「製品、プロセス、システム、人、組織などが、ある特定の基準を
満たしているかどうかを確認し、実証する行為」を指す。
さらに、適合性評価は、試験、検査、認証などに分類されるが、それらの共通
点は証拠に基づいて予め定められた基準に適合していることを表明することで
ある。このうち、認証とは、特定の基準(ISO規格とは限らない)への適合に
係る証明を求められて審査を行い、認証文書を発行する行為である。
このような認証機関の力量が一定以上の水準に保つとともに、信頼できる認証
機関を選択できる仕組を提供するのが、認証機関(Certification Body)を
審査して認定を行う機関(Accreditation Body)の役割である。
情報セキュリティにおいては、ISMSを構築・運用する組織が適合すべき基準が
ISO/IEC 27001であり、それへの適合を審査して認証文書を発行するのが認証
機関、そして認証機関を審査して認定するのが認定機関となる。
ポイントは、ISO/IEC 27001に関する国際標準化活動は、ISOとIECの合同
技術委員会であるISO/IEC JTC1の分科会SC27で行われていること、発行された
ISO/IEC 27001に基づく適合性評価は、ISO/IECとは独立した認証機関とそれら
を認定する認定機関で営まれていることである。
我が国のISMS適合性評価制度は、2001年度、経済産業省の支援を受けて、一般
財団法人日本情報経済社会推進協会(JIPDEC)が立ち上げた。当初は、ISOの
国際規格はなく、英国の国家規格BS 7799-2を認証基準とした認証機関の活動
が始まった。JIPDECの役割は、ISMSの広報宣伝とともに、認証機関の認定を
行うものであった。
2005年にISO/IEC 27001が発行されると、それを認証基準としたISMS認証の
取得が急増した。国内のISMS認証取得組織の数は、BS 7799を開発した英国を
はるかに超え、長年世界一位を維持し続けた。近年は、デジタル化の進展が
著しい中国に抜かれたものの、2023年の時点で7,500を超えて、日本は世界
第2位のISMS普及国となっている。
それならば、制度を立ち上げたJIPDECの役割は終わったのではないかと思う方
がいるかもしれない。しかし、事実は逆である。日本の産業界がグローバルに
活動するためには、公平性、中立性等が担保された信頼できる認証機関から
ISMS認証を受けていることの客観的な証拠が不可欠である。すなわち、国際規格
として定まっているISMS認証機関に対する要求事項(ISO/IEC 27006など)
への適合を審査し、認定する機関が国内に引き続き存在することが不可欠である。
2018年、JIPDECが行ってきたISMS関連事業から、認定機関(Accreditation
Body)の事業を分離し、一般社団法人情報マネジメントシステム認定センター
(ISMS-AC)を設立した。国際的な認定機関の団体であるIAF(International
Accreditation Forum)の相互承認協定(Multilateral Recognition Arrangement:
MLA)に加盟するためであった。
このように、国際標準化と適合性評価とは、日本の情報セキュリティのレベル
を上げ、かつ、国際社会に認められるために必要な両輪であることを、改めて
ご理解いただきたい。
以上
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
http://tinyurl.com/mrx2nthj
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★JNSAソリューションガイドサービスサイト
新サービス始めました!JNSA会員の製品・サービス情報がいっぱいです!
https://sg.jnsa.org/
★1月24日開催 教育部会主催JNSAセキュリティ カフェ #2
「IT業界で働きたい女子集合!~セキュリティ、いかがですか?~」
参加登録受付中です!
(学生限定・IT業界の技術職に興味のある女子学生募集!)
https://www.jnsa.org/result/edu/index.html
★12月18日開催「情報セキュリティマネジメント・セミナー2023」
資料公開中です。
https://www.jnsa.org/seminar/std/isms/2023/index.html
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
↓ 以下、 JNSA会員企業からのご案内です
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━……‥‥・・
マンガでわかる!
Windows11への移行ポイントや業者選定のポイントとは?
JBサービス株式会社
・‥‥……━━━━━━━━━━━━━━━━━━━━━━━━━
JBサービス株式会社では、Windows 10を使い続けるデメリットや
Windows11の移行への移行ポイントや業者選定のポイントについて
マンガでわかりやすくご紹介しています。
Windows 11化対応の準備がまだお済でない方は是非ご覧ください。
▽マンガコンテンツはこちら▽
https://lp.jbsvc.co.jp/windows11
==============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
クレジットカード業界におけるセキュリティ基準「PCI DSS」
に関わる様々なご要望に幅広く対応可能できるサービスをご提供
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
QSAとして認定されたユービーセキュアの審査員が、PCI DSSの
各セキュリティ要件と現状とのギャップ分析をはじめ、
効果的な対策案の提示、訪問審査までを行います。
さらに、ユービーセキュアはASV(認定スキャニングベンダー)
としての認定を受けているため、PCI DSS準拠審査だけでなく
脆弱性スキャンの実施を含め一気通貫で支援することが可能です。
■製品詳細
⇒ https://hubs.ly/Q02csyWb0
《株式会社ユービーセキュア》
==============================================================
┏┓━━━━━━━━━━━━━━━━━━━━━━━━━━━━
┗□テクマトリックス株式会社/エンドポイントの安全確認!┏┓
━━━━━━━━━━━━━━━━━━━━━━━━━━━━┗□
/
タニウム合同会社が提供する統合型エンドポイント管理プラット
フォーム「Tanium」の特別キャンペーン大好評実施中!
\
Tanium Risk Assessment(TRA)により、お客様環境を迅速かつ
統合的なリスクの可視化を行います。
当社では、お客様のセキュリティレベルと改善計画の策定を支援
するTanium Risk Assessment(TRA)を無償提供するキャンペーン
を実施しています。
★Tanium Risk Assessment(TRA)のサービス概要はこちら
http://www.techmatrix.co.jp/product/tanium/tra.html
==============================================================
┏★【JNSA会員様特別価格】SANS Tokyo January 2024のご案内
┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2024年1月22日より開催いたしますSANS Tokyo January 2024の
お申込みを、全コース早期割引価格で受付中です!
JNSA会員様専用Webサイトよりお申込みいただくと、更に割引
がございます。※詳細はJNSA様のWebサイトをご確認ください。
また、近日中にSANS Secure Japan 2024のお申込み受付を開始
いたします!ぜひ、ご検討くださいませ。
▼開催日程、コース、詳細
https://www.sans-japan.jp/events/sans_tokyo_january_2024
▼JNSA様会員専用Webサイト
https://www.jnsa.org/member/cissp_sans_egg.html
【NRIセキュアテクノロジーズ株式会社】
==============================================================
*************************************
JNSAメールマガジン 第278号
発信日:2023年12月22日
発 行:JNSA事務局 sec@jnsa.org
*************************************