伏見 諭
JTC1/SC7
SC27 Liaison Officer
セキュリティのコミュニティはISMSのような規格やCCのような規格を 生み出していますが、それらの補強の動きは、他方で行われているソ フトウェア及びシステムエンジニアリングの信頼性確保の動きと多方 面でオーバーラップしつつある感があります。それらの全体像を俯瞰
1.
国際標準化組織
2.
SC27
3.
SC7
4.
相互浸透
5.
Liaison活動
6.
セキュア・システム・エンジニアリングとアプリケー
ションセキュリティ
7.
「プロセス」とSSE-CMMのこと
8.
まとめ
IEC(国際電気標準会議)
1906- 1908年設立 英国電気学会、米国電気学会などが中心。日本を含めた13ヶ国 最初の仕事は、電気分野の測定単位、ガウス、ヘルツ、ウェーバなどの 開発 ISA
ISO
1928年ISA(万国規格統一協会)設立 ねじ、ボルト、ナット、公差などの標準化から開始 1947年にISO(国際標準化機構)に再編 広範な産業分野の標準化に発展 ほかにITU-T(国連下部組織), IETF, W3Cなどもあり
1960年
ISO TC97(Computers and Information Processing)技
術委員会設置
1961年
IEC TC53(Computers and Information Processing)技 術委員会設置 1987年 ISOとIEC共管の技術委員会 JTC1(Joint Technical Committee 1: Information Technology)設置 用語の統一 文字符号の標準化 文字認識 入出力 プログラム言語 デイジタルデータ変換 定義と分析 機械装置の数値制御 1981年 IEC/TC 47/SC 47B (Microprocessor Systems)マイク ロプロセッサ用プログラム言語等 1982年 IEC/TC 83(Information Technology Equipment)
Technical Areas JTC1 Subcommittees and Working Groups (by François Coallier)
Application Technologies SC 36 - Learning Technology Cultural and Linguistic Adaptability and
User Interfaces
SC 02 - Coded Character Sets, SC 22/WG 20 – Internationalization, SC 35 - User Interfaces Data Capture and Identification
Systems
SC 17 - Cards and Personal Identification, SC 31 - Automatic Identification and Data Capture Techniques
Data Management Services SC 32 - Data Management and Interchange
Document Description Languages SC 34 - Document Description and Processing Languages Information Interchange Media SC 11 - Flexible Magnetic Media for Digital Data Interchange,
SC 23 - Optical Disk Cartridges for Information Interchange
Multimedia and Representation SC 24 - Computer Graphics and Image Processing, SC 29 -Coding of Audio, Picture, and Multimedia and Hypermedia Information
Networking and Interconnects SC 06 – Telecommunications and Information Exchange Between Systems, SC 25 - Interconnection of Information Technology Equipment
Office Equipment SC 28 - Office Equipment Programming Languages and
Software Interfaces
SC 22 – Programming Languages, their Environments and Systems Software Interfaces
Security SC 27 - IT Security Techniques, SC 37 - Biometrics Software and Systems Engineering SC 07 - Software and Systems Engineering
Scope
The development of standards for the protection of information and ICT. This i ncludes generic methods, techniques and guidelines to address both security a nd privacy aspects, such as
Security requirements capture methodology;
Management of information and ICT security; in particular information security m anagement systems (ISMS), security processes, security controls and services;
Cryptographic and other security mechanisms, including but not limited to mecha nisms for protecting the accountability, availability, integrity and confidentiality of information;
Security management support documentation including terminology, guidelines as well as procedures for the registration of security components;
Security aspects of identity management, biometrics and privacy;
Conformance assessment, accreditation and auditing requirements in the area of information security;
Security evaluation criteria and methodology.
SC 27 engages in active liaison and collaboration with appropriate bodies to en sure proper development and application of SC 27 standards and technical rep orts in relevant areas.
SC27
WG1
WG2
WG3
WG4
WG5
ISMS Standards Security Techniques Security EvaluationSecurity Controls & Services
Privacy Technology,
DoD Directive 5200.28
歴史的視点
GMITS ( ISO/IEC TR 13335) TCSEC ( Orange Book ) ITSEC Common Criteria ISO/IEC 13335 MICTS(management of ICT security) SSE-CMM ISO/IEC 18028 (network security) ISO/IEC 17799 ( code of practice) BS7799
TNI ( Red Book)
1985 1987 1990 1996, ISO=1999 1996, ISO=2002 1995,1999 1996-2001 2004-2006 ISO/IEC 27000 series ISMS 等 (management system) 2005 ISO US EU 1972
1987 - Creation of JTC1/ SC7 1991:
Name changed to Software Engineering
Publication of ISO/IEC 9126 - Software Product Quality
1995 - Publication of ISO/IEC 12207 - Software Life Cycle Processes 1997:
Terms of references broadened to Software Systems Transfer of ISO 9000-3 from ISO/TC176
1998:
Transfer of ODP and E-LOTOS projects from SC33 Process architecture
2000 - Name changed to Software and System Engineering 2002 – Publication of ISO/IEC 15288 – System Life-Cycle 2005:
Publication of ISO/IEC 19759 (SWEBOK)
Publication of ISO/IEC 20000 - IT Service Management
2006 - Publication of the last core part of ISO/IEC 15504 - Process Asses
sment
2008:
Publication of and harmonized edition of 12207 and 15288 Publication of ISO/IEC 38500 - IT Governance
UML なども
・ISO/IEC 27000シリーズ vs ・ISO/IEC 20000シリーズ ・Common Criteria (ISO/IEC 15408) vs ・Software Assurance ・Secure System Engineering( 29193 ) vs ・SWEBOK(ISO/IEC 19759 ), SEBOK •アーキテクチャ設計 (SC7/WG42) ・Application Security (SC27/WG4: 27034) vs ・Process Assessment --Safety Extension Part
・Security Measurement and Metrics (27004)
vs
・Software Quality Metrics ・SSE-CMM (21827)
vs
ITIL規格をベースとした、ITサービスマネージメントの
規格
サービスレベル的な側面とサービスプロセスの品質
評価的な側面がある
提供するサービスの一部としてセキュリティサービス
がある
元は、Software Integrity規格であり、最近、Software
Assuranceに拡張されつつある
クリティカルシステム(航空宇宙、原子力、etc)のクリ
従来のISO/IEC 9126シリーズ(ソフトウェア品質評価
尺度)とISO/IEC 14598シリーズ(品質評価プロセス)
を統合して体系整備した(しつつある)もの
・IT Governance SC7 + SC27から JTC1直下のWG6へ ・セキュリティ・テスト vs •ソフトウェア(システム)テスト ・セキュリティ要求工学 vs •ソフトウェア(システム)要求工学 ・組み込み系セキュリティ Vs •組込み系ソフトウェアエンジ ニアリング ・セキュリティ監査等の中小企業対応 Vs •VSE規格(ISO/IEC 29110) ・Incident Response(SC27) vs
•Digital Forensics Governance Framework(SC7)
・プログラミングと言語(SC22) 1. セキュアコーデイング 2. 高品質コーディング(一般、組み込み、クリティカルシステム) ・ユーザビリティ(ISO/TC159) 1. セキュリティとユーザビリティのトレードオフ 2. ネットショッピングや電子政府のユーザインタフェース ・マネージメントシステムなど 1. ISO9000の影響 統合マネージメントシステム化? 2. 日本における「信頼性ガイドライン」の流れ、および電子政府のガ イドラインの流れ(それらへのコンプライアンス) ・安全性(IEC/TC65など)とディペンダビリティ(IEC/TC56) 1. 機能安全規格(IEC 61508)、ディペンダビリティ規格(IEC 60300)
・クラウドコンピューティング(SC38) 1. 技術要素
2. サービス品質 3. セキュリティ
JTC1には、JTC1内のSC相互のリエゾン(連携)活動
の制度がある
SC間、その下のWG間
リエゾン・オフィサーというものが選任される
SC7
SC27
SC27
SC7
実際には、異なるSC間の風通しはあまり良くない
SC27/WG3の新しい規格案(現状WDレベル
ISO/IEC
29193
)は、セキュア・システム・エンジニアリングの原
則をまとめようとしている
SC27/WG4では、アプリケーションセキュリティの規格
案が進行している(
ISO/IEC (CD1) 27034
)
形式上はISMSのアプリケーションセキュリティ部分の補強・詳細化
実質は、新しい、アプリケーション・セキュリティ・プロセス実施仕様
の記述言語の提案
マイクロソフトは、ここに、自社のSecurity Development Lifecycle
以下省略 最小特権の原則