ホームページへ もくじへ 印刷用ファイルのダウンロード(660kバイト・PDF版)
安全宣言はいらない 説明責任をください
スライド:01
Slide14 社会的制度的な基準−−情報セキュリティ・マネジメントの考え方
前のページ はじめのページ 次のページ
 セキュリティ強度の評価基準には、技術的な評価基準とは別に、「社会的・制度的な状況を測定する基準」もあります。

 たとえばこのスライドにある5段階の評価基準は、総務省の住基ネット調査委員会の第10回議事録(松尾明さんの発言)から整理したもので、番号が大きくなるほど「安全性は高くなる」だろうと推測する手がかりを提供してくれます(むろん、「 1 」で策定した「情報セキュリティポリシーがザル」だったら、いくら「第5段階をクリア」していたとしても、高いレベルの情報セキュリティ強度が確保されていると言うことはできません)。

 このような社会的/制度的な評価の考え方は、情報セキュリティマネジメントの専門家の間でひろく採用されているものです。
   *  *
 第1段階の「情報セキュリティ・ポリシー」で策定される内容は、「定量的に評価できるセキュリティ強度水準の実現のための手法」として何を実施するかという計画です。  だからこのような社会的・制度的な評価基準もまた、「セキュリティは、かならず破ることができる」ことを前提としています。
出典・参考資料
総務省住基ネット調査委員会第10回議事録http://www.soumu.go.jp/c-gyousei/daityo/juki_system.htmlにある松尾委員の発言をもとに、西邑が整理。
*注: 松尾委員はこの考え方を、主として政府側出席者に理解を求めるために説明しているようです。なので、こうした考え方は総務省の公式方針として採用されているとはいいがたいとしても、少なくともこうした考え方を情報セキュリティマネジメントの専門家が採用していることは、総務省も十分承知しているということになります。

もくじ
1  安全宣言はいらない 説明責任をください
2  (セキュリティからプライバシーへ)
3  「具体的危険」は危険ではない(?)
4  日本政府のセキュリティ対策基本方針−−「走りながら考える」
5  PDCAサイクル
6  PDCAサイクル-2
7  PDCAサイクル-3
  必須のセキュリティ強度ってどうなってるの?
8  社会的に決められる可変的なもの
9  社会的立場によって異なる要求レベルの調整機能は存在しない
10  あぶないと きみはいった
11  それで、セキュリティ強度は改善されたのか?
  セキュリティ強度の評価基準
12  定性的な基準−−「安全」と「危険」の間に境界線は存在しない
13  定量的な基準−−「時間」でセキュリティ強度を評価する
14  社会的制度的な基準−−情報セキュリティ・マネジメントの考え方
15  安全宣言はいらない
16  「横浜方式」が約束したこと
17  説明責任をください
18  セキュリティからプライバシーへ

もくじ Top   ページ Top
© 2006 Nishimura, Tohru / office dlc