ISMS(Information Security Management System)

情報セキュリティ・マネージメント・システム

情報システムのセキュリティ確保には、「脅威の発生を未然に防ぐ、あるいは最小限に抑える」、また「実際にシステム障害などの問題が生じた際に、迅速な対応およびシステム復旧を行う」、という2点が重要であり、これらの実現のためには、セキュリティ対策に注意し、タイムリーに行う必要があることから登場した、(財)日本情報処理開発協会(JIPDEC)が実施している組織的な情報管理の安全管理体制を認証する制度の名称。経済産業省が公表した情報セキュリティ管理に関する国際標準の導入に基づき、日本情報処理開発協会(JIPDEC)の情報セキュリティ・マネジメント・システム(ISMS)制度委員会が2001年2月、3月に行ったパブリックコメントやヒアリング、 説明会での質問等を参考にして検討した結果、2001年4月6日にISMS適合性評価制度を公表した。ISMS制度の進め方と認証基準に関してはURL(http://isms.jipdec.or.jp/pr/20010406.html)でpdfファイルがダウンロードできる。日本情報処理開発協会情報セキュリティ対策室では、経済産業省が実施してきた情報システム安全対策実施事業所認定制度(安対制度)の廃止に伴う後継の制度として、国際的な標準(ISO/IEC 17799(Code of practice for information security management))を踏まえた認証制度であるISMS適合性評価制度を実施し、「情報セキュリティマネジメントシステム(ISMS)パイロット事業」についての情報を2001年5月22日に公表した。詳細情報はURL(http://www.isms.jipdec.or.jp/pr/20010522.html)で知ることができる。日本情報処理開発協会情報セキュリティ対策室ISMS事務局は2002年2月2日から、「ISMS(情報セキュリティマネジメントシステム)認証基準Ver.1.0(案)」についてのパブリックコメント募集を開始し、2002年4月から本格運用を開始した。ISMS認証基準Ver.1.0(案)はURL(http://isms.jipdec.or.jp/pr/20020201.html)で知ることができる。日立製作所は2003年6月2日に、「ミューチップ」のID発行管理システム・インテグレーション業務がイギリスの認定機関UKAS(United Kingdom Accreditation Service)から「BS 7799 Part2」、日本情報処理開発協会(JIPDEC)から「ISMS認証基準」の認証を取得し、世界最大級の人事・総務ソリューション・システム「Humanimate21」の提供を開始し、シェアド・サービスセンター、コールセンターがUKASから「BS 7799 Part2」の認証を取得したと報告した。詳細情報はURL(http://www.hitachi.co.jp/media/New/cnews/030602a.html)または、URL(http://www.hitachi.co.jp/media/New/cnews/030602b.html)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2003年7月31日に、コンピュータを利用したインターネットのペイメント・システムにおける情報セキュリティに関するレポート「Information Security: Computer Controls Over Key Treasury Internet Payment System. GAO-03-837」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-03-837)で知ることができる。2005年日本国際博覧会の入場券の前売りが、開幕1年半前に当たる2003年9月25日から始まるが、その入場券には20cm入場券には20センチの近接範囲で電磁波でデータをやり取りできる非接触型で、小さなアンテナをカードサイズの紙の間に挟みこんで表面をコーティングしているミューチップが世界で初めて採用される。詳細情報はURL(http://www.expo2005.or.jp/jp/ticket/ic.html)で知ることができる。日立製作所は2003年9月2日に、128ビット(1038桁)のID番号が書き込まれた0.4mm角アンテナ内蔵型「ミューチップ」を開発したと発表した。詳細情報はURL(http://www.hitachi.co.jp/media/New/cnews/030902a.html)で知ることができる。米国国土安全保障省(DHS/the Department of Homeland Security/Homeland Security Department)は2003年9月30日にIT関連のセキュリティ確保に向けた計画案「Initial National Response Plan」を公開した。米国のNIST(National Institute of Standards and Technology/米国立標準技術研究所)も2003年10月にIT関連のセキュリティ確保に向けた案内書「Guide to Selecting Information Technology Security Products」を公開した。詳細情報はURL(http://www.dhs.gov/interweb/assetlibrary/Initial_NRP_100903.pdf)または、URL(http://csrc.nist.gov/publications/nistpubs/800-36/NIST-SP800-36.pdf)で知ることができる。パソコンレスキュー(データ復旧センター)は米国のData Recovery Group社と技術提携し、2003年12月15日より物理的なデータの損傷・破損は、クラッシュ・地面に落としてしまったなどの人為的な事故・火災・水害などハードディスク自身が物理的に故障・破損してしまった場合などに対応するため、国内におけるハードディスク物理障害のデータ復旧サービスを開始した。詳細情報はURL(http://www.drivedata.jp/)で知ることができる。米国下院政府改革委員会(House of Representatives' Committee on Government Reform)は2003年12月9日に、米国下院政府改革委員会(House of Representatives' Committee on Government Reform)は2003年12月9日に、米国政府全体のコンピュータ・セキ ュリティ調査したレポート「Computer Security Report Card 2003」を発表し、全体では2002年の落第点「F」から1ランク上げて「D」と判定した。ただし、「DoE(Department of Energy/エネルギー省)」「DoJ(Department of Justice/法務省)」「DoHaH(Department of Health and Human Services/健康生活福祉省)」「DoI(Department of the Interior/内務省)」「DoA(Department of Agricukture/農務省)」「DoHUD(Department of Housing and Urban Development/住宅都市開発省)」 「DoS(Department of State/国務省)」「DoHS(Department of Homeland Security国土安全保障省)」は「F」と落第点であった。詳細情報は URL(http://reform.house.gov/TIPRC/Hearings/EventSingle.aspx?EventID=652)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2002年12月18日に、米国の各省庁がリーダーシップを持ってIT環境の構築に努力する必要性を訴えた「Information Technology: Leadership Remains Key to Agencies Making Progress on Enterprise Architecture Efforts. GAO-04-40」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-40)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2002年12月19日に、IT技術の安全保護に求められる時間と共に進化する考え方を訴え、ペンタゴンが不確実(Inaccuracies)なITを有効にするにはUS$16億($1.6B)が必要になるとレポートした「Information Technology: Improvements Needed in the Reliability of Defense Budget Submissions. GAO-04-115」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-115)で知ることができる。進化が止まると同時に退化が始まり、それまでに投資された資金は無駄になるという考え方は、セキュリティだけではなく、全ての現象に当てはまることである。これはまた同時に、ITを最優先に考え、政府がITという言葉に振り回され過ぎると、確実性のないITに経済全体がゆがめられ、資本主義の根幹まで破壊する可能性も残している。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年1月15日に、政府関連省庁などにおけるパブリック・キーを活用した情報セキュリティの調査レポート「Information Security: Status of Federal Public Key Infrastructure Activities at Major Departments and Agencies. GAO-04-157」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-157)で知ることができる。日本経済団体連合会は 2004年1月20日に、「戦略的な国際標準化の推進に関する提言」を公開した。詳細情報はURL(http://www.keidanren.or.jp/japanese/policy/2004/007.html)で知ることができる。米国のGAO(General Accounting Office/米国連邦会計監査院)は2004年5月7日に、未来に向けた国防と米国国防総省(DOD/Department Of Defence)の透明性の改善に関するレポート「Future Years Defense Program: Actions Needed to Improve Transparency of DOD's Projected Resource Needs. GAO-04-514」を公開した。詳細情報はURL(http://www.gao.gov/cgi-bin/getrpt?GAO-04-514)で知ることができる。暗号技術の専門家ブルース・シュナイアーは、ソフト(Bruce Schneier)の欠陥を直す最良の方法は、ソフトメーカーに直接責任を取らせることとComputerworld USで2004年11月3日に断言した。詳細情報はURL(http://www.computerworld.com/newsletter/0,4902,96948,00.html?nlid=VVR)で知ることができる。情報セキュリティ欠陥のため、ユーザーは何US$10億も浪費させられているが、問題は開発会社の設計が悪いからで、欠陥住宅は建設会社の責任で修復させ、被害が出たときは建設会社に請求するのが当然であり、Bruce Schneierの発言は実に正当で常識といえる。NECは2005年5月10日に、業界団体や企業グループの中核企業を事業主体者として、その団体傘下の会員企業や組織の情報セキュリティマネジメントの構築運用体制をJIPDECによるISMS認証基準に則して構築・運用することを支援する、BPOサービス「NetSociety for ISMS」の提供を開始したと発表した。詳細情報はURL(http://www.nec.co.jp/press/ja/0505/1003.html)で知ることができる。


ISMS認証基準(ver.0.8)
ISMSパイロット事業実施要領
ISMS適合性評価制度運営要領(Ver.0.8)
審査登録機関に対する審査基準(Ver.0.8)
Oxford大学のLuciano Floridiが公開したWhat is the Philosophy of Information?
FBIとSANS Instituteが2001年10月2日に発表したInternet Security Top20
ISMS認証基準Ver.1.0(案)
Robert F. DaceyのFederal Information Security Management Act of 2002コメント
ホワイトハウスが2002年9月18日に公開したcyberstrategy-draft
ホワイトハウスの2002年9月18日cyberstrategy-draftニュースリリース
Robert F. Daceyが訴えた法で定めた情報セキュリティ手段の必要性報告書
GAOのInternet Payment Systemにおける情報セキュリティ・レポート
0.4mm角アンテナ内蔵型「ミューチップ」
米国国土安全保障省が2003年9月30日公開したInitial National Response Plan
NISTのGuide to Selecting Information Technology Security Products
Hon. Putnam Federal Computer Report Card Press Statement
Computer Security Report Card 2003
Overall Federal Computer Grade and Bar Graph
Federal Computer Security Grades 2000-2003
Computer Security Grade Criteria
GAOが2003年12月18日に公開した各省庁のITリーダーシップ努力要請レポート
GAOが2002年12月19日に訴えた、IT技術の安全保護と進化レポート
政府関連省庁などのパブリック・キー情報セキュリティ調査レポート
戦略的な国際標準化の推進に関する提言(概要)
戦略的な国際標準化の推進に関する提言
GAOが2004年5月7日に公開した、未来に向けた国防と米国国防総省の透明性改善レポート
Illustrirte Zeitung1855年11月3日に掲載されたミュンヘン工業博覧会会場で開催された第1回南ドイツ音楽祭
Illustrirte Zeitung1855年11月3日に掲載されたパリ工業博覧会を訪ねたナポレオン皇太子
Illustrirte Zeitung1855年5月16日に掲載されたパリの水晶宮
Illustrirte Zeitung1856年6月28日に公開されたパリ工業博覧会
NECが2005年5月10日に公開したリリース

アウトソーシング
レッツフォト
企業の情報化
電子アゴラ
アドバンスト・アセンブリー・プログラム
人事情報システム
SIPS
イントラネット
インターネット
インナーウェブ
ファイアウォール
ウェブ・システム
グループウェア
エクストラネット
NTみはりVAN
Telecom 2000
Access Key
RMTP
アウトソーシング
企業の情報化
電子アゴラ
アドバンスト・アセンブリー・プログラム
人事情報システム
コレクティブ・グッズ
エクストラネット
PowerJ
Clue
LiveLink Online Service
COOL ICE
イントラネットウエア
Network Quality of Service
Interleaf Business Web
VALUE-MAIL
コンピュータ・インターネット関連の調査会社
Web Integration-3A with Security and NOMAD
イントラ・オフィス
インターネット関連の調査結果のURL(海外)
インターネット関連の調査結果のURL(国内)
Intranet Docs
InfoArk EZ-Pack
Windows DNA
ExSight
大川センター
この2000年で最も大事な発明はなにか?
Netscape Meta-Directory
SMB(Small and Medium Business)
NEPRI
モジュール
中小企業向け「公的資金データベース」検索システム
R&D
地域イントラネット基盤整備事業
半導体イントラネット
地域インターネット導入促進事業
インターネットとイントラネットによる現象学
Jijo2DB
Site Confidence
WISE(Web-based Inquiry Science Environment)
インターネット上にあるインタビュー
アクセス権
Multi-University Research Laboratory
包括的産学融合アライアンス
PowerRental
BCP(Business Continuity Plan)
ミューチップ
2005年日本国際博覧会
情報セキュリティマネジメントシステム適合性評価制度
BPO(Business Process Outsourcing)
オンデマンド・アウトソーシング・サービス
BPO(Business Process Outsourcing)
ExpoからNexpoへ
SANS(SysAdmin, Audit, Network, Security)
CVE(Common Vulnerabilities and Exposures)
日本情報処理開発協会
米国コンピュータ・セキュリティ成績表
暗号の2010年問題