COSOとフレームワーク COSO（Committee of Sponsoring Organizations of the Treadway Commission、トレッドウェイ委員会組織委員会）の略称です。COSOでは内部統制のフレームワーク（COSOフレームワーク）公開しており、当該フレームワークは様々な規定に組…

会社の中では戦略や戦術といった言葉が使われることがあります。それぞれの言葉の意味を整理しました。 // 戦略 戦略（strategy）は、一般的には特定の目的を達成するために、長期的視野と複合思考で力や資源を総合的に運用する技術・応用科学である。 ja.wi…

Underlying Technical Models for Information Technology Security(NIST SP800-33) 発行機関：NIST 発行年月日：2001年12月 csrc.nist.gov ※このガイドラインは2018年8月1日に廃止文書になりました。このガイドラインの内容はRMF（NIST SP800-37）や、CSFに…

証拠保全ガイドライン（第7版） 発行機関：デジタル・フォレンジック研究会 発行年月日：2018年7月20日 digitalforensic.jp // フォレンジックとはフォレンジックは、インシデントレスポンスや法的紛争・訴訟の際に、電磁的記録の証拠保全及び調査・分析を行…

COBIT（Control Objectives for Information and related Technology）は、組織における情報システム管理に関するガイドラインです。COBITは、IT統制に関する国際的な団体ITGI（IT Governance Institute）およびISACA（Information Systems Audit and Control…

ISCMの定義された背景として セキュリティの脅威は高度化しているため、リスクの分析や評価を継続的に行うことが重要となります。セキュリティの管理プロセスを定義したものとして、ISO27005があります。 // 「ISO/IEC 27005」は、国際標準化機構(ISO)と国際…

SCAPとは SCAPはSecurity Content Automation Protocol（セキュリティ設定共通化手順）の略で、セキュリティに関する作業負荷を低減するため、自動化や作業の効率化を目的に、セキュリティ情報を伝達する際のフォーマットや命名を標準化する仕様群です。なお…

情報システム開発ライフサイクルにおけるセキュリティの考慮事項(NIST SP800-64) 発行機関：NIST 発行年月日：2008年10月 https://www.ipa.go.jp/files/000025343.pdf // 概要NIST SP800-64「情報システム開発ライフサイクルにおけるセキュリティの考慮事項…

情報および情報システムのタイプとセキュリティ分類のマッピングガイド(NIST SP800-60) 発行機関：NIST 発行年月日：2004年6月 https://www.ipa.go.jp/files/000025339.pdf // リスクマネジメントでの位置づけNIST SP800-60は、以下のセキュリティ文書と合わ…

連邦情報システムのためのセキュリティ計画策定ガイド (NIST SP800-18) 発行機関：NIST 発行年月日：2006年2月 https://www.ipa.go.jp/files/000025324.pdf // 概要 NIST SP800-18は、セキュリティ計画を策定する際のガイドラインです。セキュリティ計画には…

NISTによるクラウドコンピューティングの定義 発行機関：NIST発行年月日：2011年9月 https://www.ipa.go.jp/files/000025366.pdf NISTでは、クラウドコンピューティングを5つの基本的な特徴と、3つのサービスモデル、および4つの実装モデルで定義しています…

データのバックアップ データのバックアップとは、テープやその他のポータブルメディア上に、ハードディスクドライブで格納しているデータのコピーを二重に作成する作業です。データをバックアップする目的は、1次ストレージメディアハードディスクのデータ…

eDiscoveryとは"Discovery"とは、公判の前に当事者同士双方で、公判に関連のある情報を保全・開示する手続きを指します。そのうちの電子保存情報を対象とする部分が"eDiscovery"です。アメリカの訴訟において必要な作業ですが、アメリカでビジネス展開してい…

生体認証導入・運用のためのガイドライン 発行機関：情報処理推進機構（IPA）発行年月日：2007年7月https://www.ipa.go.jp/files/000013804.pdf // 概要 生体認証導入・運用のためのガイドラインは、生体認証の導入を検討している企業の担当者および意思決定…

OECDプライバシーガイドラインとは 経済協力開発機構（OECD：Organisation for Economic Co-operation and Development、OECD）は、グローバルの観点から国際経済全般について協議することを目的とした組織で現在35カ国が加盟しています。日本も1964年に加盟…

プライバシー保護の考え方 米国ではプライバシーの保護について、合衆国憲法修正第4条において、以下のように定めています。 「不合理な捜索及び逮捕押収に対し、その身体、住居、書類及び所有物の安全を保障される国民の権利は、これを侵してはならない。令…

連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策（NIST SP800-53） 発行機関：アメリカ国立標準技術研究所（National Institute of Standards and Technology, NIST） 発行年月日：2013年4月 原文：https://nvlpubs.nist…

ITサービスマネジメントとITIL ITサービスマネジメント(ITSM:IT Service Management)とは、ITシステムによるサービス提供を管理（マネジメント）することです。従来のシステムでは、ITシステムを開発・運用することに重点が置かれ、ユーザの視点が不足してし…

事‌業‌継‌続‌ガ‌イ‌ド‌ラ‌イ‌ン‌ ‌発‌行‌年‌月‌日‌：‌2013‌年‌8‌月‌（第‌3‌版）‌ ‌発‌行‌機‌関‌：‌内‌閣‌府‌ ‌ http://www.bousai.go.jp/kyoiku/kigyou/keizoku/pdf/guideline03.pdf‌ // 概要事業継続ガ‌イ‌ド‌ラ‌イ‌ン‌は、‌事‌業‌継‌続‌計‌画‌（‌BCP‌）‌を…

CMMとはCMM(Capability Maturity Model，能力成熟度モデル)は組織の能力成熟度モデルの一つで、システム開発を行う組織がプロセス改善を行うためのガイドラインとなるものです。ソフトウェア工学研究所(SEI)で考案され、主にソフトウェアの開発プロセスを5段…

ア‌ジャ‌イ‌ル‌ソ‌フ‌ト‌ウェ‌ア‌開‌発‌宣‌言‌の‌読‌み‌と‌き‌方‌ ‌発‌行‌機‌関‌：‌情‌報‌処‌理‌推‌進‌機‌構‌（‌IPA‌）‌ ‌発‌行‌年‌月‌日‌：‌2018‌年‌4‌月‌ ‌ https://www.ipa.go.jp/files/000065601.pdf‌ アジャイル開発とはアジャイル（agile）は「素早い…

連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド 発行機関：NIST（IPA訳）発行年月日：2010年2月 https://www.ipa.go.jp/files/000025329.pdf // 概要情報システムに対する脅威には、環境破壊や人的ミス、システムのエラ－、外部か…

概要 SOC（Security Operation CenterではなくService Organization Controlのほう）についてまとめてみました。本記事で対象とするSOCとは、監査法人がクラウドベンダーなどにだすお墨付きのような報告書（SOCレポート）です。 SOCレポートは、SaaS等のサー…

SSL/TLS 暗号設定ガイドライン 発行機関：情報処理推進機構発行年月日：2019年5月 https://www.ipa.go.jp/security/ipg/documents/ipa-cryptrec-gl-3001-2.0.pdf 概要このガイドラインは全部で9章で構成されています。 1. はじめに1.1 本書の内容及び位置付…

コード決済における不正利用に関する責任分担・補償等についての規定事例集（利用者向け利用規約） 発行機関：一般社団法人キャッシュレス推進協議会発行年月日：2019年8月30日 概要「コード決済における不正利用に関する責任分担・補償等についての規定事例…

金融分野の組織における個人情報保護の考え方を調べてみました。 金融分野における個人情報保護に関するガイドライン https://www.fsa.go.jp/common/law/kj-hogo-2/01.pdf 金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務…

媒体のサニタイズに関するガイドライン 発行機関：NIST（IPA訳）発行年月日：2006年9月 本文 SP 800-88, Guidelines for Media Sanitization | CSRC 和訳 https://www.ipa.go.jp/files/000025355.pdf // 概要情報システムは各種の媒体を使って情報を処理し、…

セキュリティモデルとして挙げられる「Bell-LaPadula」や「Biba Integrity」について調べたことをまとめます。 「オペレーティングシステムのアクセスコントロール機能におけるセキュリティポリシーモデル」発行機関：情報処理推進機構発行年月日：2012年9月…

General Data Protection Regulation制定機関：欧州議会および欧州理事会制定年月日：2016年4月27日（2018年5月25日より施行） 参考https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679&from=EN日本語訳 https://www.jipdec.or.jp/ar…

DXレポート ～ITシステム「2025年の崖」克服とDXの本格的な展開～発行機関：経済産業省発行年月日：2018年9月7日 www.meti.go.jp DXとは何かDX（Digital Transformation）はガイドラインでは以下のように定義されています。 企業が外部エコシステム（顧客、…