令和4年秋期試験問題 午前Ⅱ 問9
問9解説へ
IT製品及びシステムが,必要なセキュリティレベルを満たしているかどうかについて,調達者が判断する際に役立つ評価結果を提供し,独立したセキュリティ評価結果間の比較を可能にするための規格はどれか。
- ISO/IEC 15408
- ISO/IEC 27002
- ISO/IEC 27017
- ISO/IEC 30147
正解 ア問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ技術評価
中分類:セキュリティ
小分類:セキュリティ技術評価
広告
解説
- 正しい。ISO/IEC 15408は、IT関連製品や情報システムのセキュリティ機能の適切性・確実性について客観的に評価するための基準です。日本ではJIS X 5070として定められています。IPAが認証機関として運営しているITセキュリティ評価及び認証制度(JISEC)は、このISO/IEC 15408に基づいて評価・認証が行われ、政府調達などで利用されています。
- ISO/IEC 27002は、情報セキュリティマネジメントシステム(ISMS)に関する規格群ISO/IEC 27000シリーズの一つです。ISMSの確立・実施・維持・継続的な改善を行うための要求事項をまとめたのがISO/IEC 27001であり、このISO/IEC 27001に基づいて実施されるISMSの過程で選定・実践すべき情報セキュリティ管理策の規範がISO/IEC 27002です。ISO/IEC 15408がセキュリティ機能の技術的側面を対象としているのに対し、ISO/IEC 27002はセキュリティ運用管理面を対象としています。
- ISO/IEC 27017は、ISO/IEC 27002をベースとしたクラウド環境における情報セキュリティ管理策を実践するための規範です。
- ISO/IEC 30147は、IoT製品やサービスの安全・安心を確保するための日本発の国際規格で、システムのライフサイクルプロセスについての規格であるISO/IEC/IEEE 15288を適用・補完して策定されました。セキュリティ・信頼性・プライバシー保護・レジリエンス(脅威予測・攻撃に対する適切な対応・迅速な回復等を行いリスクに適応する能力)などにおいて関係者の期待に応える能力(これをトラストワージネス:Trustworthinessという)を、IoT製品やサービスに実装し維持するためのライフサイクルプロセスの規格となっています。
広告