目次

アイデンティティ・マネージメント
(Identity Management)

Identity Management と Provisioning の意義

Identity Management という考え方を重要視する動きがある。
しかし、Provisioning を含めて、一見新しく思えるキーワードが、 TCSEC に始まる Trusted OS の実装の目的を検証することで、国防関係では古くから着目されていたことがわかる。
また、そのような具体的な実装例を知ることで、 Identity Management と Provisioning という日本語としてなじみにくい言葉の理解を深めることができる。

最新の紹介用スライド

• 2002-12-05 identity-mgmt2.pdf (272KB)
• 2002-10-04 new-trusted-os3.pdf (422KB)

  PowerPoint を利用できるＰＣでは講演を録音したものを音声付きスライドショーとして聴講できます。
  

• 2002-10-04 new-trusted-os3.pps (43MB ←ファイルサイズにご注意)

紹介した場

2002年
， 「ＩＲＭ研究会」， 「オープンシステム研究会」， ，

2003年


2004年

情報セキュリティ施策

情報セキュリティ施策

(2005/1/18 掲載)

• 情報戦略の一環として個人情報保護を位置づけよ - HP_Enterprise_Magazine02.pdf (1MB), Link
  (HP Enterprise Magazine [WINTER 2004 No.2] より)
  

  (2004/8/26 掲載)
  

• 情報を活かすプランと対策 - 2004-08-26.pdf (123KB), Link, Mirror
  

大学における情報セキュリティ施策

(2004/5/16 公開)

• 大学におけるネットワーク運用管理者のためのセキュリティ体制の構築 - univ-security-2.pdf (80KB)

情報セキュリティポリシー

執筆論文一覧

• 準備中（この場での掲載にあたっての版権等の確認中です）

情報セキュリティと法令等

• ITセキュリティに関する法令等の遵守：　 itsec-compliance.pdf (PDF 45KB)

  関連リンク

• 情報ネットワーク法学会

• 総務省 - 行政管理局 - 法令データ提供システム
• 衆議院 - 制定法律一覧

N+I Guide での連載

JNSAでは、 ソフトウェアバンク出版の月刊誌「N+I Guide」の５月号より、 連載（全８回）にて、情報セキュリティポリシーの解説をしたものを冊子にしました。

http://www.jnsa.org/policy/guidance/
冊子ファイルのミラー : jnsa-policy-guidance.pdf (1.78MB)

皆様のお仕事にお役立てください。

情報セキュリティ・アーキテクチャ

寄稿

アットマーク・アイティの Security&Trust フォーラム

• つぎはぎシステムを防ぐセキュリティアーキテクチャ (2004/04/29)
  
  • ITアーキテクトでのセキュリティの位置付け
  • SLAに見るセキュリティの位置付け
  • セキュリティ要件の5つのA
  • アイデンティティ・マネジメント
  • プロビジョニング

  記事原稿の訂正のお知らせ：
  

  記事中に以下の誤植がありましたので、以下のように訂正します。
  アットマーク・アイティ殿の記事については、訂正処理中です。
  

  誤	Authentication：真正確認（正当な本人であることを確認すること） Access Control：アクセス制御（あらかじめ許可を与えたアクセスだけに制御すること） Administration：権限管理（上記Access Controlについて管理すること） Auditing：監査（上記Administrationの記録を証跡として保全すること） Assurance：保証（上記Auditingの要件を満たしていることの保証を得ること）
  正	Authentication：真正確認（正当な本人であることを確認すること） Access Control：アクセス制御（あらかじめ許可を与えたアクセスだけに制御すること） Administration：権限管理（上記２つのAについて管理すること） Auditing：監査（上記３つのAの記録を証跡として保全すること） Assurance：保証（上記４つのAの要件を満たしていることの保証を得ること）

情報処理学会寄稿

ＩＴセキュリティ・アーキテクチャの構築


• 本文 - ipsj-css-1998.pdf (207KB)

セキュリティ・アーキテクチャに基づくＩＴ設計


• 本文 - ipsj-css-1999.pdf (27KB)
• スライドショー - ipsj-css99.pps (759KB)
  （pps ファイルの表示には MS PowerPoint が必要です。）

書籍

「分散コンピューティングセキュリティ」
プレンティスホール出版
グレン・ブルース+ロブ・デンプシー著，さとうよしひろ・掛川・行本訳

情報セキュリティ技術

トラステッドＯＳ／セキュアＯＳ

関連サイト

• 情報ネットワーク法学会
  • セキュアＯＳ研究会

  資料

• DMZの復習（スライド） - what-is-dmz.pdf (79KB)
• DMZの復習（文章） - fw-weakness.pdf (71KB)
• Trsuted OSによる Web サーバ保護の例（スライド） - vv-intro-slide.pdf (78KB)
• Trsuted OSによる Web サーバ保護の例（文章） - vv-intro.pdf (40KB)

• Trusted OSの機能説明 - cmw-revised.pdf (145KB)
• Trusted OSの目的と新たな方式 - new-trusted-os.pdf (336KB)
• JNSAによる講演レポート - http://www.jnsa.org/nsf2002/report13.html （トラックB8をご覧ください）

  推奨サイト

• IPA の セキュア・プログラミング講座
• IPA の オペレーティングシステムのセキュリティ機能拡張の調査報告

• 総務省 の セキュアＯＳに関する調査研究会報告書 (2004/04/28)
  • セキュアOSに関する調査研究会 報告書 (PDF ファイル)
  • (別添)システム選定に当たってのチェックリスト (PDF ファイル)

ベンダー選定のポイント

何が守れるかより、何を守れないかを説明できるベンダーを選定するのがよい。


納品物の品質が定量的に評価できる場合：
　提案要件指定
　価格競争
納品物の品質が定量的に評価できない場合：
　価格帯指定
　提案内容競争

インシデント・マネージメント

資料

• CSIRTとPOCの紹介 - incident-mgmt3.pdf (670KB)（２０ページ〜）
• メーカーの脆弱性情報公開方針 - maker-policy.pdf (176KB)

  これら発表への取材記事：
  

  脆弱性情報の基本は「one time one message policy」 (アットマーク・アイティ 2004/4/21)

推奨資料

• 経済産業省 の 「情報システム等の脆弱性情報の取扱いに関する研究会」報告書 (2004/04/06)

• ISO/IEC TR 18043 Information Security Incident Management

関連情報

（自身で内容を確認していないので、当面は「推奨」ではなく、「関連情報」とさせていただきます）
• IPAセキュリティセンター の 情報システム等の脆弱性情報の取扱いに関する研究会 報告書 (2004/04/30)
• IPAセキュリティセンター の 情報システム等の脆弱性情報の取扱いにおける法律面の調査 (2004/06/30)
• IPAセキュリティセンター の 情報セキュリティ早期警戒パートナーシップガイドライン (2004/07/08)

  IPAのドキュメントについては、「ご利用条件」にあるとおり、最新の文書をセキュリティセンターの
  ページから再確認の上で、ダウンロードしていただくことをお薦めします。
  

個人情報保護

資料

• (2006/06/22)企業における個人情報保護対策の実際 - 情報管理 2006年8月号 VOL.49 No.5 に掲載

• 企業における個人情報保護の保護体制 - 最近の講演資料
• (事例)ＨＰ社の個人情報保護プログラム - pi-protection-hp.pdf (1.0MB)

官庁ガイドライン

• 個人情報の保護に関するガイドラインについて

• パブリックコメント・意見募集案内（案件一覧）

  ★：告示　☆：意見募集 (2004/10/1 時点)

• (2005/01/19)☆ 「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針（平成１６年厚生労働省告示第２５９号）の解説（案）」に関する意見の募集について
• (2004/10/01)☆ 「経済産業分野のうち信用分野における個人情報保護ガイドライン」に対する意見の募集
• (2004/09/21)☆ 国土交通省所管分野に係る個人情報保護に関するガイドライン（仮称）（案）に関するご意見の募集について
• (2004/09/30)☆ 「財務省所管分野における事業者に対する個人情報の保護に関する指針（案）」に対する意見募集について
• (2004/09/14)★ 「行政機関の保有する個人情報の適切な管理のための措置に関する指針」及び「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」
• (2004/09/06)★ 金融分野における個人情報保護に関するガイドライン要綱について
• (2004/08/13)★ 「電気通信事業における個人情報保護に関するガイドライン」の改訂案に対する意見募集結果、及び、「電気通信事業分野におけるプライバシー情報に関する懇談会」中間報告書の公表
• (2004/08/13)★ 「放送分野における個人情報保護の基本的な在り方について」の公表
• (2004/07/01)★ 雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針について
• (2004/07/02)☆ 「放送分野における個人情報保護の基本的な在り方について（草案）」に対する意見募集の実施
• (2004/06/28)☆ 「電気通信事業における個人情報保護に関するガイドライン」の改訂案に対する意見募集
• (2004/06/16)？ ＩＣタグにおける個人情報保護
• (2004/06/15)☆ 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」に対する意見の募集
• (2004/06/15)☆ 「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずべき措置に関する指針」に係る意見募集

関連サイト

• 内閣府
  • 国民生活政策
    • 個人情報の保護に関する法律
      • 議事要旨
    • 個人情報の保護に関するガイドラインについて
    ↓消費者庁に移管
    外局：
    
  • 消費者庁
    • 企画
      • 個人情報保護トップページ
        • 個人情報保護ガイドライン
        • 国民生活審議会
        • （旧国民生活局）
      • 公益通報者保護制度
      • その他
    • 表示
      • 特定電子メール法（総務省と共管）
      • その他
    • 取引
      • 特定商取引法
      • その他
    • その他
• 経済産業省
  • 特定商取引に関する法律施行規則の改正について (2004/6/21)
  • 迷惑メール対策（未承諾広告の表記義務） (2002年)
• 総務省
  • 個人情報の保護に関する条例の制定状況（平成18年4月1日現在） (2006/6/29)
  • 電気通信消費者情報
    • 迷惑メール対策関係施策
      • 「迷惑メールへの対応の在り方に関する研究会」の開催 (2004/10/05)
      • 特定電子メールの送信の適正化等に関する法律施行規則案に対する意見募集 (2002/5/21)
• 日本産業協会
  • 表示義務違反メールの情報提供について (2003/10/10)
  • 再送信禁止義務違反メールの情報提供について (2003/07/01)
• 日本データ通信協会
  • 迷惑メール相談センター
  • 個人情報保護登録センター
  • 情報通信ネットワークの安全・信頼性

• 岡村久道先生
  • 個人情報保護法に関する著作物のご案内（無料ダウンロードあり）
  #maruchan-kojinjouhou
  
• まるちゃんの情報セキュリティ気まぐれ日記
  • 2005.05.10 国民生活センター相談概要
  • 2005.04.12 個人情報保護法ガイドライン関係
• IT保険ドットコム
  • 個人情報漏洩事件一覧

関連リンク

• (随時) PrivacyExchange.org（法やガイドライン、ニュースの英訳など）
• (2004/05/08) 【日弁連】　 個人情報保護条例の改正に向けての提言
• (2002/07/01) ２つの迷惑メール対策法、その内容は？

• (リンク切れ) NIKKEI NET/IT Business&News 個人情報保護

関連リンク

関係機関(順不同)

• 社団法人 情報処理学会
  • 情報規格調査会
• 日本セキュリティマネジメント学会
• NPO 日本ネットワークセキュリティ協会
  • ポリシーサンプル解説
• NPO ネットワークリスクマネジメント協会
• 情報ネットワーク法学会

• 情報処理推進機構 (IPA)
  • セキュリティセンター
• JPCERT/CC
• 金融情報サービスセンター (FISC)
• 電子情報通信学会
  • 高等教育機関のネットワーク運用ガイドライン
• 失敗学会

  官公庁(順不同)

• 電子政府の総合窓口

• 首相官邸
  • 内閣官房
    • 情報セキュリティ対策推進室
      • 情報セキュリティ対策推進会議
      • 情報セキュリティ専門調査会
  • 知的財産戦略会議
  • ＩＴ戦略本部（高度情報通信ネットワーク社会推進戦略本部）
  • 司法制度改革推進本部
• 経済産業省
  • 情報セキュリティに関する政策、緊急情報
    • トップページ
    • 報告書
• 警察庁
  • ハイテク犯罪対策　
  • ＠ｐｏｌｉｃｅ　
  • 相談受付　
• 総務省
  • 国民のための情報セキュリティサイト
  • 情報セキュリティ
  • 電子署名及び認証業務
  • 行政管理局
    • 法令データ提供システム
• 衆議院
  • 制定法律一覧
• 防衛庁　-　
• 国家公安委員会
  • 不正アクセス行為発生状況
• 国立国会図書館
• 金融庁
  • 検査マニュアル

  個人(５０音順)

• 指宿信先生（Dr. Makoto's Cyber Office） - ブログ
• 岡村久道先生（Cyber Law Japan）
• 新保史生先生（法源）
• 鈴木正朝先生（ITサービス産業の法律実務）
• 高橋郁夫先生（法律の小部屋）
• 夏井高人先生（法情報学）
• 藤井一男先生
• 藤田康幸先生（Prime Law）
• 町村泰貴先生
• 丸山満彦先生
  • 情報セキュリティを取り巻く各種制度

  ブログ・サイト

• 情報社会制度ブログ

  その他

• ネット被害対策室
  • リンク集 （mirror）

以下の URL は移動しました。