2024-03-29T10:55:27Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:000097942022-10-21T05:24:51Z00581:00599:00601
ISO15408/ISO27001 統合型システムセキュリティ設計技法の提案Proposal of the System Security Design Method Based on ISO15408 and ISO27001jpn論文http://id.nii.ac.jp/1001/00009794/Journal Articlehttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=9794&item_no=1&attribute_id=1&file_no=1Copyright (c) 2007 by the Information Processing Society of Japan危機管理とリスク管理株式会社日立製作所情報・通信グループプラットフォームソリューション事業部株式会社日立製作所情報・通信グループプラットフォームソリューション事業部株式会社日立製作所システム開発研究所株式会社日立製作所システム開発研究所諸橋, 政幸永井, 康彦荒井, 正人手塚, 悟企業や組織の情報セキュリティを確保するためには,顧客の個人情報等の情報資産を保護するためのセキュリティ対策を実施することが重要である.このためには,情報システム全体を対象としてリスク分析に基づいたシステムセキュリティ設計を行う必要がある.また,セキュリティ設計では設計根拠を示すために国際セキュリティ基準を利用・準拠してほしいという要望もある.現在,代表的な国際セキュリティ基準にはISO/IEC15408 とISO/IEC27001 があり,前者は技術的セキュリティ対策の評価,後者はセキュリティ運用管理対策の評価を主としており,どちらか一方の基準に準拠しただけではIT 対策・Non-IT 対策の両面をカバーできない.そこで,本論文では,両基準(ISO15408,ISO27001)を併用しながらセキュリティ設計を行うISO15408/ISO27001 統合型システムセキュリティ設計方式・手順について提案する.本方式は,ISO27001 準拠設計の結果を利用・参照してISO15408 準拠設計を行うことで,両設計結果間の不整合をなくすことを特徴としている.また,両基準に記載されたセキュリティ対策方針リストを対応付けたテーブルを作成・利用することで,両者間の整合を容易に確保可能とすることも特徴としている.また,提案する方式を具体的事例に適用し,その有効性を示す.In order to maintain information security in an enterprise or an organization, it is important to enforce countermeasures that protect the assets. For this purpose, it is necessary to perform security design for information system. And, it is important to perform system security design based on the international security standard. Now, there are ISO/IEC15408 and ISO/IEC27001 in the international security standard. ISO15408 is to evaluate IT security countermeasures, and ISO27001 is to evaluate the security management. For this, it is impossible to cover both IT and Non-IT security countermeasures in case of performing system security design based on one side security standard. In this paper, we propose the system security design method based on both ISO15408 and ISO27001, by means of using and referring the security design result based on ISO27001 to perform security design based on ISO15408, and by means of making and using the mapping table that countermeasures in ISO15408 correspond to countermeasures in ISO27001 to assure consistency about countermeasures. Furthermore, we will show the usefulness of the method in a case study.AN00116647情報処理学会論文誌4811352035312007-11-151882-77642009-06-29