国際的な情報セキュリティへの取
り組み
各国の対応とサイバー犯罪条約
インターネット時代のセキュリティ管理
1
まず現状を総括すると……


政府レベルでは、複数国間の国際協調を前
提としたセキュリティ対応策はほとんどない
国レベルの個別対応が中心


米国・韓国・英国の事例を簡単に
政府レベルでの国際協調の動きは低調

欧州評議会のサイバー犯罪条約
欧州連合だけではなく、日本・米国も参加
 実際にはどうなっているのか?

インターネット時代のセキュリティ管理
2
米国の場合(1)
クリントン政権の施策

1996年7月 重要インフラ保護委員会(PCCIP)を
設置


重要インフラ防護の方策の検討と勧告
2000年1月 国家情報システム保護計画(第1版)
を策定



具体的な情報インフラ保護システムの計画
重要インフラに関し、業界ごとにISAC(Information
Sharing and Analysis Center)の設立促進を要請
 業界ごとのインシデント情報の収集・分析・共有が目的
現在、通信業界、IT業界、金融業界、電力業界など10以
上のインフラ業界においてISACが設置されている
インターネット時代のセキュリティ管理
3
米国の場合(2)
ブッシュ政権の施策





2001年10月 国土安全保障省、本土安全保障会議、サイバー
安全保障局、大統領重要インフラ保護会議などのセキュリティ関
連機関を大統領の行政命令により設置
2001年10月 連邦調達庁が商用ネットワークから切り離された
政府専用のIPネットワーク(GOVNET)に関する情報要請(RFI:
Request For Information)を提出
2001年10月 テロ対策強化に関する米国愛国者法が成立
2002年11月 サイバーセキュリティ研究開発法が成立
2003年2月 セキュアなサイパースペースのための国家戦略
(National Strategy to Secure Cyberspace)を発表
インターネット時代のセキュリティ管理
4
韓国の場合

2001年 情報通信基盤保護法施行


国の情報セキュリティ体制、重要インフラの指定、
重要インフラに関する情報セキュリティ対策等を
規定
民間各業界におけるISAC(Information
Sharing and Analysis Center)の役割・責
務などの規定

電気通信・金融分野でISACが設立されている
インターネット時代のセキュリティ管理
5
英国の場合



1978年 政府通信本部の管轄下に情報セキュリティ保護を担う
CESG(Communications Electronics Security Group)を
設置
1992年 官民双方のインシデントに対し一元的に対応する
UNIRAS(Unified Incident Response and Alert
Scheme)を内務省内に設置
情報セキュリティ管理やセキュリティモニタリング、電子商取引に
関する各種の認証制度を制定



BS7799, ITSEC, TrustUK
1990年 コンピュータ不正使用法制定
2000年 電気通信法制定

電子商取引に関し、5年以内に産業界の自主規制システムが実効
性を持つようになれば政府としての法制度は構築しない
インターネット時代のセキュリティ管理
6
欧州評議会のサイバー犯罪条約(1)


情報セキュリティに関し、主要国間で締結されている
ほぼ唯一の国際条約
国境を超えて広がるインターネット犯罪などに対応す
るため、犯罪の定義の統一や、捜査・司法手続きの
上の協力体制を構築するのが目的



不正アクセス、不法傍受、データの破壊などのデータ妨害、
非権限者によるデータの入力・改ざんなどのシステム妨害、
装置の不正使用を犯罪として定義
電子証明書偽造などコンピュータ関連偽造、同関連詐欺、
児童ポルノ関連犯罪、著作権侵害などが関連犯罪となる
2003年11月23日に参加各国が署名


欧州評議会加盟諸国と日本、米国、カナダの計30ヶ国
評議会加盟国の最低3ヶ国を含む5ヶ国の批准で発行
インターネット時代のセキュリティ管理
7
欧州評議会のサイバー犯罪条約(2)

サイバー犯罪条約の問題点


国際協力・捜査手続き・人権上の問題
 犯罪の範囲の定義や、個々の犯罪への対応は各国で異
なる
 通信傍受やログ保存をどのように扱うか
 表現の自由や通信の秘密をどう保護するのか
2003年6月時点で批准しているのは以下の三カ国
のみ



ブルガリア
アルバニア
クロアチア
インターネット時代のセキュリティ管理
8
ダウンロード

インターネット時代のセキュリティ管理 第一回