JIS Q 27001:2014の管理策について－38

今回は「14.1　情報システムのセキュリティ要求事項」から、14.1.2、14.1.3です。

「情報システム」の開発者・提供者に関する部分が多いので、簡単に概要を触れる程度とさせていただきます。

14.1.2 公衆ネットワークを経由するアプリケーションサービスに含まれる情報は、不正行為、契約
紛争、並びに認可されていない開示及び変更から保護する。

「公衆ネットワーク」ですので、専用回線以外の電話網、携帯電話網、インターネット等が想定されます。
不特定多数が利用するネットワークを経由するアプリケーションサービスを利用する場合、不正行為、契約紛争、情報漏洩、改ざんから保護するため、次のような対策が必要となります。

• 認証のレベルを高める
• 重要な取引文書の承認、発行、署名等の認可プロセスの明確化
• 重要な文書の機密性、完全性、発送・受領の証明、否認防止に関する要求事項の決定と達成
• 完全性のレベルを高める
• 賠償義務の明確化
• 攻撃に対する対応力の要求事項の定め

14.1.3 アプリケーションサービスのトランザクションに含まれる情報は、次の事項を未然に防止す
るために、保護する。
・不完全な通信
・誤った通信経路設定
・認可されていないメッセージの変更
・認可されていない開示
・認可されていないメッセージの複製又は再生

トランザクションは、サービスを実現するために授受される情報の集合体と考えて下さい。
情報システムとのセキュリティを確保するため、トランザクションに含まれる情報に対して次のような対策が必要となります。

• 電子署名の利用
• 通信経路の暗号化
• 通信プロトコルのセキュリティの維持

次回は、「14.2　開発及びサポートプロセスにおけるセキュリティ」の予定です。