※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国機関は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。情報技術の分野では、ISO と IEC は共同技術委員会 ISO/IEC JTC 1 を設立しました。
国際規格は、ISO/IEC 指令Part 2 部に規定されている規則に従って草案されています。
合同技術委員会の主な任務は、国際規格を作成することです。合同技術委員会によって採択された国際規格草案は、投票のために各国機関に配布されます。国際規格として発行するには、投票を行っている国家機関の少なくとも 75% による承認が必要です。
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
ISO/IEC 27033-3 は、合同技術委員会 ISO/IEC JTC 1, 情報技術、サブ委員会 SC 27, IT セキュリティ技術によって作成されました。
ISO/IEC 27033は、「情報技術 – セキュリティ技術 – ネットワーク セキュリティ」という一般タイトルのもと、次の部分で構成されています。
- Part 1: 概要と概念
- Part 2: ネットワーク セキュリティの設計と実装に関するガイドライン
- Part 3: 参照ネットワーク シナリオ — 脅威、設計手法、および制御の問題
以下の部分が準備中です。
- Part 4: セキュリティ ゲートウェイを使用したネットワーク間の通信の保護 — 脅威、設計手法、および制御の問題
- Part 5: 仮想プライベート ネットワークの保護 — 脅威、設計手法、および制御の問題
今後、ローカル エリア ネットワーク、ワイド エリア ネットワーク、ワイヤレスおよび無線ネットワーク、ブロードバンド ネットワーク、音声ネットワーク、インターネット プロトコル (IP) コンバージェンス (データ、音声、ビデオ) ネットワーク、Web ホスト アーキテクチャ、インターネット電子メールなどのトピックを取り上げるパートが追加される可能性があります。アーキテクチャ (インターネットへの送信オンライン アクセス、インターネットからの受信アクセスを含む)、およびサード パーティ組織へのルーティング アクセス。
1 スコープ
ISO/IEC 27033 のこの部分では、参照ネットワーク シナリオに関連する脅威、設計手法、および制御の問題について説明します。シナリオごとに、セキュリティの脅威と、関連するリスクを軽減するために必要なセキュリティ設計手法と制御に関する詳細なガイダンスを提供します。関連する場合、これらの文書の内容の重複を避けるために、ISO/IEC 27033-4 から ISO/IEC 27033-6 への参照が含まれています。
ISO/IEC 27033 のこの部分の情報は、ISO/IEC 27033-2 に従って、技術的セキュリティ アーキテクチャ/設計オプションを検討する場合、および推奨される技術的セキュリティ アーキテクチャ/設計および関連するセキュリティ管理を選択して文書化する場合に使用されます。選択される特定の情報 (ISO/IEC 27033-4 から ISO/IEC 27033-6 までから選択される情報と合わせて) は、検討中のネットワーク環境の特性、つまり、特定のネットワーク シナリオと「テクノロジ」トピック( s) 関係しています。
全体として、ISO/IEC 27033 のこの部分は、あらゆる組織のネットワーク環境に対するセキュリティの包括的な定義と実装に大きく役立ちます。
2 規範的参照
この文書を適用するためには、以下の参照文書が不可欠です。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と用語
- ISO/IEC 27033-1, 情報技術 - セキュリティ技術 - ネットワーク セキュリティ - Part 1: 概要と概念
3 用語と定義
この文書の目的のために、ISO/IEC 27000, ISO/IEC 27033-1, および以下に示されている用語と定義が適用されます。
3.1
マルウェア
悪意のあるソフトウェア
悪意を持って設計され、ユーザーやユーザーのコンピュータ システムに直接的または間接的に害を及ぼす可能性のある機能を含むソフトウェアのカテゴリ
注記 1: ISO/IEC 27032 を参照。
3.2
不透明度
Voice-over-Internet-Protocol通話におけるエンドポイントのアドレスの導出など、ネットワークアクティビティの観察によって導出される可能性のある情報の保護
注記 1: Opacity は、情報に加えてアクションを保護する必要性を認識しています。
3.3
アウトソーシング
買収者のビジネス機能をサポートするために必要な活動を実行するために、買収者によるサービスを取得すること
3.4
ソーシャルエンジニアリング
人を操作して行為を実行させたり、機密情報を漏洩させたりする行為
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 27033-3 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
ISO/IEC 27033 consists of the following parts, under the general title Information technology — Security techniques — Network security:
- Part 1: Overview and concepts
- Part 2: Guidelines for the design and implementation of network security
- Part 3: Reference network scenarios — Threats, design techniques and control issues
The following parts are under preparation:
- Part 4: Securing communications between networks using security gateways — Threats, design techniques and control issues
- Part 5: Securing virtual private networks — Threats, design techniques and control issues
There may be future parts to cover topics such as local area networks, wide area networks, wireless and radio networks, broadband networks, voice networks, Internet Protocol (IP) convergence (data, voice, video) networks, web host architectures, Internet email architectures (including outgoing online access to the Internet, and incoming access from the Internet), and routed access to third party organizations.
1 Scope
This part of ISO/IEC 27033 describes the threats, design techniques and control issues associated with reference network scenarios. For each scenario, it provides detailed guidance on the security threats and the security design techniques and controls required to mitigate the associated risks. Where relevant, it includes references to ISO/IEC 27033-4 to ISO/IEC 27033-6 to avoid duplicating the content of those documents.
The information in this part of ISO/IEC 27033 is for use when reviewing technical security architecture/design options and when selecting and documenting the preferred technical security architecture/design and related security controls, in accordance with ISO/IEC 27033-2. The particular information selected (together with information selected from ISO/IEC 27033-4 to ISO/IEC 27033-6) will depend on the characteristics of the network environment under review, i.e. the particular network scenario(s) and ‘technology’ topic(s) concerned.
Overall, this part of ISO/IEC 27033 will aid considerably the comprehensive definition and implementation of security for any organization's network environment.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 27033-1, Information technology — Security techniques — Network security — Part 1: Overview and concepts
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000, ISO/IEC 27033-1 and the following apply.
3.1
malware
malicious software
category of software that is designed with a malicious intent, containing features or capabilities that could potentially cause harm directly or indirectly to the user and/or the user's computer system
Note 1 to entry: See ISO/IEC 27032.
3.2
opacity
protection of information that might be derived by observing network activities, such as deriving addresses of end-points in a voice-over-Internet-Protocol call
Note 1 to entry: Opacity recognizes the need to protect actions in addition to information.
3.3
outsourcing
acquisition of services by an acquirer to perform activities required to support the acquirer's business functions
3.4
social engineering
act of manipulating people into performing actions or divulging confidential information