この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
導入
商業組織と政府組織のほとんどは、情報システムをネットワークで接続しており、ネットワーク接続は次の 1 つ以上です。
- 組織内で。
- 異なる組織間で。
- 組織と一般社会との間。
さらに、公的に利用可能なネットワーク技術 (特にインターネット) の急速な発展により、大きなビジネスチャンスがもたらされ、組織は世界規模で電子ビジネスを実施し、オンライン公共サービスを提供することが増えています。この機会には、単にグローバル接続媒体としてインターネットを使用する低コストのデータ通信の提供から、インターネット サービス プロバイダー (ISP) が提供するより高度なサービスまでが含まれます。これは、Web ベースのアプリケーションとサービスを使用して、回線の両端に比較的低コストのローカル接続ポイントを使用して、本格的なオンライン電子取引およびサービス配信システムを使用することを意味します。さらに、新しいテクノロジー (データ、音声、ビデオの統合を含む) により、リモート勤務 (在宅勤務または在宅勤務とも呼ばれる) の機会が増加します。在宅勤務者は、リモート施設を利用して組織やコミュニティのネットワーク、関連するビジネス サポート情報やサービスにアクセスすることで連絡を取り合うことができます。
ただし、この環境はビジネスに大きなメリットをもたらしますが、管理すべき新たなセキュリティ脅威もあります。組織はビジネスを遂行するために情報と関連ネットワークの使用に大きく依存しているため、情報とサービスの機密性、完全性、可用性が失われると、ビジネス運営に重大な悪影響を及ぼす可能性があります。したがって、ネットワークとそれに関連する情報システムおよび情報を適切に保護することが大きなニーズとなります。言い換えれば、適切なネットワーク セキュリティを実装して維持することは、組織のビジネス運営の成功にとって非常に重要です。
これに関連して、電気通信および情報技術業界は、悪意のある攻撃や不注意による誤った行為からネットワークを保護し、それによって情報とサービスの機密性、完全性、可用性に関するビジネス要件を満たすことを目的とした、費用対効果の高い包括的なセキュリティ ソリューションを求めています。ネットワーク使用量に対する正確な請求を実現するには、ネットワークを保護することも不可欠です。製品のセキュリティ機能は、ネットワーク全体のセキュリティ (アプリケーションやサービスを含む) にとって非常に重要です。ただし、より多くの製品を組み合わせて総合的なソリューションを提供する場合、相互運用性の有無がソリューションの成功を左右します。セキュリティは、各製品やサービスにとって重要な要素であるだけでなく、セキュリティ ソリューション全体にセキュリティ機能を織り交ぜることを促進する方法で開発する必要があります。
ISO/IEC 27033-4「セキュリティ ゲートウェイを使用したネットワーク間の通信の保護」の目的は、セキュリティ ゲートウェイに関連するネットワーク セキュリティ脅威を特定および分析する方法、脅威分析に基づいてセキュリティ ゲートウェイのネットワーク セキュリティ要件を定義する方法、典型的なネットワーク シナリオに関連する脅威と制御側面に対処するためのネットワーク技術セキュリティ アーキテクチャを実現する設計手法を導入する方法、およびセキュリティ ゲートウェイによるネットワーク セキュリティ制御の実装、運用、監視、レビューに関連する問題に対処する方法に関するガイダンスを提供することです。
ISO/IEC 27033-4 は、セキュリティ ゲートウェイの詳細な計画、設計、実装に携わるすべての担当者 (ネットワーク アーキテクトや設計者、ネットワーク マネージャ、ネットワーク セキュリティ担当者など) に関連することが強調されています。
Introduction
The majority of both commercial and government organizations have their information systems connected by networks, with the network connections being one or more of the following:
- within the organization.
- between different organizations.
- between the organization and the general public.
Further, with the rapid developments in publicly available network technology (in particular with the Internet) offering significant business opportunities, organizations are increasingly conducting electronic business on a global scale and providing online public services. The opportunities include the provision of lower cost data communications, using the Internet simply as a global connection medium, through to more sophisticated services provided by Internet Service Providers (ISPs). This can mean the use of relatively low cost local attachment points at each end of a circuit to full scale online electronic trading and service delivery systems, using web-based applications and services. Further, the new technology (including the integration of data, voice and video) increases the opportunities for remote working (also known as teleworking or telecommuting). Telecommuters are able to keep in contact through the use of remote facilities to access organization and community networks and related business support information and services.
However, while this environment does facilitate significant business benefits, there are new security threats to be managed. With organizations relying heavily on the use of information and associated networks to conduct their business, the loss of confidentiality, integrity, and availability of information and services could have significant adverse impacts on business operations. Thus, there is a major need to properly protect networks and their related information systems and information. In other words, implementing and maintaining adequate network security is critical to the success of any organization’s business operations.
In this context, the telecommunications and information technology industries are seeking cost-effective comprehensive security solutions, aimed at protecting networks against malicious attacks and inadvertent incorrect actions, thereby meeting the business requirements for confidentiality, integrity, and availability of information and services. Securing a network is also essential to achieve accurate billing for network usage. Security capabilities in products are crucial to overall network security (including applications and services). However, as more products are combined to provide total solutions, the interoperability, or the lack thereof, will define the success of the solution. Security must not only be a thread of concern for each product or service, but must be developed in a manner that promotes the interweaving of security capabilities in the overall security solution.
The purpose of ISO/IEC 27033-4, Securing communications between networks using security gateways, is to provide guidance on how to identify and analyse network security threats associated with security gateways, define the network security requirements for security gateways based on threat analysis, introduce design techniques to achieve a network technical security architecture to address the threats and control aspects associated with typical network scenarios, and address the issues associated with implementing, operating, monitoring and reviewing network security controls with security gateways.
It is emphasized that the ISO/IEC 27033-4 is relevant to all personnel who are involved in the detailed planning, design and implementation of security gateways (for example network architects and designers, network managers, and network security officers).