巻頭言
会長を退任するに当たって
佐々木 良一…1
研究論文
Research papers
異なる電子認証基盤の連携方式に関する研究
A Research of Linkage Model between Services
using Electronic Authentication
陳 崇仁、加藤 大樹、濱口 総志、星 徹、手塚 悟…3
Takahito CHEN,Daiki KATO, Soushi
HAMAGUCHI,Tohru HOSHI and Satoru TEZUKA
JNSA設立15周年記念論文
JNSA15 Anniversary memorial papers
学術論文
Research papers
より安全なシステム構築のために
~CC-Case_iによるセキュリティ要件の見える化
Visualization of Security Requirements by CC-Case_i
for More Secure System Construction
金子 朋子…11
Tomoko KANEKO
自由形式論文
Research papers
個人情報漏えいインシデントの変遷と挑戦
Change and Challenge for an Incident
of Personal Information Leakage
大谷 尚通…23
Hisamichi OHTANI
解説
Commentaries
2015年改正不正競争防止法による営業秘密の保護強化
Strengthening of the Protection of the Trade Secret
by The Revised Unfair Competition Prevention Act of 2015
齋藤 憲道…35
Norimichi SAITO
Ten Contradictions
Kunio OKAYASU…42
ニュースレター Newsletter
………………………………………………51
======================================================================================
研究論文
Research papers
異なる電子認証基盤の連携方式に関する研究
A Research of Linkage Model between Services
using Electronic Authentication
学東京工科大学大学院バイオ・情報メディア研究科 陳 崇 仁
Graduate School of Tokyo University of Technology Takahito CHEN
東京工科大学大学院バイオ・情報メディア研究科 加 藤 大 樹
Graduate School of Tokyo University of Technology Daiki KATO
東京工科大学大学院バイオ・情報メディア研究科 濱 口 総 志
Graduate School of Tokyo University of Technology Soushi HAMAGUCHI
東京工科大学 星 徹
Tokyo University of Technology Tohru HOSHI
東京工科大学 手 塚 悟
Tokyo University of Technology Satoru TEZUKA
要 旨
我が国が導入を目指している番号制度において,2013年5月にマイナンバー法が可決成立し,2016年1月より番号の利用が開始された.これにより現在複数の機関に散在している個人情報は名寄せが行われ,他の情報との突合を正確かつ効率的に行うことが可能となる.本番号制度で利用されている日本の電子認証基盤システムは大きく分けて中央官庁・地方自治体・個人/法人の三箇所にブリッジ認証局が存在し,中央官庁を中心としたブリッジ認証型トラストモデルである.一方,欧州連合(以下EU)では証明書信頼リスト型トラストモデルを採用しており,これは国民にとって信頼してもよい認証局の一覧であるホワイトリストを端末等に実装するものである.更にEU加盟国同士におけるサービス連携基盤の開発も進んでおり,現在STORK(Secure idenTity acrOss boRders linKed)2.0 PROJECTとして進行中である.本稿では,日本とEUの異なる電子認証基盤を連携する方式を提案し,既存の電子認証方式と比較を行い最適な方法を考察する。
キーワード
番号制度,電子認証,電子署名,PKI,eID,STORK
————————————————————————————
JNSA設立15周年記念論文
JNSA15 Anniversary memorial papers
学術論文
Research note
より安全なシステム構築のために
~CC-Case_iによるセキュリティ要件の見える化
Visualization of Security Requirements by CC-Case_i
for More Secure System Construction
株式会社NTTデータ 金 子 朋 子
NTT DATA Corporation Tomoko KANEKO
1.はじめに
近年政府機関や企業へのサイバー攻撃や遠隔操作ウイルス事件など様々なセキュリティ事故が頻発し,メディアを騒がせている.また金銭搾取を目的としてフィッシング詐欺,スマートデバイスを狙った犯行の横行など,個人ユーザに対しても各種の脅威が取り巻いている.こうした脅威はシステム,ソフトウェアの脆弱性を突いて攻撃を仕掛けてくる.
より巧妙化する脅威に対して,より安全なシステム・ソフトウェアを開発するにはどうしたらよいだろうか?解決方法として,開発者に対する教育と訓練,経験の伝達,プロジェクト管理の徹底,運用管理の向上,セキュリティ方針の厳密化などとともに,開発方法論からの対応が必要である(図1).システム・ソフトウェアの作りの仕組みの中に脅威への対抗手段を含めることがより根本的な対策になりうるからである.
システム開発の観点からの取り組みには要求,設計,実装,テスト,保守の各段階からの対応があり,全開発工程に対して安全性を考慮した方法論が望まれる.設計段階ではセキュリティプロトコルの検証,実装段階ではセキュリティメカニズム,セキュリティを意識したコーディング規約,テスト段階では侵入テスト,脆弱性テスト,運用段階ではセキュリティアップデートによる取り組みが可能である.しかし要求段階においては「2.1セキュリティ要求分析手法」に後述するように,セキュリティ要求に関して様々な研究がなされているが,セキュリティ要求を抽出・分析・仕様化,妥当性確認,要求管理する全段階をサポートしている要求分析手法もセキュリティ要求分析の標準的な手法もまだできていない.また運用時のインシデント後のシステム改修等本格対応する際にはセキュリティ要求が必要となるが,これらをトータルに考慮した手法もまだできていない.つまり現在のシステム開発方法論は,要求分析,要件定義プロセスにおいてセキュリティの獲得,分析,定義を行っていないなどセキュリティ要求の取り扱いが不十分な状況にある。
————————————————————————————
自由形式論文
Research note
個人情報漏えいインシデントの変遷と挑戦
Change and Challenge for an Incident
of Personal Information Leakage
株式会社NTT データ 大 谷 尚 通
NTT DATA Corporation Hisamichi OHTANI
あらまし
個人情報保護法が施行されて10 年が経過し, 施策の見直しや個人情報に対する個人や組織の意識の変化が現れてきている. そこでこれまでに蓄積した国内で公表された13 年間分の個人情報漏えいインシデントのデータを元に個人情報漏えいに関するセキュリティインシデントや対策の変化を振り返る. また, これまでのセキュリティ対策を評価するとともに問題点を明らかにし,セキュリティ対策の次のステップを考える。
キーワード
個人情報漏えい,分析,算出モデル
————————————————————————————
解説
Commentaries
2015年改正不正競争防止法による
営業秘密の保護強化
Strengthening of the Protection of the Trade Secret
by The Revised Unfair Competition Prevention Act of 2015
同志社大学法学部 企業法務教育スーパーバイザー 齋 藤 憲 道
Doshisha University Faculty of Law,Supervisor,Education of Business Law Norimichi SAITO
要 旨
日本は、法律による営業秘密の保護に消極的だった。営業秘密の保護はパリ条約、TRIPS協定等に基づく国際的な要請であり、これとの調和を大義名分として1990年に不正競争防止法(以下、「不競法」という)が改正されて営業秘密の定義と民事的保護制度が導入され、2003年に刑事罰(営業秘密侵害罪)が導入された。刑事罰の導入初期は、処罰の対象行為が限定されていたが、諸外国では保護されるのに日本で保護されない情報漏洩事件が発生するつど、同種事件の抑止に必要な範囲に限って保護を強化する法改正が繰り返された。
裁判では、刑事罰が導入された頃から秘密管理性を厳しく解釈する方向に進んだが、近年では行き過ぎた厳格管理の要請を緩和する判決が現れ、企業は予見可能性の向上を求めた。
経済産業省では刑事罰が導入された際に、企業の参考になる営業秘密管理指針(以下、「指針」という)を策定し、その後、法改正を反映する改定を重ねてきたが、秘密管理性の解釈の混乱を回避する目的で、2015年1月に営業秘密の定義に特化した簡潔な「営業秘密管理指針(全部改訂:平成27年1月28日)」(以下、「全部改訂」という)を策定した。同年7月に不競法が改正(1)されて営業秘密の法的保護が広範に強化されたのを受けて、過去の指針の中に記載されていた管理手法の解説に、改正法に対応して追加すべき管理事項を加えて「秘密情報の保護ハンドブック~企業価値向上に向けて~」(以下、「ハンドブック」という)が作成された。(1)2015年7月3日成立、同月10日公布、2016年1月1日施行。
2015年の不競法改正により、日本の営業秘密の法的な保護水準は技術先進諸国に近づいた。秘密情報の保護には不競法だけでなく個人情報保護法・刑法・その他の多くの法律が関係するので、今後は、国際動向及び産業活動へのICTの浸透に関する考察を含めて総合的観点で実質的な保護水準を検証すべきである。
キーワード
不正競争防止法 営業秘密 営業秘密管理指針 営業秘密の3要件 秘密管理性 秘密情報 全面改訂 ハンドブック TRIPS協定 TPP協定 個人情報保護法 外為法 特許法
————————————————————————————
Ten Contradictions
Science & Engineering Systems Division
Infrastructure Business Department
ITOCHU Techno-Solutions Corporation Kunio OKAYASU
Introduction
The original report of “Ten Contradictions” was made by Mr. Olivier Godard who attended a meeting hosted by the International Institute for Applied Systems Analysis (IIASA) in Laxsenburg Castle, Austria, near Vienna in June 1997. The Environmental Summit meeting in Rio de Janeiro in 1992 presented Agenda 21 which addressed the global environmental issues to the world then. The human dimension issues was one of these issues and it is hard to explore the core of this problem. The meeting in Laxsenburg, headquarters of IIASA, was very helpful in personalizing this issue much closer to people’s daily lives. The title “Ten Contradictions“ reminds some readers of “Ten Commandments” from the old testament, but please be sure it is Mr. Godard’s esprit, he is a Frenchman. This commentary revisits the issue with afterthoughts of the last twenty years or so and explores the depth of the chasm that had developed in those years. The list of “ten Contradictions” is on the last page of this commentary.
————————————————————————————