【セキュリティ】 ■ セキュリティの定義 ● 情報セキュリティのCIA【情報セキュリティガイドライン(1992年 OECD:経済開発協力機構)】 ・ 情報システムの「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」を維持し、その欠如から発生する危害から情報システムを 保護すること、また、保護する仕組み等を、総合して「セキュリティ」と呼ぶ 機密性 … 情報が正当な権限を持つ者以外に漏洩しないこと 完全性 … 情報が正当な権限を持つ者以外によって変更されないこと 可用性 … 期待される期間内において情報を適正に利用可能であること ・ 加えて「確実性(Authenticity)」「責任性(Accountability)」「プライバシー(Privacy)」の概念も近年は重要視される 確実性 … 情報の作成者・送信者の正統性を保証すること 責任性 … 「いつ」「誰が」「何の情報を」利用したかを追跡可能であること プライバシー … 情報やサービスの利用実績、および、それに伴い授受が発生した個人情報が他者に漏洩しないこと(機密性) ■ セキュリティの種類【情報システム安全対策基準(1977年 旧通商産業省)】 ● 物理的セキュリティ ・ 設置場所(天災対策) ・ 稼動エネルギー(電源設備) ・ 設置環境(温湿度管理) ・ 接触監視(入退室管理) ● 技術的セキュリティ ・ 損害対策(二重化・バックアップ) ・ 障害対策(障害検出・フェイルオーバー・リカバリー) ・ 保守対策(無停止保守・遠隔保守) ・ 運用対策(自動運転・処理監視) ・ アクセス制御 (資源の機密度の設定、利用者のレベルの設定、利用者の正当性の識別、利用者のレベルに即した機密度の資源公開、アクセスの監視、アクセスの記録) ・ 不正情報対策 (データ・プログラムの変更、異常実行の予防と監視、共有資源の保護) ・ 情報漏洩対策 (電磁波の放射漏洩、電気通信の盗聴漏洩の防止、伝送データの暗号化) ○ ウィルス対策 ・ ソフトウェア管理 (販売者・製造配布責任者が明確なソフトウェアを適正なライセンス管理の下で使用する) ・ コンピュータ管理 (インストール前・運用中のソフトウェア・データに対するウィルス検査の実施、不要なアカウント・ソフトウェアの削除) ・ ネットワーク管理 (ネットーワーク経由のウィルス感染への対策、ウィルス感染機器発生時の対応方法の策定) ・ 運用管理 (リムーバブル媒体の使用法、ウィルス感染機器の初動措置・リカバリ措置、ソフトウェア導入・メール添付ファイルの扱い) ・ 復旧措置 (ウィルス感染媒体・機器に対する措置、ウィルス情報の報知、ウィルスの特定と被害範囲の特定、確実なウィルス駆除) ● 人的セキュリティ ・ 管理計画 (情報に対する重要度・機密度の設定、情報に対する管理責任者、公開・変更・複製・移動・伝送の権限付与対象者の設定、情報保管場所への物理的進入の管理) ・ 管理運用 (情報に対するアクセス権限侵犯の監視、ユーザーID・パスワードの管理、情報システムに対する保守・変更作業の管理) ・ データ管理 (データの保管場所・移動・授受の管理、データの作成・変更・複製・廃棄の管理、データ媒体の不正持ち出しの防止、バックアップの作成) ・ 入退室管理 (情報システム設置場所の入室制限レベルの設定、入室者のレベルの設定、入室者の正当性の識別、入室者のレベルに即した入室制限レベルの場所への入室、 入退室記録の管理、鍵の貸出・返却管理、入室立会い、搬入・搬出物の管理、作業目的・作業内容の管理) ・ 人員管理・外部委託管理 (人員の配置変更の管理、管理規定の教育、管理規定・機密保持に関する契約締結、外部委託先の規定遵守状況の把握) 【リスク分析】 ■ リスク分析の前提 ・ リスクとコスト(セキュリティ対策費用)は反比例の関係にある … 高コストで低リスクになる傾向がある ・ リスクと運用負荷(セキュリティ対策手続)は反比例の関係にある … 厳格な管理手続で低リスクになる傾向がある ・ セキュリティに100%は存在しない ・ コストの上昇に伴うセキュリティレベルの上昇率は鈍化する(一定以上のコストをかけても、セキュリティレベルが上がらなくなるポイントが存在する) ※ 一般中小企業にとってのリスクとはスクリプトキディによる攻撃であり、真のクラッカーによる攻撃を防ぐことは不可能に等しい ■ リスク分析の手順 @ 情報資産・資産価値の調査 ・ 組織が持つ情報資産の洗い出し、その重要度、要求されるセキュリティ水準を確定する A 脅威の調査 ・ 情報資産に対して損害を及ぼす可能性のある脅威(侵入・ウィルス・窃盗・破壊など、主に外的なもの)を洗い出し、その影響度を確定する B 脆弱性の調査 ・ 情報資産に対して損害を及ぼす脅威の発生を誘引・助長する脆弱性(アカウント管理不徹底・媒体報知など、主に内的なもの)を洗い出し、その影響度を確定する C リスク評価 ・ 情報資産・脅威・脆弱性を関連付け、脅威の発生頻度・脆弱性の度合いから、情報資産に対するリスクを定量的に算定し、分析・評価する D 対策基準の策定 ・ リスクへの対応可否を基準に、既存の規程類の過不足を評価する ・ 要求されるリスク対策を策定する ■ リスクの定量化 ・ 資産価値 … 要求される機密性・完全性・可用性のレベルから定量化 (開示対象者のレベル、改竄による影響レベル、許容ダウンタイムのレベル ・ 脅威 … 発生の結果に生じる情報システムへの危害レベルから定量化 (影響は無視可能・影響有・深刻かつ重大な影響) ・ 脆弱性 … 脅威の発生を誘引・助長する可能性のレベルから定量化 (対策済・改善余地有・未対策) ■ リスク許容 ・ 資産価値×脅威×脆弱性の積をもってリスク値とし、許容可能値を超えるリスクに対する対策を検討対象とする ■ リスク管理/リスク・マネジメント ・ 常に変化しつづける資産価値・脅威・脆弱性の再評価と、それを受けたセキュリティポリシーの再評価を、継続的に実施することが重要となる ・ 「1件の損害事故の背景には、30件の損害を伴わない事故が存在する」という評価姿勢 ● PDSサイクル ・ Plan(計画)・ Do(実践)・ See(評価)をサイクリックに継続して実行すること ● アウトソーシング ・ 対外的には、アウトソーシング先で発生した事故は自社の事故として取り扱われる ・ 業務の外部委託(アウトソーシング)を実施する際には、アウトソーシング先に対してもリスク分析・セキュリティポリシーの適用を検討する ・ 必要に応じて機密保持契約・個人情報保護契約・セキュリティ管理契約等を締結する ・ 必要に応じた監査請求、監査報告の要求、SLA(Service Level Agreement)の要求を検討する 【セキュリティポリシー】 ■ セキュリティポリシー策定目的の明確化 ・ 企業組織としてセキュリティポリシーを策定する目的を明確にする ・ セキュリティポリシーの実効性・適用範囲・意義を明確にする ・ 経営者の理解・承認・リーダーシップによる全社的な取り組みとする ■ セキュリティポリシー策定の計画 ・ 策定体制の確立 (社内から専任担当者(策定期間中は専任とする)を召集したチーム体制、セキュリティ・コンサルタントによる要員派遣) ・ 適用範囲の検討 (適用漏れ、過剰適用の排除) ・ 策定期間の検討 (セキュリティ技術の革新に追いつかれない短期集中の策定期間を設定する。通常 3 ヶ月程度) ・ 施行時期の検討 (策定ポリシーが適用開始となる時期をあらかじめ目標設定する) ・ 成果物の検討 (策定作業の結果として作成されなければならない成果物を設定する) … リスク分析結果(現状把握の材料となるもの)、情報セキュリティポリシー(ポリシーの本体)、説明書(ポリシー本体の解説) 教育材料(ポリシーを導入する意義から、ポリシーを運用するに際して要求される知識等を教育する材料) ・ 再評価時期の検討(セキュリティ技術の革新に対応するため、現行ポリシーの再評価時期を設定する) ・ 経営者の承認 (経営者によって基本ポリシーの理解・策定・承認を行うための準備) ■ セキュリティポリシーの構成 ● 基本ポリシー ・ 経営者自らが全社員・主要取引先・株主等に対して、情報セキュリティポリシーの策定の意義、遵守の規程と指示、経営方針への反映等を宣言するもの ・ 基本方針・定義・役割・適用範囲・構成・運用管理体制・教育体制・義務事項・罰則事項等を記載する ● スタンダード・プロシージャ ・ 基本ポリシーを受けて、そのセキュリティ運用管理体制・適用範囲・義務事項等をより詳細なレベルに落としたもの ・ スタンダードで大枠を規程し、プロシージャで該当部門・該当担当者レベルのさらなる詳細レベルを規程する形をとる ・ 企業組織の業種・業務形態・企業理念等に依存する部分であり、リスク分析に基づいた、各企業組織固有のポリシーが記載されるべきもの ■ セキュリティポリシーの策定手順 @ プロジェクト組織の編成 ・ 情報システムに熟知した者のみならず、国際標準・国際基準・国内関連法規・ガイドライン等を熟知した人材、法律・監査等に明るい人材を召集する ・ 必要に応じてセキュリティ・コンサルタントから専門家の派遣を要請する A 情報収集 ・ 企業組織が持つ情報資産・セキュリティ設備・セキュリティ対策などの現状把握を行う ・ セキュリティポリシーの策定に必要となる法令・国際基準・ガイドライン等の情報を洗い出す ・ リスク分析手法・システム監査手法などのノウハウがない場合には、国際基準・ガイドライン等を参考にすることは必須となる B リスク分析・システム監査 ・ 情報資産・脅威・脆弱性の実態を調査する ・ 発覚した脆弱性のレベルによっては、セキュリティポリシーの策定を待たずして、早急な対応を実施する必要もある ・ 既にセキュリティに関する規程が存在する場合には、その遵守実態等を監査する C 基本ポリシーの策定 ・ リスク分析と並行して着手可能 ・ 専門担当者レベルで策定を行い、経営層の十分な理解を得た後に、経営者の承認を受ける D セキュリティ要件の確定 ・ リスク分析の結果と、策定された基本ポリシーから、リスク対策を実施する要件・対策のレベル・対策のコストを確定する ・ コスト的な制約、運用負荷的な制約の観点から、過剰な対策が盛り込まれていないかの確認を行う E スタンダード・プロシージャの作成 ・ セキュリティ要件を満たしそのポリシーを実施するにあたり、規程されるべき項目を、スタンダード・プロシージャの順に具体化する ・ 規程化の漏れや、形骸化を招くような過剰な運用負荷を強いる規程が存在しないかを、内外の要員によってレビューする F 成果物の作成 ・ 情報セキュリティポリシー(ポリシーの本体)・運用管理ガイドライン・説明書等の作成 ・ 情報セキュリティポリシーの規程により変更が生じる各種の社内規定を洗い出し、適宜、改訂作業を行う G 経営者による承認 ・ 経営層への報告を行い、経営層の十分な理解とその内容の確認が行われた後、経営者の承認を取得する ・ 経営者の名のもとに、策定された情報セキュリティポリシーの施行を、全社的に報知・宣言する 【セキュリティ用語】 ■ RADIUS(Remote Authentication Dial In User Service) ・ 複数のRAS(Remote Access Server)のユーザー認証を一元管理するための、認証サーバーとRAS間の認証サービスプロトコル ・ 同一ユーザーが複数のRASを使用するような場合でも、認証サーバーのみで認証情報を管理することが可能となる ・ 認証サーバーとRASの間の通信は MD5 によるメッセージダイジェストを使用したセキュア通信となっている ■ SET(Secure Electronic Transaction) ・ Visa International社、MasterCard International社などが策定した、インターネット上でのクレジットカード決済をセキュアに行うためのプロトコル ・ 技術仕様のベースは SSL(Secure Socket Layer)と同一であり、エンドツーエンドの暗号化通信が行われる点は共通する ・ 顧客が入力した個人情報(SETナンバー)はクレジットカード会社で復号化されるため、販売店にクレジットカード番号が知られないという安全性がある ・ SSLの場合には、顧客が入力した個人情報(クレジットカード番号)は販売店で復号化されるため、販売店のシステム環境によっては安全性が損なわれる ■ 監査証跡(オーディット・トレイル(Audit Trail)) ・ 監査対象の挙動を追跡することができるようにする仕組みとその記録(ログ)のこと ■ コンティンジェンシー・プラン ・ 情報システムに対する影響が極めて甚大であるリスクについて、その発生シナリオを事前に想定したもの ■ サラミ法 ・ 多数の情報資源の中から、全体への影響が無視できるようなわずかの資産を窃取し蓄積する不正操作。端数金額の回収などが該当する ■ スキャベンジング ・ コンピュータのメモリやディスクの記憶情報をスキャンし、情報を窃取する不正アクセス方法 ■ スクリプト・キディ ・ ネット上で配布されている攻撃ツールなどを用いてシステム攻撃を行う、比較的、技術レベルの低いクラッカー ■ ステルス型ウィルス ・ ウィルス対策ソフトによる検知を回避するために、ウィルスチェックに対して、感染前のファイル属性を応答するコンピュータ・ウイルス ・ 実行中であってもWindowsシステムのタスク・マネージャに表示されないコンピュータ・ウィルス ■ スーパーザップ法 ・ 情報システムが備える緊急用の特権アクセスを不正に乗っ取ること ■ セキュリティ・インシデント ・ セキュリティ対策を講じていながら発生してしまったセキュリティ侵犯、または、その状態、その疑いのある状態のこと ■ タッピング ・ 通信の盗聴・傍受 ■ バナーチェック ・ 稼動中のコンピュータシステムに対してエコー要求を行い、OSの種類やバージョンを取得すること(telnetやfinger) ・ 特定OSのバージョン情報を得ることで、その固有セキュリティホールの特定が可能となる ■ ペネトレーション・アタック ・ 貫通攻撃。ファイアー・ウォール等に対して行われる、設定上の不備や脆弱性を発見するための疑似攻撃 ■ ミューテーション(ポリモフィック)型ウィルス ・ ウィルス対策ソフトによる検知を回避するために、増殖のたびにプログラムコードのパターンを変化させるコンピュータ・ウィルス ■ ランド・アタック ・ IPパケットの送信元アドレスを送信先アドレスと同一にすることで送信先のホストの処理を無限ループに陥れる攻撃 【規格・ガイドライン・法規】 ■ セキュリティの基礎概念となるもの ● 不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)(1999年) ・ 正当な権限を持たない者が、正規のユーザーIDとパスワードを使用して情報システムにログインすることを禁止する ・ 情報システムのセキュリティホールを使用した攻撃や侵入を禁止する ・ 正規のユーザーIDとパスワードを、その所有管理者に無断で、第三者に提供・販売することを禁止する ・ 1年以下の懲役、または、50万円以下の罰金刑が定められている ● 不正競争防止法 ・ 営業秘密不正取得・利用行為等の禁止 … 営業秘密を不正に取得し利用する行為 ・ 周知表示混同惹起(じゃっき)行為の禁止 … 広く知れ渡った商品に類似する商品を、混同させることを目的に販売する行為 ・ 著名表示冒用行為の禁止 … 著名商品の表示を自己商品の表示に使用する行為 ・ 商品形態模倣行為の禁止 ・ 品質内容等誤認惹起行為の禁止 … 商品の原産地・品質・内容・製造方法等を誤認させるような表示をする行為 ・ 信用毀損行為の禁止 … 競合他社の信用を毀損する虚偽の情報を流布する行為 ・ 代理表示等冒用行為の禁止 … 代理店・特約店等の表示を、代理権・特約権をもたずに(失効後に)使用する行為 ○ 営業秘密の条件 ・ 秘密として管理されていること(秘密管理性) ・ 事業活動に有用なもの(有用性) ・ 公然と知られていないもの(非公然性) → 保護するべき情報資産の判断基準ともなる ● 電子署名法(2000年) ・ 電磁的記録情報のうち、「記録を行った者であることを示すもの」「記録後に改変が行われていないことを確認できるもの」を「電子署名」として定義 ・ 情報を表現するために作成された電磁的記録に、電子署名が施されている場合には、作成者本人の意思に基づくものであると推定可能であることを定める ・ 電子署名の法的効力を定めた法律 ■ 個人情報保護に関するもの ● OECD プライバシー保護と個人データの流通についてのガイドラインに関する理事会勧告(1980年) ・ 収集制限の原則 … 個人データの収集は適法かつ公正な手段によるべきものであり、データ主体に通知・同意の上に行われるべきである ・ データの正確性の原則 … 個人データは利用目的に即したものであるべきであり、利用範囲内において、正確・完全・最新を維持しなければならない ・ 目的明確化の原則 … 個人データの収集目的は明確化されるべきであり、その目的に即した利用に限定されなければならない ・ 利用制限の原則 … 個人データは明確化された収集目的以外の目的に使用されるべきではない ・ 安全保護の原則 … 個人データは紛失・破壊・修正・開示等の危険からの適切な保護措置がとられなければならない ・ 公開の原則 … 個人データに関する開発・実施・政策は一般に公開され、その管理責任者を明示しなければならない ・ 個人参加の原則 … 個人データはデータ主体によって異議申し立て・消去・修正・完全化・補正ができるものでなければならない ・ 責任の原則 … 個人データの管理者は上記の原則を実施するに足る責任を有するべきである ● 民間部門における個人情報の保護に関するガイドライン(1997年) ・ JIPDEC(日本情報処理開発協会)が策定、1989 年に通商産業省の告示として採用される ・ OECD のガイドラインをほぼ踏襲する形となっている ・ 個人情報を外部組織に委託処理する際に、個人情報保護のための適切な措置を講ずることが盛り込まれている ● プライバシーマーク制度 ・ 個人情報の保護措置に関して一定の基準を満たす事業者の認定制度として、JIPDEC(日本情報処理開発協会)が運用を行っている ・ JIS Q15001 に準拠する、個人情報の取り扱いに関するコンプライアンス・プログラム(個人情報保護措置)を策定していること、および、 コンプライアンス・プログラムに基づく従業員への教育と、その運用実績があること、が認定の最低条件となる ・ 外部企業への個人情報の提供・開示、取り扱いの委託を行う際には、その守秘義務に関する契約の締結するなどの保護措置を実施する ・ 年1回以上の、個人情報保護に関する周知徹底教育、個人情報の保護状態の監査を実施する ・ 認定後も消費者からの苦情に基づき、改善命令が発せられるなど、認定の実効性を継続的に保証する枠組みが存在する ・ 認定事業者に対しては、インセンティブとして「プライバシーマーク」の使用が許可される(店頭・封筒・約款書類・ホームページ等への標榜) ● 個人情報保護法(2003年施行目標) ・ 個人情報の不正流用の防止と厳正管理を目的に、一定数以上の個人情報を扱う事業者に対して課せられる運用義務を定める ・ 利用方法の制限(利用目的の明示) ・ 適正な取得 (本人の同意) ・ 正確性の確保 (常に正確な個人情報の維持に努める) ・ 安全性の確保 (流出・盗難・紛失を防止する) ・ 透明性の確保 (本人への開示・本人による修正・本人による目的外利用の拒否) ※ 保護違反は本人による申告に依存し、法的監査は実施されないことから、実効性が乏しい点が問題になっている ■ セキュリティポリシーに関するもの ● ISO/IEC TR 13335 / GMITS(Guidelines for the Management for IT Security) ・ ISO によって 1991 年よりプロジェクト化され、1996 年にリリース ・ 情報セキュリティ管理のための手引書であり、セキュリティレベルの確保・維持のためのガイドラインとなる ・ リスク分析手法、セキュリティポリシーに必要な項目、企業のセキュリティアプローチ手法などを含む ・ BS7799と比較して、より実践的・具体的な技術運用面をカバーする ● ISO/IEC TR 15408 / CC(Common Criteria) / ITSEC(Information Technology Security Evaluation Criteria) ・ 米国国防省のオレンジブック(調達基準)がベースとなり欧米各国に普及(CC(Common Criteria))、ISO によって 1999 年に国際標準として採択 ・ 2000 年に日本の JIS X5070 として策定され、2001年より日本政府調達基準となる ・ セキュリティ製品(ソフトウェア・ハードウェア)や、システムの開発・製造・運用に対する、国際的な情報セキュリティ評価基準 ・ 情報セキュリティ評価基準・機能要件・保証要件を定義する際の指標を提供する ● BS7799 ・ 英国規格協会(BSI)によって策定された、企業・団体向けの情報セキュリティ管理のためのガイドライン ・ 情報セキュリティの管理に対する普遍的・包括的なガイドライン・基準を示す ・ 製品に対する評価認証ではなく、運用管理・管理基準の側面に重点が置かれている ・ 電子媒体に限定されない紙媒体なども包含する情報資産をセキュリティ管理の対象として扱う ・ BS7799-1(情報セキュリティの管理実施基準)は ISO/IEC TR 17799 として国際基準化されている ・ BS7799-2(情報セキュリティの管理システム仕様)は ISMS 適合性評価制度として日本でも派生している ○ ISO/IEC TR 17799 ・ ISO が 1995 年に BS7799-1(情報セキュリティの管理実施基準)を国際基準として策定したもの ○ ISMS(Information Security Management System)適合性評価制度 ・ 情報サービス業に対する ISO/IEC TR 17799 および BS7799-2 に基づいた適合性評価認定制度として、JIPDEC(日本情報処理開発協会)が運用を行っている ・ 自らのリスク評価に基づくセキュリティレベルの設定と、セキュリティ計画、資源配分、システム運用が、組織マネジメントとして実施されているかの適合性 ・ バランスのとれた機密性・完全性・可用性の維持・改善の継続 ・ 策定されたセキュリティポリシーに基づいた Plan(対策・方針の計画)、Do(実施・運用)、See( Check(監査)+ Act(見直し・改善))の実践 ■ システム監査に関するもの ● システム監査基準(1985年)旧通商産業省 ・ システム監査を実施する上での必要事項・実施要綱を定めた基準文書 ・ 一般基準(監査体制・監査責任・権限・倫理・守秘義務などの基準) ・ 実施基準(企画・開発・運用・保守・共通業務に関する実施基準) ・ 報告基準(システム監査実施後に行われる報告・フォローアップに関する基準) ● 情報システム安全対策基準(1977年)旧通商産業省 ・ 情報システムの機密性・完全性・可用性を確保するための安全対策基準を定める ・ 災害・機器障害・人為過失等によるリスクの未然防止、発生時の影響最小化、迅速な回復を図るために、実施すべき対策項目を列挙してある ・ 設置基準(情報システムを、自然災害・火災・不法侵入等による物理的外因から保護するための設備・環境面の対策) ・ 技術基準(情報システムの円滑かつ安全な稼動を確保するための、ハードウェア・ソフトウェア面の対策) ・ 運用基準(設置基準・技術基準の対策項目を実施するにあたり要求される運用面の対策) ● コンピュータ不正アクセス対策基準(1996年)旧通商産業省 ・ 不正アクセスによる被害の予防・発見・回復・被害拡大防止のために、企業組織・個人が実施すべき対策を定める ・ システムユーザ基準 (ユーザー自身が行うべき、アカウント管理・情報管理・コンピュータ管理・事後対応・教育・情報収集・監査の基準) ・ システム管理者基準 (システム管理者が行うべき、管理体制の整備・ユーザ管理・情報管理・設備管理・履歴管理・事後対応(以後同上)の基準) ・ ネットワークサービス事業者基準 (ネットワークサービス事業者が行うべき、事業体制の整備・ユーザ管理・(以後同上)の基準) ・ ハードウェア・ソフトウェア供給者基準 (HW・SW供給者が行うべき、管理体制の整備・設備管理・開発管理・販売管理・事後対応・(以後同上)の基準) ● コンピュータウィルス対策基準(1990年)旧通商産業省 ・ コンピュータウィルスによる被害の予防・発見・駆除・復旧のための、実効性の高い対策を定める ・ 「自己伝染機能」「潜伏機能」「発病機能」のいずれかを持ち、プログラムやデータに対して意図的に被害を及ぼすプログラムをウィルスと定義 ・ コンピューターウィルス発見時の届け出先は IPA(Information technology Promotion Agency, japan:日本情報処理振興事業協会) ・ システムユーザ基準 ・ システム管理者基準 ・ ソフトウェア供給者基準 ・ ネットワーク事業者基準 ・ システムサービス事業者基準 ● ソフトウェア管理ガイドライン(1995年)旧通商産業省 ・ ソフトウェアの違法複製等を防止するために、法人・団体がソフトウェアを使用するにあたって実施すべき事項を定める ・ 法人等が実施すべき基本的事項 ・ ソフトウェア管理責任者が実施すべき事項 ・ ソフトウェアユーザが実施すべき事項 ■ 企業の信頼性に関するもの ● ISO 9000 ・ 英国の品質保証規格である BS5750 を ISO が国際標準規格として採択したもの ・ 9000番台の複数の規格から構成される一連のシリーズ規格 ・ 契約主義・マニュアル作成・検証重視・システム志向の特徴がある ・ 「ドキュメント化」「追跡可能性の確保(traceability)」「監査」が強く要求される ● ISO 14000 ・ 組織活動が環境に及ぼす影響を最小限に抑制することを目的として策定された環境マネジメント規格