リスクという観点からOECDのセキュリティ対策の変遷を考える(2000字

リスク対策と個人について

OECDとは

www.meti.go.jp

OECDの正式名称

OECDは「Organisation for Economic Co-operation and Development：経済協力開発機構」の略

OECDの歴史

1964年 日本加盟
1980年 プライバシー保護ガイドライン
1992年セキュリティガイドライン
1997年暗号ガイドライン
2001年 同時多発テロ
2002年認識,責任,対応を軸にした新ガイドライン

同時期の日本の歴史

1964年 東京オリンピック
1980年任天堂ゲーム＆ウォッチ発売
1992年
1995年 地下鉄サリン事件
2001年同時多発テロ
2002年

同時期の世界の事件

1964年
1979年第二次オイルショック
1992年 国際平和協力法成立
1997年
2001年
2002年

OECD新ガイドライン原則

認識の原則(Awareness)…参加者は、情報システム及びネットワークのセキュリティの必要性並びにセキュリティを強化するために自分達にできることについて認識すべきである。
責任の原則(Responsibility)…すべての参加者は、情報システム及びネットワークのセキュリティに責任を負う。
対応の原則(Response)…参加者は、セキュリティの事件に対する予防、検出及び対応のために、時宜を得たかつ協力的な方法で行動すべきである。

上記 6 目的と 9 状況認識のもと次の 9 原則

OECD新ガイドラインの目的

情報システム及びネットワークを保護する手段として、すべての参加者の間に「セキュリティ文化」を普及させること。
情報システム及びネットワークに対するリスク、それらのリスクに対処するために有効な方針、実践、手段及び手続並びにそれらの導入及び実施の必要性について、認識を高めること。
すべての参加者の間に、情報システム及びネットワーク並びにそれらの提供及び利用の形態における一層大きな信頼を醸成すること。
情報システム及びネットワークのセキュリティのための首尾一貫した方針、実践、手段及び手続の開発並びに実施において、参加者のセキュリティの課題に関する理解及び倫理的価値の尊重を助ける全般的な考え方の枠組みを創造すること。
セキュリティの方針、実践、手段及び手続の開発並びに実施において、すべての参加者間の協力及び情報共有を適切に促進すること。
標準類の策定及び施行に関与するすべての参加者の間で重要な目的としてセキュリティが考慮されることを促進すること。

OECD新ガイドラインの状況

情報システム及びネットワークは、政府、企業、その他の組織及び個人利用者にとってその利用と価値がますます増大していること
情報システム及びネットワークの役割が重要性を増し、また、安定的で効率的な国内経済及び国際貿易のために情報システム及びネットワークへ依存すること、また社会的、文化的及び政治的生活において情報システム及びネットワークへ依存することが一層増大していることが、情報システム及びネットワークにおける信頼を保護し促進する特別な努力を要求していること
情報システム及びネットワーク、並びにそれらの世界的な急増が、新しく、かつ増加し続けるリスクを伴ってきていること
情報システム及びネットワークを経由して保存され、伝送されるデータや情報は、様々な手段による権限のないアクセス、利用、横領、変更、悪意のあるコード伝送、サービスの妨害、又は破壊の脅威にさらされており、適切な安全防護措置が求められていること
情報システム及びネットワークのリスク並びにそのリスクに対応するために利用可能な方針、実践、手段及び手続についての認識を高める必要があること、並びにセキュリティ文化の発展に向けた決定的な措置としての適切な行動を奨励する必要があること