システム 管 理 規 程 1.0 版 1
システム 管 理 規 程 1 趣 旨... 4 2 対 象 者... 4 3 対 象 システム... 4 4 遵 守 事 項... 4 4.1 アカウントの 管 理... 4 4.1.1 アカウントの 作 成... 4 4.1.2 アカウントの 変 更... 5 4.1.3 不 要 となったアカウントの 削 除... 5 4.1.4 特 権 アカウントの 管 理... 5 4.1.5 アカウント 管 理 システム... 5 4.1.6 パスワードを 忘 れた 場 合 の 処 置... 6 4.2 サーバ 管 理... 6 4.2.1 設 計 時 の 規 定... 6 4.2.2 導 入 時 の 規 定... 7 4.2.3 環 境 設 定 の 規 定... 7 4.2.4 運 用 時 の 規 定... 8 4.3 クライアント 端 末 の 管 理... 9 4.3.1 クライアント 端 末 の 設 定... 9 4.3.2 持 ち 出 しクライアント 端 末 の 設 定... 10 4. 3.3 クライアント 端 末 の 再 利 用... 10 4.4 LAN 接 続... 10 4.4.1 LAN 接 続 申 請 への 対 処... 10 4.4.2 LAN 接 続 時 の 留 意 点... 11 4.4.3 LAN 接 続 情 報 の 更 新 通 知... 11 4.4.4 変 更 手 続 き... 12 4.4.5 機 器 の 撤 去... 12 4.5 マルウェア 対 策... 12 4.5.1 マルウェア 対 策 ソフトウェアの 選 定... 12 4.5.2 マルウェア 対 策 ソフトの 設 定... 13 4.5.3 マルウェア 対 策 窓 口 の 設 置... 13 4.5.4 マルウェアに 感 染 した 場 合... 13 4.6 媒 体 の 管 理... 14 4.6.1 サーバ PC スマートデバイス(IT 機 器 )の 修 理... 14 2
4.6.2 媒 体 の 保 管 再 利 用... 14 4.6.3 サーバ PC スマートデバイス(IT 機 器 )と 媒 体 の 廃 棄... 14 4.7 脆 弱 性 管 理... 14 4.7.1 脆 弱 性 情 報 の 収 集... 14 4.7.2 脆 弱 性 情 報 の 配 布... 15 4.7.3 脆 弱 性 対 応... 15 4.8 ログの 取 得 及 び 監 視... 16 4.8.1 システムのログによる 監 視... 16 4.9 サーバのバックアップ... 17 4.10 システムの 監 視 について... 17 4.11 運 用 業 務... 17 5 運 用 確 認 事 項... 18 6 例 外 事 項... 18 7 罰 則 事 項... 18 8 公 開 事 項... 18 9 改 訂... 18 3
システム 管 理 規 程 1 趣 旨 本 規 程 は サーバ PC 及 びスマートデバイス 上 の 機 密 性 完 全 性 可 用 性 を 確 保 し 発 生 し 得 る 各 種 問 題 を 未 然 に 防 ぐことを 目 的 とする 2 対 象 者 (1)システム 管 理 者 システム 管 理 者 はサーバ 管 理 者 ネットワーク 管 理 者 クライアント 端 末 管 理 者 を 指 す (2)オペレータ (3)システム 設 計 者 (4) 情 報 システム 部 (5) 情 報 セキュリティ 委 員 会 3 対 象 システム (1) 本 社 営 業 所 ホスティング ハウジングを 含 む 全 ての 物 理 サーバシステム 及 び 仮 想 サーバシステム (2) 当 社 より 支 給 貸 与 した PC 本 規 程 内 では PC はノートパソコンを 含 んだ PC 端 末 のことを 指 す (3) 当 社 より 支 給 貸 与 したスマートデバイス 本 規 程 内 では スマートデバイス はスマートフォン 及 びタブレット 端 末 を 指 す 4 遵 守 事 項 4.1 アカウントの 管 理 4.1.1 アカウントの 作 成 (A.9.1.1 A.9.2.1 A.9.2.2 A.9.2.4 A.9.4.1) (1) 正 式 な 社 内 プロセスにより 利 用 部 門 からシステム アプリケーション 情 報 へアクセスするための 新 規 アカウントの 申 請 があった 場 合 システム 管 理 者 は 申 請 を 受 けたアカウントを 利 用 者 ごとに 作 成 し アカウントには 業 務 に 必 要 最 小 限 のアクセス 権 限 を 設 定 すること (2)システム 管 理 者 は 作 成 したアカウントを アカウント 管 理 台 帳 に 記 録 する こと (3)システム 管 理 者 は アカウントに 設 定 した 初 期 パスワードは 推 測 しにくいも のを 設 定 し セキュリティを 確 保 し 利 用 者 へ 確 実 に 伝 達 すること 4
4.1.2 アカウントの 変 更 (A.9.2.1 A.9.2.2 A.9.2.5) (1) 正 式 な 社 内 プロセスにより 利 用 部 門 からアカウント 変 更 の 申 請 があった 場 合 システム 管 理 者 は 申 請 に 従 いアカウントの 変 更 を 行 うこと (2)システム 管 理 者 は 定 期 的 ( 例 えば 1 年 に1 度 )に 利 用 部 門 の 管 理 職 にアカウン ト 権 限 の 見 直 しを 依 頼 し 権 限 の 変 更 が 必 要 な 場 合 アカウント 権 限 を 変 更 する こと (3)システム 管 理 者 は アカウント 管 理 台 帳 にアカウント 変 更 内 容 を 記 録 するこ と 4.1.3 不 要 となったアカウントの 削 除 (A.9.2.1 A.9.2.2 A.9.2.6) (1) 正 式 な 社 内 プロセスにより 利 用 部 門 からアカウント 削 除 の 申 請 があった 場 合 システム 管 理 者 は 申 請 に 従 いアカウントを 停 止 無 効 化 すること (2)システム 管 理 者 は 定 期 的 ( 例 えば 1 年 に 1 度 )に 利 用 部 門 の 管 理 職 にアカウン トの 棚 卸 しを 依 頼 し 不 要 なアカウントは 停 止 無 効 化 すること (3)システム 管 理 者 は アカウント 管 理 システムのアクセスログを 確 認 し 一 定 期 間 ( 例 えば3ヶ 月 間 ) 使 用 されていないアカウントを 停 止 無 効 化 すること (4)システム 管 理 者 は アカウント 管 理 台 帳 にアカウントの 停 止 無 効 化 を 記 録 すること 4.1.4 特 権 アカウントの 管 理 (A.9.2.3 A.9.4.4) (1)システム 及 びアプリケーションを 制 御 するためのシステムユーティリティプロ グラムの 使 用 はシステム 管 理 者 に 制 限 する 4.1.5 アカウント 管 理 システム (A.9.4.2 A.9.4.3) (1)システム 管 理 者 は パスワード 管 理 システムのパスワードポリシーを 次 のよう に 設 定 すること 1パスワード 長 及 び 質 ( 例 :8 文 字 以 上 大 文 字 小 文 字 特 殊 文 字 の 組 み 合 わ せ)を 設 定 する 2 定 期 的 ( 例 :3カ 月 ごと)にパスワードを 変 更 するように 設 定 する 3 過 去 ( 例 : 過 去 10 回 以 内 )に 使 用 したパスワードの 再 使 用 を 防 止 する 4 最 初 のログオン 時 に 利 用 者 がパスワードを 変 更 するように 設 定 する 5
5 特 に 重 要 なシステム データへのアクセスが 必 要 なアカウントには パス ワードに 加 え 二 段 階 二 要 素 認 証 を 実 装 する 6 認 証 に 複 数 回 ( 例 :10 回 ) 続 けて 失 敗 した 場 合 アカウントを 使 用 停 止 にす る 4.1.6 パスワードを 忘 れた 場 合 の 処 置 (A.9.2.2 A.9.2.4) (1)パスワード 再 発 行 の 申 請 を 受 けたシステム 管 理 者 は 速 やかに 新 規 のパスワー ドを 発 行 して 利 用 者 に 通 知 すること (2)システム 管 理 者 は 申 請 してきた 利 用 者 が 本 人 自 身 であることを 何 らかの 方 法 ( 例 えば 電 話 返 信 )で 確 認 すること 4.2 サーバ 管 理 4.2.1 設 計 時 の 規 定 (A.14.2.5 A.17.2.1) (1)システム 設 計 者 は サーバの 設 置 の 目 的 と 当 該 サーバに 保 存 する 情 報 を 明 確 に すること また 保 存 する 情 報 に 顧 客 情 報 プライバシー 情 報 などを 含 む 場 合 は 人 的 管 理 規 程 を 遵 守 すること (2)システム 設 計 者 は サーバのセキュリティ 設 計 を 行 う 上 で 必 ずリスク 分 析 を 行 うこと リスク 分 析 を 行 う 上 で 以 下 の 項 目 を 明 確 にすること 1 保 護 脅 威 の 対 象 ( 守 るべき 情 報 ) 2 脅 威 3 脅 威 の 原 因 プロセス 4 対 策 ( 予 防 防 御 検 査 対 応 : 回 復 ) (3)システム 設 計 者 は OS のアクセス 制 御 とアプリケーションとサービスのアクセ ス 制 御 に 関 して 設 計 書 を 作 成 し 厳 密 にアクセス 権 を 設 定 すること この 設 計 書 は 変 更 履 歴 を 含 めて 保 管 管 理 すること (4)システム 設 計 者 は データのアクセス 制 御 に 関 して 設 計 書 を 作 成 し 厳 密 に アクセス 権 を 設 定 すること これらのデータには OS のシステムファイルやア プリケーション アプリケーション 設 定 ファイルなども 含 むこと これらの 設 計 書 は 変 更 履 歴 を 含 めて 保 管 管 理 すること (5)システム 設 計 者 は CGI API などのアプリケーション 開 発 を 行 う 際 リスク 分 析 を 実 施 し 仕 様 書 の 段 階 から データの 入 力 チェックなどの セキュリティ 対 策 の 実 施 を 行 うこと (6) 外 部 公 開 サーバに 関 して 情 報 セキュリティ 委 員 会 は 推 奨 プラットホームを 規 定 すること システム 設 計 者 は 外 部 公 開 サーバのプラットホームについては 6
情 報 セキュリティ 委 員 会 が 規 定 する 推 奨 プラットホームを 採 用 すること (7) リスクマネジメント 規 程 に 従 い システム 設 計 者 がリスクアセスメントを 実 施 した 結 果 サーバの 高 可 用 性 が 要 求 される 場 合 アセスメント 結 果 に 応 じて 以 下 を 考 慮 して 冗 長 化 を 検 討 すること 1 仮 想 化 技 術 を 使 用 した 冗 長 化 2アクティブ-アクティブ アクティブ-スタンバイ 構 成 による 冗 長 化 3RAID(1 5 6)による 冗 長 化 4データバックアップとコールドスタンバイによる 冗 長 化 4.2.2 導 入 時 の 規 定 (A.11.2.1 A.11.2.2 A.11.2.4 A.12.1.1) (1)サーバ 管 理 者 は サーバの 設 置 場 所 をサーバルームまたは それに 準 ずるセキ ュリティを 確 保 でき かつサポートユーティリティ( 電 気 通 信 サービス 空 調 換 気 給 水 等 )を 備 えた 場 所 にすること (2)サーバ 管 理 者 は サーバを 設 置 する 場 合 サーバ 設 置 申 請 書 を 作 成 し 情 報 セ キュリティ 委 員 会 で 認 可 を 受 けること (3)サーバ 管 理 者 は サーバの 設 置 申 請 時 にそのシステム 構 成 を 明 確 にすること 情 報 セキュリティ 委 員 会 により システム 構 成 の 不 備 もしくは 改 善 要 求 を 受 け た 場 合 サーバ 管 理 者 は 直 ちにシステム 構 成 の 再 検 討 を 行 うこと (4)サーバ 管 理 者 は 情 報 及 び 情 報 システムの 正 しく 安 全 な 運 用 を 確 実 にするため 管 理 体 制 及 びサーバ 管 理 者 を 明 確 にすること 人 的 不 注 意 および 故 意 の 誤 用 のリ スクを 低 減 するため サーバ 管 理 者 及 びオペレータを2 名 以 上 任 命 すること (5)サーバ 管 理 者 は サーバの 設 置 申 請 時 に 運 用 手 順 書 を 作 成 し 情 報 セキュリテ ィ 委 員 会 へ 提 出 すること また 運 用 手 順 書 には 侵 害 時 対 応 手 順 を 含 むこと (6)システムセキュリティ 責 任 者 は 本 規 定 が 適 用 される 以 前 の 既 存 のサーバにつ いては 3ヶ 月 以 内 に 本 規 定 に 適 合 するようにすること 3ヶ 月 以 内 に 本 規 定 に 適 合 しない 場 合 情 報 セキュリティ 委 員 会 は サーバの 運 用 を 強 制 的 に 停 止 さ せることができる 4.2.3 環 境 設 定 の 規 定 (A.9.2.3 A.12.5.1 A.12.6.2 A.13.1.2) (1)サーバ 管 理 者 は サーバに 使 用 するOS 及 びソフトウェア(マルウェア 対 策 ソ フト 脆 弱 性 検 査 ソフトを 含 む)には 情 報 セキュリティ 委 員 会 が 規 定 したもの を 使 用 すること (2)サーバ 管 理 者 は OSのアクセス 制 御 ファイルのアクセス 制 御 アプリケー ション 及 びサービスのアクセス 制 御 は 厳 密 に 行 うこと 7
(3)サーバ 管 理 者 システム 設 計 者 は WEBアクセスなどに 使 用 する 匿 名 ユーザ アカウントを 含 む 全 てのアカウントのアクセス 権 限 に 対 して 必 要 最 低 限 のアク セス 権 限 のみ 許 可 すること (4)システム 設 計 者 は リスク 分 析 を 実 施 し 仕 様 書 の 段 階 から データの 入 力 チ ェック 内 部 でのデータの 処 理 プロセス 出 力 されるデータの 妥 当 性 などの セ キュリティ 対 策 の 実 施 を CGI API などのアプリケーション 開 発 を 行 う 者 に 義 務 づけること (5)サーバ 管 理 者 は サーバの 趣 旨 用 途 に 応 じた 必 要 最 低 限 のアプリケーション サービス 及 びネットワーク サービスのみインストールすること (6)サーバ 管 理 者 は サーバには システム 管 理 者 あるいはオペレータごとに 個 別 のアカウントを 割 り 当 て 推 測 困 難 なパスワードを 設 定 すること 特 にシステム 管 理 者 もしくはシステム 管 理 者 に 類 する 権 限 を 持 つアカウントのパスワードは 厳 重 に 管 理 すること 4.2.4 運 用 時 の 規 定 (A.12.2.1 A.12.4.1 A.12.4.2 A.12.4.4 A.12.6.1) (1)サーバ 管 理 者 は サーバで 使 用 するソフトウェアに 最 新 のOSバージョン 最 新 のアプリケーションバージョンを 使 用 し 最 新 のセキュリティパッチを 適 用 す ること また 不 要 サービスの 削 除 を 常 に 行 うこと (2)サーバ 管 理 者 は マルウェア 対 策 として 常 にマルウェア 対 策 ソフトウェアの 定 義 ファイル エンジンが 最 新 のものとなるよう 設 定 し 更 新 があった 場 合 は 直 ち に 最 新 のマルウェア 対 策 ソフトウェアでサーバをチェックすること (3)サーバ 管 理 者 はサーバの 認 証 ログ アクセスログ トランザクションログ ア プリケーションログ 等 サーバの 趣 旨 用 途 に 応 じたログの 取 得 を 行 わなければな らない (4)サーバ 管 理 者 は ログを 安 全 な 場 所 に 一 定 期 間 ( 例 えば1 年 間 ) 保 存 すること (5)サーバ 管 理 者 は 定 期 的 ( 例 えば 毎 月 )にログの 分 析 を 行 うこと (6)サーバ 管 理 者 は サーバを 信 頼 できる 標 準 時 刻 と 同 期 させたマスタクロックと 同 期 させること (7)サーバ 管 理 者 は 定 期 的 ( 例 えば 四 半 期 に1 度 )に 第 三 者 による 以 下 の 検 査 を 受 けること 1 脆 弱 性 検 査 ソフトによる 最 新 の 脆 弱 性 情 報 を 含 む 検 査 2 サーバ 設 置 申 請 書 と 実 際 の 設 置 機 器 との 整 合 性 3 不 要 なアクセス 権 が 存 在 しないこと 4 不 要 なサービスが 起 動 していないこと 5 不 要 なアカウントが 存 在 しないこと 8
6 推 測 可 能 なパスワードが 設 定 されていないこと (7)サーバ 管 理 者 は 第 三 者 による 検 査 結 果 は 必 ず 記 録 し 一 定 期 間 保 管 すること (8) 第 三 者 による 検 査 によりセキュリティの 不 備 が 発 見 された 場 合 サーバ 管 理 者 は 直 ちに 不 備 を 是 正 し 不 備 の 内 容 と 対 策 状 況 を 情 報 セキュリティ 委 員 会 に 報 告 すること (9)サーバ 管 理 者 は セキュリティ 侵 害 が 発 生 した 場 合 セキュリティ 侵 害 時 の 対 応 手 順 書 に 則 って 速 やかに 対 応 すること またサーバ 管 理 者 は セキュリティ 侵 害 時 の 情 報 を できるだけ 速 やかに 情 報 セキュリティ 委 員 会 に 報 告 すること 情 報 セキュリティ 委 員 会 は 前 述 の 報 告 を 受 けた 後 各 行 政 機 関 等 への 通 報 を 含 めて 迅 速 に 対 応 すること (10) 万 が 一 想 定 外 のセキュリティ 侵 害 が 発 生 し セキュリティ 侵 害 時 の 対 応 手 順 書 のみでは 状 況 の 改 善 が 見 込 めない 場 合 サーバ 管 理 者 は 即 座 に 情 報 セキュリ ティ 委 員 会 に 報 告 すること サーバ 管 理 者 は 情 報 セキュリティ 委 員 会 の 指 示 の もと 手 順 書 外 の 行 為 を 行 うことができる 但 し 作 業 実 施 記 録 は 詳 細 に 記 録 し 保 管 すること (11)サーバ 管 理 者 は 状 況 の 改 善 後 作 業 実 施 記 録 を 元 にセキュリティ 侵 害 時 の 対 応 手 順 書 を 更 新 すること 4.3 クライアント 端 末 の 管 理 4.3.1 クライアント 端 末 の 設 定 (A.8.1.2 A.9.4.2 A.11.2.8 A.12.2.1 A.12.4.1 A.12.6.1 A.12.6.2) (1) 当 社 の 業 務 において 従 業 員 が 使 用 できる PC スマートデバイスは 当 社 が 支 給 貸 与 したもののみとする クライアント 端 末 管 理 者 は PC スマートデバイスを 管 理 台 帳 で 管 理 すること (2)クライアント 端 末 管 理 者 は 当 社 が 支 給 貸 与 する PC スマートデバイスには 使 用 場 所 使 用 する 情 報 の 重 要 度 に 応 じて ID パスワードによる 認 証 の 他 二 段 階 二 要 素 の 認 証 機 能 を 有 効 にすること (3)クライアント 端 末 管 理 者 は 当 社 が 支 給 貸 与 する PC スマートデバイスには 規 定 されたソフトウェアを 導 入 すること したがって それ 以 外 のソフトウェア を 導 入 できないように 設 定 すること (4)クライアント 端 末 管 理 者 は 導 入 したソフトウェアを 常 に 最 新 の 状 態 とするた め 修 正 プログラム 等 を 自 動 適 用 する 設 定 にすること (5)クライアント 端 末 管 理 者 は 当 社 が 支 給 貸 与 する PC スマートデバイスには 規 定 されたマルウェア 対 策 ソフトウェアを 導 入 し 常 に 定 義 ファイル エンジン が 最 新 のものとなるように 設 定 すること (6)クライアント 端 末 管 理 者 は 当 社 が 支 給 貸 与 する PC スマートデバイスには 9
規 定 された 使 用 者 ログ 収 集 ソフトを 導 入 すること (7)クライアント 端 末 管 理 者 は 当 社 が 支 給 貸 与 する PC スマートデバイスのス クリーンロックを PC に 関 しては15 分 スマートデバイスに 関 しては1 分 に 設 定 すること (8)クライアント 端 末 管 理 者 は 当 社 が 支 給 貸 与 するスマートデバイスとクラウ ドサービスとのデータ 連 携 機 能 を 停 止 すること 4.3.2 持 ち 出 しクライアント 端 末 の 設 定 (A.10.1.1 A.11.2.6) (1)クライアント 端 末 管 理 者 は 持 ち 出 し PC には 基 本 認 証 以 外 にも BIOS 上 での 認 証 を 行 うように 設 定 すること (2)クライアント 端 末 管 理 者 は 持 ち 出 し PC には セキュリティチップ 暗 号 化 機 能 を 搭 載 した 機 種 を 選 定 すること (3)クライアント 端 末 管 理 者 は 持 ち 出 しスマートデバイスには 認 証 機 能 セキ ュリティチップ 暗 号 化 機 能 を 搭 載 した 機 種 を 選 定 すること 4. 3.3 クライアント 端 末 の 再 利 用 (A.11.2.7) (1)PC スマートデバイスの 利 用 者 が 変 わる 場 合 PC スマートデバイスを 初 期 化 し 再 設 定 すること 4.4 LAN 接 続 4.4.1 LAN 接 続 申 請 への 対 処 (1) 情 報 システム 部 は LAN に 接 続 するクライアント 端 末 は 当 社 が 支 給 貸 与 した もののみとし 利 用 者 の 個 人 所 有 の 機 器 の LAN 接 続 を 許 可 してはならない (2) 情 報 システム 部 は 利 用 者 からの 申 請 に 対 し 利 用 目 的 利 用 形 態 を 審 査 し 審 査 結 果 を 申 請 者 に 連 絡 すること (3) 情 報 システム 部 は 利 用 申 請 に 対 し 許 可 を 与 える 場 合 一 定 規 則 に 則 ってホス ト 名 IP アドレスを 決 定 すること また 必 要 に 応 じて DNS およびディレクト リへの 情 報 登 録 を 行 うこと DHCP など 動 的 に IP アドレスが 変 化 する 利 用 が 発 生 する 場 合 は その 旨 を 認 識 すること (4) 情 報 システム 部 は 利 用 申 請 に 対 し 許 可 を 与 える 場 合 に 接 続 する HUB 情 報 コ ンセント 利 用 ケーブル 番 号 など 接 続 箇 所 を 決 定 すること (5) 情 報 システム 部 は 利 用 者 に 提 供 する 以 下 の 情 報 一 覧 ( 必 要 に 応 じて 図 を 利 用 ) を 保 存 し 管 理 すること 1IP アドレス 利 用 一 覧 10
2ホスト 名 称 DNS 登 録 一 覧 3 接 続 箇 所 利 用 一 覧 (6) 情 報 システム 部 は 利 用 申 請 に 対 し 許 可 を 与 える 場 合 以 下 の 情 報 を 保 存 し 管 理 すること 1 利 用 者 情 報 ( 氏 名 所 属 連 絡 先 等 ) 2 利 用 目 的 3 利 用 形 態 ( 設 置 箇 所 利 用 時 間 帯 利 用 サービス 予 定 期 間 ) 4 利 用 機 器 情 報 ( 管 理 者 連 絡 先 MAC アドレス 等 ハードウェア 情 報 機 器 名 称 IP アドレス アドレス 取 得 形 態 ( 固 定 IP/DHCP) 接 続 箇 所 情 報 DNS 登 録 の 有 無 ディレクトリ 登 録 情 報 ) (7) 情 報 システム 部 は 利 用 申 請 に 対 し 許 可 を 与 える 場 合 申 請 者 に 対 して 以 下 の 情 報 を 連 絡 すること 1 許 可 された 利 用 目 的 2 許 可 された 利 用 形 態 ( 設 置 箇 所 利 用 時 間 帯 利 用 サービス 予 定 期 間 ) 3 利 用 機 器 情 報 (ホスト 名 称 IP アドレス アドレス 取 得 形 態 ( 固 定 IP/DHCP) 接 続 箇 所 情 報 DNS 登 録 の 有 無 ディレクトリ 登 録 情 報 ) 4.4.2 LAN 接 続 時 の 留 意 点 (1) 情 報 システム 部 は 緊 急 を 要 する 場 合 など 必 要 に 応 じて 利 用 者 の LAN 接 続 を 制 限 (アクセスの 制 御 切 断 など)することができる また 緊 急 時 には 情 報 シ ステム 部 は 利 用 者 に 対 して 指 示 を 与 える 前 に LAN 接 続 を 制 限 してもよい (2) 情 報 システム 部 は 利 用 者 の 接 続 形 態 にあわせ 適 切 な 認 証 機 能 暗 号 化 機 能 等 を 提 供 し 情 報 の 保 護 に 努 めること 1 無 線 LAN を 利 用 する 場 合 認 証 および 暗 号 化 機 能 を 利 用 すること 2Switching HUB 等 を 利 用 して 利 用 者 間 でのパケットキャプチャができない 仕 組 みを 用 いること 3LAN に 接 続 する 機 器 の 通 信 は システム 利 用 規 程 に 照 らして 適 切 な 通 信 の みに 限 定 すること 4リモートアクセスについては システム 利 用 規 程 に 照 らして 適 切 な 通 信 の みに 限 定 すること 5 各 サーバへのアクセス 状 況 については 本 規 程 に 基 づいて 対 処 すること 4.4.3 LAN 接 続 情 報 の 更 新 通 知 (1) 情 報 システム 部 は 利 用 者 に 許 可 した LAN 接 続 形 態 が 守 られているか 許 可 後 2 週 間 以 内 に 申 請 内 容 に 照 らして 確 認 すること また 半 年 に 一 度 部 門 ごとの LAN 接 続 状 態 を 確 認 すること 11
(2) 情 報 システム 部 は 利 用 者 に 許 可 した LAN 接 続 について 申 請 変 更 時 に 予 定 していた 期 間 が 満 了 する 2 週 間 前 に 利 用 者 に 期 間 の 満 了 について 通 知 すること また 期 間 を 満 了 する 機 器 が 周 辺 業 務 に 影 響 を 及 ぼす 事 が 無 いか あわせて 調 査 すること 4.4.4 変 更 手 続 き (1) 情 報 システム 部 は 利 用 者 からの 変 更 申 請 に 対 し 利 用 目 的 利 用 形 態 を 審 査 し 申 請 結 果 を 申 請 者 に 連 絡 しなければならない 変 更 申 請 は 変 更 時 の 申 請 に 必 要 な 情 報 ( 箇 所 目 的 事 由 )が 明 確 になっていない 場 合 および 変 更 前 と 比 較 して 同 等 以 上 のセキュリティが 確 保 できない 場 合 にはこれを 許 可 しないこと (2) 情 報 システム 部 は 変 更 申 請 に 対 し 許 可 を 与 える 場 合 管 理 している 情 報 ( 利 用 者 情 報 利 用 目 的 利 用 形 態 利 用 機 器 情 報 )を 更 新 すること (3) 情 報 システム 部 は 変 更 申 請 に 対 し 許 可 を 与 える 場 合 申 請 者 に 対 して 以 下 の 情 報 を 連 絡 すること 1 許 可 された 利 用 目 的 2 許 可 された 利 用 形 態 ( 設 置 箇 所 利 用 時 間 帯 利 用 サービス 予 定 期 間 ) 3 利 用 機 器 情 報 (ホスト 名 称 IP アドレス アドレス 取 得 形 態 ( 固 定 IP/DHCP) 接 続 箇 所 情 報 DNS 登 録 の 有 無 ディレクトリ 登 録 情 報 ) 4.4.5 機 器 の 撤 去 (1) 情 報 システム 部 は 以 下 に 該 当 する 場 合 利 用 者 の LAN 接 続 の 終 了 を 確 認 する こと 1 申 請 変 更 時 に 予 定 していた 期 間 を 満 了 した 場 合 2 緊 急 時 など 情 報 システム 部 が 必 要 と 判 断 した 場 合 3その 他 接 続 が 不 要 あるいは 不 適 当 と 見 なされる 場 合 (2) 情 報 システム 部 は 利 用 者 の LAN 接 続 終 了 にあわせ 利 用 者 管 理 情 報 を 更 新 ( 接 続 終 了 と 判 断 できる 状 態 に)すること (3) 情 報 システム 部 は 以 下 の 情 報 一 覧 を 更 新 すること 1IP アドレス 利 用 一 覧 2ホスト 名 称 DNS 登 録 一 覧 3 接 続 箇 所 利 用 一 覧 4.5 マルウェア 対 策 4.5.1 マルウェア 対 策 ソフトウェアの 選 定 (1) 当 社 は 全 てのサーバ PC 及 びスマートデバイスにマルウェア 対 策 ソフトウェ アを 導 入 する 12
(2)マルウェア 対 策 ソフトウェアは 情 報 システム 部 が 選 定 し 定 期 的 に 見 直 しを 実 施 する (3) 情 報 システム 部 が 選 定 するマルウェア 対 策 ソフトの 要 件 には 以 下 の 機 能 が 含 まれていなければならない 1 定 義 ファイルの 自 動 更 新 機 能 (ベンダー 社 内 サーバ PC ベンダー スマートデバイス) 2 常 時 スキャン 機 能 (サーバ PC スマートデバイス) 4.5.2 マルウェア 対 策 ソフトの 設 定 (1)システム 管 理 者 は マルウェア 対 策 ソフトウェアは 常 駐 設 定 にし ファイル へのアクセスおよび 電 子 メールの 受 信 時 に 常 時 スキャンできるように 設 定 する こと (2)システム 管 理 者 は 常 時 スキャンだけではなく 一 週 間 に 一 度 ファイル 全 体 に 対 するスキャンを 実 施 するように 設 定 すること (3)システム 管 理 者 は 定 義 ファイルを 常 時 更 新 するように 設 定 すること 4.5.3 マルウェア 対 策 窓 口 の 設 置 (1) 情 報 システム 部 は 社 内 のマルウェア 被 害 状 況 等 を 迅 速 に 収 集 するために マ ルウェア 対 策 窓 口 を 設 置 し 周 知 徹 底 すること (2)マルウェア 対 策 窓 口 は 社 内 のマルウェア 被 害 状 況 を 掌 握 し 問 題 発 生 時 の 一 次 対 応 を 実 施 すること 4.5.4 マルウェアに 感 染 した 場 合 (1) 利 用 者 よりマルウェア 感 染 の 連 絡 を 受 けたシステム 管 理 者 は ネットワーク 機 能 を 停 止 することを 指 示 し 現 場 に 急 行 すること (2) 現 場 では マルウェア 対 策 ソフトの 定 義 ファイルがいつ 更 新 されているかを 確 認 すること 最 新 であれば PC スマートデバイスに 対 してフルスキャンを 実 行 し マルウェアが 検 知 されるかを 確 認 すること (3)マルウェアが 検 知 された 場 合 システム 管 理 者 は そのマルウェアの 特 性 上 ど のような 挙 動 を 示 すか 予 測 し 影 響 範 囲 の 特 定 を 実 施 すること マルウェアが 検 知 されなかった 場 合 ファイアウォールのログを 確 認 し 怪 しいログが 残 ってい ないかどうかを 確 認 するなどして 原 因 を 特 定 すること (4) 情 報 システム 部 は マルウェア 被 害 の 影 響 範 囲 が 社 外 にまで 至 っている 場 合 セキュリティインシデント 報 告 対 応 規 程 に 従 って 問 題 の 沈 静 化 を 図 るこ と 13
4.6 媒 体 の 管 理 4.6.1 サーバ PC スマートデバイス(IT 機 器 )の 修 理 (1) 情 報 システム 部 は 故 障 の 状 況 により 保 管 されている 情 報 の 確 認 や 保 護 が 実 施 できない 場 合 ハードディスク 等 の 情 報 が 保 管 されている 装 置 を 取 り 外 して 修 理 を 依 頼 すること (2) 情 報 システム 部 は 外 部 業 者 が 社 内 に 立 ち 入 って 修 理 を 行 う 場 合 物 理 的 管 理 規 程 に 基 づいて 対 応 すること 4.6.2 媒 体 の 保 管 再 利 用 (A.8.3.1 A.10.1.1 A.10.1.2) (1) 情 報 システム 部 は 機 密 性 の 高 い 情 報 を 媒 体 に 保 存 する 場 合 権 限 のない 者 が 保 管 された 情 報 にアクセスできないように 暗 号 化 を 行 うか 媒 体 を 鍵 のかかる 場 所 に 保 管 し 鍵 は 容 易 に 持 ち 出 しが 出 来 ない 場 所 に 保 管 すること (2) 情 報 システム 部 は 暗 号 化 鍵 を 機 密 情 報 を 保 存 した 媒 体 とは 別 媒 体 に 保 管 し それぞれ 別 々の 場 所 に 保 管 すること (3) 情 報 システム 部 は 機 密 性 の 高 い 情 報 が 保 存 されている 媒 体 を 再 利 用 する 場 合 保 存 されていた 情 報 を 再 生 できない 方 法 で 消 去 すること ) 4.6.3 サーバ PC スマートデバイス(IT 機 器 )と 媒 体 の 廃 棄 (A.8.3.2) (1) 情 報 システム 部 は 機 密 性 の 高 い 情 報 が 保 管 されたハードディスク 等 媒 体 を 廃 棄 する 場 合 理 論 的 に 情 報 を 消 去 するか 物 理 的 に 破 壊 して 情 報 が 再 生 不 能 な 状 態 にすること (2) 情 報 システム 部 は 機 密 性 の 高 い 情 報 が 保 管 されたバードディク 等 媒 体 の 処 分 を 外 部 業 者 に 委 託 する 場 合 情 報 セキュリティ 委 員 会 の 承 認 を 得 ること 外 部 業 者 に 委 託 する 場 合 秘 密 保 持 及 び 処 分 依 頼 品 の 再 利 用 の 禁 止 を 契 約 書 に 含 める こと 4.7 脆 弱 性 管 理 4.7.1 脆 弱 性 情 報 の 収 集 (A.12.6.1) (1) 情 報 システム 部 は ソフトウェア 及 びハードウェアの 各 管 理 台 帳 をもとに 社 内 システムに 導 入 されている 全 てのハードウェア 及 びソフトウェアの 脆 弱 性 情 報 を 定 期 的 に 収 集 すること (2) 脆 弱 性 情 報 は IPA CERT 各 ベンダーの Web サイトやサポートページなど 信 用 できる 情 報 源 から 収 集 すること 14
(3) 収 集 した 情 報 は 重 要 性 影 響 範 囲 などから 以 下 の 様 に 分 類 すること 危 険 度 高 :サーバの 管 理 権 限 の 剥 奪 などにより 業 務 が 停 止 してしまう または 取 引 先 などに 影 響 を 与 える 可 能 性 があり 即 座 に 対 処 が 必 要 な 情 報 危 険 度 中 : 業 務 が 停 止 あるいは 取 引 先 などには 影 響 を 与 えないため 即 座 に 対 処 する 必 要 はないが 定 期 メンテナンス 時 などに 対 処 する 必 要 がある 情 報 危 険 度 低 : 特 殊 な 環 境 / 設 定 でのみ 発 生 し 社 内 のシステムには 関 係 がない ため 特 に 対 処 しなくともよい 情 報 4.7.2 脆 弱 性 情 報 の 配 布 (A.12.6.1) (1) 情 報 システム 部 は 収 集 した 情 報 を 危 険 度 に 応 じて 関 係 者 に 周 知 させること 危 険 度 高 : 発 見 次 第 即 座 に 関 係 者 全 員 に 連 絡 連 絡 方 法 は 基 本 的 にはメー ルを 使 用 場 合 によっては 社 内 放 送 なども 利 用 危 険 度 中 : 週 1 回 程 度 の 定 例 報 告 を 実 施 メールにて 関 係 者 全 員 に 連 絡 危 険 度 低 : 週 1 回 程 度 の 定 例 報 告 を 実 施 メールにてシステム 管 理 者 に 連 絡 (2) 情 報 システム 部 は 収 集 した 情 報 を 基 に 以 下 のものを 作 成 公 開 すること 1サーバ 設 置 時 の OS の 適 用 パッチ 一 覧 2サーバ 設 置 時 に 必 要 となるサービスなどをまとめたセキュリティ 設 定 チェッ クリスト 3アプリケーションの 適 用 パッチ 一 覧 4アプリケーションの 実 装 変 更 4.7.3 脆 弱 性 対 応 (A.12.6.1) (1)システム 管 理 者 は セキュリティパッチの 適 用 が 可 能 な 場 合 危 険 度 に 応 じて パッチの 適 用 を 行 うこと (2)システム 管 理 者 は 社 内 全 てのサーバ PC スマートデバイス(IT 機 器 )に 対 し て (1)のパッチが 適 切 に 適 用 されているかを 確 認 すること (3)セキュリティパッチの 適 用 が アプリケーションに 大 きな 影 響 を 与 える 可 能 性 等 が 有 る 場 合 システム 管 理 者 は リスク 分 析 を 行 い 情 報 セキュリティ 委 員 会 に 報 告 し 以 下 の 対 応 策 の 指 示 を 受 けること 1 障 害 のリスクを 受 容 し パッチを 適 用 する 2パッチを 適 用 せず リスクに 運 用 で 対 処 する 15
3パッチを 適 用 せず リスクを 受 容 する 4.8 ログの 取 得 及 び 監 視 4.8.1 システムのログによる 監 視 (A.12.4) (1)システム 管 理 者 は 対 象 システムの 以 下 のログを 取 得 すること なお 取 得 され たログはアクセス 制 御 を 施 したログサーバに 転 送 し 規 定 の 期 間 ( 例 えば1 年 間 ) 安 全 に 保 管 すること 1 取 得 対 象 (ア)ログオン ログオフの 記 録 (イ)サーバのアクセスログ (ウ)システムログ (エ)アプリケーションログ (ウ)PC の 使 用 ログ 2 取 得 内 容 (ア)アクセス 時 刻 (イ)アクセスの 成 功 / 失 敗 (ウ) 認 証 の 成 功 / 失 敗 (エ)ファイルの 作 成 / 読 み 込 み/ 書 き 込 み/ 移 動 /コピー/ 消 去 (オ)USB 等 記 録 媒 体 の 利 用 (カ)メール Web の 利 用 履 歴 (2)システム 管 理 者 は 許 可 された 処 理 だけが 実 行 されていることを 確 認 するため ログを 定 期 的 ( 例 えば 月 1 回 )に 分 析 すること 分 析 の 結 果 以 下 のような 事 象 が 確 認 された 場 合 情 報 セキュリティ 委 員 会 に 報 告 すること 1 連 続 したアクセスの 失 敗 2 連 続 した 認 証 の 失 敗 3データベースからの 大 量 データの 送 受 信 4 違 反 行 為 5 権 限 外 の 処 理 の 試 み 6ユーザアカウントに 関 する 変 更 ( 追 加 削 除 グループ 変 更 等 ) 7アクセス 権 の 変 更 (3)システム 管 理 者 は(2)の 事 象 が 不 正 アクセスによってもたらされた 疑 いが ある 場 合 セキュリティインシデント 報 告 対 応 規 程 に 基 づいて 原 因 究 明 再 発 防 止 計 画 の 作 成 等 適 切 な 対 応 を 実 施 すること (4)システム 管 理 者 は (1)で 取 得 するログの 時 間 情 報 を 適 切 に 保 ち ログの 証 拠 としての 有 効 性 を 高 めるため NTP サーバを 用 いてシステム 間 の 時 刻 同 期 をとる 16
こと ただし その 場 合 NTP サーバ 自 身 のセキュリティ 対 策 にも 十 分 配 慮 する こと 4.9 サーバのバックアップ (A.12.3) (1)サーバ 管 理 者 は 業 務 上 重 要 なサーバ( 基 幹 システム データベースサーバ WWW サーバ mail サーバ ログサーバなど)については そのデータ 及 び 構 成 情 報 を 定 期 的 にバックアップすること (2)パッチの 適 用 など サーバのシステムに 対 して 何 らかの 変 更 を 行 う 場 合 変 更 後 不 具 合 が 発 生 する 可 能 性 がある その 為 サーバ 管 理 者 は サーバに 対 して 変 更 を 行 う 前 にサーバのシステムバックアップを 取 ること (3)パッチの 適 用 など サーバのシステムに 対 して 何 らかの 変 更 を 行 った 場 合 サ ーバ 管 理 者 は 安 定 動 作 確 認 後 サーバのシステムバックアップを 取 ること (4)サーバ 管 理 者 は バックアップ 頻 度 バックアップ 方 法 バックアップメディ ア バックアップメディアの 保 管 場 所 を 以 下 を 考 慮 して 決 定 すること 1 事 業 継 続 性 2どの 時 点 の 情 報 にあるいはシステム 構 成 に 戻 す 必 要 があるのか 3 何 時 までにシステムを 復 旧 する 必 要 があるのか 4.10 システムの 監 視 について (A.12.1.3) (1)システム 管 理 者 は システム 障 害 等 の 兆 候 をいち 早 く 見 つけるため 死 活 監 視 リソース(CPU メモリ 保 存 容 量 IO ネットワーク 帯 域 等 ) 監 視 Error ログの 監 視 を 行 うこと 4.11 運 用 業 務 (1)システム 管 理 者 の 運 用 業 務 はオペレータに 委 任 することができるが オペレー タは 運 用 手 順 書 以 外 の 操 作 を 行 ってはならない (2)システム 管 理 者 は 次 の 項 目 を 含 んだ 運 用 日 誌 を 作 成 し 一 定 期 間 ( 例 えば5 年 間 ) 保 管 管 理 すること 1システムへのログイン 時 間 とログオフ 時 間 2システムの 設 定 変 更 内 容 3ログの 保 存 記 録 4バックアップ 実 施 記 録 5システムエラーの 記 録 とその 是 正 処 置 (3) 情 報 セキュリティ 委 員 会 は 定 期 的 に 運 用 日 誌 を 検 査 し 不 適 切 な 記 載 が 発 見 さ 17
れた 場 合 適 切 な 是 正 処 置 をシステム 管 理 者 に 指 導 すること 5 運 用 確 認 事 項 (1) アカウント 管 理 台 帳 ハードウェア ソフトウェア 資 産 管 理 台 帳 ログ 等 運 用 において 必 要 な 記 録 が 残 っているかを 定 期 的 に 確 認 すること (2)ハードウェア ソフトウェアライセンスの 棚 卸 しを 定 期 的 に 実 施 すること 特 に 持 ち 運 びが 可 能 な 装 置 (ノート PC スマートデバイス USB 等 )は 高 頻 度 で 棚 卸 しを 実 施 すること (3) 本 規 程 に 基 づき システムが 運 用 管 理 されていることを 定 期 的 に 確 認 するこ と (4)サーバ クライアント 端 末 ログの 分 析 結 果 は ネットワーク 管 理 者 と 情 報 共 有 すること (5) リスク 管 理 規 程 によるリスク 評 価 結 果 脆 弱 性 管 理 の 結 果 に 基 づき 定 期 的 に 運 用 方 法 を 見 直 しすること (6)リスクを 受 容 して 運 用 している 場 合 新 技 術 運 用 方 法 により リスクを 低 減 する 方 法 が 無 いかを 定 期 的 に 評 価 すること 6 例 外 事 項 業 務 都 合 等 により 本 規 程 の 遵 守 事 項 を 守 れない 状 況 が 発 生 した 場 合 は 情 報 セキュ リティ 委 員 会 に 報 告 し 例 外 の 適 用 承 認 を 受 けなければならない 7 罰 則 事 項 本 規 程 の 遵 守 事 項 に 違 反 した 者 は その 違 反 内 容 によっては 罰 則 を 課 せられる 場 合 がある 罰 則 の 適 用 については 人 的 管 理 規 程 に 従 う 8 公 開 事 項 本 規 程 は 対 象 者 にのみ 公 開 するものとする 9 改 訂 本 規 程 は 平 成 xx 年 xx 月 xx 日 に 情 報 セキュリティ 委 員 会 によって 承 認 され 平 成 xx 年 xx 月 xx 日 より 施 行 する 本 規 程 の 変 更 を 求 める 者 は 情 報 セキュリティ 委 員 会 に 申 請 しなければならない 情 報 セキュリティ 委 員 会 は 申 請 内 容 を 審 議 し 変 更 が 必 要 であると 認 められた 場 合 には 速 やかに 変 更 し その 変 更 内 容 をすべての 対 象 者 に 通 知 しなければならない 本 規 程 は 定 期 的 ( 年 1 回 )に 内 容 の 適 切 性 を 審 議 し 変 更 が 必 要 であると 認 められ た 場 合 には 速 やかに 変 更 し その 変 更 内 容 をすべての 対 象 者 に 通 知 しなければならな 18
い 19