15-2. 組織的対策として重要となる実施項目

　管理策（対策基準）をもとに策定されたセキュリティ対策の実施手順例を、それぞれ紹介します。実施手順は、組織の内部文書として作成します。実施手順が抽象的で理解しづらい場合、従業員は具体的に何を順守して行動すればよいかわからず、セキュリティ対策が不十分になってしまいます。従業員に対してわかりやすい実施手順を策定するよう心掛けることが大切です。
実施手順を策定する際は、ISO/IEC 27002に記載されている各管理策の手引きが参考になります。手引きの内容をもとに、実施手順の例を紹介します。この例と、ISO/IEC 27002の内容を参考に、自社に適した実施手順を策定してください。

15-2-1. 情報化・サイバーセキュリティ・個人情報保護

　情報化・サイバーセキュリティ・個人情報保護に関連する実施手順の例を紹介します。

【5.1 情報セキュリティのための方針群】

実施手順（例）

情報セキュリティ委員会は、「情報セキュリティ方針」などの情報セキュリティに関する方針を定義し、トップマネジメント（経営層）の承認を得る。また、情報セキュリティ委員会は、情報セキュリティに関する方針を適用範囲内の全従業者に公表する。また、「情報セキュリティ方針」は外部関係者にも公表する。
情報セキュリティ委員会は、「情報セキュリティ方針」以外の情報セキュリティのための方針群を、本手順において定める。方針群には以下を含める。
・モバイル機器の方針
・テレワーキング
・アクセス制御方針
・暗号による管理策の利用方針
・クリアデスク・クリアスクリーン
・情報転送の方針（および手順）
・セキュリティに配慮した開発のための方針
・供給者関係のための情報セキュリティの方針

ワンポイントアドバイス

情報セキュリティに関する方針は、関連する従業員および利害関係者に認識されることが大切です。

【5.2 情報セキュリティの役割及び責任】

実施手順（例）

トップマネジメント（経営層）は、情報セキュリティに関連する役割を持つ情報セキュリティ委員会、内部監査責任者に対して、以下の責任および権限を割り当てる。また、トップマネジメント（経営層）は、これらの役割、責任および権限を従業者に伝達する。情報セキュリティの運用に際し、トップマネジメント（経営層）は、情報セキュリティ委員会の設置および運営を実施する。情報セキュリティ委員会の役割は以下の通り。
a. リスク対応計画の策定
b. 情報セキュリティ実行体制の構築
c. 選択された管理策の実施
d. 教育・訓練
e. 運用の管理
f. 経営資源の管理
g. 情報セキュリティ事象・セキュリティインシデントの管理
h. 関連当局との連絡（警察・審査機関・コンサル会社・取引先・委託先など）情報セキュリティ委員会の役割と、責任および権限は以下の通り。

・情報セキュリティ委員会責任者

管理策の実施・運用について統括する。管理策の成果をトップマネジメント（経営層）に報告する。

・教育責任者

管理策に関する教育計画の立案と実施を行う。

・部門管理者（運用委員）

情報セキュリティの部門代表者として、部門を管理する。

・情報システム管理者

情報システム部門の管理者で、情報システム管理に関する規定・規則に従い、情報セキュリティを維持するための安全管理対策を実施する。

・文書管理責任者

管理策に関する文書や記録などの維持・管理を行う。内部監査責任者の責任および権限は以下の通り。
内部監査責任者は、管理策とその実施状況に関わる監査を統括する責任と権限を有する。

ワンポイントアドバイス

従業員が少ない場合は、文書管理責任者と教育責任者を同じ者にするなど、役割を兼任させて体制を構築することも有効です。

【5.3 職務の分離】

実施手順（例）

a. 当組織は、申請者または作業者と、承認者を分離するように組織設計する。
b. 従業員の制約により兼任せざるを得ない場合、別部門などから監視を受けることを条件に、兼任できる。

ワンポイントアドバイス

小さな組織で、職務の分離が困難である場合には、他の管理策（例：活動の監視、監査証跡、管理層からの監督）を考慮することが大切です。

【5.4 経営陣の責任】

実施手順（例）

トップマネジメント（経営層）はすべての従業者に対し、情報セキュリティ方針、各実施手順、並びにその他情報セキュリティに関する要求事項の順守を求める。

ワンポイントアドバイス

情報セキュリティ方針、各実施手順、その他情報セキュリティに関する要求事項が、すべての従業員に認識されることが大切です。

【5.5 関係当局との連絡】

実施手順（例）

情報セキュリティ委員会は、関係当局およびその連絡先を「連絡先一覧表」に特定し、必要時に容易に連絡がとれる体制を確立・維持する。

ワンポイントアドバイス

セキュリティインシデントを、時機を失せずに報告するために、関係当局の連絡方法を明確にすることが大切です。

連絡先一覧表（例）

関係当局【IPA】コンピュータウイルス届出窓口、コンピュータ不正アクセス届出窓口連絡手段ウイルス発見・感染の届出
virus@ipa.go.jp 不正アクセスの届出
crack@pa.go.jp URL https://www.ipa.go.jp/security/todokede/crack-virus/about.html 主目的ウイルス感染や、不正アクセスによる被害を報告するため。

関係当局【IPA】情報セキュリティ安心相談窓口連絡手段 TEL:03-5978-7509（受付時間10:00～12:00、13:30～17:00 土日祝日・年末年始は除く）anshin@ipa.go.jp URL https://www.ipa.go.jp/security/anshin/about.html 主目的ウイルス感染や不正アクセスに関する技術的な内容の相談に対して、アドバイスをもらうため。

関係当局【警視庁】サイバー犯罪相談窓口連絡手段 TEL:03-5805-1731
受付時間：午前8時30分から午後5時15分まで（平日のみ） URL https://www.keishicho.metro.tokyo.lg.jp/sodan/madoguchi/sogo.html 主目的サイバー犯罪被害について相談するため。

関係当局【個人情報保護委員会】個人情報・マイナンバーの漏えい報告連絡手段 Webフォームで報告 URL https://www.ppc.go.jp/personalinfo/legal/leakAction/ 主目的個人情報、マイナンバーの漏えいに対処するため。

関係当局【JPCERT/CC】インシデント対応依頼連絡手段 Webフォームまたは、以下のメールアドレスに報告
info@jpcert.or.jp URL https://www.jpcert.or.jp/form/ 主目的セキュリティインシデント対応を支援してもらうため。

【5.6 専門組織との連絡】

実施手順（例）

情報セキュリティ委員会は、専門組織およびその連絡先を「連絡先一覧表」に特定し、必要時に容易に連絡がとれる体制を確立・維持する。

ワンポイントアドバイス

脆弱性や攻撃など情報セキュリティに関する情報を適時入手するために、入手方法を明確にすることが大切です。

連絡先一覧表（例）

専門組織【IPA】重要なセキュリティ情報情報の入手方法 Webページを閲覧 URL https://www.ipa.go.jp/security/security-alert/2023/index.html 主目的危険性が高いセキュリティ上の問題と対策に関する最新情報を収集するため。

専門組織【IPA】ランサムウェア対策特設ページ情報の入手方法 Webページを閲覧 URL https://www.ipa.go.jp/security/anshin/measures/ransom_tokusetsu.html 主目的ランサムウェア対策に関する最新情報を収集するため。

専門組織【個人情報保護委員会】注意情報一覧情報の入手方法 Webページを閲覧 URL https://www.ppc.go.jp/news/careful_information/?category=39 主目的セキュリティ・個人情報・マイナンバーに関する、注意事項を把握するため。

専門組織【JPCERT/CC】注意喚起情報の入手方法 Webページを閲覧 URL https://www.jpcert.or.jp/at/2023.html 主目的脆弱性に関する最新情報を収集するため。

【5.8 プロジェクトマネジメントにおける情報セキュリティ】

実施手順（例）

a. プロジェクト管理者は、プロジェクトにおける必要な管理策を特定する。
b. プロジェクトにおける必要な管理策は、プロジェクト終了後も考慮する。
c. プロジェクト管理者は、情報セキュリティ責任者を任命する。
d. 情報システム管理者は、業務用情報システムの導入・改善にあたっては、必要に応じて情報セキュリティ上の要求事項を、要件定義書や提案依頼書などにより文書化する。
文書には下記から必要な事項を含める。
　・情報システムの設置場所（環境・障害からの対策を含む）に関する事項
　・無停電電源装置などのサポートユーティリティに関する事項
　・保守契約に関する事項
　・システムの冗長化に関する事項
　・通信、データの安全対策に関する事項
　・受け入れテストに関する事項
　・アクセス権限に関する事項

ワンポイントアドバイス

プロジェクトが提供する製品またはサービスの情報セキュリティ要求事項は、情報セキュリティ方針、トピック固有の個別方針および規制から順守すべき要求事項を決定することが大切です。

【5.12 情報の分類】

実施手順（例）

情報は一般・社外秘・関係者外秘で分類する。
情報セキュリティ委員会は、情報の分類を最低年1回見直す。

ワンポイントアドバイス

分類は、情報の侵害が組織に与える影響のレベルによって決定できます。分類体系により定義されたレベルには、分類体系の適用において意味をなすような名称を付けることが大切です。

情報の分類（例）

分類一般内容下記以外

分類社外秘内容関係者外秘以外の機密事項であり、当組織の従業者に対してのみ開示が許されるもの。（取引先に開示する必要があるものは除く。）または情報セキュリティに関わる規定・手順書類。

分類関係者外秘内容情報が外に漏れることによって、当組織が重大な損失もしくは不利益を受けるような恐れのある機密事項であり、職務上の限られた関係者のみに開示を許すもの。関係者が明示的に定められていない場合、関係者とは、情報を直接配布された者を指す。

【5.13 情報のラベル付け】

実施手順（例）

従業員は、取扱う情報が一般・社外秘・関係者外秘の区分のうち、どれに該当するか認識できる必要がある。
書類の分類を容易に認識できない場合は、以下のいずれかの方法により適切なラベル付けを行う。
a. 分類をシールなどの色により識別する。
b. ファイルなどに分類を記入（またはスタンプ）することで識別する。
c. 分類ごとに収納場所を分ける。

ワンポイントアドバイス

ラベル付けは、「5.12 情報の分類」で確立した分類体系を反映していることが大切です。

【5.14 情報転送】

実施手順（例）

a. 重要な情報を外部に送信する場合は、セキュアなファイル共有サービスを利用する。やむを得ずファイル共有サービスが利用できない場合は、受信者と合意した上で、メールに添付して送信する。
b. 重要な情報を外部にFAXにて送信する場合は、入力した番号と、名刺や送り状を照合し、間違えがないことを確認してからスタートボタンを押す。また頻繁に送信する送り先は短縮ダイヤルに登録する。
c. 認可されていない者に聞かれる可能性がある場所で、重要な情報を口頭で伝えることは禁じる。
d. 重要な情報を外部に郵送する場合は、配達記録郵便や宅配便など配達記録が残る手段をとる。
e. 重要な情報を格納した媒体は、手渡しを原則とし、やむを得ず郵送する場合は、十分な梱包により媒体を保護する。
f. 個人情報の授受記録
　・紙や記憶媒体による個人情報の受け渡しに際しては、送付票や受領証などで受け渡しの完了を確認する。
　・電子メールにより個人情報の受け渡しを行う際には、送信済みメールおよび、受領確認の返信メールのいずれかまたは両方を受け渡し記録とする。
g. 電子メールの利用
　・電子メールは会社所定のソフトを使用し、その利用は業務上必要な場合に限定する。
　・社外メーリングリストへの参加は、原則禁止とする。
　・重要な情報（社外秘以上）はメール本文に記載して送信せず、aに従う。
h. 情報転送に関する合意
　・情報の転送先との間で、情報転送の手段について、あらかじめ合意を得る。
　・重要な情報を外部にメール添付またはFAXにて送信する場合は、必要に応じて送信予告、到着確認の電話を掛ける。
　・宅配便業者を利用する場合は、会社が指定する業者を利用する。
i. 電子的メッセージ通信
　・当組織のWebサイトに入力する情報の通信は、SSL/TLSにより行う。
　・電子データによる個人情報をインターネット経由で送受信する際は、SSL/TLSなどの暗号化対策やパスワード設定などの措置を講じる。

ワンポイントアドバイス

情報転送は、電子的な転送、物理的記憶媒体での送付および口頭での伝達によって行われる場合があります。情報転送の規則、手順を定めることが大切です。

【5.15 アクセス制御】

実施手順（例）

a. 業務に必要な者のみが情報にアクセスできるようにし、アクセス権限および操作権限は、認められた場合以外は与えないようにする。
b. 社内LANは、情報システム管理者の承認を得た従業員、装置に限り接続する。
c. 社内の情報システムへの外部からのアクセスは、ファイアウォールなどによって通信を制限する。
d. 外部から社内のサーバに接続する場合、VPN接続を使用する。
e. 無線LANは物理的・論理的な認証、通信の暗号化などを施した上で利用する。
f. サーバ室へ入退を行う対象者に対して、入退資格を設け、資格のない者の立ち入りを禁じる。
g. サーバ室は、常時施錠可能とし、入退資格のない者の立ち入りを禁じる。

ワンポイントアドバイス

アクセス制御規則を定めるには、「明確に許可していないことは、原則的に禁止する」という最も特権の小さい前提に基づいた規則を設定するようにすることが大切です。

【5.16 識別情報の管理】

実施手順（例）

a. 情報システムの利用者登録および登録削除は、当該利用者の属する部門長が申請し、情報システム管理者の承認を得る。
b. 利用者登録は業務上必要な範囲で従業者に付与する。

ワンポイントアドバイス

識別情報が不要になった場合、識別情報は時機を失せずに無効化または削除することが大切です。

【5.17 認証情報】

実施手順（例）

a. 情報システム管理者は、利用者に仮パスワードを発行する場合、利用者本人のみが知ることができる方法で通知する必要がある。
b. 情報システム管理者は、利用者に対し、仮パスワードを直ちに変更することを要求し、通知する。
c. 秘密認証情報の利用
　・利用者は、英数字と記号を混在した10文字以上のパスワードを設定し、アルファベットには大小文字の両方を含める必要がある。利用者は、英数字と記号を混在した10文字以上のパスワードを設定し、アルファベットには大小文字の両方を含める必要がある。
　・他人に容易に推測されるようなわかりやすいパスワードの使用を禁じる。
　・他のサービスと重複するパスワードの利用を禁じる。
　・各システムにおける管理者IDのパスワードは、情報システム管理者において厳重に管理する必要がある。
　・利用者および情報システム管理者は、パスワードの代替もしくは補完のために、指紋などの生体認証、ICカード認証などの機器による認証方式も採用できるものとする。
d. パスワード管理システム
　・パスワードの入力は対話式とする。
　・パスワードをシステムに記憶させることは禁じる。

ワンポイントアドバイス

パスワードを認証情報として使用する場合、IPAなどが推奨している強力なパスワードの作り方を参考にすることが大切です。

【5.18 アクセス権】

実施手順（例）

a. 利用者のアクセス権は、重要情報に対しては必要最小限の者がアクセスするという原則のもとに、情報システム管理者が検討し、設定を行う。
b. 情報システム管理者は、定期的（最低年1回）および必要時にアクセス権限の棚卸および見直しを行う。
c. 退職者が発生した際は、業務に支障がないよう調整し、速やかに該当アカウントを削除する必要がある。申請は、当該従業員が最後に所属した部門の長がアクセス権限の削除を申請し、情報システム管理者、またはその指名する従業員が削除する。
d. 他部署への移動が生じた際は、aの手順に従い削除する。また、新規のアクセス権限は移動先部門の長が申請し、同様の手順に従い登録する。

ワンポイントアドバイス

物理的および論理的なアクセス権の定期的レビューでは、同じ組織内での異動、昇進、降格、退職後の利用者のアクセス権、および特権的アクセス権の認可について考慮することが大切です。

15-2-2. 脅威インテリジェンス

　脅威インテリジェンスに関連する実施手順の例を紹介します。

【5.7 脅威インテリジェンス】

実施手順（例）

既存または新たな脅威に関する情報を、次に示す専門機関から収集する。
・IPA
・JVN（Japan Vulnerability Notes)
・JPCERT/CC
・ISAC (Information Sharing and Analysis Center)
・個人情報保護委員会
収集する情報は、以下のようなものとする。
・変化する脅威の状況に関する情報（例：攻撃者や攻撃の種類）
・攻撃の方法、使用されるツールや技術に関する情報
・特定の攻撃に関する詳細な情報
収集した情報を分析する。
脅威が、自組織にどのような影響を及ぼすか把握するために、収集した情報をもとにリスクアセスメントを実施する。
リスク低減の処置を実施する。
リスクアセスメントの結果をもとに、ファイアウォール・侵入検知システム・マルウェア対策ソリューションなど、技術的に予防、検知を行うための管理策を採用する。

ワンポイントアドバイス

情報の収集から、リスク低減処置を実施するまでの手順を明確にすることが大切です。

15-2-3. 情報資産台帳作成・維持実施

　情報資産台帳作成・維持実施に関連する実施手順の例を紹介します。

【5.9 情報及びその他の関連資産の目録】

実施手順（例）

情報セキュリティ委員会は「資産目録」を作成し、当組織における重要な資産を識別する。また「資産目録」を「年間計画表」に従い、最低年1回見直す。
情報セキュリティ委員会は「資産目録」において特定した資産に対し、同目録上に管理責任者（リスク所有者）を記載することにより管理責任を明確にする。

ワンポイントアドバイス

資産の管理責任を個人またはグループに割り当て、管理責任を明確にすることが大切です。

【5.10 情報及びその他の関連資産の利用の許容範囲】

実施手順（例）

情報の区分ごとの取扱いルールを以下に示す。
情報の区分は「5.12 情報の分類」で、ラベル表示については「5.13 情報のラベル付け」で定める。

文書・メディアなどの場合

管理区分：ラベル表示
関係者外秘：責任者に一任
社外秘：責任者に一任
一般：不要

管理区分：利用者
関係者外秘：関係する部署・プロジェクトに所属する従業者
社外秘：当組織の従業者
一般：誰でも可

管理区分：再配布
関係者外秘：関係する部署・プロジェクト内に限る
社外秘：社内に限る
一般：特別な配慮不要

管理区分：保管場所
関係者外秘：施錠された場所
社外秘：責任者に一任
一般：特別な配慮不要

管理区分：コピーの使用
関係者外秘：必要のある者に限定
社外秘：社内に限る
一般：特別な配慮不要

管理区分：FAX送信
関係者外秘：関係する部署・プロジェクト内に限る
社外秘：社内に限る
一般：特別な配慮不要

管理区分：裏紙使用※1
関係者外秘：禁止
社外秘：禁止
一般：特別な配慮不要

管理区分：社外便
関係者外秘：透かして内容が見えないようにする。※2
社外秘：透かして内容が見えないようにする。※2
一般：特別な配慮不要

管理区分：社外での携行
関係者外秘：責任者の許可を得た者のみ携行を許可する。※3
社外秘：責任者の許可を得た者のみ携行を許可する。※3
一般：特別な配慮不要

管理区分：廃棄（文書）※4
関係者外秘：シュレッダー・焼却・溶解のいずれか
社外秘：責任者に一任
一般：特別な配慮不要

管理区分：廃棄処（媒体）
関係者外秘：廃棄、再利用前の内容を消去する。
社外秘：廃棄、再利用前の内容を消去する。
一般：特別な配慮不要

※1 個人情報の記された書類の再利用は禁じる。
※2 紙や記憶媒体による個人情報を、郵便や宅配便などにより移送するときは、誤配、紛失などの危険を最小限にするため、ポストへの施錠、受け取り確認が可能な移送手段の選択などの措置を講じる。
※3 個人情報を外部へ持ち出す際は、目的地以外へ立ち寄らず、手放さない、車中に放置しないよう徹底する。
※4 紙に記された個人情報の廃棄は、シュレッダーによる裁断・焼却・溶解いずれかの方法により処分する。また、廃棄前の一時保管場所からの紛失・盗難防止のため、重要書類は即廃棄する。

システム内情報

管理区分：アクセス制御
関係者外秘：個人またはグループでのアクセス制御
社外秘：責任者に一任
一般：特別な配慮不要

管理区分：個人PCへの保管
関係者外秘：責任者に一任
社外秘：責任者に一任
一般：特別な配慮不要

管理区分：サーバへの保管
関係者外秘：アクセス制限
社外秘：責任者に一任
一般：特別な配慮不要

管理区分：コピー（複製）※1
関係者外秘：コピーの管理
社外秘：責任者に一任
一般：特別な配慮不要

管理区分：メール
関係者外秘：添付ファイルにパスワード
社外秘：添付ファイルにパスワード
一般：特別な配慮不要

※1コピーは、バックアップの必要上および業務上やむを得ない場合の必要最小限の範囲にとどめるものとする。
※2取引先との合意がある場合は、その合意に従う。

ワンポイントアドバイス

許容できる行動、許容できない行動を明確に定めることが大切です。

【5.11 資産の返却】

実施手順（例）

情報セキュリティ委員会は、退職者が発生した際に、以下の対応を部門長に要求し、実施されたことを確認する。
名刺、社員証、IDカードなどの返却
会社が支給したノートPCや携帯電話などの返却
紙で保管する書類の返却、または廃棄

ワンポイントアドバイス

返却するすべての情報およびその他の関連資産を明確に特定し、文書化することが大切です。

15-2-4. クラウドサービス利用

　クラウドサービス利用に関連する実施手順の例を紹介します。

【5.23 クラウドサービスの利用における情報セキュリティ】】

実施手順（例）

クラウドサービスを導入する際、以下の評価表をもとにクラウドサービスを評価し、自社のセキュリティ要件事項を満たしているか確認する。

評価表

クラウドサービス提供者名

サービス内容

取得している認証

□ ISO/IEC 27001
□ ISO/IEC 27017

セキュリティ対策内容

クラウドサービスに対して、マルウェア対策を行っているか。

評価

セキュリティ対策内容

クラウドサービスのバックアップを行っているか。

評価

セキュリティ対策内容

サービス解約時のデータの取扱い方法が明確になっているか。

評価

セキュリティ対策内容

サービス稼働率、障害発生頻度、障害発生時の復旧時間など、サービス品質は問題ないか。

評価

セキュリティ対策内容

データがどの国や地域に配置されたサーバに保存されているか確認したか。

評価

セキュリティ対策内容

サービスの利用方法について問い合わせることができるか。

評価

セキュリティ対策内容

クラウドサービス提供者の責任範囲を確認したか。

評価

セキュリティ対策内容

クラウドサービスのセキュリティインシデント発生時に通知がくるかどうか確認したか。

評価

ワンポイントアドバイス

クラウドサービスの利用は、クラウドサービス提供者とクラウドサービス利用組織との間の情報セキュリティに関する責任の共有および分担、共同作業を伴う可能性があります。クラウドサービス提供者と、クラウドサービス利用組織の両方の責任を適切に定義し、実践することが大切です。

15-2-5. 情報セキュリティインシデント対応

　情報セキュリティインシデント対応に関連する実施手順の例を紹介します。

【5.24 情報セキュリティインシデント管理の計画策定及び準備】

実施手順（例）

セキュリティインシデントへの対応は、以下の手順で行う。
管理層の責任のもと、以下の手順を関係者に伝達する。

ワンポイントアドバイス

セキュリティインシデントへの対応を実行するために役割および責任を決定し、関連する関係者に効果的に伝達することが大切です。

【5.25 情報セキュリティ事象の評価及び決定】

実施手順（例）

セキュリティの弱点、脅威に気付いた場合もしくは疑いを持った場合は、情報セキュリティ委員会に報告する。この際、自己で解決することよりも報告を優先させる。
情報セキュリティ事象の評価は、以下の表に従い、部門管理者（情報セキュリティ委員会メンバー）が行う。
・大、中の項目に該当する情報セキュリティ事象は、セキュリティインシデントとして分類する。
・項目の大、中、小の順に優先順位を付ける。

ワンポイントアドバイス

情報セキュリティ事象をセキュリティインシデントに分類する基準を明確に定めることが大切です。

優先順位

項目：分類

小：ヒヤリハット・事象
中：インシデント
大：インシデント

項目：最終的に被害が及ぶ範囲

小：現状、事件・事故の発生には及ばない。
（将来、被害が発生する可能性がある。）
中：社員または社内
大：顧客・取引先

項目：連絡先

小：情報セキュリティ委員長
中：情報セキュリティ委員長
大：情報セキュリティ委員長
トップマネジメント（経営層）
外部関係者

【5.26 情報セキュリティインシデントへの対応】

実施手順（例）

セキュリティインシデントへの対応手順は以下の表に従う。

セキュリティインシデントへの対応手順

影響度

ウイルス感染時

小

・感染したPCを、組織内のネットワークから切り離す。
・発生する可能性がある被害をシステム担当者に報告する。

中・大

・感染したPCを、組織内のネットワークから切り離す。
・発見した事実をできるだけ速やかに情報システム管理者に連絡する。

影響度

不正アクセス発生時

小

・ネットワークを遮断する。
・重要なデータを隔離する。
・ログインできる場合は、早急にパスワードを変更する。
・発生する可能性がある被害をシステム担当者に報告する。

中・大

・ネットワークを遮断する。
・重要なデータを隔離する。
・ログインできる場合は、早急にパスワードを変更する。
・システムやアプリケーションを停止する。
・発見した事実をできるだけ速やかに情報システム管理者に連絡する。

影響度

情報破壊発生時

小

・発見次第、発生する可能性がある被害を部門長に報告する。

中・大

発見した事実をできるだけ速やかに部門長に連絡する。

影響度

情報改ざん発生時

小

同上

中・大

同上

影響度

情報漏えい発生時

小

同上

中・大

同上

影響度

サービス停止時・機器故障など

小

同上

中・大

同上

ワンポイントアドバイス

セキュリティインシデント対応に関する手順を確立し、すべての関連する利害関係者に伝達することが大切です。

【5.27 情報セキュリティインシデントからの学習】

実施手順（例）

a. 情報セキュリティ委員会は、セキュリティインシデントを管理・分析し、問題があれば、計画を立ててトップマネジメント（経営層）へ提議する。計画には、解決に向けての処置方法・費用・実施予定日・責任者を明確にする。
b. 将来のセキュリティインシデントの起こりやすさや影響を減らすため、情報セキュリティ委員会は、セキュリティインシデントから得られた知識を活かして「6.3 情報セキュリティの意識向上、教育及び訓練」を強化・改善する。

ワンポイントアドバイス

セキュリティインシデントの形態、規模および費用を定量化および監視するための手順を確立することが大切です。

【5.28 証拠の収集】

実施手順（例）

情報セキュリティ委員会は、情報システムの事故が特定の個人、または組織に起因するもので、事後処置が法的処置に及ぶ可能性のある場合には、必要な証拠の収集、保全に努める。

ワンポイントアドバイス

懲戒処置および法的処置のために情報セキュリティ事象に関連する証拠を取扱う場合は、内部の手順を定めて従うことが大切です。

15-2-6. 事業継続計画策定

　事業継続計画策定に関連する実施手順の例を紹介します。

【5.29 事業の中断・阻害時の情報セキュリティ】

実施手順（例）

a. 資産のリスク分析
b. 「資産目録（情報資産管理台帳）」で特定した情報資産のうち、可用性の評価値が3の重要資産を情報セキュリティ継続のリスク分析対象とする。
※可用性の評価値は、「12-2-2. リスク特定」で記載している方法により算出する。
c. aにおいて登録した資産に対して、以下のリスクについて考慮する。
　・地震・火災・洪水などの自然災害
　・人的なミス
　・システム障害
　・健康上の問題
d. bのリスクが生じた際に影響を受ける業務プロセスを特定し、リスクが発生した場合のシナリオを作成する。
e. リスクが生じた場合の影響度と、リスクが発生する可能性について検討し、検討結果に基づき優先順位を決定する。
f. dにおいて、優先順位が高いと判断したものに対して「事業継続計画書」を作成し、トップマネジメント（経営層）の承認を得る。
g. 「事業継続計画書」には以下の内容を含む。
　・実行開始条件（リスクシナリオの発生）
　・非常時手順（発生時の連絡手順）
　・回復手順（復旧のための手順）
　・回復目標（目標時間を必要に応じて決定）
　・再開手順（回復後のリハーサル手順）
　・試験のスケジュール
　・教育（教育が必要な場合はその計画）
h. 策定した計画および手続きについて試験を実施し、試験の結果、必要があると判断した場合は計画を更新する。試験は以下のいずれかの方法、またはその組み合わせにより行う。
　・机上試験
　・模擬試験
　・技術的回復試験
　・代替施設における回復試験
　・供給者施設およびサービスの試験
i. 情報セキュリティ委員会は、事業継続に関する試験を最低年1回、継続的に実施する。

ワンポイントアドバイス

事業の中断または阻害時に、重要な事業プロセスの情報セキュリティを維持または復旧するために、計画を策定、実施、試験、レビューおよび評価することが大切です。

【5.30 事業継続のためのICTの備え】

実施手順（例）

a. ビジネスインパクト分析（不測のインシデントによって業務やシステムが停止した場合、会社の事業にどのような影響があるかを分析すること）を行い、事業継続が困難な状況を特定する。
b. 事業が中断・停止になった際の対応手順を策定し、文書化する。
c. 策定した対応手順が有効であることを確実にするため、あらかじめ定めた間隔（年1回以上）で試験を実施し検証する

ワンポイントアドバイス

組織がICTサービス事業の中断・阻害を管理する方法を詳述した対応および復旧手順を含むICT継続計画を、演習および試験を通じて定期的に評価、または経営陣が承認することが大切です。

15-2-7. 法的、規制および契約上の要件

　法的、規制および契約上の要件に関連する実施手順の例を紹介します。

【5.19 供給者関係における情報セキュリティ】

実施手順（例）

a. 当組織における供給者には、以下がある。
・ISP、電話サービス、IT機器などのサービス提供者
・情報システムの開発・保守における外部委託先
・会計、税務、法律などの専門サービス提供者
・清掃業者、廃棄業者
・クラウドサービス
b. 情報セキュリティ委員会は、部外者・外部組織からのオフィスエリアや情報システムへのアクセスを許可する際に生じる可能性があるリスクを考慮し、情報セキュリティ上の要求事項を明確にする。

ワンポイントアドバイス

供給者が提供する製品およびサービスの使用に関連するセキュリティリスクに対処するためのプロセスおよび手順を特定し、実施することが大切です。

【5.20 供給者との合意における情報セキュリティの取扱い】

実施手順（例）

a. 提供されるサービスの利用は、次の手順に従い行う。
　1.「委託先審査票」による評価・選定を行う。
　2. 情報セキュリティ要求事項を考慮し、次の事項を含む契約を締結する。
　・機密保持契約などの情報の取扱いに関する契約
　・使用許諾に関する取り決め、コードの所有権および知的所有権（開発の場合）
　・実施される作業場所および入退室管理
　・外部委託先が不履行となった場合の預託契約に関する取り決め
　3. 情報セキュリティ委員会は、「5.19 供給者関係における情報セキュリティ」において検討したリスクを考慮し、必要に応じて第三者との間で契約を締結する。
b. クラウドサービスを介して重要資産を取扱う際は、利用者は多要素認証を有効にしてセキュリティを強化する必要がある。

ワンポイントアドバイス

組織と供給者の間で情報セキュリティ要求事項を満たす義務に関し、当事者間で合意を確立し、文書化することが大切です。

【5.21 ICT サプライチェーンにおける情報セキュリティの管理】

実施手順（例）

a. ICT製品・サービスの供給者との契約には、必要に応じて再委託に関する事項を盛り込む。
b. クラウドサービスの利用にあたっては、クラウドサービス提供者の事業継続性、および以下のサービスに関する情報セキュリティ事項を考慮の上、クラウドサービスを選定する。
・サービスの導入実績、信頼性
・利用者サポート機能
・利用終了後のデータの扱い
・サービスの可用性
c. ・暗号化など、通信経路の安全対策

ワンポイントアドバイス

信頼できる供給源からICTを取得する手順を明確にすることが大切です。

【5.31 法令・規制及び契約上の要求事項】

実施手順（例）

a. 情報セキュリティ委員会は、当組織が順守すべき法令、規制、および契約上の要求事項を識別し、「情報セキュリティに関する法令規制一覧表」に記載する。「情報セキュリティに関する法令規制一覧表」は最低年1回見直す。
b. 情報セキュリティ委員会は、当組織の従業者が「情報セキュリティに関する法令規制一覧表」を、必要に応じていつでも参照できる状態にする。
c. 特定した要求事項を満たすために、必要に応じて教育などのテーマとする。
d. 暗号化した装置を輸出する場合、または海外に持ち出す場合、該当する法規制について調査を行い、必要であれば対応を行う。

ワンポイントアドバイス

総務省のWebサイト「国民のためのサイバーセキュリティサイトサイバーセキュリティ関連の法律・ガイドライン」で、サイバーセキュリティに関する代表的な法律が紹介されています。

情報セキュリティに関連する法律（例）特定電子メールの送信の適正化等に関する法律概要利用者の同意を得ずに広告、宣伝または勧誘などを目的とした電子メールの送信を禁止している。

情報セキュリティに関連する法律（例）電子署名及び認証業務に関する法律概要「本人による一定の条件を満たす電子署名」がなされた文書は、本人の手書署名・押印がある文書と同様、真正に成立したものと推定されることが定められている。

情報セキュリティに関連する法律（例）著作権法概要プログラムやマニュアル、ホームページなどは、著作権の対象であり、無断での複製は、著作権法の侵害になる。

情報セキュリティに関連する法律（例）不正アクセス禁止法概要不正アクセス行為や、不正アクセス行為につながる識別符号（ID、パスワード）の不正取得・保管行為、不正アクセス行為を助長する行為などを禁止している。

情報セキュリティに関連する法律（例）刑法概要無断でデータを改ざん・破壊する行為や、虚偽の金融機関を名乗ったサイトや電子メールを使い、金銭をだまし取るような行為などは、刑法に違反する。

詳細理解のため参考となる文献（参考文献）

サイバーセキュリティ関連の法律・ガイドライン

15-2-8. 知的財産、データ、プライバシー

　知的財産、データ、プライバシーに関連する実施手順の例を紹介します。

【5.32 知的財産権】

実施手順（例）

a. 知的財産権を保護するためのルールを策定し、組織内で教育・啓発活動を行う。
b. 知的財産権を侵害する行為を禁止する。
c. 知的財産権を侵害する行為が発生した場合には、速やかに是正措置を講じる。
d. ソフトウェアなどの使用許諾計画を順守する。
e. 情報システム管理者は、パッケージソフトのライセンス管理を適切に行う。

ワンポイントアドバイス

知的財産権には、ソフトウェアまたは文書の著作権、意匠権、商標権、特許権およびソースコード使用許諾権が含まれます。

【5.33 記録の保護】

実施手順（例）

当組織における記録は、関連する法令に基づき次表の保存期間にわたり、消失、破壊、改ざん、不正なアクセス、流失などがないように適切に保存する。

ワンポイントアドバイス

記録は、記録の種類（会計記録、商取引記録、人事記録、法的記録など）によって分類し、それぞれに保存期間の詳細と、物理的または電子的な保存が可能な保存媒体の種類を記載することが大切です。

記録の種類と保存期間

記録の種類 ■定款
■登記関係書類
■訴訟関係書類
■特許など知的所有権に関する書類
■社則・社規保存期間永久

記録の種類 ■「商業帳簿」
会計帳簿（日記帳、仕訳帳、総勘定元帳）、貸借対照表、損益計算書、附属明細書
■「営業に関する重要な書類」
株主名簿、社債原簿、株主総会議事録、取締役会議事録、営業報告書、利益処分案（損失処理案）、このほか紛争が生じた場合に重要な証拠となり得る書類（例：契約書）保存期間10年

記録の種類 ■仕訳帳、総勘定元帳、現金出納帳、固定資産台帳、売掛帳、買掛帳、経費帳
■棚卸表、貸借対照表、損益計算書、決算に関して作成された書類
■注文書、契約書、送り状、領収書、見積書、その他これらに準ずる書類（例：請求書）
■給与所得者の扶養控除など（異動）申告書
■給与所得者の保険料控除申告書兼給与所得者の配偶者特別控除申告書
■源泉徴収簿保存期間7年

記録の種類 ■財産形成非課税貯蓄申込書・移動申請書保存期間5年

記録の種類 ■雇用保険被保険者に関する書類保存期間4年

記録の種類 ■労働者名簿
■賃金台帳
■雇入・解雇・災害補償・賃金その他労働関係に関する重要な書類
■労働保険料の徴収に関する書類
■労災保険に関する書類
■安全委員会議事録
■衛生委員会議事録
■安全衛生委員会議事録保存期間3年

記録の種類 ■健康保険に関する書類
■厚生年金保険に関する書類
■雇用保険に関する書類保存期間2年

【5.34 プライバシー及びPIIの保護】

実施手順（例）

個人情報は、「5.10 情報およびその他の関連資産の利用の許容範囲」の取扱いルールに従い、厳重に取扱う。

ワンポイントアドバイス

プライバシーの保持およびPII保護のための手順を策定および実施することが大切です。

15-2-9. セキュリティ対策状況の点検・監査・評価・認証

　セキュリティ対策状況の点検・監査・評価・認証に関連する実施手順の例を紹介します。

【5.22 供給者のサービス提供の監視、レビュー及び変更管理】

実施手順（例）

a. 情報セキュリティ委員会は、サービスの供給者に対して、あらかじめ定められた頻度（最低年1回）において契約の履行状況ならびに「委託先審査票」による順守状況の確認を行う。
b. サービスの供給者との間で契約内容やサービスレベルに変更があった場合、変更点を受け入れることができるか否かを検証し、契約内容の見直しを実施する。

ワンポイントアドバイス

サービスの提供において不完全な点があった場合は、適切な処置をとることが大切です。

【5.35 情報セキュリティの独立したレビュー】

実施手順（例）

a. 年に1度、内部監査により独立したレビューを行う。
b. 以下に例示する、情報セキュリティに影響のある変化が生じた場合も、内部監査により独立したレビューを行う。
　・事業の追加/変更、業務手順の大幅な変更
　・住所変更、拠点の新設
　・情報セキュリティに関する主たる担当者の変更
　・関係する法令・規制、または契約の大幅な変更

ワンポイントアドバイス

独立したレビューにおいて、情報セキュリティに関して取組が不十分であると明確になった場合には、経営陣は是正処理を発議することが大切です。

【5.36 情報セキュリティのための方針群、規則及び標準の順守】

実施手順（例）

a. 情報セキュリティ委員会は、セキュリティに関する手順や実施標準が正しく実施されていることを確実にするため、「運用チェックリスト」にて、定期的（3ヶ月ごと）に点検を行う。
b. 情報セキュリティ委員会（入退管理責任者）は、入退記録が適切にとられているか否かを月に1度確認する。また、入退管理が有効かつ適切に実施されていることを定期的に確認し、不備が発見された場合は速やかに是正の処置をとる必要がある。
c. 情報システム管理者は、技術的な順守事項が正しく実施されていることを確実とするため、上記のa、bに従い点検する。

ワンポイントアドバイス

是正処置が完了しない場合は、確認時に進捗状況を報告することが大切です。

【5.37 操作手順書】

実施手順（例）

情報処理設備の正確、かつ、セキュリティを保った運用を確実とするために、次の事項を明記した手順書を文書化し、必要に応じて利用者が参照できるようにする。
システムが故障した場合の再起動および回復の手順
a. 記憶媒体の取扱い手順
b. バックアップの取得手順
c. 保守手順
d. 容量、能力、パフォーマンスおよびセキュリティなどの監視手順

ワンポイントアドバイス

操作手順書は必要に応じてレビューし、更新することが大切です。

詳細理解のため参考となる文献（参考文献）

ISO/IEC 27002:2022

15-1. 作成する候補となる実施手順書類について

目次に戻る