16-1-2. 実施手順の策定
管理策(対策基準)をもとに策定されたセキュリティ対策の実施手順の例を紹介します。紹介する例と、ISO/IEC 27002に記載されている各管理策の手引の内容を参考に、自社に適した実施手順を策定してください。
7.1 物理的セキュリティ境界
実施手順(例)
- a.
当組織は、「レイアウト図」により、セキュリティ境界を定義する。
※レイアウト図は、第13章 4.3 情報セキュリティマネジメントシステムの適用範囲の決定の物理的境界レイアウト図(例)を参照
- b.重要な情報資産のある領域の入退を制限し、入退資格を有さない者の立ち入りを制限する。
ワンポイントアドバイス
許可されていない者の物理アクセスを防ぐために、入口に「関係者以外立入禁止」の表示や、入退制限の標識をつけるなどの工夫は効果的です。
7.2 物理的入退
実施手順(例)
- a.入退を行う対象者に対して、入退資格を設け、資格のない者の立ち入りを禁じる。入退資格は、従業者証またはセキュリティカードを交付することにより付与し、他人への貸借は禁じる。
- b.外来者の訪問は、原則として、「入退受付票」に氏名、身元、入退時刻を記録し、面談者が面会の確認印の押印または署名を行い、退出するまでエスコートする。
- c.宅配便などの荷物の受け取りは、各オフィスの入口より外で行うことを原則とし、例外的にオフィス内への入室を認める場合は、必ず応対者がエスコートする。
ワンポイントアドバイス
荷物の受け取り場所は、重要な情報処理設備から離れた場所に設定することが大切です。
7.3 オフィス、部屋及び施設のセキュリティ
実施手順(例)
- a.各事業場は常時施錠可能とし、入退資格のない者の立ち入りを禁じる。やむを得ず施錠可能でない事業場においては、重要な情報はキャビネットに収納し施錠するなど、厳重な管理を行う。
- b.施錠、開錠は、原則として従業者が行う。
- c.入退を許可された外来者に対しては、原則として従業者が随行し、立ち入り場所を制限する。
- d.秘密の情報または活動が外部から見えないよう、ブラインドやパーティションを設置する。
ワンポイントアドバイス
活動内容やPCのモニタなどが外部から見えたり、聞こえたりすることがないよう、外部来場者の動線ルートを事前に決めておくことが大切です。
7.4 物理的セキュリティの監視
実施手順(例)
- a.組織の施設は、監視カメラ、侵入者警報を設置し、認可されていないアクセスや、疑わしい行動を検知する。無人の領域には、必ず監視カメラおよび侵入者警報を設置する。
- b.監視カメラ、侵入者警報の動作確認をするため、3か月に1回点検を実施する。
ワンポイントアドバイス
無人の領域は、警報器を設置することが大切です。
7.5 物理的及び環境的脅威からの保護
実施手順(例)
- a.各フロアには、火災報知器、消火器を設置する。
- b.サーバ付近に段ボールなどの燃えやすいものを置くことを禁じる。
- c.サーバの転倒対策として設置位置を工夫する。必要に応じて、転倒防止器具を利用するなどの対策を行う。
ワンポイントアドバイス
ハザードマップなどで自社の地理的な脅威を把握し、災害時における具体的対策を講じておくことが重要です。
7.6 セキュリティを保つべき領域での作業
実施手順(例)
- a.サーバ室には、スマートフォンやボイスレコーダー、カメラなど撮影や録音ができるものや、USBメモリなどサーバの情報をダウンロードできる機器の持ち込みは禁じる。
- b.セキュリティを保つべき領域は常時施錠し、入退資格のない者の立ち入りを禁じる。
ワンポイントアドバイス
セキュリティを保つべき領域での作業ルールが適切に守られているか確認することが大切です。
7.7 クリアデスク・クリアスクリーン
実施手順(例)
-
a.クリアデスク
- 離席時や帰宅時には、重要情報や個人情報を含む書類や記憶媒体を机上やその周辺に放置しない。
- 書類やデータは、重要なものとそうでないものを区別して整理する。
- プリンタ、コピーに出力した印刷分は放置せず速やかに取り出す。
-
b.クリアスクリーン
- 利用者は、食事やトイレ、会議などで自席を離れる場合には、コンピュータのログアウト(ログオフ)やスクリーンロックを行い、第三者がコンピュータを操作したり、画面を盗み見たりできないようにする。
- ログインID、パスワードを机上に貼付することは禁じる。
ワンポイントアドバイス
クリアデスク、クリアスクリーンについてのルールが適切に守られているか、チェックシートなどで徹底することも効果的です。
7.8 装置の設置及び保護
実施手順(例)
- a.スイッチ、無線LANアクセスポイントなどは、人目につくところや通行量の多い場所を避けて設置する。
- b.サーバは、サーバ室など隔離されたエリアに設置する。隔離されていないエリアに設置する場合は、ラックなどへ収容する。
- c.サーバが設置されたエリアでの飲食、喫煙は禁じる。
- d.サーバが設置されたエリアの温度、湿度を監視し、サーバに悪影響を与えない状態を維持する。
ワンポイントアドバイス
サーバ周辺に水などの配管などが通っていないか、確認することが大切です。
7.9 構外にある資産のセキュリティ
実施手順(例)
- a.
社外にノートPC等を持ち出す場合は、
- 1.ログインパスワードを設定する。
- 2.必要のない機密情報、個人情報を格納しない。
- 3.格納するファイルは暗号化する(パスワードをつける)。
- 4.OS・ソフトウェアが最新バージョンになっており、セキュリティソフトが入っていることを確認する。
- 5.ノートPCなどが入ったカバンなどを交通機関の網棚などには置かず、常時携帯する。
- b. 公共交通機関を利用する際に、顧客情報や個人情報など、重要な情報をノートPCや社用携帯で閲覧することは禁じる。
ワンポイントアドバイス
公共交通機関を利用する際に、装置(例:スマートフォン、ノートPCなど)上の情報をのぞき見られるリスクから保護することが大切です。
7.10 記憶媒体
実施手順(例)
- a.外づけの記録媒体の持ち出し・持ち込みは、事前に許可を得た上で行う。また、不使用時は、キャビネットに施錠保管を行う。
- b.記憶媒体に収納する情報は必要最小限なものとし、必要のない機密情報や個人情報、会社の重要情報は保存しない。
- c.格納するファイルは暗号化して(パスワードをつけて)保存する。
- d.外部記憶媒体や、重要な情報が記された文書を机上や、棚上などに放置することは禁じる。
- e.私有の外部記憶媒体を持ち込む場合、社有の外部記憶媒体を持ち出す場合は、該当部門の責任者および情報システム管理者の許可を得る。
- f.外部記憶媒体でデータを受け渡す場合は、データの内容に応じてセキュリティを確保できるような受け渡し方法をとる。
- g.お客様のUSBメモリなどの記憶媒体を預かった場合は、使用する前に必ずアンチウイルスソフトによりスキャンを行う。
- h.不要な媒体を処分する場合は、「5.10 情報及びその他の関連資産の利用の許容範囲」のルールに従う。
- i.媒体を輸送する場合は、必要に応じて梱包などにより保護するとともに、「5.10 情報及びその他の関連資産の利用の許容範囲」のルールに従う。
- j.サーバ、ネットワーク機器(スイッチ、ルータなど)の設置場所を、情報システム管理者の許可なく移動することは禁じる。
- k.当組織の資産および顧客から預かった資産を、情報セキュリティ委員長の許可なく無断で持ち出すことは禁じる。
ワンポイントアドバイス
USBメモリやハードディスクなどの記憶媒体だけでなく、紙の文書に対しても対策を行うことが大切です。
7.11 サポートユーティリティ
実施手順(例)
- a.情報システム管理者は、必要に応じて無停電電源装置を設置する。無停電電源装置は、ランプの確認などにより、バッテリーの寿命が尽きていないことや、緊急時の切り替えが問題なく行えるかを定期的に確認する。
- b.情報システム管理者は、フロア(装置の設置場所)が適切な温度に保たれていることを適時確認する。
ワンポイントアドバイス
停電対策として無停電電源装置だけでなく、補助発電装備を利用することも有効です。
7.12 ケーブル配線のセキュリティ
実施手順(例)
- a.人が通る箇所のケーブル配線は、できるだけ床下か天井に配線する。床上に配線する場合には、モール、ケーブルカバーによる保護を行う。
- b.配線ケーブルに異常がないか、3か月に1回点検を行う。
- c.誤接続を防止するために、ケーブルにラベルをつける、役割ごとに色の異なるケーブルを使う。
- d.ケーブル配線図を作成するとともに、機器の増設や移設で配線が変更になった場合には配線図を更新する。
ワンポイントアドバイス
周辺機器の増設や移設に際して、ケーブル類の適正化を確認することが大切です。
7.13 装置の保守
実施手順(例)
サーバ、ネットワーク機器など主要な装置は、製造元から提供されたマニュアルを参照し、製造元が推奨する頻度にて点検、保守を行い、記録する。
ワンポイントアドバイス
装置の点検・保守が定期的に実施され、記録されているか確認することが大切です。
7.14 装置のセキュリティを保った処分又は再利用
実施手順(例)
- a. PCを処分する場合は、従業員が各自で処理せず、情報システム管理者に処理を依頼する。情報システム管理者は、ハードディスクなどの記憶媒体については、物理的破壊もしくは、完全消去により処分する。
- b. 上記以外の方法により、処分する必要があると認められる場合、事前に情報セキュリティ委員長の承認を得ることを要するものとする。
- c. 情報システム管理者は、装置を再利用する場合、不要な情報を完全に消去し、またライセンス供与されたソフトウェアが消去されたことを確認の上、再利用する。
ワンポイントアドバイス
廃棄・再利用する際、情報を消去する責任者と手順を定めることが大切です。