17-1-2. 実施手順の策定
管理策(対策基準)をもとに策定されたセキュリティ対策の実施手順の例を、それぞれ紹介します。紹介する例と、ISO/IEC 27002に記載されている各管理策の手引の内容を参考に、自社に適した実施手順を策定してください。
8.1 利用者エンドポイント機器
実施手順(例)
- a.モバイル機器を社外に持ち出す場合、ログインパスワードを設定する。
- b.
必要のない機密情報、個人情報などは、モバイル機器に格納しない。
業務上必要のある機密情報や個人情報をモバイル機器に格納する場合は、暗号化する。(パスワードをつける。) - c.モバイル機器を利用者が限定されない無償のWiFiスポットなどへ接続することは禁じる。
- d.
携帯電話・スマートフォンの管理
- 社有の携帯電話・スマートフォン(以下「社有携帯電話など」という)を使用する者は、紛失、破損しないよう丁寧かつ慎重に扱う。
- 社有携帯電話などを使用する者は、使用者本人以外が操作できないよう、パスワードを設定して保護する。
- 持ち歩く際は、ストラップをつけるなどの紛失・盗難防止策を必要に応じて講じる。
- 電車やバスの中、その他公共の場所における使用は控え、個人情報やその他機密情報を他者に聞かれないよう十分配慮する。
- 私有の携帯電話・スマートフォンを業務で使用する場合は、情報システム管理者の承認を要する。また、社有携帯電話などと同様の安全対策を実施する。
- e.利用者はノートPCに対して、パスワードつきのスクリーンセーバを設定し、のぞき見を防止する。スクリーンセーバの設定時間は10分以内とする。
ワンポイントアドバイス
利用者終端装置(携帯、スマートフォン、ノートPCなど、ユーザが情報処理サービスにアクセスするために使用するさまざまなデバイス)の取扱いに関する規則を定めることが大切です。
8.2 特権的アクセス権
実施手順(例)
- a.特権的アクセス権は特定の者に付与し、管理対象システムとその保有者を明確にする。
- b.半年に1回、または組織に何か変更があった際、特権的アクセス権を用いて作業する利用者をレビューし、特権的アクセス権を用いた作業に関して、その利用者が職務、役割、責任、力量の点で今も適格であるかどうかを検証する。
ワンポイントアドバイス
特権的アクセス権は一般の利用者よりも多くの権限が付与されているため、悪用されると影響が大きいです。ID付与に際しては、厳格かつ安全な管理のもとに運用されることが大切です。
8.3 情報へのアクセス制限
実施手順(例)
- a.情報システム管理者は、取扱いに慎重を要する情報へのアクセス権限を、必要な者のみに割り当てる。
- b.未知の利用者識別情報または匿名の者による、取扱いに慎重を要する情報へのアクセスを許可しない。
ワンポイントアドバイス
情報およびその他の関連資産への認可されたアクセスだけを確実にし、認可されていないアクセスを防止することが大切です。
8.4 ソースコードへのアクセス
実施手順(例)
ソースコードや設計書、仕様書などの関連書類は、アクセス権で管理されたフォルダに厳重に保管する。
ワンポイントアドバイス
ソースコードが変更される、または開発環境の一部のデータが認可されていない人物によって取り出される可能性をなくすため、ソースコードへのアクセスを適切に制御することが大切です。
8.5 セキュリティを保った認証
実施手順(例)
重要な情報システムにアクセスする際は、パスワードだけでなく、多要素認証を使用し、不正アクセスの可能性を減らす。
ワンポイントアドバイス
多要素認証では、知識(パスワード、秘密の質問など)、所持物(スマートフォン、ICカードなど)、生体情報(指紋、声紋など)のうち、2つ以上を組み合わせて認証することで、認可されていないアクセスの可能性を減らします。
8.6 容量・能力の管理
実施手順(例)
- a.情報システム管理者は、コンピュータやネットワークの応答時間など、その負荷状況について、業務を通じて問題がないかどうかを確認する。CPUやメモリ、ハードディスクなどの外部記憶装置の使用率など、リソースの使用状況を定期的に監視する。
- b.リソースの使用状況に応じてリソースの割り当てを調整すると同時に、将来必要となる容量や能力を予測し、システムのパフォーマンスを維持するため、必要なリソースを事前に確保する。
- c.情報システム管理者は、問題が発見された場合、速やかに原因の究明を行い、情報セキュリティ委員会に報告する。
- d.情報セキュリティ委員会は、情報システム管理者に対策を指示し、必要に応じて経営陣に報告する。
- e.情報システム管理者は、中長期的な業務量の増減を考慮し、将来的にシステムに必要な容量を予測し、必要であればトップマネジメントに報告する。
ワンポイントアドバイス
クラウドサービスを利用することで、特定のアプリケーションおよびサービスで利用できる資源を、要求に応じて迅速に拡張・削減することができます。
8.7 マルウェアに対する保護
実施手順(例)
- a.ネットワークに接続するすべてのパソコン、サーバ上に情報システム管理者が指定したアンチウイルスソフトを導入する。
- b.アンチウイルスソフトを常時設定にし、ファイルへのアクセスおよび電子メールの受信時に常時スキャンできる設定を行う。
- c.常時スキャンだけでなく情報システム管理者が指定した期間に一度、ファイル全体に対するスキャンを行う。
- d.自動でウイルス定義ファイルの更新が行われるように設定する。
- e.
標的型メール対応
- メールの添付書類やメール中のリンクは、原則として(送信者に確認するなどの方法で)安全が確認できるまで開かない。
- ファイルの拡張子を表示させる設定とし、添付ファイルの拡張子が、通常使用しない内容の場合、ファイルの参照を禁じる。通常使用しないファイルの拡張子の例:.exe、.pif、.scr
ワンポイントアドバイス
基本的な対策として、社内パソコンのウイルス定義ファイルが常に最新版に更新されているかの確認を徹底することが重要です。
8.8 技術的脆弱性の管理
実施手順(例)
- a.情報セキュリティ委員会および情報システム管理者は、技術的な脆弱性のニュースを常に意識し、時期を失せず効果的に外部の攻撃を防御する。
- b.OSやアプリケーションには常に最新のセキュリティパッチを適用する。ただし、検証の結果、業務上支障があると認められる場合には、他の方法で脆弱性に対処する。
ワンポイントアドバイス
セキュリティパッチは、正当な供給元から取得したもののみを使用することが大切です。
8.9 構成管理
実施手順(例)
システムの構成要素とその相互関係を理解し管理するため、台帳や構成管理ツールを用いて、ハードウェア、ソフトウェア、ネットワーク機器、設定ファイルなど、システムを構成するすべての要素の情報を把握する。
ワンポイントアドバイス
ハードウェア・ソフトウェア・サービス・ネットワークが、必要とされるセキュリティ設定で正しく機能し、認可されていない変更や誤った変更によって構成が変えられないようにすることが大切です。
8.10 情報の削除
実施手順(例)
- a.業務上必要がなくなったデータは速やかに削除する。
- b.記憶媒体上のデータを削除する際は、データ消去ソフトを使用し、復元できないよう、完全に削除する。
- c.ハードディスクを廃棄する際は、磁気データ消去装置を用いてハードディスクのデータを削除してから廃棄する。
ワンポイントアドバイス
取扱いに慎重を要する情報などの機密情報については、必要がなくなった時点で速やかに削除することが大切です。情報を保有していることがリスクなので、不要な情報は持ちつづけないことが重要です。
8.11 データマスキング
実施手順(例)
保有している情報をマーケティング分析などの目的で二次利用する場合には、個人情報や重要情報が推測できない形に加工した上で利用する。
ワンポイントアドバイス
取扱いに慎重を要するデータ(個人情報や重要情報)の保護が必要である場合、データマスキング・仮名化・匿名化などの手法を使用して保護することが大切です。これにより、データが万が一漏えいしても、その内容を第三者に理解されることを防げます。
8.12 データ漏えいの防止
実施手順(例)
- a.漏えいから保護する情報を特定し、分類する。
- b.ファイル共有ソフトの使用を禁じる。
- c.重要な情報が画面に表示されている場合は、スクリーンショットや写真を撮ることを禁じる。
- d.ファイアウォールやIDS、IPSなどによって不正アクセスを防止する。「8.20 ネットワークのセキュリティ」に従う。
- e.重要データについてアクセス制限を設ける。「8.3 情報へのアクセス制限」に従う。
- f.重要データは暗号化して保管する。「8.24 暗号の使用」に従う。
ワンポイントアドバイス
個人やシステムによる情報の認可されていない開示・抽出を検出し、防止することが大切です。
8.13 情報のバックアップ
実施手順(例)
- a.情報システム管理者は、サーバ内に保存された重要データを障害による破壊や、不正アクセス、改ざんなどから守るために、必要に応じてシステムおよびデータのバックアップを行う。
- b.バックアップ情報は、主事業所の災害による被害から免れるために、十分離れた安全でセキュリティを保った場所に保管する。
- c.情報システム管理者は、バックアップが確実に行われており、障害時に復元が可能かどうかを月に1度チェックする。
ワンポイントアドバイス
クラウドサービスを利用している場合は、クラウド環境にあるデータのバックアップも作成しているか確認することが大切です。ランサムウェア対策として、バックアップは2つ作成し、1つはネットワークから隔離したオフサイトで保管することが大切です。
8.14 情報処理施設の冗長性
実施手順(例)
- a.情報システムは、可用性に関する業務上の要求事項を明確にし、必要に応じて予備の機器を用意して二重化を行い、冗長性をもたせる。
- b.緊急の場合、速やかに予備の機器に切り替えられるよう、動作確認を月に1回行う。
ワンポイントアドバイス
冗長な構成要素および処理活動を常に作動させておくか、緊急の場合に自動または手動で作動させるかを確認します。常に作動させておく場合は、稼動状況を確認することが大切です。
8.15 ログ取得
実施手順(例)
- a.情報システム管理者は、サーバ内に保存された重要データを障害による破壊や、不正アクセス、改ざんなどから守るために、必要に応じてログの取得を行う。
- b.情報システム管理者は、必要に応じてログの定期的なチェックを行う。
- c.ログは、情報システム管理者またはその指名する担当がアクセスできるようにする。
- d.情報システム管理者は、運用担当者がサーバで行った作業を確認する。確認は、作業ログ、または日報・サーバ作業記録の閲覧により行う。
ワンポイントアドバイス
セキュリティインシデントの分析、警告および調査のために、システム間のログを相関づけられるようにすべてのシステムが同期した時刻源(8.17 クロックの同期を参照)を持つことが重要です。
8.16 監視活動
実施手順(例)
a.ファイアウォール・IDS・IPSのログを常に監視し、異常な動作を検知した場合は速やかに対応する。
ワンポイントアドバイス
通常時およびピーク時のシステムの使用率や、各利用者または利用者グループの通常のアクセス時間・アクセス場所・アクセス頻度を考慮して正常な行動・動作の基準を確立し、基準に照らして異常を監視することが大切です。
8.17 クロックの同期
実施手順(例)
- a.情報システム管理者は、クライアントPCやサーバなどすべての情報システムのクロックを同期させる。
- b.すべての情報システムのクロックを同期させるために、NTPを使用する。
ワンポイントアドバイス
イベントログは、調査や法令や懲戒が関わる場合の証拠として必要となる可能性があり、不正確な監査ログは証拠の信頼性を損なう可能性があります。コンピュータ内のクロックを正しく設定し、イベントログの正確さを確実にすることが重要です。
8.18 特権的なユーティリティプログラムの使用
実施手順(例)
- a.ユーティリティプログラムの使用は、原則としてOS標準機能のみ許可する。
- b.その他のユーティリティプログラムが必要となった場合は、情報システム管理者の承認を得た上で利用する。
ワンポイントアドバイス
情報システムの大半には、パッチ適用・ウイルス対策・バックアップ・ネットワークツールなど、システムやアプリケーションによる制御を無効にできる1つ以上のユーティリティプログラムが組み込まれています。不要なユーティリティプログラムは、すべて除去・無効化することが大切です。また、特権的ユーティリティのなかには、データベースの中身を、その整合性を気にすることなく強制的に書き換えることができる機能や、他の利用者の権限でデータを操作できる機能をもったものがあります。こうした特権的なユーティリティを野放しにすると組織の情報セキュリティが保てなくなるため、厳しく利用を管理する必要があります。
8.19 運用システムに関わるソフトウェアの導入
実施手順(例)
- a.運用システムに、開発用のコードを導入しない。
- b.PCを含む社内の情報システムで使用するソフトウェアは、原則情報システム管理者によって指定されたもののみ使用し、それ以外のソフトウェアを使用する場合は、事前に許可を得るものとする。他社が開発したソフトウェアを利用する場合、その開発会社が要求している条件やスペックを満たす環境で運用する。
- c.情報システム管理者は、利用者がインストール可能なソフトウェアを定期的に見直す。
- d.利用者は認可されていないソフトウェアをインストールしてはならず、業務上、必要な場合は、情報システム管理者の承認を得た上でインストールする。
- e.ファイル共有ソフトなど、ウイルス感染や不正アクセスなどの原因となりやすいソフトウェアのインストールを禁じる。
ワンポイントアドバイス
組織は、利用者がインストールできるソフトウェアの種類について、厳密な規則を定めて施行することが大切です。
8.20 ネットワークのセキュリティ
実施手順(例)
- a.ネットワーク図および装置(例:ルータ、スイッチ)の構成ファイルを含む文書を最新に維持する。
- b.社内ネットワークへ接続する際は、情報システム管理者の承認を受け、指示された手順に従う。
- c.情報システム管理者は、ネットワークにおける社外との境界にはファイアウォールを設けるなど、不正侵入対策を施す。
- d.ネットワーク装置のファームウェアの定期的なアップデートを行う。
- e.他人のID、パスワードで、社内ネットワークに接続することを禁じる。
- f.一旦、社内ネットワークから切り離したパソコンなどは、ウイルスチェックなどの安全確認を行ってから再接続する。
- g.持ち込みおよび私有PC利用の場合は、社内ネットワークに接続しない。やむを得ず接続する場合は、情報システム管理者が指定するソフトウェアによりウイルスチェックを行う。
- h.無線LANを使用する場合は、情報システム管理者の承認を得て、暗号化、接続パソコンの認証など、十分な安全対策を実施する。
- i.不特定が利用できる公衆無線LANやWiFiスポットに接続することは禁じる。
ワンポイントアドバイス
ネットワークや、ネットワークをサポートする情報処理施設における情報を、ネットワークを通じた危険から保護することが大切です。
8.21 ネットワークサービスのセキュリティ
実施手順(例)
- a.利用しているネットワークサービスを特定する。
- b.情報システム管理者は、ネットワークサービスを利用する場合は、ネットワークサービス提供者とSLAを締結する。
ワンポイントアドバイス
ネットワークサービスには、接続・プライベートネットワークサービスおよびネットワークセキュリティ管理のためのソリューション(ファイアウォール、IDSなど)が含まれます。
8.22 ネットワークの分離
実施手順(例)
- a.インターネットと社内LANとの境界にファイアウォールを設置する。
- b.メール、Webサーバなどの公開サーバは、社内のネットワークと分離する。
- c.ゲスト用の無線アクセスネットワークを、社内用の無線アクセスネットワークから分離する。
ワンポイントアドバイス
各領域の境界は、明確に定めることが大切です。ネットワーク領域間のアクセスが認められる場合は、境界にファイアウォールなどを設けて制御することが大切です。
8.23 ウェブ・フィルタリング
実施手順(例)
フィルタリングソフトを利用し、業務上不必要なWebサイト、危険性のあるWebサイトへのアクセスを防ぐ。
ワンポイントアドバイス
システムがマルウェアによって危険にさらされることを防ぐために、認可されていないウェブ資源へのアクセスを防止することが大切です。
8.24 暗号の使用
実施手順(例)
- a.
暗号利用のための規則
-
SSL/TLS
当組織のWebサイトの通信は、SSL/TLSを用いて暗号化する。 -
無線LAN
無線LANの通信は暗号化し、暗号化の規格は脆弱性の報告されていない安全な方法とする。
-
SSL/TLS
- b.
鍵の管理
-
SSL/TLS
情報システム管理者は、証明書に対する秘密鍵を適切に管理する。 -
無線LAN
アクセスポイントの管理者画面は、情報システム管理者のみがアクセスでき、そのパスワードを厳重に管理する。
-
SSL/TLS
- c.
重要データの暗号化
- 暗号化の対象とするデータを選定する。
- 利用する暗号の種類を決める。
- 暗号鍵のライフサイクルに関する方針を策定する。
- 暗号の管理責任者を定める。
ワンポイントアドバイス
業務や情報セキュリティ要求事項に従い、暗号に関連する法令・規制・契約上の要求事項を考慮し、情報の機密性・真正性・完全性を保護するための暗号の適切かつ効果的な使用を確実に履行することが大切です。
8.25 セキュリティに配慮した開発のライフサイクル
実施手順(例)
セキュリティに配慮した開発のための方針を以下に記す。
- a.開発の初期段階でセキュリティ要件を明確化する。
- b.開発環境は、「8.31 開発環境、試験環境及び運用環境の分離」の「b. セキュリティに配慮した開発環境」に従う。
- c.開発の各段階でセキュリティレビューを行い、セキュリティ要件が満たされているかを確認する。
- d.開発したシステムに脆弱性がないかテストする。
- e.開発ドキュメント(仕様書、設計書、テスト仕様など)は、必要最低限の者だけがアクセスできるようにする。
- f.受託開発または客先への派遣による開発では、クライアントから提示のあったセキュリティの方針・ルールなどに従う。
ワンポイントアドバイス
ソフトウェアやシステムのセキュリティに配慮した開発のための規則を定めることが大切です。
8.26 アプリケーションのセキュリティの要求事項
実施手順(例)
- a.アプリケーションを取得する際、リスクアセスメントを通じてアプリケーションの情報セキュリティ要求事項を決定する。必要に応じて、情報セキュリティの専門家の支援を受け、情報セキュリティ要求事項を決定する。
- b.
セキュリティに配慮したシステムを構築するための原則は、以下の通りとする。
- 情報セキュリティ事象を防止・検知し、対応するために必要な管理策を分析すること。
- 情報セキュリティ要求事項を満たすための費用・時間・複雑さを考慮すること。
ワンポイントアドバイス
ネットワークを介してアクセス可能なアプリケーションは、ネットワークに関連した脅威を受けやすいため、リスクアセスメントの実施や、管理策を決定することが大切です。
8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
実施手順(例)
- a.社内使用の情報システムおよび外部向けに提供する情報システムの開発に際しては、情報セキュリティ事項を明確にし、要件定義として記録する。
- b.開発の各段階でセキュリティレビューを行い、セキュリティ要件が満たされているかを確認する。
- c.開発したシステムに脆弱性がないかテストする。
ワンポイントアドバイス
セキュリティに配慮したシステム構築の原則および確立した構築手順は、構築プロセスにおけるセキュリティレベルの向上に有効に寄与していることを確実にするため、定期的にレビューすることが大切です。
8.28 セキュリティに配慮したコーディング
実施手順(例)
- a.ユーザが入力したデータを確認し、問題がある場合は読み込まないようにする。
- b.セキュリティ上の問題を発見しやすくするため、設計は可能な限りシンプルにする。
- c.ユーザには必要最小限の権限・機能を与える。
- d.他のシステムに送信するデータは、サニタイズ(特殊文字を一般的な文字に変換すること)を行い、不正操作を防止する。
ワンポイントアドバイス
コーディングの原則が定められていない場合、コードの書き方がバラバラになり、コードが読みづらく、脆弱性が生まれる危険性があります。セキュリティに配慮したコーディングの規則を定め、コードの書き方を統一することが大切です。
8.29 開発及び受入れにおけるセキュリティ試験
実施手順(例)
- a.情報システムのセキュリティテストは、運用に移行する前に行う。
- b.
システムの受入れ試験
- 情報システムの導入または改修の際は、受入れ時に動作確認を行う。
- 必要に応じて受入れテストの仕様書を作成し、確認を行う。
- 必要に応じて、コード分析ツールや脆弱性スキャナのような自動化ツールを利用し、セキュリティに関連する欠陥を修正する。
- 受入れ試験の結果は、受入れ部門の管理者および情報システム管理者が承認する。
ワンポイントアドバイス
効果的な試験を確実にするために、試験環境、ツール、技術の試験および監視も考慮する必要があります。
8.30 外部委託による開発
実施手順(例)
情報システムの開発を外部に委託する場合の手順は以下に従う。
- a.「委託先審査票」によって委託先を評価、選定、およびあらかじめ定められた頻度(最低年1回)で再審査し、また、契約の履行状況を監視する。
- b.委託先との契約を締結する。(契約書には情報セキュリティ要求事項を含める。)
- c.成果物の品質および正確さを評価するため、「8.29 開発及び受入れにおけるセキュリティ試験」に定める「b. システムの受入れ試験」を実施する。
ワンポイントアドバイス
外部委託したシステム開発に関する活動を随時、指導、監視およびレビューすることが大切です。
8.31 開発環境、試験環境及び運用環境の分離
実施手順(例)
- a.情報システムの開発に際しては、開発・テスト環境と本番環境を、物理的・論理的に分割する。
- b.
セキュリティに配慮した開発環境
- 開発は、開発業務を行わない従業員から分離した場所およびシステムにて行う。また開発環境は、運用環境から分離する。
- ソースコードおよび設定ファイルは、不意の消去や改ざんから保護するため、必要最小限の者だけがアクセスできるようにする。
ワンポイントアドバイス
開発および運用環境に変更を加える際は、組織としての事前レビューおよび承認を徹底することが大切です。
8.32 変更管理
実施手順(例)
- a.
変更管理は以下のプロセスで行う。
- 1.
変更の承認
変更を行う前にその変更の必要性、変更が及ぼす影響、変更によるリスクの変動について評価し、情報システム管理者の承認を得る。 - 2.
変更のテスト
変更を適用する前に、情報システムへの影響を確認するためにテストを行う。 - 3.
変更の監査
変更後に変更が適切に行われたかどうかを監査によって確認する。
- 1.
変更の承認
- b.情報システム管理者は、サーバに周辺機器を接続する場合や、サービスパックを適用する場合、事前に情報収集し、問題の有無を確認する。万が一、適用後に問題が生じた場合は、再インストールすることで問題解決を即座に実施する。
- c.OSやパッケージソフトを変更する際は、情報システム管理者はテスト機や予備機を用いて、現在の情報システムが変更後のOS上で問題なく動作するかを検証する。
- d.パッケージソフトウェアのカスタマイズを原則として禁じる。万が一、修正を行う場合は、動作上の影響およびベンダーから将来的に受けるサポートへの影響を考慮し、情報システム管理者の許可を得る。
ワンポイントアドバイス
変更管理手順は、情報の機密性、完全性、可用性を確実にするために、設計の初期段階からその後のすべての保守作業までのシステム開発のライフサイクル全体にわたって文書化し、実装することが大切です。
8.33 試験情報
実施手順(例)
- a.テストデータとして個人情報を使用することを禁じる。
- b.実データをテストデータとして使用する場合は、情報システム管理者の承認を得てから使用する。テスト終了後は、実データを直ちに削除し、情報システム管理者に対して報告する。
ワンポイントアドバイス
テストデータは、注意深く選定し、保護し、管理することが大切です。
8.34 監査試験中の情報システムの保護
実施手順(例)
- a.情報システムの監査は、システム停止のリスクを考慮し、営業時間外もしくは休日を利用して実施することを原則とする。
- b.情報システムのメンテナンスなどにより情報システムの稼動を停止する場合は、業務への影響を及ぼさない範囲または時間帯で行うように計画する。
ワンポイントアドバイス
運用システムのアセスメントを伴う監査活動およびその他の保証活動を計画し、試験者と管理層の間で合意することが大切です。
詳細理解のため参考となる文献(参考文献)