指針とは?/ ノーローン
[ 23] 情報システム安全対策指針
[引用サイト] http://www.npa.go.jp/cyber/policy/antai_sisin/kokuji.htm
|
本指針は、情報システムの関係者に対し、情報システムに係る犯罪、不正行為、個人情報の漏えい、災害等による被害を未然に防止し、又は最小限に抑えるために講ずべき対策及び犯罪発生時における警察との連携を確保するための措置を示すことにより、国民生活の安全を確保し、情報社会における秩序を維持することを目的とする。 (1) 情報システム コンピュータ・システムを中心とする情報処理及び通信に係るシステム(人的組織を含む。)をいう。 (3) ホスト等 クライアント・サーバ・システムにおけるサーバ及びクライアント、メインフレーム・システムにおけるホスト・コンピュータ及び端末並びにネットワークの接続を制御するコンピュータをいう。 (5) セキュリティ 犯罪、不正行為、災害若しくは事故による被害を受けること又は情報システムが犯罪若しくは不正行為の用に供されることが防止されている状態をいう。 (7) ユーザ 情報システムにより提供されるサービスを利用するためにアクセスする権限を有する者をいう。 (11) 危機管理オペレータ 危機の状況を記録するとともに、危機管理責任者の指示を受け、具体的な対処を行う者をいう。 (12) アクセス コンピュータ・システムを利用できる状態とすること又はその内部に電子的に存在する情報を取り扱うことをいう。 (13) 不正アクセス 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)第3条第2項に規定する不正アクセス行為その他の不正な手段によりユーザ以外の者が行うアクセス又はユーザが行う権限外のアクセスをいう。 (15) 攻撃 コンピュータ・システムのセキュリティを侵害することを目的として故意に行われるアクセスをいう。 本指針は、企業会計システム、顧客管理システムその他の次に掲げる要件を満たす情報システムをモデルとして、情報システムのセキュリティを確保するために必要と考えられる項目を列挙している。 管理者は、対象とする情報システムについて、リスク分析に基づきセキュリティ方針を立て、当該方針に沿って本指針の示す項目から必要なものを選択するとともに、必要に応じ追加を行い、対策を策定する必要がある。特に、社会的に重要な基盤を形成している情報システムについては、サイバーテロのリスクについても考慮する必要がある。 インターネット等開放的なネットワークとの接続の状況の有無にかかわらず、すべての情報システムについて講ずべき安全対策は、次のとおりである。 管理者は、ネットワークに係る不正アクセス、他者のユーザIDを不正に利用したなりすまし等を防止するため、次に掲げる項目について対策を講ずること。 (2) 他者が容易に推測できる語句等をパスワードとして設定しないようユーザを指導し、又は設定を拒否する機能をシステムに設けること。 (3) パスワードを適切な期間ごとに変更するようユーザを指導し、又は変更を促す機能をシステムに設けること。 (4) パスワードの再入力の回数を制限するなど、他者によるパスワードの推測を困難にするための措置を講ずること。 (5) ユーザがパスワードを忘れたときなどに、パスワードを通知する場合に備え、本人確認の方法等について手続を定めておくこと。 (2) 暗号鍵の保管を適切に行うこと。特に、ユーザの暗号鍵を集中的に管理する場合は、その保管の適正を図ること。 (3) データが送信されたこと、受信されたこと等を証明し、これらの否認を防止できる機能を設けること。 管理者は、ホスト等に係る不正アクセス、他者のユーザIDを不正に利用したなりすまし等を防止するため、次に掲げる項目について対策を講ずること。 (2) 他者が容易に推測できる語句等をパスワードとして設定しないようユーザを指導し、又は設定を拒否する機能をシステムに設けること。 (3) パスワードを適切な期間ごとに変更するようユーザを指導し、又は変更を促す機能をシステムに設けること。 (4) パスワードの再入力の回数を制限するなど、他者によるパスワードの推測を困難にするための措置を講ずること。 (5) ユーザがパスワードを忘れたときなどに、パスワードを通知する場合に備え、本人確認の方法等について手続を定めておくこと。 セキュリティ方針に応じ、ホスト等へのアクセス制御のほか、データベースのデータ、ファイル等ごとにアクセス制御を行うこと。 アクセス制御機能等セキュリティを確保するために必要となる機能を有するオペレーティング・システムを選択すること。 (2) 暗号鍵の保管を適切に行うこと。特に、ユーザの暗号鍵を集中的に管理する場合は、その保管の適正を図ること。 (2) ディスプレイは、表示された情報を利用者以外の者に直接に又は容易に見られないように設置すること。 管理者は、ホスト・コンピュータ等コンピュータ・システムを構成する重要な装置を設置する施設を部外者の侵入、災害等から保護するため、次に掲げる項目について対策を講ずること。 ア 資格を与えた者には、次の事項が記録された身分証明用の文書、ICカード等(以下「身分証明書等」という。)を交付すること。 イ 身分証明書等は、偽造等の困難な材質のものとすること。また、身分証明書等の原紙等が流出することのないよう厳重な管理を行うこと。 ウ 資格を与えた者が、身分証明書等を紛失し、又はき損したときは、直ちに統括セキュリティ責任者に届け出させること。 ウ 立ち入る者の氏名、許可の有効期間、立入りが可能な施設の範囲、立入りの目的等、施設立入許可(以下「許可」という。)に関する記録を作成し、保存すること。 ク 物資の搬出入に際しては、担当者の氏名、物資の名称、数量、搬出入の日時等の記録を作成し、保存すること。 ウ 建物、コンピュータ本体又は周辺機器が設置されている部屋、電源室、空調室、MDF(主配線盤)室、IDF(中間配線盤)室、データ保管室等の出入口及び開口部には、侵入センサを設置するなど、侵入の発見及び抑止のための措置を講ずること。 (6) 空気調和装置については、防火措置及び防水措置を講ずること。水冷式空気調和装置を使用する場合は、断水に対する措置を講ずること。 管理者は、犯罪発生時における警察との連携を確保し、危機に対して的確に対応するとともに、セキュリティを確保するため、次に掲げる項目について対策を講ずること。 (1) ユーザ等に対し、攻撃、事故その他情報システムのセキュリティを侵害する行為又は事態(以下「攻撃等」という。)を認知したときは、直ちに危機管理責任者に報告することを義務付けること。 (2) 攻撃を受けた対象、不正アクセス検出の結果、ログイン時のログ等、その後の監査又は調査に必要な情報を、攻撃等を認知した時点の状態で保存すること。 (4) 攻撃が不正アクセス行為の禁止等に関する法律第3条第2項に規定する不正アクセス行為であり、同法に規定する都道府県公安委員会による援助が必要なときは、援助を受けたい旨の申出をすること。 (1) 重要なデータを記録している記録物が不要となったときは、データの消去、記憶媒体の破砕等アクセスが不可能となるような措置を講じた後、当該記録物を直ちに廃棄すること。 (2) 重要なデータを記録している記録物については、保管場所の入退管理、データの暗号化等の措置を講ずること。 (3) フロッピー・ディスク等の容易に取り外すことができる記憶媒体については、必要に応じ、データの暗号化、物理的な書込み禁止の措置等所要の措置を講ずること。 (2) バックアップ・ファイルは、適切な保存方法、保存期間等を定め、原本と異なる場所に保管すること。 (3) 計画的かつ定期的に行うこと。ただし、重大な事故が発生し、又は発生するおそれがあると認められるときは、その都度行うこと。 (1) 危機発生時の措置について、マニュアルを作成してユーザに配布するとともに、定期的に訓練を行うこと。 管理者は、情報システムにおいて処理される個人情報を保護するため、次に掲げる項目について対策を講ずること。 (1) 個人情報の収集は、あらかじめ収集の目的を明確に定め、その目的を達成するために必要な範囲内で、適法かつ公正な手段によって行うこと。 (2) 本人以外からの個人情報の収集は、本人の権利利益が不当に侵害されるおそれのない場合に限って行うこと。 (2) 収集の目的の範囲を超える個人情報の利用及び提供は、原則として、本人の同意がある場合又は法律の規定による場合に限って行うこと。 (2) 本人から自己の個人情報の訂正、追加又は消去を求められたときは、その内容を確認の上、原則としてこれに応じること。 (2) 攻撃を受けた対象、不正アクセス検出の結果、ログイン時のログ等、その後の監査又は調査に必要な情報を、攻撃等を認知した時点の状態で保存すること。 (1) 重要なデータを記録している記録物が不要となったときは、データの消去、記憶媒体の破砕等アクセスが不可能となるような措置を講じた後、当該記録物を直ちに廃棄すること。 (3) フロッピー・ディスク等の容易に取り外すことのできる記憶媒体については、必要に応じ、データの暗号化、物理的な書込み禁止の措置等所要の措置を講ずること。 (4) 携帯端末等については、重要なデータを内蔵の記憶装置に保存することを避け、やむを得ず保存する場合は、データの暗号化等の措置を講ずること。 (2) バックアップ・ファイルは、適切な保存方法、保存期間等を定め、原本と異なる場所に保管すること。 ホスト等を起動させるときは、始めにワクチン・プログラムを用いるなどして、コンピュータ・ウイルスのチェックを行うこと。 フリーウェア、シェアウェア等のうち、出所が不明のプログラムは、コンピュータ・ウイルスに感染しているおそれがあるため、可能な限り使用しないこと。 新たに入手したプログラムを使用するときは、あらかじめ、ワクチン・プログラムを用いるなどして、少なくとも次の点を調べることにより、コンピュータ・ウイルスのチェックを行うこと。また、チェックを行った結果、陽性とされたもの及び陽性の疑いのあるものについては使用しないこと。 エ ファイル名に拡張子を付加するオペレーティング・システムを使用している場合に、予定されていない拡張子を付加されたファイルが無いか。 ワクチン・プログラムを用いるなどして、少なくとも次の点を調べることにより、コンピュータ・ウイルスのチェックを行うこと。 ホスト等の作動状況を監視し、次のような異状が現れた場合は、ワクチン・プログラムを用いるなどしてチェックを行うこと。 ワクチン・プログラムを用いるなどして、コンピュータ・ウイルスを除去し、又はその機能を停止させること。 ファイルの破壊又は改ざんが行われたときは、あらかじめ作成されたマニュアルに基づき、修復ツール等を用いて修復すること。 コンピュータ・ウイルスによるファイルの破壊又は改ざんを防止するため、必要に応じ、アクセス制御等の措置を講ずること。 管理者は、コンピュータ・ウイルス対策に関するマニュアルを作成してユーザに配布するとともに、マニュアルの内容をよく理解させておくこと。 情報システムのうち、インターネット等開放的なネットワークに接続するものについて、第2編に示した安全対策に加え、不正アクセス、コンピュータ・ウイルスの侵入等の防止の観点から講ずべき安全対策は、次のとおりである。 なお、開放的なネットワークに接続する情報システムについては、第2編に示した安全対策についても、不正アクセス、コンピュータ・ウイルスの侵入等のリスクの増加を考慮する必要がある。 管理者は、開放的なネットワークを介した不正アクセス、コンピュータ・ウイルスの侵入等を防止するため、次に掲げる項目について対策を講ずること。 (2) 開放的なネットワークと接続するときは、当該開放的なネットワークからの保有する情報への不正アクセスを防止する機能を設け、すべての通信を制御すること。 (4) (2)をコンピュータ・システムを利用して行う場合は、セキュリティ・ホールに関する措置を講ずるなど当該システムのセキュリティを確保すること。 異状が発見された場合等必要がある場合は、接続された開放的なネットワークを切り離すことができるようにすること。 管理者は、犯罪発生時における警察との連携を確保し、危機に対して的確に対応するとともに、セキュリティを確保するため、次に掲げる項目について対策を講ずること。 (1) 開放的なネットワークを介してなされる不正アクセス等に関する情報について平素から収集すること。 情報システムの安全対策が適当でない場合は、他者のユーザIDを不正に利用したなりすまし等を助長することとなり、その結果、開放的なネットワークに接続される他の情報システム等に被害を与える危険性があることをユーザに十分認識させること。 送信元が不明のプログラムは、コンピュータ・ウイルスに感染しているおそれがあるため、使用しないこと。 開放的なネットワークを介して、電子メール(添付ファイルを含む。)の受信又はファイルのダウンロードを行ったときは、ワクチン・プログラムによるチェックを行うこと。転送するときは、事前にチェックを行うこと。 |
ノーローンの最新サイト、 ノーローンの情報、 ノーローンの借り方申し込み方、 ノーローンの比較情報など、 ノーローンに関することのキャッシング総合情報サイト。
