受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
管理策(対策基準)をもとに策定されたセキュリティ対策の実施手順の例を、それぞれ紹介します。紹介する例と、ISO/IEC 27002に記載されている各管理策の手引の内容を参考に、自社に適した実施手順を策定してください。
【8.1 利用者エンドポイント機器】
| 実施手順(例) |
| a. モバイル機器を社外に持ち出す場合、ログインパスワードを設定する。
b. 必要のない機密情報、個人情報などは、モバイル機器に格納しない。 業務上必要のある機密情報や個人情報をモバイル機器に格納する場合は、暗号化する。(パスワードをつける。) c. モバイル機器を利用者が限定されない無償のWi-Fiスポットなどへ接続することは禁じる。 ● 携帯電話・スマートフォンの管理 社有の携帯電話・スマートフォン(以下「社有携帯電話など」という)を使用する者は、紛失、破損しないよう丁寧かつ慎重に扱う。 ● 社有携帯電話などを使用する者は、使用者本人以外が操作できないよう、パスワードを設定して保護する。 ● 持ち歩く際は、ストラップをつけるなどの紛失・盗難防止策を必要に応じて講じる。 ● 電車やバスの中、その他公共の場所における使用は控え、個人情報やその他機密情報を他者に聞かれないよう十分配慮する。 ● 私有の携帯電話・スマートフォンを業務で使用する場合は、情報システム管理者の承認を要する。また、社有携帯電話などと同様の安全対策を実施する。 d. 利用者はノートPCに対して、パスワードつきのスクリーンセーバを設定し、のぞき見を防止する。スクリーンセーバの設定時間は10分以内とする。 |
| ワンポイントアドバイス
利用者終端装置(携帯、スマートフォン、ノートPCなど、ユーザーが情報処理サービスにアクセスするために使用するさまざまなデバイス)の取扱いに関する規則を定めることが大切です。 |
【8.2 特権的アクセス権】
| 実施手順(例) |
| a. 特権的アクセス権は特定の者に付与し、管理対象システムとその保有者を明確にする。
b. 半年に1回、または組織に何か変更があった際、特権的アクセス権を用いて作業する利用者をレビューし、特権的アクセス権を用いた作業に関して、その利用者が職務、役割、責任、力量の点で今も適格であるか否かを検証する。 |
| ワンポイントアドバイス
特権的アクセス権は一般の利用者よりも多くの権限が付与されているため、悪用されると影響が大きいです。ID付与に際しては、厳格かつ安全な管理のもとに運用されることが大切です。 |
【8.3 情報へのアクセス制限】
| 実施手順(例) |
| a. 情報システム管理者は、取扱いに慎重を要する情報へのアクセス権限を、必要な者のみに割り当てる。
b. 未知の利用者識別情報または匿名の者による、取扱いに慎重を要する情報へのアクセスを許可しない。 |
| ワンポイントアドバイス
情報およびその他の関連資産への認可されたアクセスだけを確実にし、認可されていないアクセスを防止することが大切です。 |
【8.4 ソースコードへのアクセス】
| 実施手順(例) |
| ソースコードや設計書、仕様書などの関連書類は、アクセス権で管理されたフォルダに厳重に保管する。 |
| ワンポイントアドバイス
ソースコードが変更される、または開発環境の一部のデータが認可されていない人物によって取り出される可能性をなくすため、ソースコードへのアクセスを適切に制御することが大切です。 |
【8.5 セキュリティを保った認証】
| 実施手順(例) |
| 重要な情報システムにアクセスする際は、パスワードに加えて、多要素認証を使用し、不正アクセスの可能性を減らす。 |
| ワンポイントアドバイス
多要素認証では、知識(パスワード、秘密の質問など)、所持物(スマートフォン、ICカードなど)、生体情報(指紋、声紋など)のうち、2つ以上を組み合わせて認証することで、認可されていないアクセスの可能性を減らします。 |
【8.6 容量・能力の管理】
| 実施手順(例) |
| a. 情報システム管理者は、コンピュータやネットワークの応答時間など、その負荷状況について、業務を通じて問題がないか否かを確認する。CPUやメモリ、ハードディスクなどの外部記憶装置の使用率など、リソースの使用状況を定期的に監視する。
b. リソースの使用状況に応じてリソースの割り当てを調整すると同時に、将来必要となる容量や能力を予測し、システムのパフォーマンスを維持するため、必要なリソースを事前に確保する。 c. 情報システム管理者は、問題が発見された場合、速やかに原因の究明を行い、情報セキュリティ委員会に報告する。 d. 情報セキュリティ委員会は、情報システム管理者に対策を指示し、必要に応じて経営陣に報告する。 e. 情報システム管理者は、中長期的な業務量の増減を考慮し、将来的にシステムに必要な容量を予測し、必要であればトップマネジメントに報告する。 |
| ワンポイントアドバイス
クラウドサービスを利用することで、特定のアプリケーションおよびサービスで利用できる資源を、要求に応じて迅速に拡張・削減することができます。 |
【8.7 マルウェアに対する保護】
| 実施手順(例) |
| a. ネットワークに接続するすべてのパソコン、サーバー上に情報システム管理者が指定したアンチウイルスソフトを導入する。
b. アンチウイルスソフトを常時設定にし、ファイルへのアクセスおよび電子メールの受信時に常時スキャンできる設定を行う。 c. 常時スキャンに加えて情報システム管理者が指定した期間に一度、ファイル全体に対するスキャンを行う。 d. 自動でウイルス定義ファイルの更新が行われるように設定する。 e. 標的型メール対応 ● メールの添付書類やメール中のリンクは、原則として(送信者に確認するなどの方法で)安全が確認できるまで開かない。 ● ファイルの拡張子を表示させる設定とし、添付ファイルの拡張子が、通常使用しない内容の場合、ファイルの参照を禁じる。 通常使用しないファイルの拡張子の例:.exe、.pif、.scr |
| ワンポイントアドバイス
基本的な対策として、社内パソコンのウイルス定義ファイルが常に最新版に更新されているかの確認を徹底することが重要です。 |
【8.8 技術的脆弱性の管理】
| 実施手順(例) |
| a. 情報セキュリティ委員会および情報システム管理者は、技術的な脆弱性のニュースを常に意識し、時期を失せず効果的に外部の攻撃を防御する。
b. OSやアプリケーションには常に最新のセキュリティパッチを適用する。ただし、検証の結果、業務上支障があると認められる場合には、他の方法により脆弱性に対処する。 |
| ワンポイントアドバイス
セキュリティパッチは、正当な供給元から取得したもののみを使用することが大切です。 |
【8.9 構成管理】
| 実施手順(例) |
| システムの構成要素とその相互関係を理解し管理するため、台帳や構成管理ツールを用いて、ハードウェア、ソフトウェア、ネットワーク機器、設定ファイルなど、システムを構成するすべての要素の情報を把握する。 |
| ワンポイントアドバイス
ハードウェア・ソフトウェア・サービス・ネットワークが、必要とされるセキュリティ設定により正しく機能し、認可されていない変更や誤った変更によって構成が変えられないようにすることが大切です。 |
【8.10 情報の削除】
| 実施手順(例) |
| a. 業務上必要がなくなったデータは速やかに削除する。
b. 記憶媒体上のデータを削除する際は、データ消去ソフトを使用し、復元できないよう、完全に削除する。 c. ハードディスクを廃棄する際は、磁気データ消去装置を用いてハードディスクのデータを削除してから廃棄する。 |
| ワンポイントアドバイス
取扱いに慎重を要する情報などの機密情報については、必要がなくなった時点で速やかに削除することが大切です。情報を保有していることがリスクなので、不要な情報は持ちつづけないことが重要です。 |