取扱いに慎重を要するデータ（個人情報や重要情報）の保護が必要である場合、データマスキング・仮名化・匿名化などの手法を使用して保護することが大切です。これにより、データが万が一漏えいしても、その内容を第三者に理解されることを防げます。

b.     ファイル共有ソフトの使用を禁じる。

c.      重要な情報が画面に表示されている場合は、スクリーンショットや写真を撮ることを禁じる。

d.     ファイアウォールやIDS、IPSなどによって不正アクセスを防止する。「8.20 ネットワークのセキュリティ」に従う。

e.      重要データについてアクセス制限を設ける。「8.3 情報へのアクセス制限」に従う。

f.       重要データは暗号化して保管する。「8.24 暗号の使用」に従う。

個人やシステムによる情報の認可されていない開示・抽出を検出し、防止することが大切です。

b.     バックアップ情報は、主事業所の災害による被害から免れるために、十分離れた安全でセキュリティを保った場所に保管する。

c.      情報システム管理者は、バックアップが確実に行われており、障害時に復元が可能か否かを月に1度チェックする。

クラウドサービスを利用している場合は、クラウド環境にあるデータのバックアップも作成しているか確認することが大切です。ランサムウェア対策として、バックアップは2つ作成し、1つはネットワークから隔離したオフサイトで保管することが大切です。

b.     緊急の場合、速やかに予備の機器に切り替えられるよう、動作確認を月に1回行う。

冗長な構成要素および処理活動を常に作動させておくか、緊急の場合に自動または手動で作動させるかを確認します。常に作動させておく場合は、稼動状況を確認することが大切です。

b.     情報システム管理者は、必要に応じてログの定期的なチェックを行う。

c.      ログは、情報システム管理者またはその指名する担当がアクセスできるようにする。

d.     情報システム管理者は、運用担当者がサーバーで行った作業を確認する。確認は、作業ログ、または日報・サーバー作業記録の閲覧により行う。

セキュリティインシデントの分析、警告および調査のために、システム間のログを相関づけられるようにすべてのシステムが同期した時刻源（8.17 クロックの同期を参照）を持つことが重要です。

通常時およびピーク時のシステム使用率や、各利用者または利用者グループの通常のアクセス時間・アクセス場所・アクセス頻度を考慮して正常な行動・動作の基準を確立し、基準に照らして異常を監視することが大切です。

b.     すべての情報システムのクロックを同期させるために、NTPを使用する。

イベントログは、調査や法令や懲戒が関わる場合の証拠として必要となる可能性があり、不正確な監査ログは証拠の信頼性を損なう可能性があります。コンピュータ内のクロックを正しく設定し、イベントログの正確さを確実にすることが重要です。

b.     その他のユーティリティプログラムが必要となった場合は、情報システム管理者の承認を得た上で利用する。

情報システムの大半には、パッチ適用・ウイルス対策・バックアップ・ネットワークツールなど、システムやアプリケーションによる制御を無効にできる1つ以上のユーティリティプログラムが組み込まれています。不要なユーティリティプログラムは、すべて除去・無効化することが大切です。また、特権的ユーティリティの中には、データベースの中身を、その整合性を気にすることなく強制的に書き換えることができる機能や、他の利用者の権限でデータを操作できる機能をもったものがあります。こうした特権的なユーティリティを野放しにすると組織の情報セキュリティが保てなくなるため、厳しく利用を管理する必要があります。

b.     PCを含む社内の情報システムで使用するソフトウェアは、原則情報システム管理者によって指定されたもののみ使用し、それ以外のソフトウェアを使用する場合は、事前に許可を得るものとする。他社が開発したソフトウェアを利用する場合、その開発会社が要求している条件やスペックを満たす環境で運用する。

c.      情報システム管理者は、利用者がインストール可能なソフトウェアを定期的に見直す。

d.     利用者は認可されていないソフトウェアをインストールしてはならず、業務上、必要な場合は、情報システム管理者の承認を得た上でインストールする。

e.      ファイル共有ソフトなど、ウイルス感染や不正アクセスなどの原因となりやすいソフトウェアのインストールを禁じる。

組織は、利用者がインストールできるソフトウェアの種類について、厳密な規則を定めて施行することが大切です。

a.      開発の初期段階でセキュリティ要件を明確化する。

b.     開発環境は、「8.31 開発環境、試験環境及び運用環境の分離」の「b. セキュリティに配慮した開発環境」に従う。

c.      開発の各段階でセキュリティレビューを行い、セキュリティ要件が満たされているかを確認する。

d.     開発したシステムに脆弱性がないかテストする。

e.      開発文書（仕様書、設計書、テスト仕様など）は、必要最低限の者だけがアクセスできるようにする。

f.       受託開発または客先への派遣による開発では、クライアントから提示のあったセキュリティの方針・ルールなどに従う。

ソフトウェアやシステムのセキュリティに配慮した開発のための規則を定めることが大切です。

b.     セキュリティに配慮したシステムを構築するための原則は、以下の通りとする。

⚫︎ 情報セキュリティ事象を防止・検知し、対応するために必要な管理策を分析すること。

⚫︎ 情報セキュリティ要求事項を満たすための費用・時間・複雑さを考慮すること。

ネットワークを介してアクセス可能なアプリケーションは、ネットワークに関連した脅威を受けやすいため、リスクアセスメントの実施や、管理策を決定することが大切です。

b.     開発の各段階でセキュリティレビューを行い、セキュリティ要件が満たされているかを確認する。

c.      開発したシステムに脆弱性がないかテストする。

セキュリティに配慮したシステム構築の原則および確立した構築手順は、構築プロセスにおけるセキュリティレベルの向上に有効に寄与していることを確実にするため、定期的にレビューすることが大切です。

b.     セキュリティ上の問題を発見しやすくするため、設計は可能な限りシンプルにする。

c.      ユーザーには必要最小限の権限・機能を与える。

d.     他のシステムに送信するデータは、サニタイズ（特殊文字を一般的な文字に変換すること）を行い、不正操作を防止する。

コーディングの原則が定められていない場合、コードの書き方がそれぞれ異なってしまうことで、コードが読みづらく、脆弱性が生まれる危険性があります。セキュリティに配慮したコーディングの規則を定め、コードの書き方を統一することが大切です。

b.     システムの受入れ試験

⚫︎ 情報システムの導入または改修の際は、受入れ時に動作確認を行う。

⚫︎ 必要に応じて受入れテストの仕様書を作成し、確認を行う。

⚫︎ 必要に応じて、コード分析ツールや脆弱性スキャナのような自動化ツールを利用し、セキュリティに関連する欠陥を修正する。

⚫︎ 受入れ試験の結果は、受入れ部門の管理者および情報システム管理者が承認する。

効果的な試験を確実にするために、試験環境、ツール、技術の試験および監視も考慮する必要があります。

a.      「委託先審査票」によって委託先を評価、選定、およびあらかじめ定められた頻度（最低年1回）で再審査し、また、契約の履行状況を監視する。

b.     委託先との契約を締結する。（契約書には情報セキュリティ要求事項を含める。）

c.      成果物の品質および正確さを評価するため、「8.29 開発及び受入れにおけるセキュリティ試験」に定める「b. システムの受入れ試験」を実施する。

外部委託したシステム開発に関する活動を随時、指導、監視およびレビューすることが大切です。

⚫︎ セキュリティに配慮した開発環境

開発は、開発業務を行わない従業員から分離した場所およびシステムにて行う。また開発環境は、運用環境から分離する。

⚫︎ ソースコードおよび設定ファイルは、不意の消去や改ざんから保護するため、必要最小限の者だけがアクセスできるようにする。

開発および運用環境に変更を加える際は、組織としての事前レビューおよび承認を徹底することが大切です。

1.      変更の承認

変更を行う前にその変更の必要性、変更が及ぼす影響、変更によるリスクの変動について評価し、情報システム管理者の承認を得る。

2.      変更のテスト

変更を適用する前に、情報システムへの影響を確認するためにテストを行う。

3.      変更の監査

変更後に変更が適切に行われたか否かを監査によって確認する。

b.     情報システム管理者は、サーバーに周辺機器を接続する場合や、サービスパックを適用する場合、事前に情報収集し、問題の有無を確認する。万が一、適用後に問題が生じた場合は、再インストールすることで問題解決を即座に実施する。

c.      OSやパッケージソフトウェアを変更する際は、情報システム管理者はテスト機や予備機を用いて、現在の情報システムが変更後のOS上で問題なく動作するかを検証する。

d.     パッケージソフトウェアのカスタマイズを原則として禁じる。万が一、修正を行う場合は、動作上の影響およびベンダーから将来的に受けるサポートへの影響を考慮し、情報システム管理者の許可を得る。

変更管理手順は、情報の機密性、完全性、可用性を確実にするために、設計の初期段階からその後のすべての保守作業までのシステム開発のライフサイクル全体にわたって文書化し、実装することが大切です。

b.     実データをテストデータとして使用する場合は、情報システム管理者の承認を得てから使用する。テスト終了後は、実データを直ちに削除し、情報システム管理者に対して報告する。

テストデータは、注意深く選定し、保護し、管理することが大切です。

b.     情報システムのメンテナンスなどにより情報システムの稼動を停止する場合は、業務への影響を及ぼさない範囲または時間帯で行うように計画する。

運用システムのアセスメントを伴う監査活動およびその他の保証活動を計画し、試験者と管理層の間で合意することが大切です。

b.     社内ネットワークへ接続する際は、情報システム管理者の承認を受け、指示された手順に従う。

c.      情報システム管理者は、ネットワークにおける社外との境界にはファイアウォールを設けるなど、不正侵入対策を施す。

d.     ネットワーク装置のファームウェアの定期的なアップデートを行う。

e.      他人のID、パスワードで、社内ネットワークに接続することを禁じる。

f.       一旦、社内ネットワークから切り離したパソコンなどは、ウイルスチェックなどの安全確認を行ってから再接続する。

g.     持ち込みおよび私有PC利用の場合は、社内ネットワークに接続しない。やむを得ず接続する場合は、情報システム管理者が指定するソフトウェアによりウイルスチェックを行う。

h.     無線LANを使用する場合は、情報システム管理者の承認を得て、暗号化、接続パソコンの認証など、十分な安全対策を実施する。

i.        不特定が利用できる公衆無線LANやWi-Fiスポットに接続することは禁じる。

ネットワークや、ネットワークをサポートする情報処理施設における情報を、ネットワークを通じた危険から保護することが大切です。

b.     情報システム管理者は、ネットワークサービスを利用する場合は、ネットワークサービス提供者とSLAを締結する。

ネットワークサービスには、接続・プライベートネットワークサービスおよびネットワークセキュリティ管理のためのソリューション（ファイアウォール、IDSなど）が含まれます。

b.     メール、Webサーバーなどの公開サーバーは、社内のネットワークと分離する。

c.      ゲスト用の無線アクセスネットワークを、社内用の無線アクセスネットワークから分離する。

各領域の境界は、明確に定めることが大切です。ネットワーク領域間のアクセスが認められる場合は、境界にファイアウォールなどを設けて制御することが大切です。