第5章 物理的及び環境的セキュリティ
セキュリティを保つべき領域
【管理目的】組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため。
【管理方針】情報資産を保護するための施設、部屋等のセキュリティ管理策を維持する。
物理的セキュリティ境界
【要求事項】
情報及び情報処理施設のある領域を保護するために、物理的セキュリティ境界(例えば、壁、カード制御による入口、有人の受付)を用いること。
【実施管理策】
(1) 第三者アクセスからの保護:当社のオフィス、コンピュ−タ施設及びその他重要な情報資産がある場所は、ガードマン、受け付け担当等のスタッフによって、守られなければならない。
(2) 物理的セキュリティ計画:当社の全てのコンピュータ施設は、物理的セキュリティ計画が立案され、毎年設備担当管理者によってレビューされなければならない。
(3) コンピュータ施設の場所:サーバや通信設備は、ビルの1階で水や火を扱う場所から離れ、外壁から離れた窓の無い内壁に囲まれた場所に設置する。
(4) コンピュータ施設の防火:コンピュ−タ施設を囲う防火壁は、耐火性で最低1時間の火災に耐えるものである。又そこに設置するドアや換気ダクトは火災の際、自動遮蔽式でなえければならない。
(5) コンピュータ施設のドアの強さ:コンピュータ施設に付けるドアは、無理に押し入ることができない、十分な強度がなければならない。
(6) コンピュ−タ施設のドアの開閉:コンピュータ施設のドアは、開けたら直ちに自動的に閉じるものでなければならない。又開いたままの時に作動するアラームが確実に動作するか定期的に検査しなければならない。
(7) コンピュータ施設の第2ドア:コンピュータ施設の入口のドアには第2ドアを、入退室管理システムとともに設置する。
物理的入退室管理
【要求事項】
セキュリティを保つべき領域は、認可された者だけにアクセスを許すことを確実にするために、適切な入退管理策によって保護すること。
【実施管理策】
(1) 重要情報に対するアクセス制御:重要情報を含む全てのオフィス、コンピュータ室、作業場所は、物理的なアクセス制御を施さなければならない。
(2) オフィスの施錠:オフィスを無人にする場合は、必ず施錠すること。
(3) IDバッジ:全ての従業員は、安全が保たれた施設内では、IDバッジを衣服の上に着用しなければならない。IDバッジは写真と情報が明瞭に見えなければならない。
(4) 仮IDバッジ:従業員がIDバッジを忘れた場合、1日限りのIDバッジを適用しなければならない。IDの発行には免許証等写真付きの証明手段によって行われる。
(5) バッジによるアクセス制御:従業員はアクセス制御された入口で、各自のバッジのアクセス権限が確認されなければ、入る事が許可されない。
(6) 同時アクセスの禁止:従業員はセキュリティで制限されたエリアに入る入口等を通過する際、同時に見知らぬ他人が通過することが無い様に注意しなければならない。
(7) データセンターの2重扉:データセンターの人が通行する入口は、インターロック式の2重扉を備え、不審者のすり抜けを防ぐ。
(8) 物理的不正アクセスの試みの禁止:従業員は組織の認可されていない施設の、物理的不正アクセスを試みてはならない。
(9) 持ち物検査:組織の施設を出る全ての人は、守衛によりバッグ類の中を調べられなければならない。
(10) アクセス制御記録の維持:施設等のセキュリティ部門は、直近の物理的アクセス記録を最低3か月間は保持しなければならない。
(11) 退職社員のアクセス権限の失効:社員が退職してオフィスを去る時、その社員が使用していた物理的アクセス権限を全て失効させるか、変更しなければならない。
(12) 退職社員の重要施設へのアクセス権限の無効:退職社員の重要施設へのアクセス権限は直ちに無効にしなければならない。
(13) 管理職の物理的アクセス権限監査:管理職の物理的アクセス権限は常に更新され、アクセス権限を持つ他の委任された管理職によって、定期的にレビューされなければならない。
(14) IDバッジ付与状況報告:各部門に於けるIDバッジ付与状況を部門長に対して毎月報告し、レビューを受けなければならない。
(15) 外来者の認証:組織のセキュリティ制限領域に入ろうとする外来者は、写真付きの証明を提示し、入場記録にサインしなければならない。
(16) 来訪者への同伴:オフィスを含め組織の施設への外来者は、認可された社員が必ず同伴しなければならない。これには顧客、元社員、社員の家族、保守契約社員、宅配業者、警察官等制限が無い。
(17) 時間外の来訪者に対する同伴:通常業務時間外の組織の施設、オフィスへの来訪者に対しては、認可された部門のマネージャが同伴しなければならない。
(18) 第三者の監視:認可された契約社員やコンサルタント等、社員で無い者が重要な情報資産のある場所にいる時は、常に監視しなければならない。
(19) IDバッジを付けていない場合:正しいIDバッジを付けていない人物を発見したら、直ちにその旨を質問し、受付へ同行させなければならない。
(20) 同伴者のいない外来者:従業員は組織のセキュリティ領域内を同伴者無しでいる外来者を発見したら、直ちに質問し受付や守衛所へ同行させなければならない。
(21) データセンターやコンピュータルームへの来訪者:機器のメンテナンス等以外、明らかにそこに用事がないと思われる外来者を、データセンターやコンピュータルームへ入室させてはならない。
(22) コンピュータ及び通信システムへの物理的アクセス:サーバや通信システムが収められたビル等は、物理的セキュリティ規定に従い、外部からの不正アクセス対策を講じなければならない。
(23) 重要情報を取り扱う場所:重要な情報を取り扱う場合、不正アクセスや情報に損傷を与えない物理的に保護された場所で行わなければならない。
(24) コンピュータルームへのアクセス:プログラマーやコンピュータユーザ等以外、業務上不要な者はコンピュータルームへの立ち入りを禁止する。
(25) コンピュータルームスタッフのアクセス:コンピュータルームの運用管理者は、4半期毎に、コンピュータルームにアクセスするスタッフのリストをレビュー、更新しなければならない。
(26) メディア保管場所へのアクセス:重要な磁気メディア、書類の保管場所は、一般従業員のアクセスを制限する。
(27) コンピュータ施設の見学:一般へ、主要なコンピュータや通信施設の見学を実施する場合、従業員が同伴する。
オフィス、部屋及び施設のセキュリティ
【要求事項】
オフィス、部屋及び施設に対する物理的セキュリティを設計し、適用すること。
【実施管理策】
(1) 不正な監視装置、盗聴装置等の捜索:通信システム部門マネージャは、重要施設内に不正な盗聴装置や録音装置等が無いか、定期的に捜索をする。
(2) サーバや通信機器の保護:サーバや主要な通信機器は鍵の架かる部屋に保護する。
(3) コンピュータルームのドアが開放されている時:コンピュータルームのドアが開放状態にある時は、施設保安部門の要員によって、監視しなければならない。
(4) 機密情報保管エリア内の機器:組織の機密情報保管エリア内には、プリンター、コピー、FAXを設置してはならない。
(5) コンピュータ及び通信システムセンターの掲示:コンピュータ及び通信システムセンターの建物、部屋を示す掲示をしてはならない。
外部及び環境の脅威からの保護
【要求事項】
火災、洪水、地震、爆発、暴力行為、及びその他の自然災害又は人的災害による被害からの物理的な保護を設計し、適用すること。
【実施管理策】
(1) 重要な情報資産が格納された部屋には火災に対する監視及び消火設備を備える事。
(2) 情報のバックアップは、別な建物に保管する等、災害の影響を受けない事。
(3) 重要な情報資産が格納された施設、部屋はそれと判る表示をしない事。
セキュリティが保たれた領域での作業
【要求事項】
セキュリティを保つべき領域での作業に関する物理的な保護及び指針を設計し、適用すること。
【実施管理策】
(1) コンピュータセンターの人員配置:組織の主要なコンピュータセンターは、1年365日、1日24時間、技術スタッフを常駐させなければならない。
(2) 携帯電話の使用:マシン室内での携帯電話の使用は禁止する。
(3) 制限エリア内での作業:重要な情報がある制限エリア内では一人きりで作業をしてはならない。
(4) 制限エリア内での作業時間:認可された従業員の、重要情報が存在する制限エリア内での作業は、認可された時間内に限られる。
(5) 廃棄処分となった情報機器の格納:廃棄処分となった情報機器の格納場所は施錠し、できればリモートで監視できる様にする。
(6) 通信機器エリア:主要な通信機器(電話交換機、ルータ、ハブ、通信関連サーバ等)が収まる部屋は常に施錠される。もし外来者入室する場合は認可された技術スタッフが同伴し行動を監視する。
(7) 録音又はビデオ機器:組織の制限エリア内でカメラ、録音機、ビデオの使用を禁止する。
一般の人の立ち寄り場所及び受け渡し場所
【要求事項】
一般の人が立ち寄る場所(例えば、荷物などの受渡し場所)及び、敷地内の、許可されていない者が立ち入ることもある場所を管理し、また、可能ならば、認可されていないアクセスを避けるために、それらの場所を情報処理施設から離すこと。
【実施管理策】
(1) コンピュータルームへの配送:コンピュータルームは、そこへの物品の受け渡しの為に安全な受け渡しエリアを設けなければならない。
装置のセキュリティ
【管理目的】 資産の損失、損傷又は劣化、及び業務活動に対する妨害を防止するため。
【管理方針】IT機器及び設備を誤用、不正及び災害等から保護する管理策を維持する。
装置の設置及び保護
【要求事項】
装置は、環境上の脅威及び危険からのリスク並びに認可されていないアクセスの可能性を軽減する様に設置又は保護する事。
【実施管理策】
(1) 喫煙、飲食ポリシー:従業員、来客は、コンピュータルーム内のフリーアクセスフロア上での喫煙、飲食を禁止する。
(2) 業務用システム機器の配置:組織の業務システム用のサーバ、ルータ、ファイヤーウォール、ネットワーク機器等は、物理的に保護されたデータセンター内に設置する。
(3) コンピュータセンターの住所の公開:組織のコンピュータセンターの住所は、明らかな理由が無い限り公開してはならない。
(4) コンピュータセンター環境管理:組織の各コンピュータセンター現地管理者は、火災感知、消火設備、電源供給、温湿度装置等、コンピュータの環境に関する装置類を適切に保守しなければならない。
(5) 静電気対策:静電気放電から,PCやワークステーションを守る為に、情報システム部門により認可された方法を用いなければならない。
(6) コンピュータの分散配置:コンピュータを地理的に分散させて配置する場合、運用上の不都合、セキュリティ上の不都合が無いことを確認しなければならない。
(7) バックアップセンターの配置:組織のデータセンターは、地理的に離れた3か所に分けて設置しなければならず、それらは同じ電力配電所、通信交換局を共有してはならない。
(8) 私物コンピュータの持ち込み:従業員は事前に部門長の認可無しに、私物であるコンピュータ、周辺機器、ソフトウェアを組織ないに持ち込んではならない。
(9) ワークステーションの施錠:組織内の全てのワークステーションは施錠される。鍵のコピーは部門管理者によって配布された物を使用しなければならない。
(10) 装置ラックの背面扉:コンピュータセンター内の機器ラックの背面扉は、認可された技術スタッフ、修理、保守点検の用以外は鍵をかけておく。
(11) 電子商取引や金融システムのサーバ:インターネットを利用した商取引や、金融システムのサーバは物理的に隔離し、安全に配慮しなければならない。
(12) 第三者との隔離:組織の社員が管理するコンピュータ及び通信機器は、第三者が管理する機器とは物理的に隔離しなければならない。
(13) データセンターのロケーション:新たにデータセンターの設置を検討する場合、自然災害、人的な事故、暴動等の問題を考慮して場所を決定すること。
(14) コンピュータセンターの構造:コンピュータセンターを新築、改築する場合、耐火、対水害、暴動その他地域に特有のリスク考慮した構造を持たなければならない。
(15) 洪水予防:コンピュータセンターの洪水によるダメージを最小限にする計画を、情報セキュリティ部門が策定しなくてはならない。
(16) コンピュータセンターの警報:コンピュータセンターは、火災、水害、侵入に対する自動警報装置を備えなければならない。
支援ユーティリティ(電源)
【要求事項】
装置は、支援ユーティリティの不具合による、停電、その他の故障から保護すること。
【実施管理策】
(1) 電源供給装置:全てのPC及びワークステーションは、情報セキュリティ部門により認可された、無停電装置、電源フィルター装置又はサージ電流遮断装置等から電源供給を受けなければならない。
(2) 供給施設の多重性:新設するコンピュータセンター、通信センターは、2か所以上の電力配電所、通信交換局からのサービスを受けられる場所とする。
ケーブル配線のセキュリティ
【要求事項】
データを伝送する又は情報サービスを支援する通信ケーブル及び電源ケーブルの配線は、傍受又は損傷から保護すること。
【実施管理策】
電源及び通信ケーブル:電力及び通信ケーブルの敷設及び保守は、登録された業者が行う。この業者は業界の最新安全基準に従う。
装置の保守
【要求事項】
装置についての継続的な可用性及び完全性の維持を可能とするために、装置を正しく保守する事。
【実施管理策】
(1) 製品登録:全ての情報システム製品(ハード、ソフト)は購入時、又は登録がされていない事が判明次第、直ちに適切なベンダーへ登録をしなければならない。
(2) 予防保守:全てのコンピュータ及び通信機器は、予防保守を実施しなければならない。
(3) 装置の保守:業務システム用の情報機器は、ベンダーの定める保守仕様に従って保守をしなければならない。又保守、修理の対応は認可された業者が行う。
(4) ハード、ソフトの維持:ハード、ソフトは組織で保存している古いメディア類を読み出す事ができる様に、使用しなくなっても維持しなくてはならない。
(5) コンピュータの構成変更:組織によって与えられたコンピュータの構成を、部門管理者の了解無しに変更及び追加をしてはならない。
構外にある装置のセキュリティ
【要求事項】
構外にある装置に対しては、構外での作業に伴った、構内での作業とは異なるリスクを考慮に入れて、セキュリティを適用すること。
【実施管理策】
敷地外使用の承認:経営陣は敷地外での情報機器使用について、全て認可を判断しなければならない。
装置の安全な処分又は再使用
【要求事項】
記憶媒体を内蔵した装置は、処分する前に、取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること、又は問題が起きないように上書きしていることを確実にするために、すべてを点検すること。
【実施管理策】
(1) 機器の譲渡:情報機器を他社等へ譲渡する場合、重要情報を全て取り除く事を確実にしなければならない。
(2) 情報及び機器の廃棄:部門責任者は、不要になった情報や機器の廃棄について、情報セキュリティ部門が定めた手順で確実に行う責任がある。これはCD-ROM等消去できないメディアの情報やソフトについても同様である。
資産の移動
【要求事項】
装置、情報又はソフトウェアは、事前の認可なしでは、構外に持ち出さないこと。
【実施管理策】
(1) 荷物検査:ノートパソコンや携帯電話等情報機器は、適切な検査をパスしなければ敷地外へ持ち出す事はできない。
(2) メディアの持ち出し:全ての情報メディアは組織から持ち出す場合、正式な認可手順に従い建物の守衛所で記録する。
(3) 装置の持ち出し、返却を記録する。この記録は3年間以上保存する。
【関連文書】「持ち出し返却記録簿」
コメントする