第7章 アクセス制御
アクセス制御に関する業務上の要求事項
【管理目的】情報へのアクセスを制御するため
【管理方針】情報へのアクセスを、情報資産の分類、取扱及び利用の許容範囲に従った制御を行い、不正アクセスを防ぐ。
アクセス制御方針
【要求事項】アクセス制御方針は、アクセスについての業務上及びセキュリティ要求事項に基づいて確立し文書化し、レビューしなければならない。
【実施管理策】
(1) ハッキング行為:従業員は組織の設備を使って、いかなるハッキング行為を行ってはならない。ハッキングとは次の様な行為を言う。不正に他のシステムに侵入し、データを損傷、改ざん、業務の妨害、パスワードの入手、暗号キーの入手等その他アクセス制御の仕組みを犯す行為である。
(2) ソフトウェアの規制:組織のアプリケーション共有環境において、ユーザがアプリケーションにアクセスする場合、事前にアクセス制御メカニズムによって認証されなければならない。
(3) スタンドアロンシステムのアクセス制御:スタンドアロンシステムに於いて重要情報を取り扱う場合には、パスワードによる認証を行い、利用するアプリケーションは現行バージョンのものを使用しなければならない。
(4) 重要情報の閲覧制限:重要情報の閲覧が許可されている従業員は、その許可レベルを守らなければならない。
(5) 重要情報の書き換え制限:重要情報の書き換えが許可されている従業員には、その許可レベルを守らなければならない。
(6) ファイルのデフォルトアクセス制限:ネットワーク上のファイルは、デフォルトでアクセス制限を設定しなければならない。
(7) アクセス制御の機能不全:アクセス制御が機能不全に陥ったら、エンドユーザからのアクセス要求は拒否しなければならない。
(8) アクセス制御データベースの集中管理:アクセス制御データベースは、情報セキュリティ管理部門によって、集中管理されなければならない。
(9) コマンドラインインタープリタソフトの使用禁止:組織内のシステムにコマンドラインインタープリタ型のソフトウェアをインストールしてはならない。
(10) アクセス制御の回避行為:プログラマー及び技術スタッフは、システムのアクセス制御を回避するような仕組みをインストールしてはならない。
(11) 顧客の為の例外:アクセス制御規則は顧客の要求であっても、経営陣の承認か法的な要求以外、例外を認めてはならない。
(12) 情報収集制限:ネットワーク上にある重要情報に対するアクセスを、ある一人からの連続したアクセスを制限し、一度に大量のデータが開示される事を防ぐ。
(13) 第三者情報の公開:従業員は、第三者から委託された重要情報について、情報主体の合意又は非開示契約の合意した相手以外、公開してはならない。
(14) 組織情報の開示:組織の情報や業務活動についての問い合わせは、自社の経営陣を除いて、広報部門を通して行う。
(15) 顧客業務情報の開示:従業員は当社の顧客情報を、他人に公開してはならない。
(16) マーケティング情報の開示:従業員は組織のマーケティング情報(価格、売上高、販売方針、販売計画、市場占有率等)を競合相手に開示してはならない。
(17) 公衆への情報リリース:組織の情報を広報する場合、特定の担当者からのみ、行われ、外部からの問い合わせ先も同一とする。
(18) 訴訟事案の開示:第三者から訴訟についての開示要求に、行政関係者以外応じてはならない。
(19) 組織情報の開示:マスコミや第三者からの組織情報の要求は、経営陣の許可を得なければ開示してはならない。
(20) 予想収益情報又は新製品情報:従業員は予想収益や新製品に関する情報を開示してはならない。
(21) 外部からの開示要求対応:第三者からのセールス、マーケティング、広報以外の組織情報の要求は、オーナーと組織内の委員会に於いて最低5日間の評価期間を置いて決定される。
(22) 重大な問題情報:組織の重大な問題情報は、特定の任命者に報告されねばならない。
(23) 求人広告:求人広告類の出稿は、人事部門の了解を得なければならない。
(24) 公衆への情報リリース:全てのリリースする情報は、経営陣により法的及び文書化プロセスをレビューする。
(25) 公衆への発表資料:公衆への発表資料(スピーチ、プレゼンテーション、技術資料等)を配布する前に、直属の上司の承認を得る。
(26) 情報開示の承認:全ての情報開示及びネットワークでの送信は、法務部門責任者の承認を得なければならない。
(27) 組織の重要情報の所在場所:組織の重要情報の所在場所は、公開する明らかな理由が無い限り、秘密にしなければならない。
(28) ハッキング行為:従業員は組織のコンピュータ、ネットワークを使用してハッキング行為をしてはならない。
(29) 成熟したセキュリティ製品の使用:セキュリティ製品の使用は、リリースしてから最低1年を経過した、成熟した製品を使用しなければならない。
(30) セキュリティツールの開発:情報システム部門は、セキュリティに関するツール、暗号アルゴリズム等を開発してはならない。
(31) セキュリティ対策の使いやすさ:全てのコンピュータ及び通信システムのセキュリティ対策は使いやすいものでなければならない。
(32) 情報システム担当者の権限付与:情報システム担当者のアクセス権限は、情報セキュリティ責任者の書面による承認をもって与える。
(33) セキュリティシステムの独立性:コンピュータシステムは各々独立したセキュリティ機能を有し、共有してはならない。
(34) アクセスの承認:組織の情報は常に情報オーナーによって、必要最小限の者にアクセスを認可されなければならない。
利用者のアクセス管理
【管理目的】情報システムへのアクセス権が、適切に認可され、割り当てられ、維持されていることを確実にする為。
【管理方針】施設、部屋等への入退室や、書類情報へのアクセスを含め、情報へのアクセスの為のユーザを管理する枠組みを持ち、管理する。
利用者登録
【要求事項】すべての情報システム及びサービスへのアクセスを許可及び無効とするために、利用者の登録・登録削除についての正式な手順を備えること。
【実施管理策】
(1) 匿名IDの禁止:IDは連続した数字で、番号とユ−ザ名とが明確に関係付け、匿名のIDを作成してはならない。
(2) ユーザID規定:ユーザIDは規定に従って割り当てなければならない。規定にはIDと名前、一般的に許可される事、肩書き、役割が記述される。
(3) 単一のIDとパスワード:ユーザには1個だけのIDと個人で定めるパスワードを与え、それでコンピュータ及びネットワークにアクセスすること。
(4) 非従業員のIDの期限:非従業員に与えるIDの有効期限は、明確に定めなければならない。特に定めが無い場合の期限は30日間とする。
(5) ID権限の停止:従業員のID権限は、その任務の必要が無くなり次第直ちに停止しなければならない。
(6) ユーザIDの期限:全ての共有コンピュータ用のIDには有効期限を定める。有効期限の終了後2週間はIDと関連するファイルは保持されることとする。
(7) 固有のユーザID:ユーザIDは個人に固有に割り当て、グループIDや共有を禁止する。
(8) 一般ユーザIDの禁止:ユーザIDは個人毎に割り当てるのみで、業務にIDを割り当て複数人で共有させてはならない。
(9) IDの再使用:IDが退職等で使用を停止した場合、再使用をしてはならない。
(10) ユーザID名前規則:ユーザIDの名前付けはIT部門が定めた名前規定に従う。
(11) 複数のユーザID:従業員は最低2セットのユーザID、パスワードを持たなければならない。1つはインターネットアクセス用で、もう一つは内部ネットワークアクセス用である。
(12) システムアクセスの権限変更:システムアクセスに対する権限の変更は、そのユーザの直属の上司による認可に従い、許可される。
(13) 休眠IDの権限停止:30日間に渡り活動の無いIDは、その権限を停止する。
(14) ユーザID契約:従業員にユーザIDを与える前に、機密保持契約と情報セキュリティ合意契約にサインをしなければならない。
(15) 組織変更の報告:経営陣は組織変更により、従業員の職務に変更が生じたら、直ちに情報セキュリティ責任者に報告し、管理者はIDの権限に反映させなければならない。
(16) 職務変更の通知:ユーザは自身の職務の変更について、情報セキュリティ責任者に通知しなければならない。
(17) 異動者に対するレビュー:従業員が異動する場合、直属の上司はその部下の書類、ファイルをレビューしてセキュリティ上の問題が無いことを確認する。
(18) 退職社員のファイルの削除:従業員の退職4週間後には、その従業員のディレクトリ、ファイルを完全に削除しなければならない。
(19) ユーザIDの有効期限:インターネットアクセスに使用するユーザIDは、6か月に1度、再配布される。
(20) 新しいアカウントの最初の認証:新しいアカウントの最初の認証は、最も確実な方法で認証しなければならない。
【関連文書】「アクセス権限一覧表」「ネットワーク/システム利用申請書」
特権管理
【要求事項】特権の割り当て及び使用は、制限し、管理すること。
【実施管理策】
(1) 権限登録:全てのユーザのコンピュータ、ネットワーク、プログラムに対する権限は制限されるべき事項を登録しなければならない。
(2) 権限の付与制限:全ての従業員のコンピュータ、ネットワーク、プログラムへのアクセス権限は、経営陣の管理による明確な指示がない限り、権限を与えずデフォルト権限を与えない。
(3) 管理特権:全ての共有コンピュータ、通信システムは、管理特権により特別な管理を行える機能を備えなければならない。
(4) システム特権付与の条件:システム特権、例えば他人のファイルを検査できる等の権限は、システム又はセキュリティ管理者に与えられるが、その任務を行う担当は正規の教育コースを終了しなければならない。
(5) 特権の管理責任:特権は業務上必要な数に限って、必要な人以外に与えてはならない。
(6) システム管理者に与えるID:特権を持つシステム管理者には、最低2個のIDを与えなければならない。一つは特権IDであり、もう一つは通常ユーザとしてのIDである。
(7) 一般ユーザに特権を与える場合:一般ユーザに特権を与えなければならない場合、直属の上司、情報オーナー、ITマネージャの承認を得なければならない。
(8) OSコマンドアクセス:エンドユーザはコンピュータで使用できるメニューと機能は限られ、OSのコマンド操作等は許可されない。
(9) 業務情報の更新:業務情報の更新には、該当する業務部門スタッフが当たらなければならない。たとえ特権があろうとIT管理者、プログラマー等が業務部門担当者の立ち会い無しに行ってはならない。
(10) ユーザIDデータベース:ユーザIDデータベースは現時点の状況を反映する様に維持管理されなければならない。
(11) 特権付与手順:特権の付与は定められた手順に従って行われる。
【関連文書】「アクセス権限一覧表」「ネットワーク/システム利用申請書」
利用者のパスワードの管理
【要求事項】パスワードの割り当ては、正規の管理手続きによって統制すること。
【実施管理策】
(1) 初期パスワード:初期パスワードは、最初のログインが成功し、そのプロセスが完了するまでに別なパスワードに変更しなければならない。
(2) リモートユーザの初期パスワード:リモートユーザの初期パスワードの送信は、組織の通信チャネル以外の、第三者認証機関を経由して行わなければならない。
(3) パスワード変更の確認:全ての固定パスワードが、変更を実施しているかメールにより確認され、詐称や不正使用が行われていないことを確認する。
(4) メールや郵便によるパスワードの送付:通常のメールや郵便でパスワードを送る場合、IDとパスワードは別送し、郵便の封筒は中身が透けて見えない等の配慮をすること。
(5) パスワード忘れ:パスワードを忘れたり間違えたりした場合、再度新しいID、パスワードの発行を行い、正しいパスワードを教えることはしない。
(6) ロックアウト後のパスワード再使用:パスワードは3回のトライで無効にされ、再使用にはヘルプデスクにより、本人が認証された後許可される。
(7) パスワードのソフトへの埋め込み:パスワードをソフトウェア等に固定的に設定してはならない。
(8) パスワードの流用発覚後の変更:パスワードの他人による流用が発覚したら、直ちにパスワードを変更しなければならない。
(9) 特権パスワードの流用発覚後の変更:特権パスワードの他人による流用が発覚したら、直ちにパスワードを変更しなければならない。
(10) 対面による認証:新しい又は変更パスワードの交付は対面により行う。
(11) パスワードの開示:セキュリティ管理者は、新しいIDの交付や、パスワード忘れに対して、2種の本人の証拠を持ってパスワードを開示する。
(12) システム使用に関する確実な認証:全てのユーザはコンピュータシステムや通信システムの使用前に、確実な認証を行わなければならない。
利用者アクセス権のレビュー
【要求事項】管理者は、正式のプロセスを使用して、利用者のアクセス権を定められた間隔でレビューすること。
【実施管理策】ユーザアクセス権限の再確認:ユーザに与えられた全てのアクセス権限は、直属の上司によって3か月に一度、そのユーザの業務に見合ったものか、見直さなければならない。
利用者の責任
【管理目的】認可されていない利用者のアクセス、並びに情報及び情報処理設備の損傷又は盗難を防止するため。
【管理方針】ユーザにアクセス管理を徹底させ、アクセスセキュリティを維持する。退社時は全ての情報資産を机上や管理外に放置してはならない。この保管は資産ラベル、資産管理台帳、資産取扱手順に基づき格納する。勤務時間中の離籍については、部外秘以上の情報資産は管理保管しなければならない。退社時のクライアントPCはログオフ及び電源をオフにしなければならない。勤務時間中の離席時のクライアントPCはログオフ及びスクリーンサーバー等を起動し表示を隠さなければならない。
パスワードの使用
【要求事項】パスワードの選択及び使用に際して、正しいセキュリティ慣行に従うことを、利用者に要求すること。
【実施管理策】
(1) パスワードの構成:パスワードは簡単に類推できるものや、辞書にある単語、ユーザIDの派生、同じ文字の連続、個人情報、言葉の一部であってはならない。
(2) パスワードの周期的利用:パスワードはあらかじめ決めたセットを周期的に使い回してはならない。
(3) パスワードの保存:パスワードは判読可能な形でファイルに格納してはならず、ログオンスクリプト、ソフトウェアマクロ、ファンクションキー等へ埋め込んでもならない。
(4) 異なるシステムのパスワード:コンピュータシステムのパスワードは、システムが異なる毎に違うパスワードを使用しなければならない。
(5) パスワードの重複:共有コンピュータ上のパスワードは、他人のパスワードと重複してはならない。
(6) パスワード漏えいの疑い:ユーザはパスワードが漏えいしたと疑われる時は、直ちにパスワードを変更しなければならない。
(7) パスワードのメモ:パスワードは、公衆が立ち入る場に書き残したりしてはならない。
(8) コンピュータ周辺のパスワードのメモ:アクセスするコンピュータの周辺に、パスワードのメモ等を残してはならない。
(9) 通信ソフトのパスワード:ウェブブラウザ、電子メール等、通信ソフトウェアにパスワードを埋め込んではならない。
(10) クッキーによる自動ログオン:ユーザは自動ログオンの為のクッキーの登録要求を拒否しなければならない。
(11) ダイナミックパスワードトークン:ワンタイムパスワード機能等を持つ、ダイナミックパスワードトークン等は、組織のコンピュータにリモートアクセスができるモバイルコンピュータと、同じ書類カバンやスーツケースに格納してはならない。
(12) ユーザID:ユーザIDはパスワードと同じものを使用してはならない。
(13) パスワードのメモ方法:パスワードをメモする場合、一見してそれと判らない、ある種の暗号手法を使用してメモしなければならない。
(14) パスワードの共有:自分のパスワードは、相手が認可されたユーザであっても、共有してはならない。
(15) 第三者のパスワード使用:ユーザは第三者にユーザID、パスワードを使用させてはならない。
(16) ユーザの責任:ユーザは自身のIDに関するあらゆる活動の責任を負い、他人に自身のIDの使用を防がなければならない。
(17) アクセスコードの共有:ユーザID、パスワード等、アクセスコードは他人に使用させてはならない。
(18) アクセステスト:従業員はアクセス制御に対する、ぜい弱性を試す様なテストを、情報セキュリティ部門の書面による許可が無い限り、行ってはならない。
(19) システムの弱点に対する攻撃:ユーザはシステムの弱点を攻撃して、情報にダメージを与えたり、他人のリソースにアクセスしたり、認可されていないシステムへのアクセスを行ったりしてはならない。
(20) ボイスメールシステムのパスワード:ボイスメールシステムのパスワードは、電話番号、オフィス番号、従業員番号等類推しやすいものを流用してはならない。
(21) 電子メールアカウント:電子メールアカウントは共有してはならず、各自独自のアカウントを持たねばならない。
無人状態にある利用者装置
【要求事項】利用者は、無人状態にある装置が適切な保護対策を備えていることを確実にすること。
【実施管理策】
(1) 使用中の離席:重要な情報を処理している最中の、PC、ワークステーション、端末装置から離れてはならない。
(2) ネットワークからの離席:ネットワークに接続中のPC等からは、ログオフしない限り、離席してはならない。
クリアデスク・クリアスクリーン
【要求事項】書類及び取外し可能な記憶媒体に対するクリアデスク方針、並びに情報処理設備に対するクリアスクリーン方針を適用すること。
【実施管理策】
(1) 勤務時間外のクリアデスク:通常の勤務時間を除き、全従業員は机、オフィスをきれいに片付けなければならない。
(2) 勤務時間中のクリアデスク:情報は認可された物が使用している以外は適切に保管し、机周りをきれいにしておかなければならない
(3) 夜勤者への注意:重要情報は、定められたロッカーに保管されるが、夜勤者等が人知れずアクセスできる様に配置してはならない。
(4) 無人の部屋:重要情報が保管された無人の部屋は、必ず施錠する。
(5) 重要情報の格納:認可された人がいないか、監視できない状況においては、重要情報は鍵付きのキャビネット、デスク又はその他家具に格納する。
(6) コンピュータの電源オフ:スタンドアロンの機器を除いて、重要な情報を扱うPC、ワークステーションは、1日の業務が終了、昼休み、セッションを切った時は、電源をオフにする。
(7) 重要情報を隠す:全従業員は、組織の機密や個人情報を持ち歩く場合等、適切に隠さなければならない。
(8) 各自ファイルキャビネットの施錠:全従業員の各自管理の重要情報を含むファイルキャビネットは、離席時必ず施錠しなければならない。又その鍵のコピーは部門責任者から支給されたものでなければならない。
ネットワークのアクセス制御
【管理目的】ネットワークを利用したサービスへの認可されていないアクセスを防止するため。
【管理方針】ネットワークに関するアクセス制御を確実にする。
ネットワークサービスの使用についての個別方針
【要求事項】利用者には、使用することが特別に認可されたサービスへの直接のアクセスだけを提供すること。
【実施管理策】
(1) サービスの中断:当社は、セキュリティ危機対応上、いつでもITサービスを予告無く中断する権利を保有する。
(2) ネットワークコンピュータアクセス制御:業務時間外でも通電しているネットワークに接続されたコンピュータに対するアクセス制御は、情報セキュリティ管理部門により適切に管理されなければならない。
(3) 外部からのネットワーク接続承認:当社以外から、ネットワークを通して組織のネットワークへの接続は、情報システム部門の承認無しに行ってはならない。
(4) 通信業者の基準:当社の通信サービスは特定の契約先からのみ供給を受けなければならない。
(5) 内部ネットワークアクセス:当社の社内サービス用コンピュータは内部ネットワーク以外からアクセスできない様にする。
(6) インターネットアクセス権限:電子メールの利用を除いて、その他のインターネットの利用については、業務上の必要を証明した上で適切な管理者の書面による承認が必要である。
(7) インターネットアクセスの制限:インターネットアクセスは調査業務のみに許可される。
(8) 業務に無関係なウェブサイト:当社の情報システム部門は、定期的に業務に関係ないウェブサイトアクセスが無いかを調査する。
(9) ウェブサイトの制限:当社の情報システム部門は、定期的に業務に関係が無く、好ましくない又は個人的な趣味のウェブサイトの訪問をフィルタするソフトウェアを使用する。
(10) 大きなファイルのダウンロード:インターネットのユーザは、ビデオストリーム、オーディオストリーム、画像ファイル等大きなファイルのダウンロードは、直属の上司の了解無しには行ってはならない。
(11) インターネット上の身分:当社のシステムを使って、又は業務でインターネットを利用する場合、身分を隠したり偽ったりしてはならない。
(12) 知的財産:従業員はインターネット上の資料を元に、生成または引用する場合、知的所有権について確認の上行わなければならない。又当社の資料をインターネット上に公開する場合、正式に承認された公開情報のみを行う。
外部から接続する利用者の認証
【要求事項】遠隔利用者のアクセスを管理するために、適切な認証方法を利用すること。
【実施管理策】
(1) リモートアクセスの為のパスワード:リモートアクセスの為のID、パスワードは空白であってはならない。
(2) 2つの要素の認証:公衆ネットワークを通したアクセスは、2つの要素を認証し、内少なくとも1つは偽装不可能な要素を認証しなければならない。
(3) 対話型リモートシステムのアクセス制御:リモートでリアルタイム対話型運用する業務システムは、アクセス制御パッケージを実行させなければならない。
(4) コンピュータが接続されたネットワークへのアクセス:当社のコンピュータに接続されたネットワークへアクセスする場合、ユーザID及びパスワードによる認証を実施しなければならない。
(5) リモートでの管理作業:インターネットを経由したリモートからのサーバ管理作業は、暗号化接続(VPN)の上、ワンタイムパスワード認証を実施する。
(6) 外部からのコマンド、EXEファイル:外部からのコマンドや実行ファイルは、ネットワークログオン中に実行してはならない。
(7) ダイアルアップユーザ認証:公衆回線ダイアルアップ接続によるコンピュータ接続は、特別のユーザ認証を実施しなければならない。
(8) ダイアルアップ接続のパスワードの試み:ダイアルアップ接続認証のパスワードの試みは3回以内とする。
(9) インターネットからの接続:インターネットから組織内LANへ接続する場合、ファイアーウォールにより情報システム部門に承認された認証を実施して行う。
ネットワークにおける装置の識別
【要求事項】特定の場所及び装置からの接続を認証するための手段として、自動の装置識別を考慮すること。
【実施管理策】ダイアルアップコールの受け入れ:情報システム部門により、認可されたダイアルアップコール以外のコールを受け入れてはならない。
遠隔診断用及び環境設定用ポートの保護
【要求事項】診断用及び環境設定用ポートへの物理的及び論理的なアクセスは、制御すること。
【実施管理策】診断ポートアクセス:全ての診断ポートへアクセスする際は、キーロック等適切な手順に基づき実施する。
ネットワーク領域の分割
【要求事項】情報サービス、利用者及び情報システムのグループを分割するための制御を、ネットワークに導入すること。
【実施管理策】
(1) 持ち込みネットワーク接続:外来者による、持ち込み機器のネットワーク接続は、当社の内部ネットワークへ接続できない様に、サブネットを構成しなければならない。
(2) 高セキュリティ、高信頼システム:全ての高セキュリティ、高信頼システムは、情報セキュリティ部門により認可された以外は、全て自営の機器で運用しなければならない。
ネットワークの接続制御
【要求事項】共有ネットワーク、特に、組織の境界を超えて広がっているネットワークについて、アクセス制御方針及び業務用ソフトウェアの要求事項に沿って、利用者のネットワーク接続能力を制限すること。
【実施管理策】
(1) 組織内部のネットワーク機器のパスワード:当社の全てのネットワーク機器、ルータ、ファイアーウォール、認証サーバ等は固有のパスワードか、アクセス制御機能を持たせなければならない。
(2) ファイアーウォールを経由しないインターネット接続:ファイアーウォールを経由しない全てのインターネット接続は、組織内部ネットワークに接続していない、スタンドアロン環境下に限って行う。
(3) 公共の場のネットワークポート:当社のロビー、カフェテリア、会議室等を含めた公共の場に、アクティブなネットワークポートを放置してはならない。
(4) 空室のネットワーク:空室や使用していない部屋のネットワークは、切断しその部屋のネットワークポートを使用不能にしなければならない。
(5) JAVAの無効:全てのインターネットユーザのウェブブラウザを、JAVAを無効に設定しなければならない。
【関連文書】「ファイアーウォールの設定ポリシー、プロトコルやポート等の通信制御」
ネットワークルーティング制御
【要求事項】コンピュータの接続及び情報の流れが業務用ソフトウェアのアクセス制御方針に違反しないことを確実にするために、ルーティング制御の管理策をネットワークに対して実施すること。
【実施管理策】ネットワークの領域分割:当社の情報ネットワークは、外部及び組織内他部門から分離した、安全領域で構成されなければならない。
【関連文書】「ネットワークのルータや、L3スイッチの設定ポリシー、ルーティングテーブルや、アクセスリスト」
オペレーティングシステムのアクセス制御
【管理目的】オペレーティングシステムへの、認可されていないアクセスを防止するため。
【管理方針】システムのOSにおけるアクセス管理を実施する。
セキュリティに配慮したログオン手順
【要求事項】オペレーティングシステムへのアクセスは、セキュリティに配慮したログオン手順によって制御すること。
【実施管理策】
(1) パスワードの試み:3回のパスワード入力の失敗の後、システム管理者がリセットするまでID、パスワードを使用停止にする。あるいは3分間の一時停止時間を設ける。又ダイアルアップユーザであれば、接続を切断する。
(2) パスワードベースの保護:コンピュータ(ワークステーション,PC、ノートパソコン,PDA等)は全て、情報セキュリティ部門により認可されたアクセス制御規則により、OSの起動を管理されなければならない。
(3) ログオン手順の失敗(1):ログオンの一部の失敗に対して、システムは全体の失敗としてユーザにフィードバックしなければならない。
(4) ログオン手順の失敗(2):ログオンの一部の失敗に対して、システムはセッションを切断しなければならない。
(5) ログオンバナー:全てのログオンバナーには次の様な警告メッセージを表示する。「システムは認可されたユーザのみがアクセスできる。」、「不正アクセスには刑事訴追により対応する。」、「システムの使用状況は監視されている。」等。
(6) ログオンバナーの表示内容:全てのネットワーク接続されたコンピュータのログオンバナーには、組織、OS、システムコンフィグ、その他内部情報が悟られる様な内容を表示してはならない。
(7) ログオンバナーの作成、承認:全てのネットワーク接続されたコンピュータのログオンバナーは、法務部門の承認により、IT部門が作成しなければならない。
(8) 最終ログオン日時:ログオン時、全てのユーザに前回のログオン日時を表示して、身に覚えの無いログオンが無かったか注意を促す。
(9) ログオン回数制限:ユーザは1日に10回以上のログオンは許可されない。
利用者の識別及び認証
【要求事項】すべての利用者は、各個人の利用ごとに一意な識別子(利用者ID)を保有すること。また、利用者が主張する同一性を検証するために、適切な認証技術を選択すること。
【実施管理策】
(1) シングルサインオン:ユーザはただ一つのID、パスワードの組を持ち、それで全てのコンピュータ、ファイアーウォール、OS、ネットワーク、アプリケーションの権限を得られなければならない。
(2) 認証デバイス:ICカード等の認証デバイスを使用する際、必ずパスワード入力を都度要求し、3回以上の失敗に対して、そのデバイスを使用不能にする。
(3) OSによるユーザ認証:当社のアプリケーションシステム開発者は、ユーザ認証に一貫してOSの機能を使用しなければならない。商用ベースの認証機能拡張を導入する際は情報セキュリティ部門の認可を得なければならない。
(4) 同時多重ログイン:コンピュータシステムは同じユーザの多重ログインを、情報システム部門の特別な認可無しに許可してはならない。
(5) 情報処理委託:個人のID及びIDに関連した個人情報の処理を外部に委託してはならない。
(6) ボイスメール等の認証:ボイスメール等の認証は、コンピュータID、パスワードとは異なっていなければならない。
パスワード管理システム
【要求事項】パスワードを管理するシステムは、対話式とすること、また、良質なパスワードを確実とするものであること。
【実施管理策】
(1) 最小パスワード長(1):全てのパスワードは最低10文字とし、パスワード入力時点で自動的にチェックできること。
(2) 最小パスワード長(2):全てのパスワードは最低10文字とし、最大長はシステムに任せる。
(3) ネットワークコンピュータのパスワード:全ての当社のネットワークに接続されたコンピュータのパスワードは最低10文字とし、オフラインのコンピュータのパスワードは6文字とする。
(4) 役割に応じたパスワード長:最低パスワード長は、ボイスメール、ハンド減る度コンピュータ等は6文字、ネットワークに接続されたコンピュータは8文字、管理者や特権ユーザは10文字とする。
(5) パスワードの再使用:ユーザはかつて明らかに使用した事の有るパスワードは、再使用してはならない。
(6) パスワード使用文字:全てのユーザはパスワードとして、最低1文字のアルファベットと、最低1文字のアルファベット以外の文字を使用する。
(7) パスワードの大文字小文字:全てのユーザはパスワードとして、最低1文字の小文字と、最低1文字の大文字を使用する。
(8) パスワード履歴:全ての共有コンピュータ上のシステムソフトウェアや自社開発の業務システムでは、一つのユーザIDに対して過去13回のパスワード変更履歴を保持しなければならない。
(9) システムによるパスワード生成:システムによるパスワード生成を利用する場合、システムクロックの下位ビットをソースにするか、その他予測不可能なソースを使用しなければならない。
(10) システムによるパスワード生成(2):ユーザの為のシステムにより生成されたパスワードは、発音できなければならない。
(11) システムによるパスワードの発行と保存:システムにより発行されたID及びパスワードは生成したら即座に発行し、そのデータは生成システムが存在するコンピュータには保存しない。
(12) パスワード記憶装置の消去:パスワード生成に使用した、メモリー領域や記憶メディアは、その使用後1と0の連続で繰り返し上書きし完全に消去する。
(13) パスワード生成システムの保護:パスワード生成に関するソフトウェアやファイル類は最も厳しい安全対策に基づき管理されなければならない。
(14) パスワードの表示と印刷:パスワードを表示、印刷する時はマスクし、認可されていない者の覗き見から守らなければならない。
(15) パスワード変更のマスク:ユーザがパスワードを決定する際、2度入力をさせ、表示をマスクする。
(16) パスワード変更要求:全てのユーザは、少なくとも90日に1回は自動的にパスワード変更を要求される。
(17) パスワード変更タイミングの同期:パスワードの変更は、コンピュータ及びネットワークシステム全てを同期して行う。
(18) パスワードのメモ掲示:パスワードはメモ等にして、PC及びワークステーション本体及び近傍に貼付けてはならない。
(19) クッキー上のアクセス制御情報:当社のアクセス制御情報をエンドユーザのコンピュータ上のクッキー等に記憶させてはならない。
(20) パスワードの暗号化:パスワードを一定期間保存する場合や送信する場合、暗号化しなければならない。
(21) パスワードの検索:コンピュータ及び通信システムは、パスワードが暗号化されているかどうかに関わらず、検索されたりそれらを不正に使用されたりすることを防がなければならない。
(22) システムアクセス制御パスワード:コンピュータ及び通信システムのアクセス制御は、固有のパスワードによって行わなければならない。
(23) ベンダーデフォルトパスワード:ベンダーのデフォルトパスワードは、当社の業務に使用する前に変更しなければならない。
(24) セキュリティの疑い:不正アクセス等のセキュリティ上の疑いがある場合、OS及びセキュリティ関連ソフトウェアを再インストールし、状況をレビューしなければならない。
システムユーティリティの使用
【要求事項】システム及び業務用ソフトウェアによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理すること。
【実施管理策】
(1) セキュリティ検査ツールの使用:セキュリティ検査ツールを配布する前に、当社のスタッフはユーザのニーズと正当性を調べなければならない。
(2) ぜい弱性検査ソフトウェア:ぜい弱性検査ソフトが有効に使用されていないことが判明したら、直ちに取り除かねばならない。
(3) 強力な情報システムツール:使用を誤ると情報システムに大きなダメージを与えかねない情報システムツールを配布する時は、その正しい使用目的に沿う機能制限が自動的に働く様にしなければならない。
(4) セキュリティ監視ツール:全ての共有コンピュータは、セキュリティ状態を監視し、セキュリティ問題を収集する機能を持つ、監視ツールを備えなければならない。
(5) ハード、ソフトの診断:ハード及びソフトの診断作業は厳しく管理され、決められたテスト担当、トラブルシュート担当、開発担当により行われる。
(6) システムユーティリティの保管場所:業務システムの格納された記憶装置内には、コンパイラー、アセンブラー、テキストエディター、ワープロ等一般的なツールを格納してはならない。
(7) システムソフトユーティリティの利用:システムソフトユーティリティのアクセスはごく少数の限られたメンバーに制限され、それを使用した際は実行が記録され、コンピュータ運用管理者によりレビューされる。
(8) 制御を無効にする仕組み:経営陣はセキュリティ制御を無効にする仕組みを、事業継続上の事態にのみ使用することを確実にする。
(9) 制御無効の使用:経営陣はセキュリティ制御を無効する仕組みの使用基準と承認手順を、明確に定めなければならない。
(10) ファイル回復:もしエンドユーザが自身のファイルを回復させる際、他人のファイルも回復するようなことが無い様にしなければならない。
セッションのタイムアウト
【要求事項】一定の使用中断時間の経過したときは、使用が中断しているセッションを遮断すること。
【実施管理策】自動ログオフ:10分間の休止状態が続いた端末、ワークステーション,PC等は、自動的に画面を消し、セッションを切断し、再度作業するにはパスワードを再度入力しなければならない。
接続時間の制限
【要求事項】リスクの高い業務用ソフトウェアに対して、追加のセキュリティを提供するために、接続時間の制限を設けること。
【実施管理策】接続時間制限:データ及びプログラムにアクセスできる時間を制限する仕組みを導入しなければならない。
業務用ソフトウェア及び情報のアクセス制御
【管理目的】業務用ソフトウェアシステムが保有する情報への認可されていないアクセスを防止するため。
【管理方針】アプリケーションレベルのアクセス制御を実施する。
情報へのアクセス制御
【要求事項】利用者及び支援要員による情報及び業務用ソフトウェアシステム機能へのアクセスは、既定のアクセス制御方針に従って、制限すること。
【実施管理策】
(1) カスタマーサービスパスワード:カスタマーサービスに於ける、顧客からの電話問い合わせの際、本人認証に使用するシステムのログインパスワードはディスプレイ上に表示してはならない。
(2) 秘密のID,パスワード:アプリケーション開発者は、特権を持つ秘密のID,パスワードをプログラムに仕組んではならない。そしてその事実を一般に使用されるシステムドキュメントに公表してはならない。
(3) コンピュータ上の情報のアクセス制御:コンピュータ上の、重要、クリティカル、ぜい弱な情報は、アクセス制御により不正開示、改ざん、削除、破損が無い様にしなければならない。
(4) アダルトサイトアクセス:ウエブ上のアダルトサイトのアクセス制限を、情報システム部門は実施しなければならない。
(5) 共有環境の分離の確立:経営陣は共有コンピュータ上の各ユーザのアクセスを確実に分離し、お互いが干渉しない様にしなければならない。
(6) ユーザアクセスの保護:ユーザは他人のファイル等を、オーナーの許可を得る事無く、読んだり、変更したり、削除したり、コピーしてはならない。
(7) デフォルトユーザ権限:経営陣の書面による承認が無い限り、システム管理者は電子メール、ワープロ等如何なる権限も与えてはならない。
(8) ユーザの得られる権限:エンドユーザのアカウント権限は、業務執行する為のシステムの能力とコマンドの権限のみとする。
(9) 業務情報のアクセス権限:当社の業務情報を変更できるシステム権限は、業務アプリケーションのみに制限する。
(10) データベースの更新:データベースの更新は、経営陣の承認により、確立された手順により行われる。
(11) 共有業務システム:共有教務システムは情報セキュリティ部門により承認された、アクセス制御機能を持たなければならない。
(12) システムログ及び監査証跡の開示:システムログ及びアプリケーション監査証跡は、組織内部のそれらを調査する等の任務を持った者以外に開示してはならない。
(13) 開発者による業務情報アクセス:業務アプリケーションの開発エンジニアは、自身が携わる業務以外の業務情報にアクセスしてはならない。
(14) 第三者の機密情報の取り扱い:たとえ契約に謳われていなくても、第三者の機密情報及び著作権情報は、当社のそれと同様に扱われなければならない。
(15) 顧客の個人情報へのアクセス:当社の顧客のクレジットカード番号、与信情報等個人情報は、従業員のみが業務遂行の為のみにアクセスできる。
(16) データウェアハウスのアクセス:当社のデータウェアハウスへのアクセスは、当社の経営陣の承認を要する。
(17) 機密情報の2次開示の禁止:機密情報の開示の許可を得たものは、その情報を他人に漏らしてはならない。
(18) 重要情報のアクセス手順:当社の重要、ぜい弱な情報にアクセスする場合は、直属の上司の承認を得た後でなければならない。
(19) 機密情報のアクセス手順:当社の機密情報へのアクセスの許可は、特定の個人に与えられ、個人の属するグループに与えてはならない。
取扱に慎重を要するシステムの隔離
【要求事項】取扱いに慎重を要するシステムは、専用の(隔離された)コンピュータ環境を持つこと。
【実施管理策】
(1) クリティカルアプリケーションサーバ:情報システム部門により過大なコスト負担と認められない限り、クリティカルな業務アプリケーションサーバは、専用機化し他の業務と共用しない。
(2) 機密情報システムの隔離:機密情報を含む当社のコンピュータは、他のネットワーク、コンピュータと接続してはならない。
モバイルコンピューティング及びテレワーキング
【管理目的】モバイルコンピューティング及びテレワーキングの設備を用いるときの情報セキュリティを確実にするため。
【管理方針】モバイル環境及びSOHO環境におけるアクセス制御を実施し、リモートアクセスのセキュリティを維持する。
モバイルコンピューティング及び通信
【要求事項】モバイルコンピューティング・通信設備を用いた場合のリスクから保護するために、正式の方針を備え、適切なセキュリティ対策を採用すること。
【実施管理策】
(1) ポータブルコンピュータの使用:ポータブルコンピュータの使用については、情報セキュリティ責任者の承認に基づき、必要な制御機能を組み込んだ上、許可される。
(2) 重要情報のモバイルコンピュータでの扱い:当社の重要情報は、モバイルコンピュータ上で取り扱ってはならない。
(3) 機密情報が入ったモバイルコンピュータ:従業員は機密情報が格納されたモバイルコンピュータを、例え暗号化されていても、片時も手放してはならない。
(4) モバイルコンピュータによる機密情報の取り扱い:モバイルコンピュータの利用資格を得るまで、当社の機密情報を取り扱ってはならない。
(5) 機密情報の入ったモバイルコンピュータ:当社の機密情報が入った、モバイルコンピュータは、ハードディスク内の全てのファイルを暗号化し、ブートの保護を機能させなければならない。
(6) モバイルコンピュータを飛行機に乗せる場合:当社の機密情報をモバイルコンピュータに格納して飛行機で移動する場合、このコンピュータを空港の荷物検査システムに通してはならない。
(7) PC上の重要情報:重要情報をPCのハードディスク等に格納する場合、パスワードによるアクセス制御か暗号化を施さなければならない。
(8) モバイルコンピュータの貸与:当社の重要情報が格納された、モバイルコンピュータは他人に貸与してはならない。
(9) 代替サイトの保護:代替サイトの当社の機器類は、損傷や誤用から保護しなければならない。
(10) モバイルコンピュータの点検:当社のモバイルコンピュータは、いつでも使用状況が点検され、従業員は退職したら直ちに返却しなければならない。
(11) モバイルコンピュータの保管:従業員は当社のモバイルコンピュータを、安全な場所に保管するまで、常に保管を心掛けなければならない。
(12) 退社の際の注意:モバイルコンピュータユーザは、退社の際、重要情報を暗号化するなど、記憶メディアに物理的保護策を施さなければならない。
テレワーキング
【要求事項】テレワーキングのための方針、運用計画及び手順を策定し、実施すること。
【実施管理策】
(1) 遠隔データエントリー作業:当社の全てのデータエントリーオペレーターは、情報システム責任者に認可された設定のシンクライアントを使用し、日々その日に必要なソフトだけをダウンロードして運用する。
(2) 在宅装置:当社の代替サイトで使用する装置は、例えコンパチブルな機器であっても会社から与えられた機器以外を使用してはならない。
(3) 在宅勤務の作業環境:在宅勤務サイトの作業環境は、当社のポリシー、スタンダードに準拠しなければならない。
(4) 在宅勤務のセキュリティ要求:在宅勤務従業員の上司は、作業環境が当社の業務を実施するのに適したものであるかを、承認しなければならない。
(5) 在宅勤務のセキュリティポリシー遵守:在宅勤務者は当社のリモート接続に関するポリシーを遵守し、かつソフトウェアの知的所有権遵守、規定されたバックアップの実施、重要書類のシュレッダー処理を実施する。
(6) 在宅オフィスの検査:当社は、在宅オフィスを1日以上の予告の上、検査をしなければならない。
(7) 鍵付き家具への保管:自宅で勤務するものは、当社の重要情報を鍵付きのロッカー等に適切に保管しなければならない。
