情報セキュリティ・キーワード 2016 ③ 情報セキュリティ管理策編

管理目的を満たすための特定の管理策を規定する。

管理策を実施し，管理目的を満たすことを支持するためのより詳細な情報を提供する。手引は，必ずしも全ての状況において適していない又は十分でない可能性があり，組織の特定の管理策の要求事項を満たせない可能性がある。

考慮が必要と思われる関連情報（法的な考慮事項，他の規格への参照など）を提供する。考慮が必要な更なる情報がない場合は，この部分は削除される。

情報セキュリティのための経営陣の方向性及び支持を，事業上の要求事項並びに関連する法令及び規制に従って提示するため。（ 5.1 情報セキュリティのための経営陣の方向性 ）

情報セキュリティのための方針群は，これを定義し，管理層が承認し，発行し，従業員及び関連する外部関係者に通知することが望ましい。（ 5.1.1 情報セキュリティのための方針群 ）

方針群のより低いレベルでは，情報セキュリティ方針は，トピック固有の個別方針によって支持されることが望ましい。このトピック固有の個別方針は，情報セキュリティ管理策の実施を更に求めるもので，一般に組織内の対象となる特定のグループの要求に対処するように，又は特定のトピックを対象とするように構成されている。

組織内で情報セキュリティの実施及び運用に着手し，これを統制するための管理上の枠組みを確立するため。（ 6.1 内部組織 ）

相反する職務及び責任範囲は，組織の資産に対する，認可されていない若しくは意図しない変更又は不正使用の危険性を低減するために，分離することが望ましい。（ 6.1.2 職務の分離 ）

認可されていない状態又は検知されない状態で，一人で資産に対してアクセス，修正又は使用ができないように注意することが望ましい。

… など。

モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。（ 6.2 モバイル機器及びテレワーキング ）

モバイル機器を用いることによって生じるリスクを管理するために，方針及びその方針を支援するセキュリティ対策を採用することが望ましい。（ 6.2.1 モバイル機器の方針 ）

モバイル機器の方針で，個人所有のモバイル機器の使用が許されている場合は，その方針及び関連するセキュリティ対策において，次の事項も考慮することが望ましい。

a)機器の私的な使用と業務上の使用とを区別する。このような区別を可能とし，個人所有の機器に保存された業務データを保護するためのソフトウェアの使用も含む。

… など。

テレワーキングの場所でアクセス，処理及び保存される情報を保護するために，方針及びその方針を支援するセキュリティ対策を実施することが望ましい。（ 6.2.2 テレワーキング ）

テレワーキング活動を許可する組織は，テレワーキングを行う場合の条件及び制限を定めた方針を発行することが望ましい。法令が適用され，これによって認可されるとみなされる場合には，次の事項を考慮することが望ましい。

d)個人所有の装置で情報を処理及び保管できないようにする仮想デスクトップへのアクセスの提供

… など。

従業員及び契約相手が，情報セキュリティの責任を認識し，かつ，その責任を遂行することを確実にするため。（ 7.2 雇用期間中 ）

組織の全ての従業員，及び関係する場合には契約相手は，職務に関連する組織の方針及び手順についての，適切な，意識向上のための教育及び訓練を受け，また，定めに従ってその更新を受けることが望ましい。（ 7.2.2 情報セキュリティの意識向上，教育及び訓練 ）

情報セキュリティの教育及び訓練には，例えば，次のような一般的な側面も含めることが望ましい。

d)情報セキュリティに関する基本的な手順（例えば，情報セキュリティインシデントの報告）及び基本的な管理策（例えば，パスワードのセキュリティ，マルウェアの制御，クリアデスク）

… など。

媒体に保存された情報の認可されていない開示，変更，除去又は破壊を防止するため。（ 8.3 媒体の取扱い ）

組織が採用した分類体系に従って，取外し可能な媒体の管理のための手順を実施することが望ましい。（ 8.3.1 取外し可能な媒体の管理 ）

取外し可能な媒体の管理のために，次の事項を考慮することが望ましい。

a)再利用可能な媒体を組織から移動する場合に，その内容が以後不要であるならば，これを復元不能とする。

… など。

情報及び情報処理施設へのアクセスを制限するため。（ 9.1 アクセス制御に対する業務上の要求事項 ）

アクセス制御方針は，業務及び情報セキュリティの要求事項に基づいて確立し，文書化し，レビューすることが望ましい。（ 9.1.1 アクセス制御方針 ）

アクセス制御は，論理的かつ物理的（箇条 11 参照）なものであり，この両面を併せて考慮することが望ましい。

… など。

アクセス制御方針を方向付けるために用いられることが多い二つの原則を，次に示す。

a)知る必要性（Need to know）  各人は，それぞれの職務を実施するために必要な情報へのアクセスだけが認められる（職務及び／又は役割が異なれば知る必要性も異なるため，アクセスプロファイルも異なる。）。

b)使用する必要性（Need to use）  各人は，それぞれの職務，業務及び／又は役割を実施するために必要な情報処理施設（IT 機器，アプリケーション，手順，部屋など。）へのアクセスだけが認められる。

… など。

システム及びサービスへの，認可された利用者のアクセスを確実にし，認可されていないアクセスを防止するため。（ 9.2 利用者アクセスの管理 ）

秘密認証情報の割当ては，正式な管理プロセスによって管理することが望ましい。（ 9.2.4 利用者の秘密認証情報の管理 ）

正式な管理プロセスには，次の事項を含むことが望ましい。

e)仮の秘密認証情報は，一人一人に対して一意とし，推測されないものとする。

… など。

パスワードは，一般に用いられている秘密認証情報の一つで，利用者の本人確認の一般的な手段である。

その他の秘密認証情報には，認証コードを作成するハードウェアトークン（例えば，スマートカード）に保管された暗号鍵及びその他のデータがある。

利用者に対して，自らの秘密認証情報を保護する責任をもたせるため。（ 9.3 利用者の責任 ）

秘密認証情報の利用時に，組織の慣行に従うことを，利用者に要求することが望ましい。（ 9.3.1 秘密認証情報の利用 ）

全ての利用者に，次の事項を実行するように助言することが望ましい。

b)秘密認証情報を，例えば，紙，ソフトウェアのファイル，携帯用の機器に，記録して保管しない。ただし，記録がセキュリティを確保して保管され，その保管方法が承認されている場合には，この限りではない［例えば，パスワード保管システム（password vault）］。

… など。

シングル サインオン（SSO）又はその他の秘密認証情報管理ツールを用いると，利用者に保護を求める秘密認証情報が減り，これによって，この管理策の有効性を向上させることができる。しかし，秘密認証情報の漏えいの影響も大きくなり得る。

システム及びアプリケーションへの，認可されていないアクセスを防止するため。（ 9.4 システム及びアプリケーションのアクセス制御 ）

アクセス制御方針で求められている場合には，システム及びアプリケーションへのアクセスは，セキュリティに配慮したログオン手順によって制御することが望ましい。（ 9.4.2 セキュリティに配慮したログオン手順 ）

強い認証及び識別情報の検証が必要な場合には，パスワードに代えて，暗号による手段，スマートカード，トークン，生体認証などの認証方法を用いることが望ましい。

… など。

IC チップモジュールが埋め込まれ、認証情報などを記録する。スマートカード (smart card) やチップカード (chip card) とも呼ばれる。

（ Personal Identification Number ）

個人を識別するための番号。暗証番号。４桁から８桁の数字の組み合わせが用いられる。

ログイン時のパスワードに、その場限りで有効な文字列を生成して用いられる。使い捨てパスワード。パスワードの生成には、セキュリティトークンや、ハードウェアトークンと呼ばれる専用装置が使用されるほか、スマートフォンのアプリで提供される場合も多い。

（Multi Factor Authentication）

複数の要素を併用する認証方式。

一回の利用者認証で複数のアプリケーションやサービスなどを利用できるようにする。

（ Completely Automated Public Turing test to tell Computers and Humans Apart ）

歪んだ文字や数字が埋め込まれた画像を表示して、その入力の一致を確認して、コンピュータでないことを確認するために使われる。

パスワードを本人が忘れてしまった時に、登録時に本人確認を行ったメールアドレスへ専用ページを案内したり、あらかじめ設定した「秘密の質問」に回答させたりして、再設定を行えるようにする機能。

指の指紋

手のひらや指などの静脈血管

目の中の虹彩

発せられた声の波形の特徴

顔のいくつかの特徴

目の網膜の毛細血管

筆記時の軌跡・速度・筆圧の変化などの癖

情報の機密性，真正性及び／又は完全性を保護するために，暗号の適切かつ有効な利用を確実にするため。（ 10.1 暗号による管理策 ）

情報を保護するための暗号による管理策の利用に関する方針は，策定し，実施することが望ましい。（ 10.1.1 暗号による管理策の利用方針 ）

暗号による管理策は，様々な情報セキュリティ目的を達成するために，例えば，次のように利用できる。

a)機密性  保管又は伝送される，取扱いに慎重を要する情報又は重要な情報を守るための，情報の暗号化の利用

b)完全性・真正性  保管又は伝送される，取扱いに慎重を要する情報又は重要な情報の完全性・真正性を検証するための，ディジタル署名又はメッセージ認証コードの利用

c)否認防止  ある事象又は活動が，起こったこと又は起こらなかったことの証拠を提供するための，暗号技術の利用

d)認証  システム利用者，システムエンティティ及びシステム資源へのアクセスを要求している，又はこれらとやり取りしている，利用者及びその他のシステムエンティティを認証するための，暗号技術の利用

… など。

暗号鍵の利用，保護及び有効期間（lifetime）に関する方針を策定し，そのライフサイクル全体にわたって実施することが望ましい。（ 10.1.2 鍵管理 ）

方針には，暗号鍵の生成，保管，保存，読出し，配布，使用停止及び破壊を含むライフサイクル全体にわたって，暗号鍵を管理するための要求事項を含めることが望ましい。

全ての暗号鍵は，改変及び紛失から保護することが望ましい。さらに，秘密鍵及びプライベート鍵は，認可されていない利用及び開示から保護する必要がある。鍵の生成，保管及び保存のために用いられる装置は，物理的に保護されることが望ましい。

秘密鍵及びプライベート鍵をセキュリティを保って管理することに加え，公開鍵の真正性についても考慮することが望ましい。この認証プロセスは，認証局によって通常発行される公開鍵証明書を用いて実施される。この認証局は，要求された信頼度を提供するために適切な管理策及び手順を備えている，認知された組織であることが望ましい。

… など。

組織の情報及び情報処理施設に対する認可されていない物理的アクセス，損傷及び妨害を防止するため。（ 11.1 セキュリティを保つべき領域 ）

取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために，物理的セキュリティ境界を定め，かつ，用いることが望ましい。（ 11.1.1 物理的セキュリティ境界 ）

物理的セキュリティ境界について，次の事項を，必要な場合には，考慮し，実施することが望ましい。

c)敷地又は建物への物理的アクセスを管理するための有人の受付又はその他の手段を備える。敷地及び建物へのアクセスは，認可された要員だけに制限する。

… など。

セキュリティを保つべき領域は，認可された者だけにアクセスを許すことを確実にするために，適切な入退管理策によって保護することが望ましい。（ 11.1.2 物理的入退管理策 ）

この管理策の実施については，次の事項を考慮することが望ましい。

d)全ての従業員，契約相手及び外部関係者に，何らかの形式の，目に見える証明書の着用を要求する。

… など。

オフィス，部屋及び施設に対する物理的セキュリティを設計し，適用することが望ましい。（ 11.1.3 オフィス，部屋及び施設のセキュリティ ）

オフィス，部屋及び施設のセキュリティを保つために，次の事項を考慮することが望ましい

c)施設は，秘密の情報又は活動が外部から見えたり聞こえたりしないように構成する。該当する場合，電磁遮蔽も考慮する。

… など。

自然災害，悪意のある攻撃又は事故に対する物理的な保護を設計し，適用することが望ましい。（ 11.1.4 外部及び環境の脅威からの保護 ）

火災，洪水，地震，爆発，暴力行為，及びその他の自然災害又は人的災害からの損傷を回避する方法について，専門家の助言を得ることが望ましい。

資産の損失，損傷，盗難又は劣化，及び組織の業務に対する妨害を防止するため。（ 11.2 装置 ）

装置は，環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように設置し，保護することが望ましい。（ 11.2.1 装置の設置及び保護 ）

装置を保護するために，次の事項を考慮することが望ましい。

g)情報処理施設の運用に悪影響を与えることがある環境条件（例えば，温度，湿度）を監視する。

… など。

データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は，傍受，妨害又は損傷から保護することが望ましい。（ 11.2.3 ケーブル配線のセキュリティ ）

ケーブル配線のセキュリティのために，次の事項を考慮することが望ましい。

a)情報処理施設に接続する電源ケーブル及び通信回線は，可能な場合には，地下に埋設するか，又はこれに代わる十分な保護手段を施す。

… など。

構外にある資産に対しては，構外での作業に伴った，構内での作業とは異なるリスクを考慮に入れて，セキュリティを適用することが望ましい。（ 11.2.6 構外にある装置及び資産のセキュリティ ）

構外にある装置の保護のために，次の事項を考慮することが望ましい。

c)在宅勤務，テレワーキング及び一時的サイトのような構外の場所についての管理策を，リスクアセスメントに基づいて決定し，状況に応じた管理策（例えば，施錠可能な文書保管庫，クリアデスク方針，コンピュータのアクセス制御，セキュリティを保ったオフィスとの通信）を適切に適用する。

… など。

記憶媒体を内蔵した全ての装置は，処分又は再利用する前に，全ての取扱いに慎重を要するデータ及びライセンス供与されたソフトウェアを消去していること，又はセキュリティを保って上書きしていることを確実にするために，検証することが望ましい。（ 11.2.7 装置のセキュリティを保った処分又は再利用 ）

秘密情報又は著作権のある情報を格納した記憶媒体は，物理的に破壊することが望ましく，又はその情報を破壊，消去若しくは上書きすることが望ましい。消去又は上書きには，標準的な消去又は初期化の機能を利用するよりも，元の情報を媒体から取り出せなくする技術を利用することが望ましい。

書類及び取外し可能な記憶媒体に対するクリアデスク方針，並びに情報処理設備に対するクリアスクリーン方針を適用することが望ましい。（ 11.2.9 クリアデスク・クリアスクリーン方針 ）

クリアデスクとは，机上に書類を放置しないことをいう。また，クリアスクリーンとは，情報をスクリーンに残したまま離席しないことをいう。

この管理策の実施については，次の事項を考慮することが望ましい。

b)コンピュータ及び端末は，離席時には，ログオフ状態にしておくか，又はパスワード，トークン若しくは類似の利用者認証機能で管理されたスクリーン及びキーボードのロック機能によって保護している。また，利用しないときは，施錠，パスワード又は他の管理策によって保護している。

… など。

情報及び情報処理施設がマルウェアから保護されることを確実にするため。（ 12.2 マルウェアからの保護 ）

マルウェアから保護するために，利用者に適切に認識させることと併せて，検出，予防及び回復のための管理策を実施することが望ましい。（ 12.2.1 マルウェアに対する管理策 ）

マルウェアからの保護は，マルウェアに対する検出・修復ソフトウェア，情報セキュリティに対する認識，及びシステムへの適切なアクセス・変更管理についての管理策に基づくことが望ましい。この管理策の実施については，次の事項を考慮することが望ましい。

b)認可されていないソフトウェアの使用を防止又は検出するための管理策の実施（例えば，アプリケーションのホワイトリスト化）

c)悪意のあるウェブサイトであると知られている又は疑われるウェブサイトの使用を，防止又は検出するための管理策の実施（例えば，ブラックリスト）

… など。

データの消失から保護するため。（ 12.3 バックアップ ）

情報，ソフトウェア及びシステムイメージのバックアップは，合意されたバックアップ方針に従って定期的に取得し，検査することが望ましい。（ 12.3.1 情報のバックアップ ）

災害又は媒体故障の発生の後に，全ての重要な情報及びソフトウェアの回復を確実にするために，適切なバックアップ設備を備えることが望ましい。

… など。

組織の内部及び外部に転送した情報のセキュリティを維持するため。（ 13.2 情報の転送 ）

あらゆる形式の通信設備を利用した情報転送を保護するために，正式な転送方針，手順及び管理策を備えることが望ましい。（ 13.2.1 情報転送の方針及び手順 ）

情報転送のために通信設備を利用するときに従う手順及び管理策は，次の事項を考慮することが望ましい。

a)転送する情報を，盗聴，複製，改ざん，誤った経路での通信及び破壊から保護するために設計された手順

… など。

電子的メッセージ通信に含まれた情報は，適切に保護することが望ましい。（ 13.2.3 電子的メッセージ通信 ）

電子的メッセージ通信のための情報セキュリティには，次の事項を考慮することが望ましい。

f)公開されているネットワークからのアクセスを制御する，より強固な認証レベル

… など。

試験に用いるデータの保護を確実にするため。（ 14.3 試験データ ）

試験データは，注意深く選定し，保護し，管理することが望ましい。（ 14.3.1 試験データの保護 ）

PII又はその他の秘密情報を含んだ運用データは，試験目的に用いないことが望ましい。PII 又はその他の秘密情報を試験目的で用いる場合には，取扱いに慎重を要する詳細な記述及び内容の全てを，消去又は改変することによって保護することが望ましい。

… など。

供給者がアクセスできる組織の資産の保護を確実にするため。（ 15.1 供給者関係における情報セキュリティ ）

組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項について，供給者と合意し，文書化することが望ましい。（ 15.1.1 供給者関係のための情報セキュリティの方針 ）

組織は，供給者による組織の情報へのアクセスに具体的に対処するため，方針において情報セキュリティ管理策を特定し，これを義務付けることが望ましい。

… など。

セキュリティ事象及びセキュリティ弱点に関する伝達を含む，情報セキュリティインシデントの管理のための，一貫性のある効果的な取組みを確実にするため。（ 16.1 情報セキュリティインシデントの管理及びその改善 ）

16.1.1 責任及び手順  情報セキュリティインシデントに対する迅速，効果的かつ順序だった対応を確実にするために，管理層の責任及び手順を確立することが望ましい。（ 16.1.1 責任及び手順 ）

情報セキュリティインシデント管理の目的について，経営陣が同意していることが望ましく，また，情報セキュリティインシデント管理について責任ある人々が，組織が決めた情報セキュリティインシデントの取扱いの優先順位を理解していることを確実にすることが望ましい。

… など。

情報処理施設の可用性を確実にするため。（ 17.2 冗長性 ）

情報処理施設は，可用性の要求事項を満たすのに十分な冗長性をもって，導入することが望ましい。（ 17.2.1 情報処理施設の可用性 ）

既存のシステムアーキテクチャを利用しても可用性を保証できない場合には，冗長な構成要素又はアーキテクチャを考慮することが望ましい。 該当する場合，一つの構成要素から別の構成要素への切替え（failover）が意図したとおりに動作することを確実にするために，冗長な情報システムを試験することが望ましい。

… など。

情報セキュリティに関連する法的，規制又は契約上の義務に対する違反，及びセキュリティ上のあらゆる要求事項に対する違反を避けるため。（ 18.1 法的及び契約上の要求事項の順守 ）

プライバシー及び PII の保護は，関連する法令及び規制が適用される場合には，その要求に従って確実にすることが望ましい。（ 18.1.4 プライバシー及び個人を特定できる情報（PII）の保護 ）

プライバシー及び PII の保護に関する組織の方針を確立して実施することが望ましい。この方針は，PIIの処理に関与する全ての者に伝達することが望ましい。

… など。