平成 9年 9月18日制  定(国家公安委員会告示第 9号)

平成11年11月22日一部改正(国家公安委員会告示第19号)


情報システム安全対策指針

 <目次>

 第1編 総則

 第2編 情報システムについて講ずべき安全対策

  Ⅰ 管理者が講ずべき対策

   第1章 ネットワーク

   第2章 ホスト等

   第3章 施設

   第4章 攻撃等認知時における措置等

   第5章 個人情報保護

  Ⅱ ユーザが講ずべき対策

  Ⅲ コンピュータ・ウイルスに関し管理者及びユーザが講ずべき対策

 第3編 開放的なネットワークに接続する情報システムについて追加的に講ずべき安全対策

  Ⅰ 管理者が講ずべき対策

   第1章 ネットワーク

   第2章 攻撃等認知時における措置等

  Ⅱ コンピュータ・ウイルスに関し管理者及びユーザが講ずべき対策


第1編 総則

1 目的
 本指針は、情報システムの関係者に対し、情報システムに係る犯罪、不正行為、個人情報の漏えい、災害等による被害を未然に防止し、又は最小限に抑えるために講ずべき対策及び犯罪発生時における警察との連携を確保するための措置を示すことにより、国民生活の安全を確保し、情報社会における秩序を維持することを目的とする。

2 定義
(1) 情報システム コンピュータ・システムを中心とする情報処理及び通信に係るシステム(人的組織を含む。)をいう。
(2) ネットワーク 通信のために用いられる装置及び回線をいう。
(3) ホスト等 クライアント・サーバ・システムにおけるサーバ及びクライアント、メインフレーム・システムにおけるホスト・コンピュータ及び端末並びにネットワークの接続を制御するコンピュータをいう。
(4) 個人情報 個人に関する情報であって、特定の個人を識別することができるものをいう。
(5) セキュリティ 犯罪、不正行為、災害若しくは事故による被害を受けること又は情報システムが犯罪若しくは不正行為の用に供されることが防止されている状態をいう。
(6) 管理者 情報システムの設置及び運営に関し責任及び権限を有する者をいう。
(7) ユーザ 情報システムにより提供されるサービスを利用するためにアクセスする権限を有する者をいう。
(8) 統括セキュリティ責任者 情報システムのセキュリティに関し責任及び権限を有する者をいう。
(9) 監査責任者 監査に関し責任及び権限を有する者をいう。
(10) 危機管理責任者 危機に対する対応に関し責任及び権限を有する者をいう。
(11) 危機管理オペレータ 危機の状況を記録するとともに、危機管理責任者の指示を受け、具体的な対処を行う者をいう。
(12) アクセス コンピュータ・システムを利用できる状態とすること又はその内部に電子的に存在する情報を取り扱うことをいう。
(13) 不正アクセス 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)第3条第2項に規定する不正アクセス行為その他の不正な手段によりユーザ以外の者が行うアクセス又はユーザが行う権限外のアクセスをいう。
(14) 危機 情報システムに被害が生じ、又は生ずるおそれがある状態をいう。
(15) 攻撃 コンピュータ・システムのセキュリティを侵害することを目的として故意に行われるアクセスをいう。

3 対策の策定
(1) モデル・システム
 本指針は、企業会計システム、顧客管理システムその他の次に掲げる要件を満たす情報システムをモデルとして、情報システムのセキュリティを確保するために必要と考えられる項目を列挙している。
ア ホスト等を回線により相互に接続したネットワーク・システムであること。
イ 当該情報システムの管理者がユーザを管理することができるものであること。
ウ 破壊、改ざん又は漏えいによる影響が小さくない情報を処理するものであること。
エ 当該情報システムが運用停止することにより受ける影響が小さくない業務を処理するものであ ること。
(2) 対策の策定方法
 管理者は、対象とする情報システムについて、リスク分析に基づきセキュリティ方針を立て、当該方針に沿って本指針の示す項目から必要なものを選択するとともに、必要に応じ追加を行い、対策を策定する必要がある。特に、社会的に重要な基盤を形成している情報システムについては、サイバーテロのリスクについても考慮する必要がある。
(3) 他の基準の活用
 対策の策定に当たっては、別表に掲げる他省により示された基準も活用することが重要である。


第2編 情報システムについて講ずべき安全対策

 インターネット等開放的なネットワークとの接続の状況の有無にかかわらず、すべての情報システムについて講ずべき安全対策は、次のとおりである。

I 管理者が講ずべき対策

第1章 ネットワーク

 管理者は、ネットワークに係る不正アクセス、他者のユーザIDを不正に利用したなりすまし等を防止するため、次に掲げる項目について対策を講ずること。

1 監視
(1) ログ
ア ログを取得すること。ログの内容は、少なくともアクセスした者を特定可能なものであるこ と。
イ ログ自体のセキュリティを確保すること。
ウ ログを定期的に監査すること。
エ ログは、次回の監査まで保管すること。
(2) 不正アクセス検出機能
 不正アクセスが行われた場合に、これを検出し、危機管理責任者に知らせる機能を設けること。
(3) その他
ア ネットワーク及びホスト等の状態を監視する機能を設けること。
イ 端末を利用したアクセスについて当該端末を特定する機能を設けること。
ウ 異状がある場合に、ネットワーク及びホスト等の機能を停止させることができる機能を設けること。

2 パスワード
 パスワードにより認証を行うネットワークについては、次の対策を講ずること。
(1) ユーザには、必ずパスワードを設定させ、その秘匿に努めさせること。
(2) 他者が容易に推測できる語句等をパスワードとして設定しないようユーザを指導し、又は設定を拒否する機能をシステムに設けること。
(3) パスワードを適切な期間ごとに変更するようユーザを指導し、又は変更を促す機能をシステムに設けること。
(4) パスワードの再入力の回数を制限するなど、他者によるパスワードの推測を困難にするための措置を講ずること。
(5) ユーザがパスワードを忘れたときなどに、パスワードを通知する場合に備え、本人確認の方法等について手続を定めておくこと。
(6) パスワード・ファイルの暗号化等の措置を講ずるなど、パスワードの秘匿に努めること。

3 ネットワーク・アクセス
(1) ログインに際し、識別及び認証を行うこと。
(2) 認証の手段については、当該情報システムに求められるセキュリティに応じ選択すること。
(3) 前回のログインの日時を確認できる機能を設けること。

4 ユーザID管理
(1) 退職、異動、長期出張、長期留学等により、不要となり、又は長期間使用されないユーザIDについては、廃止等の措置を講ずること。
(2) 長期間ログインが無いユーザに対して、文書等によりその旨を通知すること。
(3) ユーザから要求があったときは、当該ユーザによる使用状況を開示すること。

5 暗号化
(1) 通信を行うときは、必要に応じデータ等を暗号化すること。
(2) 暗号鍵の保管を適切に行うこと。特に、ユーザの暗号鍵を集中的に管理する場合は、その保管の適正を図ること。

6 データ交換
(1) データ交換に先立ち、意図する通信相手であることを確認するため、認証を行うこと。
(2) デジタル署名等によりデータの完全性の確認を行うこと。
(3) データが送信されたこと、受信されたこと等を証明し、これらの否認を防止できる機能を設けること。
(4) (1)から(3)までを暗号を利用して行う場合であって、ユーザの暗号鍵を集中的に管理するときは、その保管の適正を図ること。

7 災害等対策
 災害、事故等による回線の途絶を避けるため、必要に応じ回線の二重化を図ること。

第2章 ホスト等

 管理者は、ホスト等に係る不正アクセス、他者のユーザIDを不正に利用したなりすまし等を防止するため、次に掲げる項目について対策を講ずること。

1 監視
(1) ログ
ア ログを取得すること。ログの内容は、少なくともアクセスした者を特定可能なものであること。
イ ログ自体のセキュリティを確保すること。
ウ ログを定期的に監査すること。
エ ログは、次回の監査まで保管すること。
(2) 不正アクセス検出機能
 不正アクセスが行われた場合に、これを検出し、危機管理責任者に知らせる機能を設けること。

2 パスワード
 パスワードにより認証を行うホスト等については、次の対策を講ずること。
(1) ユーザには、必ずパスワードを設定させ、その秘匿に努めさせること。
(2) 他者が容易に推測できる語句等をパスワードとして設定しないようユーザを指導し、又は設定を拒否する機能をシステムに設けること。
(3) パスワードを適切な期間ごとに変更するようユーザを指導し、又は変更を促す機能をシステムに設けること。
(4) パスワードの再入力の回数を制限するなど、他者によるパスワードの推測を困難にするための措置を講ずること。
(5) ユーザがパスワードを忘れたときなどに、パスワードを通知する場合に備え、本人確認の方法等について手続を定めておくこと。
(6) パスワード・ファイルの暗号化等の措置を講ずるなど、パスワードの秘匿に努めること。

3 ホスト等へのアクセス
(1) ログインに際し、識別及び認証を行うこと。
(2) 認証の手段については、当該情報システムに求められるセキュリティに応じ選択すること。
(3) 前回のログインの日時を確認できる機能を設けること。

4 アクセス制御
 セキュリティ方針に応じ、ホスト等へのアクセス制御のほか、データベースのデータ、ファイル等ごとにアクセス制御を行うこと。

5 オペレーティング・システム
 アクセス制御機能等セキュリティを確保するために必要となる機能を有するオペレーティング・システムを選択すること。

6 セキュリティ・ホール
(1) 専用のソフトウェア等を用いて、セキュリティ・ホールのチェックを行うこと。
(2) セキュリティ・ホールが発見されたときは、それを無くすために必要な措置を講ずること。

7 暗号化
(1) データを保管する際は、必要に応じデータ等を暗号化すること。
(2) 暗号鍵の保管を適切に行うこと。特に、ユーザの暗号鍵を集中的に管理する場合は、その保管の適正を図ること。

8 ホスト等の管理
(1) 各装置を容易に取り外し、取り付け、又は持ち運ぶことができないよう措置を講ずること。
(2) ディスプレイは、表示された情報を利用者以外の者に直接に又は容易に見られないように設置すること。

9 災害等対策
(1) 必要に応じ、装置を二重化し、代替運転機能を設けるなどの措置を講ずること。
(2) 自動回復機能を設けること。

第3章 施設

 管理者は、ホスト・コンピュータ等コンピュータ・システムを構成する重要な装置を設置する施設を部外者の侵入、災害等から保護するため、次に掲げる項目について対策を講ずること。

1 資格及び身分証明書等
(1) 資格
ア 施設立入資格(以下「資格」という。)を設けること。
イ 資格は、必要最小限の者に対して、有効期間を限って与えること。
ウ 資格は、個人に対して与えること。
エ 資格の付与に際しては、立入りが可能な施設の範囲及び立入りの目的を特定すること。
(2) 身分証明書等
ア 資格を与えた者には、次の事項が記録された身分証明用の文書、ICカード等(以下「身分証明書等」という。)を交付すること。
 (ア) 資格の有効期間
 (イ) 立入りが可能な施設の範囲及び立入りの目的
 (ウ) 顔写真等の個人識別情報
イ 身分証明書等は、偽造等の困難な材質のものとすること。また、身分証明書等の原紙等が流出することのないよう厳重な管理を行うこと。
ウ 資格を与えた者が、身分証明書等を紛失し、又はき損したときは、直ちに統括セキュリティ責任者に届け出させること。
エ ウの届出があったときは、直ちに当該身分証明書等を無効とすること。

2 入退管理等
(1) 入退管理
ア 施設への立入りを許可するに当たっては、身分証明書等により、その都度資格を確認すること。
イ 施設への立入りを許可する期間を限定すること。
ウ 立ち入る者の氏名、許可の有効期間、立入りが可能な施設の範囲、立入りの目的等、施設立入許可(以下「許可」という。)に関する記録を作成し、保存すること。
エ 許可を与えた者には、記章等の施設立入票を貸与し、見やすい位置に着用させること。
オ 施設立入票については、1(2)イからエまでに準じ対策を講ずること。
カ 建物、コンピュータ室等の出入口において、資格及び許可の有無をチェックすること。
キ 施設に物資を搬出入するときは、その都度、当該物資、運搬用具等をチェックすること。
ク 物資の搬出入に際しては、担当者の氏名、物資の名称、数量、搬出入の日時等の記録を作成し、保存すること。
ケ 警備員を配置し、入退管理に当たらせること。
(2) 防犯設備等
ア 敷地の出入口の数を制限し、資格の確認等を行うための施設を設けること。
イ 敷地内に侵入センサ、防犯カメラ等を設置するなど、侵入の発見及び抑止のための措置を講ずること。
ウ 建物、コンピュータ本体又は周辺機器が設置されている部屋、電源室、空調室、MDF(主配線盤)室、IDF(中間配線盤)室、データ保管室等の出入口及び開口部には、侵入センサを設置するなど、侵入の発見及び抑止のための措置を講ずること。
エ 警備員に施設内外の巡回に当たらせること。

3 災害等対策
(1) 施設の立地に当たっては、可能な限り自然災害の少ない場所を選定すること。
(2) 建物については、耐震構造とするとともに、防火構造とすること。
(3) 各種設備については、地震による移動、転倒及び震動防止の措置を講ずること。
(4) 内装については、不燃材料を使用するなど、防火措置を講ずること。
(5) 電源設備については、停電に対する措置を講ずること。
(6) 空気調和装置については、防火措置及び防水措置を講ずること。水冷式空気調和装置を使用する場合は、断水に対する措置を講ずること。

第4章 攻撃等認知時における措置等

 管理者は、犯罪発生時における警察との連携を確保し、危機に対して的確に対応するとともに、セキュリティを確保するため、次に掲げる項目について対策を講ずること。

1 攻撃等認知時における措置
(1) ユーザ等に対し、攻撃、事故その他情報システムのセキュリティを侵害する行為又は事態(以下「攻撃等」という。)を認知したときは、直ちに危機管理責任者に報告することを義務付けること。
(2) 攻撃を受けた対象、不正アクセス検出の結果、ログイン時のログ等、その後の監査又は調査に必要な情報を、攻撃等を認知した時点の状態で保存すること。
(3) 警察機関等への通報が必要なときは、直ちに通報すること((4)に掲げる措置を除く。)。
(4) 攻撃が不正アクセス行為の禁止等に関する法律第3条第2項に規定する不正アクセス行為であり、同法に規定する都道府県公安委員会による援助が必要なときは、援助を受けたい旨の申出をすること。
(5) 警察機関等の調査等が終了し、復旧を行うに当たっては、作業の経過を記録すること。

2 組織体制
(1) 責任及び権限の明確化のため、次に掲げる体制をとること。
ア 通常の体制
 専任の統括セキュリティ責任者及び監査責任者を置くこと。
イ 危機管理体制
 専任の危機管理責任者及び危機管理オペレータを置くこと。
(2) (1)ア及びイの責任者等のほか、責任及び権限の明確化のため、必要に応じ、その他の責任者等を置くこと。

3 情報システムの開発、運用及び保守
(1) 開発
ア 開発に従事する者以外の者に、基礎データ等の情報が漏えいすることを防止する措置を講ずること。
イ システム設計等に関し、ドキュメントを作成すること。
ウ 運用及び保守のためのマニュアルを作成すること。
エ 運用のためのマニュアルには、危機の範囲及び危機に対する対応を定めること。
(2) 運用
ア マニュアルに基づいて行うこと。
イ 運用記録を取ること。
(3) 保守
ア マニュアルに基づいて行うこと。
イ 保守記録を取ること。

4 データ管理
(1) 重要なデータを記録している記録物が不要となったときは、データの消去、記憶媒体の破砕等アクセスが不可能となるような措置を講じた後、当該記録物を直ちに廃棄すること。
(2) 重要なデータを記録している記録物については、保管場所の入退管理、データの暗号化等の措置を講ずること。
(3) フロッピー・ディスク等の容易に取り外すことができる記憶媒体については、必要に応じ、データの暗号化、物理的な書込み禁止の措置等所要の措置を講ずること。

5 バックアップ
(1) バックアップは、定期的に、かつ、可能な限り頻繁に行うこと。
(2) バックアップ・ファイルは、適切な保存方法、保存期間等を定め、原本と異なる場所に保管すること。

6 監査
(1) 監査は、情報システムの安全性、信頼性及び保全性並びに犯罪予防の観点から行うこと。
(2) 監査の方法を定めて、マニュアルを作成すること。
(3) 計画的かつ定期的に行うこと。ただし、重大な事故が発生し、又は発生するおそれがあると認められるときは、その都度行うこと。
(4) 監査報告書を作成すること。
(5) 統括セキュリティ責任者は、監査結果に基づき、速やかに所要の措置をとること。

7 教育及び訓練
(1) 危機発生時の措置について、マニュアルを作成してユーザに配布するとともに、定期的に訓練を行うこと。
(2) 危機が社会に与える影響の大きさ等をユーザに理解させること等により、モラルの向上を図ること。
(3) ユーザによる対策の実施状況を監視し、十分な措置が講じられていない場合は指導を行うこと。

第5章 個人情報保護

 管理者は、情報システムにおいて処理される個人情報を保護するため、次に掲げる項目について対策を講ずること。

1 個人情報の収集等
(1) 個人情報の収集は、あらかじめ収集の目的を明確に定め、その目的を達成するために必要な範囲内で、適法かつ公正な手段によって行うこと。
(2) 本人以外からの個人情報の収集は、本人の権利利益が不当に侵害されるおそれのない場合に限って行うこと。
(3) 個人情報は、収集の目的に必要な範囲内で正確かつ最新の状態に保つこと。
(4) 個人情報の収集の目的及び範囲は、原則として、公開すること。

2 個人情報の利用及び提供
(1) 個人情報の利用及び提供は、原則として、収集の目的の範囲内で行うこと。
(2) 収集の目的の範囲を超える個人情報の利用及び提供は、原則として、本人の同意がある場合又は法律の規定による場合に限って行うこと。

3 自己情報の開示等
(1) 本人から自己の個人情報の開示を求められたときは、原則として、これに応じること。
(2) 本人から自己の個人情報の訂正、追加又は消去を求められたときは、その内容を確認の上、原則としてこれに応じること。

II  ユーザが講ずべき対策

1 パスワードの管理
 パスワードにより認証を行うコンピュータ・システムを利用する場合は、次のことに留意すること。
(1) メモを残さないなど、パスワードの秘匿に努めること。
(2) 次のような、他者が容易に推測できる語句等をパスワードとして使用しないこと。
ア 短いもの又は単純なもの
イ 辞書に記載されているもの
ウ 家族の名前、生年月日等、ユーザ自身に関係するもの
エ 過去に使用したもの
(3) 適切な期間ごとにパスワードを変更すること。

2 暗号化
(1) 通信を行うときは、経済取引にかかわる情報等の重要なデータ等を暗号化すること。
(2) 暗号鍵の保管を適切に行うこと。

3 データ交換
(1) データ交換に先立ち、意図する通信相手であることを確認するため、認証を行うこと。
(2) デジタル署名等によりデータの完全性の確認を行うこと。

4 端末等の管理
(1) 端末から離れるときは、次に掲げる措置のいずれかを講ずること。
ア 電源を切る。(電源キーを使用している場合は、電源キーを抜く。)
イ ログアウトする。
ウ パスワード付きスクリーン・セーバを使用する。
(2) ディスプレイに表示された情報を、直接に又は容易に他者に見られないよう留意すること。
(3) ユーザIDの不正な利用を発見するため、前回のログインの日時を確認すること。

5 身分証明書等の管理
 身分証明書等を交付された場合は、次のことに留意すること。
(1) 身分証明書等を厳重に管理し、紛失しないこと。
(2) 身分証明書等を他者に貸与しないこと。
(3) 身分証明書等を紛失したときは、直ちに統括セキュリティ責任者に届け出ること。

6 攻撃等認知時における措置
(1) 攻撃等を認知したときは、危機管理責任者に報告すること。
(2) 攻撃を受けた対象、不正アクセス検出の結果、ログイン時のログ等、その後の監査又は調査に必要な情報を、攻撃等を認知した時点の状態で保存すること。

7 データ管理
(1) 重要なデータを記録している記録物が不要となったときは、データの消去、記憶媒体の破砕等アクセスが不可能となるような措置を講じた後、当該記録物を直ちに廃棄すること。
(2) 重要なデータを保存するときは、データを暗号化すること。
(3) フロッピー・ディスク等の容易に取り外すことのできる記憶媒体については、必要に応じ、データの暗号化、物理的な書込み禁止の措置等所要の措置を講ずること。
(4) 携帯端末等については、重要なデータを内蔵の記憶装置に保存することを避け、やむを得ず保存する場合は、データの暗号化等の措置を講ずること。

8 バックアップ
(1) バックアップは、定期的に、かつ、可能な限り頻繁に行うこと。
(2) バックアップ・ファイルは、適切な保存方法、保存期間等を定め、原本と異なる場所に保管すること。

III コンピュータ・ウイルスに関し管理者及びユーザが講ずべき対策

1 システムの使用開始時に講ずべき措置
 ホスト等を起動させるときは、始めにワクチン・プログラムを用いるなどして、コンピュータ・ウイルスのチェックを行うこと。

2 新たに入手したプログラムを使用するときに講ずべき措置
(1) 出所不明のプログラムの使用自粛
 フリーウェア、シェアウェア等のうち、出所が不明のプログラムは、コンピュータ・ウイルスに感染しているおそれがあるため、可能な限り使用しないこと。
(2) コンピュータ・ウイルスのチェック
 新たに入手したプログラムを使用するときは、あらかじめ、ワクチン・プログラムを用いるなどして、少なくとも次の点を調べることにより、コンピュータ・ウイルスのチェックを行うこと。また、チェックを行った結果、陽性とされたもの及び陽性の疑いのあるものについては使用しないこと。
 なお、オの点を調べるときは、端末等をネットワークから切り離して行うこと。
ア ファイル(隠しファイルを含む。以下同じ。)に内容の不明なもの又は不必要なものが無いか。
イ ファイルの作成日時又は変更日時が異常でないか。
ウ ファイル・サイズが異常な値のファイルが無いか。
エ ファイル名に拡張子を付加するオペレーティング・システムを使用している場合に、予定されていない拡張子を付加されたファイルが無いか。
オ プログラムの各種機能を作動させることにより不正な命令が機能しないか。

3 システム使用中に講ずべき措置
(1) コンピュータ・ウイルスのチェック
 ワクチン・プログラムを用いるなどして、少なくとも次の点を調べることにより、コンピュータ・ウイルスのチェックを行うこと。
 なお、新たにファイルを入手したときは、ワクチン・プログラムによるチェックを行うこと。
ア ファイルの作成日時又は更新日時が異常でないか。
イ ファイル・サイズが異常な値になっていないか。
ウ ファイルの内容に変化が無いか。
エ 余計なファイルが増えていないか。
オ 存在しているはずのファイルが無くなっていないか。
カ 余計なプログラムが主記憶装置に常駐していないか。
(2) 作動状況の監視
 ホスト等の作動状況を監視し、次のような異状が現れた場合は、ワクチン・プログラムを用いるなどしてチェックを行うこと。
ア アクセスすることが想定されない装置にアクセスする。
イ 記憶媒体へのアクセス時間が異常に長い。
ウ 利用可能な記憶領域が通常より少ない。
エ 記憶媒体の未使用領域が急激に小さくなる。
オ 異常なメッセージが出る。
カ 誤入力が多い。

4 コンピュータ・ウイルス発見時に講ずべき措置
(1) ネットワークからの切離し
 使用中の端末等をネットワークから切り離すこと。
(2) コンピュータ・ウイルスの除去等
 ワクチン・プログラムを用いるなどして、コンピュータ・ウイルスを除去し、又はその機能を停止させること。
(3) ファイルの修復
 ファイルの破壊又は改ざんが行われたときは、あらかじめ作成されたマニュアルに基づき、修復ツール等を用いて修復すること。
(4) 再起動
 再起動は、システム・ファイルのバックアップ・ファイルにより行うこと。
(5) 危機管理責任者への報告
 速やかに危機管理責任者に報告すること。
(6) ユーザへの通知
 危機管理責任者は、ユーザに対し、とるべき措置を速やかに通知すること。

5 その他
(1) アクセス制御等
 コンピュータ・ウイルスによるファイルの破壊又は改ざんを防止するため、必要に応じ、アクセス制御等の措置を講ずること。
(2) バックアップ
ア システム・ファイルのバックアップ・ファイルを作成し、保存すること。
イ バックアップに当たっては、ワクチン・プログラムを用いるなどしてチェックを行うこと。
(3) ワクチン・プログラムの更新等
ア 新種のコンピュータ・ウイルスに対応するため、必要に応じ、ワクチン・プログラムを更新すること。
イ ワクチン・プログラムを用いるときは、適切な条件設定を行うこと。
(4) 教育
 管理者は、コンピュータ・ウイルス対策に関するマニュアルを作成してユーザに配布するとともに、マニュアルの内容をよく理解させておくこと。


第3編 開放的なネットワークに接続する情報システムについて追加的に講ずべき安全対策

 情報システムのうち、インターネット等開放的なネットワークに接続するものについて、第2編に示した安全対策に加え、不正アクセス、コンピュータ・ウイルスの侵入等の防止の観点から講ずべき安全対策は、次のとおりである。
 なお、開放的なネットワークに接続する情報システムについては、第2編に示した安全対策についても、不正アクセス、コンピュータ・ウイルスの侵入等のリスクの増加を考慮する必要がある。

I 管理者が講ずべき対策

第1章 ネットワーク

 管理者は、開放的なネットワークを介した不正アクセス、コンピュータ・ウイルスの侵入等を防止するため、次に掲げる項目について対策を講ずること。

1 接続等
(1) 開放的なネットワークとの接続は、必要最小限の機能、回線及びホスト等に限定すること。
(2) 開放的なネットワークと接続するときは、当該開放的なネットワークからの保有する情報への不正アクセスを防止する機能を設け、すべての通信を制御すること。
(3) (2)をファイアーウォール等を利用して行う場合は、適切な条件設定を行うこと。
(4) (2)をコンピュータ・システムを利用して行う場合は、セキュリティ・ホールに関する措置を講ずるなど当該システムのセキュリティを確保すること。
(5) ネットワークの構成等に関する重要な情報は、真に必要な場合を除き公開しないこと。

2 監視
 回線の負荷状況等を監視する機能を設けること。

3 切離し
 異状が発見された場合等必要がある場合は、接続された開放的なネットワークを切り離すことができるようにすること。

第2章 攻撃等認知時における措置等

 管理者は、犯罪発生時における警察との連携を確保し、危機に対して的確に対応するとともに、セキュリティを確保するため、次に掲げる項目について対策を講ずること。

1 攻撃等認知時における措置
(1) 攻撃等を認知したときは、関係機関等と協力して被害の状況を把握すること。
(2) 関係機関等と協力して被害の拡大を防止するための措置を講ずること。
(3) 攻撃の分析及び原因の究明を行い、関係機関等と協力して再発防止のための措置を講ずること。

2 ユーザの限定
 開放的なネットワークを介してアクセスできるユーザは、可能な限り限定すること。

3 情報収集
(1) 開放的なネットワークを介してなされる不正アクセス等に関する情報について平素から収集すること。
(2) 収集した情報については、必要に応じユーザに提供すること。

4 教育
 情報システムの安全対策が適当でない場合は、他者のユーザIDを不正に利用したなりすまし等を助長することとなり、その結果、開放的なネットワークに接続される他の情報システム等に被害を与える危険性があることをユーザに十分認識させること。

II コンピュータ・ウイルスに関し管理者及びユーザが講ずべき対策

1 新たに入手したプログラムを使用するときに講ずべき措置
 送信元が不明のプログラムは、コンピュータ・ウイルスに感染しているおそれがあるため、使用しないこと。

2 システム使用中に講ずべき措置
 開放的なネットワークを介して、電子メール(添付ファイルを含む。)の受信又はファイルのダウンロードを行ったときは、ワクチン・プログラムによるチェックを行うこと。転送するときは、事前にチェックを行うこと。


別表(第1編の3(3)関係)

他省により示された基準

「コンピュータウイルス対策基準」(平成7年7月7日付け通商産業省告示第429号)
「情報システム安全対策基準」(平成7年8月29日付け通商産業省告示第518号)
「コンピュータ不正アクセス対策基準」(平成8年8月8日付け通商産業省告示第362号)
「情報通信ネットワーク安全・信頼性基準」(昭和62年2月14日付け郵政省告示第73号)