対策方針 样本条款
対策方針. 対策要件 運用要件 定期点検 侵害対策 通信回線対策 通信経路の分離 不正の防止及び発生時の影響範囲を限定するため、外部との通信を行う セキュリティヘルスチェック(構成管理資料の原本と
対策方針. 対策要件 運用要件 定期点検 侵害対策 (AT: Attack)
対策方針. 対策要件 目的 対応方針 実施者 本調達業者 運用・保守業者 侵害対策 通信回線対策 通信経路✰分離 不正行為✰影響範囲を限定的にするため、業務に応じて通信経路 (ネットワーク)✰分離を行うこと。 FWサーバ又はサービスを提供する ○ ‐ FW✰設定を行う ○ ‐ VLANでDMZによる外部アクセス向けネットワークを分離可能なサービスを提供する ○ ‐ 不正通信✰遮断 不正プ➫グラムによる情報漏洩等✰被害を防止するため、マルウ➦ア感染防止✰対策を行うこと。 ウィルス対策ソ➚トまたはサービスを提供する ○ ‐ 通信✰なりすまし防止 通信回線を介したなりすましによる不正を防止すること。 VPS管理画面は特定✰VPN接続元以外から✰通信を受付けないサービスを提供する ○ ‐ インターネットから✰ユーザ向けサービスにSSLを使用する場合は信頼された証明書を導入する ○ ‐ 特定利用者に✰み提供するサービス✰場合には、AP✰認証方式を構築する ○ ‐ サービス不能化✰防止 トラ➚ィック集中によるサービス不能化✰脅威を軽減すること。 ➫ードバランササーバ又はサービスを提供する ○ ‐ 脆弱性をターゲットにしたDoS攻撃に対してはサーバに対する脆弱性対策(パッチ適用)を実施する ‐ ○ 不正プ➫グラム対策 マルウ➦ア✰感染防止 不正プ➫グラムによる情報漏洩等✰被害を防止するため、マル ウ➦ア感染防止✰対策を行うこと。 ウィルス対策ソ➚トまたはサービスを提供する ○ ‐ マルウ➦ア対策✰管理 不正プ➫グラム対策✰最新化を確実に行うため、マルウ➦ア対策状況を管理すること。 ウィルス対策ソ➚トまたはサービスを提供する ○ ‐ セキ➦リティホール対策 構築時✰脆弱性対策 情報システム✰脆弱性をついた攻撃を予め防ぐため、脆弱性✰有無を確認し対処すること。 OSに対するパッチ適用サービスを提供する ○ ‐ OS、ミドルウ➦アに対する脆弱性対策を実施する ○ ‐ AP✰セキ➦ア➺ーディングを徹底する ○ ‐ 情報セキ➦リティに配慮したシステム設定を行う ○ ‐ 総合テスト前に外部セキ➦リティ診断を実施、報告する ○ ‐ 運用時✰脆弱性対策 運用開始後に発見される脆弱性について、そ✰改善を行うため✰対策を実施すること。 OSに対するパッチ適用サービスを提供する ○ ‐ OS、ミドルウ➦アに対する脆弱性対策を実施する ‐ ○ 年1回外部セキ➦リティ診断を実施、報告する ‐ ○ 不正監視・追跡 証跡管理 証跡✰蓄積・管理 不正行為✰検知、原因追求を行うため、情報システム✰➫グ✰収集・蓄積・保管を行うこと。 FW➫グ保管サービスを提供する ○ ‐ OS、ミドルウ➦ア✰➫グを取得・保管する ‐ ○ 証跡✰保護 不正な証跡✰改変や削除を防止するため、証跡保護を行うこと。 FW➫グへ✰アクセス可能なインター➚➦ースは読み取り専用となるサービスを提供する ○ ‐ OS、ミドルウ➦ア✰➫グに対するアクセス制御を実施する ○ ‐ 時刻✰正確性確保 証跡✰発生時刻を正確に把握することで正確な分析を行うため、システム全体✰時刻を同期させること。 NTPサービスを提供する ○ ‐ 不正監視 侵入検知 外部ネットワークから侵入による情報セキ➦リティ✰侵害を防止するため、不正侵入✰検知を行うこと。 FWサーバ又はサービスを提供する ○ ‐ FW✰設定を行う ○ ‐ サービス不能化✰検知 トラ➚ィック集中によるサービス不能化を検知すること。 FW✰➚➫ント側✰トラ➚ィック量を検知可能なサービスを提供する ○ ‐ アクセス・利用制限 主体認証 主体認証 許可されていない利用者✰アクセスを防止するため、アクセス主体を認証するため✰機能を備えること。 VPS管理用アクセスはSSL-VPN✰二要素認証において制御可能なサービスを提供すること ○ ‐ 特定利用者に✰み提供するサービス✰場合には、AP✰認証方式を構築する ○ ‐ パスワード✰定期更新運用✰実施 ‐ ○ データ保護 機密性・完全性✰確保 通信経路上✰盗聴防止 通信経路上に流れるデータが盗聴された場合でも影響を低減させるため✰措置を行うこと。 VLANで情報を保存する機器を内部セグメントに配備可能なサービスを提供する ○ ‐ 保存情報✰機密性確保 保存されているデータ✰搾取を防止するため処置及び搾取された場合に影響を低減させるため✰、措置を行うこと。 通信制御可能なFWサービスを提供する ○ ‐
対策方針. 対策要件 運用要件 定期点検 侵害対策 (AT: Attack) セキュリティホ ー ル 対 策 (AT-3) 運用時の脆弱性対策 (AT-3-2) 情報システムを構成するソフトウェア及びハードウェアのバージョン等を把握して、製品ベンダや脆弱性情報提供サイト等を通じて脆弱性の有無及び対策の状況を定期的に確認すること。脆弱性情報を確認した場合は情報システムへの影響を考慮した上でセキュリティパッチの適用等必要な対策を実施すること。 脆弱性対策の実施状況は、月次で報告すること。 対策が適用されるまでの間にセキュリティ侵害が懸念される場合には、当該情報システムの停止やネットワーク環境の見直し等情報セキュリティを確保するための運用面での対策を講ずること。 アクセス・利用制限 (AC: Access) アカウント管理(AC-2) ライフサイクル管理 (AC-2-1) 主体が用いるアカウント(識別コード、主体認証情報、権限等)は、主体の担当業務に必要な範囲において設定すること。 また、アカウント管理(登録、更新、停止、削除等)の作業内容は記録し、証跡を保管すること。 アカウント棚卸を定期的に実施し、不要なアカウントを削除するこ と。 アカウント棚卸を定期的(年1回以上)に実施すること。 アクセス権管理 (AC-2-2) 主体が用いるアカウント(識別コード、主体認証情報、権限等) は、主体の担当業務に必要な範囲において設定すること。また、アカウント管理(登録、更新、停止、削除等)の作業内容は記録し、証跡を保管すること。 権限の再検証を定期的に実施し、不要な権限を削除すること。 ユーザーID の棚卸と合わせて実施すること。
対策方針. 対策要件 運用要件 定期点検 侵害対策 通信回線対策 通信経路の分離 不正の防止及び発生時の影響範囲を限定するため、外部との通 セキュリティヘルスチェック(構成管理資料の原本と (AT: (AT-1) (AT-1-1) 信を行うサーバ装置及び通信回線装置のネットワークと、内部 実際の設定状況を目視にて突合せチェックすることに Attack) のサーバ装置、端末等のネットワークを通信回線上で分離する より各種セキュリティ設定の不正変更の有無をチェッ こと。ネットワーク構成情報と実際の設定を照合し、所定の要 クする)と合わせて実施し報告すること。 件通りに設定されていることを定期的に確認すること。 不正通信の遮断 通信に不正プログラムが含まれていることを検知したときに、 (AT-1-2) その通信をネットワークから遮断すること。 通信のなりすまし 通信回線を介した不正を防止するため、不正アクセス及び許可 セキュリティヘルスチェック(構成管理資料の原本と 防止 (AT-1-3) されていない通信プロトコルを通信回線上にて遮断する機能に 実際の設定状況を目視にて突合せチェックすることに ついて、有効に機能していることを定期的に確認すること。 より各種セキュリティ設定の不正変更の有無をチェッ クする)と合わせて実施し報告すること。 サービス不能化の サービス不能攻撃を受けているかを監視できるよう、稼動中か 防止 (AT-1-4) 否かの状態把握や、システムの構成要素に対する負荷を定量的 (CPU 使用率、プロセス数、ディスク I/O 量、ネットワークトラ フィック量等)に把握すること。監視方法はシステムの特性に 応じて適切な方法を選択すること。 不正プログラム対策 (AT-2) 不正プログラムの感染防止 (AT-2- 1) 不正プログラム対策ソフトウェア等に係るアプリケーション及び不正プログラム定義ファイル等について、これを常に最新の状態に維持すること。不正プログラム対策ソフトウェア等により定期的に全てのファイルに対して、不正プログラムの検査を実施すること。 不正プログラム対策の管理 (AT-2- 2) 不正プログラム対策ソフトウェア等の定義ファイルの更新状況を把握し、不正プログラム対策ソフトウェア等が常に有効に機能するよう必要な対処を行うこと。 セキュリティホ ー ル 対 策 (AT-3) 運用時の脆弱性対策 (AT-3-2) 情報システムを構成するソフトウェア及びハードウェアのバージョン等を把握して、製品ベンダや脆弱性情報提供サイト等を通じて脆弱性の有無及び対策の状況を定期的に確認すること。脆弱性情報を確認した場合は情報システムへの影響を考慮した上でセキュリティパッチの適用等必要な対策を実施すること。対策が適用されるまでの間にセキュリティ侵害が懸念される場合には、当該情報システムの停止やネットワーク環境の見直し等情報セキュリティを確保するための運用面での対策を講ずること。 脆弱性対策の実施状況は、月次で報告すること。 不正監視・追跡 (AU: Audit) ログ管理(AU- 1) ログの蓄積・管理 (AU-1-1) 情報システムにおいて、情報システムが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために必要なログ(システムへのログオンや資源へのアクセスのロギング等)を取得すること。 ログが所定の要件通り、取得・蓄積されていることを確認すること。(年 1 回以上) ログの保護 (AU- 1-2) 取得・蓄積されたログが不正な改ざんや削除が行われないようログの格納ファイルのアクセス権を制限する等必要な対策を講じること。 取得・蓄積されたログが不正な改ざんや削除が行われていなことを確認すること。(年1回以上) 時刻の正確性確保 (AU-1-3) システム内の機器の時刻同期の状況を確認すること。 時刻同期に問題ないことを月次で確認する。もしくは、差異がある場合に検知する仕組みを構築する。 不正監視(AU- 2) 侵入検知 (AU-2- 1) 不正行為に迅速に対処するため、通信回線を介して所属するP MDA外と送受信される通信内容を監視し、不正アクセスや不正侵入を検知した場合は通信の遮断等必要な対処を行うこと。 アクセス・利用制限 (AC: Access) 主体認証(AC- 1) 主体認証 (AC-1- 1) 主体認証情報(ID、パスワード)は不正に読み取りできないよう保護すること。