コンピュータの外部で情報資産を電磁的又は光学的に記憶することのできる媒体。 USB メモリ、磁気テープ、磁気ディスク、光ディスク、光磁気ディスク等がある。
八王子市情報セキュリティ対策基準に関する特記仕様書
この特記仕様書(以下「本仕様書」という。)は、八王子市情報セキュリティ基本方針(以下
「基本方針」という。)で規定した事項を具体的に実現するため、八王子市公衆街路灯(防犯灯)公有化及びLED化事業に係る契約者(以下「事業者」という。)が危機意識を持って遵守すべきものあり、八王子市(以下「本市」という。)が保有する情報資産の機密性、完全性及び可用性を確保するための事項を記載し、情報セキュリティを確立することを目的とする。
1 用語の定義
(1)情報資産
業務に係る情報及び情報を管理する仕組みの総称。
(2)情報セキュリティ
保有する情報資産を脅威から守ること。具体的には、情報資産の機密性、完全性及び可用性を維持すること。
(3)情報セキュリティポリシー
情報資産を脅威から守るための対策及び情報セキュリティを確保するための組織体制と運用を規定したもの。基本方針及び情報セキュリティ対策基準の2階層で構成される。
(4)情報セキュリティ実施手順
対策基準に基づき、情報セキュリティを確保するため具体的な手順を定めたもの。
(5)機密性
権限を有する者だけが権限の範囲内のみで情報資産にアクセスできること。
(6)完全性
情報資産の内容が正確で最新であること。
(7)可用性
情報資産に対して、権限を有する者が必要な時にいつでもアクセスできること。
(8)ネットワーク
コンピュータを相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。
(9)情報システム
コンピュータ、ネットワーク及び記憶媒体で構成され、情報処理を行う仕組みのこと。
(10)脅威
情報システムや組織に損害を与える可能性がある原因のこと。
(11)脆弱性
脅威によって影響を受ける情報資産の弱点のこと。
(12)情報セキュリティインシデント
情報セキュリティに関する事故、事件又はその兆候及びシステム上の欠陥をいう。
(13)外部記憶媒体
コンピュータの外部で情報資産を電磁的又は光学的に記憶することのできる媒体。 USB メモリ、磁気テープ、磁気ディスク、光ディスク、光磁気ディスク等がある。
(14)クラウドサービス
データやソフトウェア、ハードウェア等をネットワーク経由で、サービスとして利用者に提供されるもの
2 対象とする脅威
情報資産に対する脅威として、次の脅威を想定し、情報セキュリティ対策を実施する。
(1)不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等
(2)情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
(3)地震、落雷、火災等の災害によるサービス及び業務の停止等
(4)大規模・広範囲にわたる疾病による要員不足に伴う情報システムの運用の機能不全等
(5)電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
3 適用範囲
本対策基準が対象とする情報資産及び対象範囲は次のとおりとする。
(1)情報資産の範囲
ア ネットワーク、情報システム及びこれらに関する設備並びに電磁的・光学的外部記憶媒体等
イ ネットワーク及び情報システムで取り扱う情報
ウ 文書(情報システムに関連するデータを入力するための文書、印刷した文書、仕様書、ネットワーク図、各種レセプト類等も含む。)
(2)対象範囲
ア 上記(1)「情報資産の範囲」で規定された情報資産を取り扱う事業者イ 本市の情報資産を取り扱う全ての情報システム
4 情報資産の分類・管理・取扱い
(1)情報資産の分類、管理及び取扱いは下表のとおりとする。
分類 | 分類基準 | 管理及び取扱い |
機密性 | ||
機密性3 | 1 市情報公開条例第 8 条の次 の各号で定める非公開情報 | 【機密性3】 ・電子メール及びファクシミリによる送 |
(1)第1号(法令秘密) (2)第2号(個人情報) | 信の制限 ・保存時の暗号化又はパスワード設定 【機密性3及び機密性2】 ・私物の端末による作業禁止 ・自宅への持ち帰りを原則禁止 ・必要以上の複製及び配布を原則禁止 ・保管場所の制限、保管場所への必要以上の記憶媒体の持ち込みを原則禁止 ・情報の送信、情報資産の運搬・提供時における暗号化・パスワード設定 ・鍵付きケースへの格納等の対策 ・復元不可能な処理(物理的破壊、 電磁的破壊。シュレッダー処理、溶解等) ・信頼のできるネットワーク回線の選択 ・外部における情報処理作業の制限 ・記憶媒体の施錠可能な場所への保管 | |
2 その他 セキュリティ侵害等により、市の情報セキュリティ及び市民の権利に重大な影響を及ぼすもの | ||
機密性2 | 1 市情報公開条例第8条の次の各号で定める非公開情報 (1)第3号(法人情報) (2)第4号(安全・秩序維持) (3)第5号(審議・検討等) (4)第6号(行政運営) (5)第7号(任意提供) | |
2 その他 セキュリティ侵害等により、市民の権利又は行政事務の適格な遂行に影響を及ぼすおそれがあるもの | ||
機密性1 | 機密性2又は機密性3の情報資産 以外のもの |
分類 | 分類基準 | 管理及び取扱い |
完全性 | ||
完全性2 | 情報資産のうち、改ざん、誤びゅう又は破損により、市民等の権利が侵害される、又は事業の適格な遂行に影響(軽微なものを除く。)を及ぼす 恐れがあるもの | ・バックアップ ・外部における情報作業の制限 ・記憶媒体の施錠可能な場所への保管 |
完全性1 | 完全性2の情報資産以外のもの | |
可用性 | ||
可用性2 | 情報資産のうち、滅失、紛失又は該当情報資産が利用不可能であることにより、市民等の権利が侵害される又は業務の安定的な遂行に支障 (軽微なものを除く。)を及ぼすおそ | ・バックアップ、指定する時間以内の復旧 ・記憶媒体の施錠可能な場所への保管 |
れがあるもの | ||
可用性1 | 可用性2の情報資産以外のもの |
(2)情報資産台帳の作成
保有する情報資産を台帳等に記録し、適正に管理すること。また作成した情報資産の記録を本市の求めに応じて速やかに提出すること。記載すべき内容な以下の内容とする。
ア 情報資産の種類(表示例:ハードウェア、ソフトウェア、外部記憶媒体、設備、ドキュメント等)
イ 情報資産の名称・型番(表示例:○○システム用端末、○○システム用ソフトウェア、 CD-R、無停電電源装置、○○システム開発資料等)
ウ 台数・個数エ 保管場所
オ バックアップの有無
カ 廃棄方法(表示例:○年○月○日、業者により廃棄等)
キ 情報資産の分類(表示例:機密性3、完全性2、可用性2等)ク 管理責任者
(3)情報資産の作成
機密性3の情報は、原則として複製禁止とする。やむを得ず複製して媒体や他のシステム又は外部にデータを提供する場合は、暗号化又はパスワード設定をすること。
(4)情報資産の入手
組織外から受け取った外部記憶媒体は、当該組織との間で情報を運搬する目的に 限って使用するものとし、事前にウイルスチェックするなど、当該記憶媒体から情報を読み込む場合及びこれに情報を書き出す場合の安全を確保すること。
(5)情報資産の利用
情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。
(6)情報資産の保管
ア 作成又は入手した情報資産は、4(1)に基づき、当該情報の分類を定めること。また、分類に応じた管理及び取扱いをすること。
イ 機密性2以上、完全性2又は可用性2の文書は施錠保管すること。
ウ 機密性2以上、完全性2又は可用性2の電子データを格納した記憶媒体は施錠保管すること。
エ 事業者は外部記憶媒体を施錠保管すること。
オ USB メモリは施錠保管し、外付けハードディスクは施錠保管又はセキュリティワイヤーで固定するなど、盗難防止措置を講じること。
カ 機密性3の電子データを保存する場合は、適正なアクセス制限を実施し、暗号化又はパスワード設定をすること。
キ 業務従事者は必要に応じて、情報のバックアップを実施すること。
(7)情報資産の持ち出し・運搬
ア 機密性2以上の情報資産を情報セキュリティ区域外に持ち出し又は運搬するときは、暗号化又はパスワード設定をし、鍵付きケースに格納する等の安全措置を講じること。
イ 機密性2以上の情報資産を情報セキュリティ区域外に持ち出し又は運搬する者は、記録を残すこと。
(8)情報資産の提供
ア 機密性2以上の情報資産を外部に提供するときは、暗号化又はパスワード設定をし、鍵付きケースに格納する等の安全措置を講じ、記録を残すこと。
イ 個人情報を含む情報資産を外部に提供する場合は、市個人情報保護条例の規定を確認すること。
ウ 事業者は、外部に公開する情報資産について、完全性を確保すること。
(9)情報資産の廃棄
ア 機密性2以上の情報資産を廃棄する者は、記憶媒体の初期化、データ消去ソフトウェアによる消去又は物理的破壊など、情報を復元できないように処置した上で廃棄し、紙媒体についてはシュレッダー、焼却又は溶解等により廃棄すること。
イ 情報資産の廃棄や入れ替えを行うときは、情報資産台帳に日時、担当者及び処理内容を記録すること。
(10)情報の送信
ア 電子メール等により機密性2以上の情報を送信する場合は、本文に当該情報を記載せず、添付ファイルを暗号化又はパスワード設定の上、送信すること。
イ 誤送信を避けるため、送信前に必ず宛先を確認すること。
5 情報セキュリティインシデントの報告
事業者は、業務において事故、欠陥等の情報セキュリティインシデントが発生した場合、次のとおり対応すること。
(1)緊急時対応計画を遵守すること。
(2)本市に報告すること。
(3)原因を究明し、記録及び再発防止策を本市に報告すること。
(4)業務に係るパソコン等でウイルスを検出又は感染した場合は、直ちに本市に報告すること。
6 業務に係る ID 及びパスワード等の取扱い
事業者は、業務に係る ID 及びパスワード等について、次のとおり取り扱うこと。
(1)ID 及びパスワードは、システム及び OS において、必ず設定すること。
(2)ユーザ ID 及びパスワードは適正に発行及び管理を行うこと。
(3)個人の ID は他者に利用させないこと。
(4)共用 ID は原則禁止とする。ただし、業務上又はシステム上必要な場合は、必要最小限での運用とし、権限のない者に利用させないこと。
(5)特権 ID の利用者登録は厳格に行い、誤設定、悪意を持った設定変更をけん制するために二人以上の者に付与すること。
(6)特権 ID を付与された者は、管理者としての業務遂行時に限定して当該 ID を利用すること。
(7)利用を新たに開始する時は、初期パスワードから変更すること。
(8)パスワードは 8 桁以上とし、数字、アルファベット、大文字小文字、記号を混ぜ、想像しにくいものにしなければならない。ただし、システム上設定が不可能な場合において、本市が認めた場合はこの限りではない。
(9)パスワードは他者に知られないよう留意し、パスワードの照会等には一切応じてはならない。
(10)パスワードは定期的に変更し、他者から容易に推測されることがないように留意すること。(推奨:90 日)
(11)サーバ、ネットワーク機器及びパソコン等の端末にパスワードを記憶させてはならない。
(12)業務従事者等から、パスワードの初期化依頼があった場合には、正当な利用者であることを確認した上で初期化すること。
(13)異動、退職等で付与された ID を利用する必要がなくなった場合には、直ちに ID を返却すること。
7 業務に係るシステムの取扱い
事業者は、業務に係るシステムについて、以下の事項を遵守すること。
(1)物理的セキュリティ対策
ア 情報資産を安全に保管できるよう、設備を整備すること。
イ 情報システムで利用する機器は、湿度、温度に敏感であることから、室内環境を整えること。
ウ サーバの二重化をするよう努めること。
エ 無停電電源装置を設置するなど、停電時等の対策を講じること。オ 通信ケーブル等は損傷を防ぐよう配線すること。
カ 情報システムの安定的な運営のため、定期的に保守点検を実施すること。
キ 事業者の施設外にサーバの機器を設置している場合は、定期的に物理的なキュリティ状況を確認すること。
ク 機器を廃棄等する場合には、ハードディスクからの確実なデータ消去を実施すること。業者等に廃棄を委託する場合は、廃棄証明書を徴するなどして確認すること。
ケ 機器の搬入出時は、業務従事者等が立会うこと。
コ 通信回線及び通信回線装置の管理を適正に行うこと。
サ サーバ及びパソコン等の端末を、不正利用、紛失、盗難、情報漏えい等の被害から防止するための対策を講じて管理すること。
(2)情報システムの管理
ア 業務従事者に、業務の遂行以外の目的で情報システムを利用させないこと。
イ 業務従事者に、事業者が接続許可を与えた通信回線及びネットワーク以外に本市の情報システムを接続させないこと。
ウ ネットワーク接続制御及びアクセス制御等を十分活用するためハードウェア・ソフトウェアの設定を適正に行うこと。
エ ファイルサーバの容量を設定し、業務従事者に周知すること。オ ファイルサーバには権限設定をすること。
カ 緊急時に備え、バックアップを実施すること。
キ システムの管理、作業記録を行い、適正に管理すること。ク 情報システム仕様書等は適正に管理すること。
ケ 情報セキュリティの確保に必要なアクセスログや記録を取得し、一定の期間保存するよう努めること。
コ アクセス記録を取得し、適正に管理すること。
サ ログの不正な削除、窃取及び改ざん等を防止するため、適正な管理を行うとともに、悪意ある第三者等からの不正侵入、不正操作等の有無について定期的に点検又は分析を実施するよう努めること。
シ 障害があった場合には障害記録を作成し、適正に保管すること。
ス デバイス制御を行い、許可された USB 接続機器以外は接続できないようにすること。
セ 無線 LAN を設置する場合は、設置前に本市に協議し許可を得ること。また、盗聴対策を適正に行うこと。
ソ 電子メールをシステムで利用する場合、以下の事項を遵守すること。
(ア)大量のスパムメール等の受信又は送信を検知した時はメールサーバの運用を停止する。
(イ)電子メールの送受信容量の上限を設定する。
(ウ)電子メールボックスの容量の上限を設定する。
(エ)業務従事者等外部の者にメールを利用させない。タ ソフトウェアを事業者の許可なく導入させないこと。チ 機器構成の変更を制限すること。
(3)アクセス制御
ア 所管するネットワーク又は情報システムごとにアクセスする権限のない者がアクセスできないように、システム上制限すること。
イ 業務利用のために用意された端末以外のパソコン、モバイル端末及び外部記憶媒体等がシステムにアクセスできないよう制御を行うこと。
ウ 無許可でネットワークに接続しないこと。新たにインターネットや外部のシステムに接続を要する場合は構成図等を提出し、本市の許可を得ること。
エ 外部からシステムへの接続を制限すること。オ 自動接続について適正に設定すること。
(4)情報システムの調達
ア 情報システムを調達する場合は、セキュリティ要件を明記した仕様書を作成すること。
イ 機器及びソフトウェアを調達する場合は、セキュリティ機能を調査し、問題がないことを確認すること。
ウ 取り扱う情報に応じて適正な回線種別を選択し、必要に応じて、通信内容の秘匿やサーバ装置及び端末のアクセス制御及び経路制御を行う機能を設けること。
エ 情報システムの開発責任者及び作業者を特定すること。
オ 情報システムの開発用 ID を適正に管理し、開発終了後に必ず開発用ID を削除させること。
カ 情報システムの開発に用いるハードウェア及びソフトウェアを管理すること。
キ アプリケーションやコンテンツの作成を外部委託する場合は、不正プログラムや脆弱性が含まれることのないよう留意すること。
ク 開発環境と運用環境は分離し、移行手順を明確にすること。
ケ 運用環境への移行は、テストを行いその結果を確認した後に行うこと。機密性3の情報及び生データをテストデータに使用しないこと。ただし、本市に許可を得た場合はこの限りではない。
コ システム開発・保守に関する資料はシステムが存在する期間適正に保管すること。サ 情報システムにおける入出力データの正確性を確保すること。
シ システムのプログラムを変更した場合は、変更履歴を作成すること。
ス サーバ、端末及び通信回線装置の設置又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開された脆弱性についての対策を実施すること。
セ 開発・保守用のソフトウェアにおいてもソフトウェアの更新、セキュリティパッチの適用を行うこと。
ソ 業務従事者による業務遂行を目的としたリモートアクセス環境を構築する場合は、 VPN 回線を整備し通信経路及びアクセス先のセキュリティを確保すること。
(5)不正アクセス対策
ア 不正アクセスを防止するため使用されていないTCP/IP ポートは閉鎖すること。イ 攻撃の予告があった場合は、システムの停止等を検討し、本市に報告すること。ウ アクセス記録、対応記録等を保存すること。
エ 内部からの攻撃への対策を講じること。
オ 業務従事者等による不正アクセスを防止するための対策を講じること。カ サービス不能攻撃を防止するための対策を講じること。
キ 標的型攻撃を防止するため、教育及び訓練等の人的対策並びに入口対策等のシステム的対策を総合的に講じること。
ク 本市の求めに応じ、地方公共団体情報システム機構によるサイバー攻撃検知通報事業や脆弱性診断の実施、ウェブ感染型マルウェア検知等の事業に参加・協力すること。
(6)セキュリティ情報の収集
ア 事業者は、サーバ、端末及び通信回線上で利用するソフトウェアにおける脆弱性対策の状況を定期的に確認し、脆弱性対策が行われていない場合には、速やかに対策を行うこと。
イ セキュリティパッチの適用を適宜行うこと。深刻なセキュリティホールが見つかった場合には直ちに対応すること。
ウ サポート終了 OS は原則使用しないこと。システム上やむを得ずサポートの終了した OS を使用しなくてはならない場合は、本市の許可を得ること。
エ 情報セキュリティ事件・事故や侵害等の未然の防止のために、セキュリティ情報の収集、対策を行うこと。
(7)侵害時の対応に関する遵守事項
緊急時対応計画を策定し、侵害時の対応を定めておくこと。
8 不正プログラム対策
業務に係るパソコン等において、以下の事項を実施すること。
(1)事業者は、ウイルス対策ソフトを常駐させること。
(2)事業者は、ウイルス定義ファイルを最新のものに更新すること。
(3)業務従事者は、外部からデータ又はソフトウェアを取り入れる場合はウイルスチェックを行うこと。
(4)事業者は、業務において不自然なメールを受信した場合は、開封せずに本市に報告すること。
9 緊急時対応計画の策定
(1)事業者は、情報セキュリティインシデントの発生に備え、緊急時対応計画を定め、有事の際は当該計画に従って対処すること。
(2)緊急時対応計画には、関係者の連絡先、想定される事故や障害、発生した事案への対応措置を記載すること。
(3)事業者は、情報セキュリティを取り巻く状況の変化や組織体制の変更に応じて緊急時対応計画を適宜見直すこと。
10 委託
事業者は業務の一部について、再委託を行う場合は、委託先が再委託をする事務において取り扱う情報資産に対して、適正なセキュリティ対策が講じられていることを確認した上 で、本市の承認を得ること。なお、再委託先が更に委託をする場合(再々委託)及びそれ以降の委託についても同様である。
11 クラウドサービスの利用
クラウドサービスを利用する場合は、以下の事項を遵守すること。
(1)クラウドサービスを利用する場合は、ハードウェア、ソフトウェア、取り扱うデータ等の情報資産を情報資産台帳に記載すること。
(2)無料クラウドサービスを利用して機密性2以上の情報資産を保存しないこと。
(3)機密性2以上の情報資産をクラウドサービスで取り扱う場合は、クラウドサービスの関連設備はすべて日本国内に設置していることを確認すること。
(4)機密性2以上の情報資産をクラウドサービスで取り扱う場合は、特定のネットワークや端末からの接続のみ許可する仕組み(グローバルIP アドレス指定・MAC アドレス指定等)を導入するよう努めること。
(5)機密性3の情報資産をクラウドサービスで取り扱う場合は、回線は安全な通信ができるもの(専用線や VPN など)を選択するよう検討し、可能であれば回線の二重化等の冗長化を行うよう努めること。
(6)機密性3の情報資産をクラウドサービスで取り扱う場合は、HTTPS 通信又はこれと同等以上の暗号化通信を使用すること。
(7)クラウドサービス事業者が以下のような情報セキュリティ対策を継続して適正に行っているかを確認の上、選定すること。
ア データセンターの物理的な情報セキュリティ対策(災害対策や侵入対策等)を取っていること。
イ データのバックアップを定期的に取得していること。ウ ハードウェア機器の障害対策を実施していること。
エ 仮想サーバ等のホスト側の OS、ソフトウェア、アプリケーションにおける脆弱性の判定と対策(セキュリティ更新プログラムの適用)を実施していること。
オ 不正アクセスの防止対策を講じていること。カ アクセスログの管理をしていること。
キ 通信の暗号化を実施していること。
(8)ID、パスワードを適正に管理すること。ID、パスワードの変更管理については、「6 業務に係る ID 及びパスワード等の取扱い」に準ずること。
(9)クラウドサービスを利用する端末は、「8 不正プログラム対策」に準ずること。
(10)クラウドサービスを利用する時は、外部からの通信の制限や自動接続の設定に関して適正なアクセス制限を行うこと。
(11)クラウドサービスを利用する時は、クラウドサービス事業者と合意されたバックアップ方針に従って定期的にバックアップを行うこと。
(12)クラウドサービスで機密性 2 以上の情報資産を取り扱う場合は、クラウドサービス事業者に対して国内法令が適用されることを仕様書で明確にすること。
12 自己点検
事業者は、本仕様書に沿った情報セキュリティ対策状況について毎年度自己点検すること。
13 監査
(1)事業者は、本市の求めに応じて情報セキュリティ監査の実施に協力すること。
(2)事業者は、監査の指摘事項の改善に努めること。