コラム
毎週発行されているパートナーNewsより選り抜きの記事をご紹介!
第二十七回 『セキュリティマネージメント運用』
● アカウントの管理と情報公開用サーバの設置基準(その3)
■ セキュリティマネージメント運用


■ アカウントの管理と情報公開用サーバの設置基準(その3)

● 情報公開用サーバ設置基準

情報公開用システムをインターネットネットワークに接続する場合に、ネットワーク犯罪の被害者や加害者、あるいは踏み台になることなく、円滑かつ効率的なビジネスを継続できることが重要となってきます。

インターネットネットワークへの接続は、業務効率の向上をもたらす反面、インターネット上の脅威にさらされる可能性もあります。そのためインターネットネットワークへの接続にあたっては、接続そのものの企画から、管理、運用まで慎重に行なければなりません。

外部へ公開する情報、情報システムに関して、セキュリティレベルの維持、向上、管理を目的として、以下の情報公開用サーバに関する基準を設定します。

・ 遵守事項

情報公開用サーバの運用に必要な遵守事項をセキュリティを考慮する上で特に留意が必要であると考えられる手順を対象手順の流れに沿ったかたちで前回から引き続き、記します。

(2)設置の申請・設計審査に関する遵守事項

1.システム構成の明確化

情報公開用サーバの申請者(以下、申請者)は、情報公開用サーバの設置の際、必ず前述した情報セキュリティ委員会に「情報公開用サーバ設置申請書(例)」を提出し、許可を得なければなりません。申請には、申請者の押印だけではなく所属部門長の押印を必要とします。

申請を受けたセキュリティ委員会は、直ちに審査を開始します。「情報公開用サーバ設置申請書」には次の項目を含ませる必要があります。

  −システム設置の目的と、扱う情報の内容

  −システム構成

  −システムの設置場所の住所と組織名称

  −システム管理者名とシステムセキュリティ責任者名

  −運用開始希望日

  −運用管理手順書の添付

  −セキュリティ侵害時の対応手順書の添付

2.システム構成の明確化

申請者は、情報公開用サーバの設置申請時にそのシステム構成を明確にしなければなりません。情報セキュリティ委員会により、システム構成の不備もしくは、改善要求を受けたとき、申請者及びシステム設計者は、直ちにシステム構成の再検討を行なければなりません。

3.管理体制及びシステム管理者の明確化

申請者は情報及び情報システムの正しく安全な運用を確実にするために、管理体制及びシステム管理者を明確にしなければなりません。人的不注意および故意の誤用リスクを低減するために、システム管理者及びオペレータを2名以上任命しなければなりません。

4.運用手順書の提出

申請者は、情報公開用サーバの設置申請時に運用手順書を情報セキュリティ委員会へ提出しなければなりません。セキュリティ侵害時の対応手順書の提出申請者は、情報公開用サーバの設置申請時にセキュリティ侵害時の対応手順書を前述した情報セキュリティ委員会へ提出しなければなりません。

これらのアクセス制御の設計書は変更時を含めて、前述した情報セキュリティ委員会に報告し、随時検査を受け、承認を得なければなりません。システム管理者は、この変更履歴を保管管理する必要があります。

5.既存の情報公開用サーバの申請について

標準基準が適用される以前の、既存の情報公開用サーバについては、3ヶ月以内に標準基準に適合するようにする必要があります。3ヶ月以内に、標準基準に適合しない場合、情報セキュリティ委員会は情報の公開を強制的に停止させることができるようにします。


(3)システム構築に関する遵守事項

1.提供サービス

システム構築担当者は、情報公開用サーバの目的、用途に応じた必要最低限のアプリケーション・サービス以外はインストールしてはなりません。

2.安全な設定

システム構築担当者は情報公開用サーバに、安全な設定を施さなければなりません。安全な設定とは、以下の用件を満たす必要があります。

  −安全が確認された最新のバージョンのOS

  −安全対策を施した最新のアプリケーション

  −実績が確認された最新のセキュリティパッチの適用

  −セキュリティホールになる可能性のある不要なプログラムやサービスの削除

3.パスワード強度

ルータ、サーバなど全てのパスワードが設定可能な機器には、有効なパスワードを入力しなければなりません。
特にシステム管理者もしくはシステム管理者に類する権限をもつアカウントのパスワードは、下記のように厳重に設置運用する必要があります。

  −システム管理者自身が設定する

  −8文字以上のパスワード

  −大文字小文字の区別がある場合には大文字を1文字以上含める

  −記号が含められる場合には1文字以上含める

  −数字が含められる場合には1文字以上含める


(4)検査に関する遵守事項

1.検査実施手順

情報公開用サーバは、運用開始前に必ずシステム構築担当者が、情報セキュリティ委員会が指定する第三者による検査を受けなければなりません。検査には以下の項目を含まなければなりません。

  −最新の脆弱性情報を含む検査項目

  −「情報公開用サーバ設置申請書」との整合性

  −許可された範囲以外へのアクセスができないこと

  −アクセスコントロール定義の確認

  −不要なサービス、不要なアカウントが存在しないこと

  −推測可能なパスワードが設定されていないこと


検査は、インターネット方向からだけでなく、様々な脅威を想定した方向から実施し、検査に合格するまでは接続試験や検査の目的以外で運用を開始してはなりません。また、検査は定期的に実施するが、外部公開サーバが設置された場合及び、ルータ、ファイアウォールの設定変更された場合は随時検査を実施する必要があります。検査に不合格になった場合には、1週間以内に対策を行い、再検査を受け、以後これを繰り返す必要があります。
今回の特集は以上です。
次回も引き続き、アカウントの管理と情報公開用サーバの設置基準について解説を致します。ご期待下さい。
コラム・タイトル一覧
第二十六回 『セキュリティマネージメント運用』(4) ← → 第二十八回 『セキュリティマネージメント運用』(6)