| 毎週発行されているパートナーNewsより選り抜きの記事をご紹介! |
|
第二十八回 『セキュリティマネージメント運用』
|
● アカウントの管理と情報公開用サーバの設置基準(その4)
|
■ セキュリティマネージメント運用
■ アカウントの管理と情報公開用サーバの設置基準(その4)
● 情報公開用サーバ設置基準
情報公開用システムをインターネットネットワークに接続する場合に、ネットワーク犯罪の被害者や加害者、あるいは踏み台になることなく、円滑かつ効率的なビジネスを継続できることが重要となってきます。
インターネットネットワークへの接続は、業務効率の向上をもたらす反面、インターネット上の脅威にさらされる可能性もあります。そのためインターネットネットワークへの接続にあたっては、接続そのものの企画から、管理、運用まで慎重に行なければなりません。
外部へ公開する情報、情報システムに関して、セキュリティレベルの維持、向上、管理を目的として、以下の情報公開用サーバに関する基準を設定します。
・ 遵守事項
情報公開用サーバの運用に必要な遵守事項をセキュリティを考慮する上で特に留意が必要であると考えられる手順を対象手順の流れに沿ったかたちで前回から引き続き、記します。
(5)運用に関する遵守事項
1.セキュリティレベルの維持
システム管理者は、常に最新のセキュリティ情報を入手し、OS及びインストールされた、アプリケーション・サービスについて、随時、必要な最新のアプリケーションのバージョン、セキュリティパッチを適用しなければなりません。また、これらの適用履歴は保管管理されなければなりません。
OS及びインストールされたアプリケーション・サービスに関するセキュリティホールのうち深刻なものであると判断され、かつセキュリティパッチが公開されていないものについては、別方法のセキュリティ対策の検討をし、その施策しを実施なければなりません。
検討の結果、セキュリティ対策が無いと判断された場合は、速やかに情報セキュリティ委員会に報告し、情報の公開を停止しなければなりません。この停止は、対応のセキュリティパッチの適用もしくは別の施策の実施にて、セキュリティ委員会に報告後、解除できることとします。
2.情報公開用サーバのアカウント管理
システム管理者は、情報公開用サーバの目的、用途に応じた、必要最低限のアカウント以外を作成してはなりません。また、アカウント毎のアクセス権を規定し、必要最低限のアクセス権のみを付与しなければなりません。これらのアカウントは更新履歴も含めて、管理されなければなりません。パスワードが必要なアカウントについては、パスワードの強度の定義を定めた上で、適切なパスワード強度を有しなければなりません。
3.パスワード管理
設定されたバスワードには、以下の運用規定に従った運用がなされなければなりません。
−最低1ヶ月に一度更新されなければならない
−同じパスワードを異なる機器、異なる時期に使用してはならない
−設定されたパスワードは、システム管理者が責任を持って携行及び保管する手帳類以外には書き留めてはならない
−緊急時(現場に行くことができない場合等)を除いて、システム管理者以外に教えてはならない
−パスワードを入力する際は、他人に見られないように注意しなければならない
4.運用業務の委任
システム管理者の運用業務はオペレータに委任することができるが、オペレータは運用手順書以外の操作を行ってはなりません。
5.運用日誌
システム管理者は、次の項目を含んだ運用日誌を作成し一定期間、保管管理しなければなりません。
−システムへのログイン時間とログオフ時間
−システムの設定変更内容
−ログの保存記録
−バックアップ実施記録
−システムエラーの記録とその是正処置
また情報セキュリティ委員会は、定期的に運用日誌を検査し不適切な記載が発見された場合、適切な是正処置をシステム管理者に指導しなければなりません。
6.入退室管理
システム管理者は、全ての情報公開用サーバの設置場所への入退室記録を保管管理しなければなりません。これらの機器のディスプレイ及びコンソールは離席時を含めて、システム管理者及び、オペレータ以外操作、目視できないように必ず、ログアウトもしくはパスワードで保護された状態にしなければなりません。
7.リモートメンテナンス
システム構築担当者は情報公開用サーバに、安全な設定を施さなければなりません。安全な設定とは、以下の用件を満たす必要があります。
8.ログの取得について
情報公開用サーバのOS及びアプリケーション監査ログは次の項目を含めなければなりません。
−ユーザID
−ログオン及びログオフの日時
−端末のIPアドレスもしくは端末のID
−OSもしくはアプリケーションへのアクセスを試み、成功したものと、失敗したものの記録
−内部エラー
ファイアウォールおよびルータなどの通信経路に設置される機器のログは次の項目を含めなければなりません。
−アクセス日時
−プロトコル番号
−ソースIPアドレス
−ソースポート
−ディスティネーションポート
−ディスティネーションIPアドレス
−許可しているアクセス及び、許可していないアクセス
9.ログの保存
HDDのログの保管領域は十分な記憶容量を確保しておき、異常な量の書き込みが発生した場合においても十分に対処できるように備えておかなければなりません。ログは、その取得日から3年間は確実にシステムセキュリティ責任者のみが参照できる場所と方法で厳重に保管されなければなりません。
10.ログの解析
保存されたログは、システムセキュリティ責任者もしくはシステムセキュリティ責任者から委任を受たシステム管理者により解析されなければなりません。
ログの解析は少なくとも1ヶ月に1回以上定期的に行われなければならず、セキュリティ侵害や、その可能性がある場合は随時行わなければなりません。ログの解析を行う際は特に以下の点に注意しなければなりません。
−許可されていないIPアドレス
−指定時間外のアクセス
−アクセス頻度
−データ量
−度重なるアクセス失敗
11.時間の同期
システム管理者は、ログの精度及び、ログの証拠としての信頼性を確保するために、情報公開用サーバのシステム時間の同期を行わなければなりません。
12.情報公開用サーバ情報のバックアップ
システム管理者は、対象システムに保存されるデータとシステムの設定情報をそれぞれ一定期間毎にバックアップを取り、保管管理しなければなりません。
13.セキュリティ侵害時の対応
システム管理者は、セキュリティ侵害が発生した場合、セキュリティ侵害時の対応手順書に則って対応しなければなりません。またシステム管理者は、セキュリティ侵害時の情報を、できるだけ速やかに、前述した情報セキュリティ委員会に報告しなければなりません。
情報セキュリティ委員会は、前述の報告を受けた後、各行政機関への通報を含めて迅速に対応しなければなりません。
14.想定外のセキュリティ侵害への対応
万が一、想定外のセキュリティ侵害が発生し、セキュリティ侵害時の対応手順書のみでは状況の改善が見込めない場合、システム管理者は即座に情報セキュリティ委員会に報告しなければなりません。システム管理者は、情報セキュリティ委員会の指示のもと、手順書外の行為を行うことができます。但し、作業実施記録は詳細に記録しなければなりません。
またシステム管理者は、状況の改善後、作業実施記録を基にセキュリティ侵害時の対応手順書を更新しなければなりません。
15.セキュリティ侵害時の対応手順書の更新
システム管理者は、セキュリティ侵害時の対応手順書の実効性を維持するため、適宜更新しつづけなければなりません。
|
|
|
|
