毎週発行されているパートナーNewsより選り抜きの記事をご紹介!
第三十回 『セキュリティマネージメント運用』
● 電子メールサービス利用基準
■ セキュリティマネージメント運用
■ 電子メールサービス利用基準
● 目的
電子メールで受け渡される情報の安全性を確保し、電子メール利用にあたって発生し得る各種の問題を未然に防ぐことを目的とします。
● 対象システム
対象のシステムは、業務で使用するために購入/導入する、ソフトウェア/ハードウェア(PC、ネットワーク機器、OS、アプリケーションソフトウェア等)を対象とし、顧客に納品されるものは対象外とします。
また、ハードウェアのうち、情報(機器の設定等を含む)を保管できるものを対象とします。
● 遵守事項
・ 標準製品リストの作成
情報公開用サーバの運用に必要な遵守事項をセキュリティを考慮する上で特に留意が必要であると考えられる手順を対象手順の流れに沿ったかたちで前回から引き続き、記します。
(1)情報セキュリティ委員会は、一般的な業務で使用する以下の標準製品を定め、標準製品リストを作成し、すべての従業員に通知する必要があります。
なお、全社規模で使用するサーバ、ネットワーク、アプリケーションについては、別途規定を定めた上で、情報システム部門が導入し、システム運営部門が統合的に管理するため、別途基準を定めるものとします。
1.クライアントPC
−デスクトップPC、ノートPC等
2.ワークグループ導入サーバ
3.ネットワーク機器
−基幹外のL2スイッチ(ノンインテリ)
4.必須導入のソフトウェア
−OS、OSに付随するユーティリティ
文書作成、表計算、プレゼンテーション支援のソフトウェア
−ウィルス対策ソフトウェア
−電子メールソフトウェア、Webブラウザ
5.選択して導入されるソフトウェア
−暗号化ソフトウェア
−圧縮・解凍ソフトウェア
−文書閲覧ソフトウェア
(2)すべての従業員は、業務上の正当な理由があり、セキュリティ委員会から標準外製品の購入/導入を承認された場合を除き、標準製品リストで定められた製品を購入/導入しなければなりません。
(3)情報セキュリティ委員会は、標準製品を決定するにあたり、必要なセキュリティ機能、スペックを備えサポート、ライセンス条件、価格、などの条件が適切であることを評価しなければなりません。さらに、既存の情報システムと問題なく動作できるもの、基幹のシステムと齟齬の出ないものを選択しなければならない。
製品のセキュリティホール情報やその他の不具合に関する情報の提供、パッチ発行等の対応が悪い製品は、標準製品に指定してはなりません。
(4)情報セキュリティ委員会は、標準製品リストを定期的(年1回)に審議し、変更が生じた場合には、速やかにすべての従業員に通知しなければなりません。
(5)情報システム部門は、セキュリティ上の問題やその他のトラブルを防止するために、標準製品の適切な設定を検証して決定し、設定ミスを防止するために、設定マニュアルを作成しなければなりません。
・ 標準製品の購入/導入
(1)情報システム部門は、標準製品の発注、保守契約、ライセンス、インストールメディア等を一括して管理します。
(2)標準製品の購入を行う従業員は、申請書を情報システム部門宛に提出しなければなりません。
(3)情報システム部門は、申請を受けた標準製品の発注処理を行い、必須導入ソフトウェアのインストールと設定、ネットワーク接続の設定、各種ソフトウェアの最新パッチを適用した上で申請者が指定した場所に納品します。製品購入時にインストールされているものや、OSに付属するソフトウェアであっても、標準製品として認められないものは、排除してから納品する必要があります。
(4)情報システム部門は、購入処理を行った製品を管理台帳に登録する必要があります。
(5)情報システム部門は、各部署からの申請により、再インストール等のためにライセンス上問題の無いインストールメディアの貸し出しを行ないます。情報システム部門は貸し出し記録を作成し、管理しなければなりません。
・ 標準外製品の導入/購入
(1)研究、開発、その他業務上の理由で、標準外製品を購入/導入する必要がある部門の従業員は、情報セキュリティ委員会宛に、標準外製品を使用する具体的理由、製品名、製品の種類、管理者等の必須事項を明記し申請を行わなければなりません。
(2)標準外製品導入の申請を受けた情報セキュリティ委員会は、申請の妥当性を討議し、直ちに結果を申請者に通知する必要があります。
(3)情報セキュリティ委員会の承認を得て標準外製品の使用を行っていた従業員は、標準外製品の使用を停止した場合、情報セキュリティ委員会宛に使用停止の申請をしなければなりません。
(4)情報セキュリティ委員会は、使用許可を行った標準外製品を情報システム部門に通知し、情報システム部門は、標準外製品を管理台帳に登録しなければなりません。
(5)情報セキュリティ委員会は、標準外のネットワークソフトウェアに対して使用を許可した場合、セキュリティ関連の情報収集担当者に通知しなければなりません。また、当該製品の使用者から使用停止の申請があった場合も通知する必要があります。
(6)情報セキュリティ委員会は、標準外のネットワークソフトに対して使用許可を与えない場合、情報システム部門を通じて、社内ネットワークから切り離した、独立した環境を構築して業務上の要求が達成できるよう指導しなければなりません。
情報システム部門は、社内ネットワークから切り離した環境で使用されていることを、3ヶ月を超えない期間毎に、使用部署には通知せず確認しなければなりません。独立した環境を使用している部署は、その環境が不要になった場合、速やかに情報システム部門に通知して、直ちに使用を停止しなければなりません。
(7)標準外製品の購入/導入を行う部署は、自部署の責任において購入/導入の手続きを行い、ライセンス、インストールメディアの管理を独自で厳密に行わなければなりません。
(8)標準外製品の購入/導入を行う部署は、事前に、既存の情報システムへの影響を検討し、セキュリティ上の安全性を確認し、情報システム部門のチェックを受けてから使用しなければなりません。
(9)情報セキュリティ委員会は、既存の情報システムにセキュリティ上やその他のトラブルが発生した場合、標準外製品の購入/導入を行う部署に対し、当該製品の設定変更や社内ネットワークからの切り離し、当該製品の使用停止等を命じることができます。
ファイアウォールおよびルータなどの通信経路に設置される機器のログは次の項目を含めなければなりません。
・ ネットワーク機器の購入/導入について
(1)情報システム部門は、本社内のグローバルゾーン、DMZ、サーバゾーン、各フロアゾーンのフロアSWHUBまでのエリアに設置するネットワーク機器(ルータ、スイッチングハブ等)の購入/導入を責任を持って行い、許可無く各部署にて購入/導入を行ってはなりません。
(2)情報システム部門は、『ネットワーク構築基準』に基づき、主要なネットワーク機器の導入を行わなければなりません。
(3)(1)で指定する以外のエリアに設置するために、各部署にてネットワーク機器を購入する場合も、標準製品として指定されている製品を使用する必要があります。各部署にて購入した製品は、管理台帳に登録するため、情報システム部門に申請しなければなりません。購入した製品は、自部署にて管理するものとします。
・ 管理台帳の作成/管理
(1)情報システム部門は、申請された情報を基にPCやネットワーク機器の管理台帳を作成し、新規登録、変更、削除を管理しなければなりません。
(2)管理台帳には、標準製品、標準外製品の両方を登録しなければなりません。
今回の特集は以上です。
次回はWebサービス利用基準について解説を致します。ご期待下さい。
コラム・タイトル一覧
第二十九回 『セキュリティマネージメント運用』(7) ←
→ 第三十一回 『セキュリティマネージメント運用』(9)
