| 毎週発行されているパートナーNewsより選り抜きの記事をご紹介! |
|
第三十二回 『セキュリティマネージメント運用』
|
● クライアントPCにおけるセキュリティ対策基準
|
■ セキュリティマネージメント運用
■ クライアントPCにおけるセキュリティ対策基準
● 目的
クライアントPC上の機密性・完全性を確保し、発生し得る各種問題を未然に防ぐことを目的とします。
● 対象者
PCを利用するすべての社員、パート、アルバイト、契約社員を対象とします。
● 対象システム
・ 会社より支給・貸与されたPC
※ 本基準内では、「PC」はノートパソコンを含んだクライアントマシンのことを指し、「ノートパソコン」は、携帯可能なノートパソコンのみを指します。
・ 社内ネットワークに接続することが認められた自宅設置のPC
次項でも規定されるように、私物PCの社内ネットワークへの接続は禁止されているが、当対策基準で定めるルール、作業を満足することを前提に社内ネットワークへの接続を許可します。
● 遵守事項
・ 私物PCの使用禁止
(1)業務において、対象者が使用できるPCは、原則として会社が支給・貸与したPCのみとします。
(2)社内システム環境に許可無く私物PCを接続・利用してはなりません。
(3)将来的には、社内ネットワークに検閲VLAN機能を取り込み、ネットワークに接続した時点では検閲VLANに接続され、PC側のエージェントソフトウェアと連携した上で、指定されたセキュリティポリシーが満足されているか、検査し、基準に満たない場合は社内ネットワークへの接続を自動的に拒否する仕組みを導入する必要があります。
・ PCに導入するソフトウェア
(1)会社が支給・貸与するPCには、『ソフトウェア/ハードウェアの購入および導入標準』で規定されたソフトウェアを導入することとします。初期導入はシステム部門が指定したメーカ、ベンダに購買部門が発注することにより、自動的に指定されたソフトウェア群が導入される仕組みとします。
(2)部門ごとに必要なソフトウェア(例:設計部門のCADソフト)については、(1)で提供されたPCにシステム部門が導入することとします。
(3)トラブル等によって、リインストールが必要な事態になった場合は、システム部門に保管されているマスタCDを使用し、各自リインストールを行うこととします。その際、権利の無いPCへのインストールは禁止されています。
(4)(1)(2)にて指定したソフトウェア以外で、業務上やむを得ず導入しなければならないソフトウェアが発生した場合は、情報システム部に申請し、許可を得ることにより導入することができます。ただし、この場合はファシリティー、ライセンスの管理は申請部門が責任を持って行い、管理は(2)に準拠するものとします。
(5)導入したソフトウェアは、常に最新の状態で使用することとし、情報システム部が提供するソフトウェア情報をもとに修正プログラム等を導入しなければなりません。但し、Windowsのパッチ管理についてはここの物が行わず、自動的に適用される事とします。各自はパッチの適用を止めてはなりません。
(6)上記で規定した以外のソフトウェアはたとえ一時的にも導入が禁止されます。特に、ネットワークからダウンロードしたソフトウェア、フリーウェア、シェアウェア、メールに添付されたソフトウェアは導入が禁止されています。ただし、『ソフトウェア/ハードウェアの購入および導入標準』に規定されているフリーウェア、シェアウェアについてはこの限りではありません。
・ PCの他者利用の制限
(1)席を離れる場合、第三者が無断でPCを利用できないようにPCにロックを掛けなければなりません。離席した場合、あるいは一定時間未使用の場合、自動的にロックがかかる仕組みが望ましいといえます。最低限、スクリーンセーバーにパスワードをかける必要があります。
(2)『ユーザ認証標準』に従い、PCに対するパスワード管理を徹底しなければなりません。WindowsやWebブラウザにパスワードを記憶させてはなりません。
(3)ノートパソコンでは、基本認証以外にもBIOS上での認証を行うようにしなければなりません。
・ PCでの情報の取り扱い
(1)PCで機密情報を取り扱う場合、長期期間その情報を利用する場合には、機密情報を取り扱う許可を情報システム部門に申請し、許可を得なければなりません。許可を得た機密情報は、万一の漏洩に備え、暗号化等の対策を実施しなければなりません。また保存は主としてファイルサーバに行うこととし、PCへの保存は短期間とするように努めなければなりません。
(2)PCで一時的に機密情報を取り扱う場合、取り扱い後には、不必要となった情報は直ちに削除し、放置してはなりません。
(3)将来的にはシンクライアントを導入し、クライアント側では一切の情報を持たない仕様とする必要があります。
・ ウィルス対策の徹底
(1)PCを利用するすべての対象者は、PCを利用する上でウィルス対策を徹底しなければなりません。
(2)ウィルス定義ファイルの適用をはじめとする『ウィルス対策標準』に規定されている遵守事項を徹底しなければなりません。
・ PCの移設
(1)PCを利用するすべての対象者は、PCを勝手に移設してはなりません。
(2)PCの移設が必要な場合には、情報システム部に申請し、許可を得る必要があります。
・ ノートパソコンの利用上の注意事項
(1)ノートパソコンを「持ち出し禁止」「持ち出し可」とに区分し、持ち出し可能なPCについては、「持ち出し可」のシールをはり、守衛の求めがあった場合は、提示をする必要があります。
(2)「持ち出し可」のノートパソコンを社外に持ち出す場合、盗難・窃盗に注意し取り扱わなければなりません。
(3)社外に持ち出すノートパソコンについては、重要データについては暗号化して保存する必要があります。
(4)社外に持ち出すノートパソコンについては、NTTコムウェア提供e−UBFの利用により、生体認証による本人確認を行う必要があります。
(5)社外でノートパソコンを使用する場合、情報の盗み見に十分注意し利用しなければなりません。
|
|
|
|
