■ セキュリティマネージメント運用
■ ネットワーク構築基準
● 目的
ネットワーク設計構築時に必要な主としてセキュリティに関する規定を行い、インターネット接続環境、社内LAN環境、社内WAN環境におけるネットワーク機器及び各種サーバ接続の条件、及び運用・管理の実施方法の遵守事項を規定します。
● 対象者
ネットワークを構築・運用・管理する全ての従業員、並びに委託業者
● 対象システム
インターネット接続環境、社内LAN環境、社内WAN環境を対象とする社内ネットワーク(ネットワーク機器及び各種サーバ)
● 遵守事項
・ 全般規定
ネットワーク構築の全般規定を以下に示します。
(1)ネットワーク環境は、以下に示す3つの環境とします。
1. インターネット網と接続をするインターネット接続環境(グローバルアドレスを使用したネットワークとし、ファイアウォールを介してグローバルゾーン(untrusted)と非武装ゾーン(DMZ)の環境を提供し社内LAN環境(trusted)から分離します)
2.社内環境に設置するLANを利用した社内LAN環境(プライベートアドレスを利用したネットワークとし、サーバゾーンと各フロアゾーン(各業務によって更にゾーニングします)と営業所と子会社・関連会社の各ゾーンは、VLANで分離します)
3.IP-VPN及び専用線を利用した社内WAN環境(プライベートアドレスを利用したネットワークとします)
(2)ネットワーク構築のための機器は、以下に示す機器とします。
1.ネットワーク機器(ルータ、L2/L3スイッチ、ロードバランサ等)
2.ファイアウォール、IPS(IDS)
3.DMZ配置情報公開用インターネットサーバ(DNSサーバ、Webサーバ、メールサーバ、Proxyサーバ、ウィルス対策サーバ、FTPサーバ等)
4.イントラネットサーバ(WWWサーバ、LDAPサーバ、ファイルサーバ、プリンタサーバ、ウィルス対策サーバ、業務システムサーバ等)
5.認証サーバ、運用監視サーバ、時刻同期サーバ等
(3)インターネット接続環境に接続する機器は、ルータ、スイッチ、UNIX系サーバLinuxサーバのみとします(Windowsサーバについては、セキュリティに不安のないアプリケーションを利用するために必要な場合のみ接続をすることが可能となります)
(4)インターネット接続環境には、不正アクセスを防止するための仕組み(上記IPSまたはIDS)を設置し、不正アクセスを検出した場合には速やかにセキュリティ委員会に報告しなければなりません。また、システム運用部門と共に、適切な対策を講じなければなりません。
(5)主要なサーバ機器は、ログ採取とネットワーク監視を実施することとします。
(6)パスワードの設定が可能な機器には、『ユーザ認証標準』に準拠することとします。
(7)アクセス制御の設定が可能な機器には、特定の機器からの接続のみ可能な設定とすることします。
(8)各機器は、設置場所・接続機器状況・管理者を明確にすることとします。
(9)主要なサーバは、サーバルームに構築するサーバ専用セグメントに接続することします。
・ インターネット接続環境設定
インターネット接続環境の規定を以下に示します。
(1)ネットワーク接続構成
1.ルータによるインターネットサービスプロバイダ(ISP)接続とし、ISP側のネットワークはグローバルアドレスを利用しなければなりません。
2.ISPと社内のネットワークの境界には、ファイアウォールを設置し、不正侵入の対策を実施しなければなりません。
3.ファイアウォールにより、DMZを介したWebサーバ接続が可能にしなければなりません。
4.ファイアウォールでは、NAT変換(グローバルアドレスとプライベートアドレスの変換)を行なう必要があります。
5.外部へのWebアクセス及びファイル転送は、Proxyサーバを経由することを義務付けることとします。
6.外部とのメールの送受信は、ウィルス対策サーバを経由し最新のパターンデータでウィルス感染チェックすると共に、不正中継対策の実施を義務付けすることします。
7.Webサーバは、情報セキュリティ委員会が指示するOS及びパッチの適用をし、常に最新のセキュリティ対策を実施しなければなりません。
(2)利用できるサービス
− 社外ユーザ向けのWWWサービス(情報公開)
− 社内ユーザ向けのWWWサービス(情報収集)
− メールの送受信サービス
− ドメインネームサービス
− ファイル転送サービス
− 時刻同期サービス
・ 社内WAN環境設定
社内WAN環境の規定を以下に示します。
(1)接続構成
1.IP-VPNまたは専用回線による閉域接続とし、接続先は国内、国外社内拠点(支店、営業所)及び子会社・関連会社とします。
2.ネットワークセグメント間は、通信サービス毎のアクセス制限を実施し不正アクセスの対策を実施しなければなりません。
3.全てのネットワーク機器には、可能な限りのネットワーク監視を実施することとします。
4.使用するアドレスは、プライベートアドレスを利用することとします。
5.IP-VPN網または専用線接続が困難な場合においては、強固なトンネリングプロトコルも用いた上でインターネットを利用したVPN装置の利用した接続を認めることとします。主に、リダンダント回線での使用を想定しています。
(2) 利用できるサービス
− インターネット
− イントラネット(社内各業務システム)
− ファイル共有サービス
− メールの送受信サービス
・ ネットワーク管理規定
ネットワークに設置するネットワーク機器は、以下に示す手順で管理を行なうこととします。
(1)設置許可申請
ネットワーク機器を設置する場合、別途規定する設置許可申請を情報システム部門に提出しなければなりません。
(2)システム管理者の決定
ネットワーク機器を設置する場合、管理者を選出しなければなりません。選出は、該当ネットワーク機器を管理する部門とし、選出後には情報システム部門に文書で報告しなければなりません。
(3)機器の設置
設置するネットワーク機器は、情報セキュリティ委員会からの指示によるセキュリティ対策がなされるように、設定を行なわなければなりません。
設置許可申請の受理及び内部審査での合格がされていないネットワーク機器は、ネットワークへの設置を認めません。
(4)審査・設置許可
セキュリティ対策の施されたネットワーク機器は、速やかに情報セキュリティ委員会が実施する内部審査を行なわなければなりません。内部審査は、ネットワークを通じた検証について実施することが必要です。
内部審査で発見された問題点は速やかに処置を行ない、再審査を受けて合格するまで処置と審査を継続しなければなりません。
内部審査に合格したネットワーク機器は、許可されたネットワークのみ設置することができます。
(5)監視
設置したネットワーク機器は、情報セキュリティ委員会から指定された外部委託機関又は内部組織で監視を行なわなければなりません。監視の対象は、ネットワークを流れているデータ(通信パケット)とネットワーク機器の稼動状況とします。
(6)監査の継続と切り離し
設置したネットワーク機器は、設置後も定期・不定期的に監査を実施しなければなりません。監査により発見された問題点の程度によっては、情報セキュリティ委員会の判断により、問題点の処置が完了するまでネットワークから切り離さなければなりません。
|
|
