内閣官房 パブコメ 「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)
こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが 「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)に関する意見の募集を行っていますね。。。
●内閣官房情報セキュリティセンター(NISC)
・2008.12.10 「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)に関する意見の募集
・・「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)
(参考)
・・改訂案の概要
・・「政府機関の情報セキュリティ対策のための統一基準(第4版)」解説書(案)
・・「政府機関の情報セキュリティ対策のための統一基準(第4版)」(案)(改訂部分下線)
・・遵守事項対応表
改定案の概要
=====
1.第2次情報セキュリティ基本計画案を踏まえた対応
1-1 政府機関におけるPDCAサイクルの各プロセスにおけるマネジメントの強化への対応
最高情報セキュリティアドバイザーの設置を義務化し、専門家の指示やアドバイスが組織全体に迅速かつ確実に反映できる仕組みを構築。
2.技術・環境の変化への対応
2-1 ウェブの閲覧・送信時の危険性への対応
ウェブクライアントのセキュリティ設定、ウェブサイト送信時の安全確認に係る対策を追加。
2-2 電子メールのボット被害の危険性への対応
電子メール送信時認証を基本遵守事項に変更。
2-3 無線LAN環境の脆弱性への対応
要機密情報を取り扱う無線LAN環境については、通信内容の暗号化を必要とすることを追記。
3.実務に則した遵守事項の見直し等
3-1 基本編と情報システム編への分割
2編分割により、省庁対策基準の決裁レベルを分けることを容易にし、より機動的な運用を可能とする。
3-2 遵守事項の集約
文書整備に係る遵守事項等を集約し、分かりやすさの向上を図る。
3-3 政府機関統一基準解説書の記述の明確化等
=====
佐藤さんの「砂糖の甘い付箋」でも取り上げられていますね。。。
・2008.12.11 政府機関統一基準第4版案パブコメ
目次です。。。
=====
第1 編 基本編
第1.1 部 総則
1.1.1.1 本統一基準の位置付け
(1) 政府機関の情報セキュリティ対策の強化における本統一基準の位置付け
(2) 本統一基準の改訂
(3) 法令等の遵守
1.1.1.2 本統一基準の使い方
(1) 本統一基準と省庁対策基準との関係
(2) 適用対象範囲
(3) 全体構成
(4) 対策項目の記載事項
(5) 対策レベルの設定
(6) 評価の方法
1.1.1.3 情報の格付けの区分及び取扱制限の種類
(1) 格付け及び取扱制限
(2) 格付けの区分
(3) 取扱制限の種類
1.1.1.4 用語定義
第1.2 部 組織と体制の整備
1.2.1 導入
1.2.1.1 組織・体制の整備
遵守事項
(1) 最高情報セキュリティ責任者の設置
(2) 情報セキュリティ委員会の設置
(3) 情報セキュリティ監査責任者の設置
(4) 情報セキュリティ責任者の設置
(5) 情報システムセキュリティ責任者の設置
(6) 情報システムセキュリティ管理者の設置
(7) 課室情報セキュリティ責任者の設置
(8) 最高情報セキュリティアドバイザーの設置
1.2.1.2 役割の割当て
遵守事項
(1) 兼務を禁止する役割の規定
(2) 上司による承認・許可
1.2.1.3 違反と例外措置
遵守事項
(1) 違反への対処
(2) 例外措置
1.2.2 運用
1.2.2.1 情報セキュリティ対策の教育
遵守事項
(1) 情報セキュリティ対策の教育の実施
(2) 情報セキュリティ対策の教育の受講
1.2.2.2 障害・事故等の対処
遵守事項
(1) 障害・事故等の発生に備えた事前準備
(2) 障害・事故等の発生時における報告と応急措置
(3) 障害・事故等の原因調査と再発防止策
1.2.3 評価
1.2.3.1 情報セキュリティ対策の自己点検
遵守事項
(1) 自己点検に関する年度計画の策定
(2) 自己点検の実施に関する準備
(3) 自己点検の実施
(4) 自己点検結果の評価
(5) 自己点検に基づく改善
1.2.3.2 情報セキュリティ対策の監査
遵守事項
(1) 監査計画の策定
(2) 監査の実施に関する指示
(3) 個別の監査業務における監査実施計画の策定
(4) 監査の実施に係る準備
(5) 監査の実施
(6) 監査結果に対する対処
1.2.4 見直し
1.2.4.1 情報セキュリティ対策の見直し
遵守事項
(1) 情報セキュリティ対策の見直し
1.2.5 その他
1.2.5.1 外部委託
適用範囲
遵守事項
(1) 情報セキュリティ確保のための府省庁内共通の仕組みの整備
(2) 委託先に実施させる情報セキュリティ対策の明確化
(3) 委託先の選定
(4) 外部委託に係る契約
(5) 外部委託の実施における手続
(6) 外部委託終了時の手続
1.2.5.2 業務継続計画との整合的運用の確保
適用範囲
遵守事項
(1) 業務継続計画と情報セキュリティ対策の整合性の確保
(2) 業務継続計画と情報セキュリティ関係規程の不整合の報告
第1.3 部 情報についての対策
1.3.1 情報の取扱い
1.3.1.1 情報の作成と入手
遵守事項
(1) 業務以外の情報の作成又は入手の禁止
(2) 情報の作成又は入手時における格付けと取扱制限の決定
(3) 格付けと取扱制限の明示等
(4) 格付けと取扱制限の加工時における継承
1.3.1.2 情報の利用
遵守事項
(1) 業務以外の利用の禁止
(2) 格付け及び取扱制限に従った情報の取扱い
(3) 格付け及び取扱制限の複製時における継承
(4) 格付け及び取扱制限の見直し
(5) 要保護情報の取扱い
1.3.1.3 情報の保存
遵守事項
(1) 格付けに応じた情報の保存
(2) 情報の保存期間
1.3.1.4 情報の移送
遵守事項
(1) 情報の移送に関する許可及び届出
(2) 情報の送信と運搬の選択
(3) 移送手段の決定
(4) 書面の保護対策
(5) 電磁的記録の保護対策
1.3.1.5 情報の提供
遵守事項
(1) 情報の公表
(2) 他者への情報の提供
1.3.1.6 情報の消去
遵守事項
(1) 電磁的記録の消去方法
(2) 書面の廃棄方法
第1.4 部 情報処理についての対策
1.4.1 情報処理の制限
1.4.1.1 府省庁外での情報処理の制限
遵守事項
(1) 安全管理措置についての規定の整備
(2) 許可及び届出の取得及び管理
(3) 安全管理措置の遵守
1.4.1.2 府省庁支給以外の情報システムによる情報処理の制限
遵守事項
(1) 安全管理措置についての規定の整備
(2) 許可及び届出の取得及び管理
(3) 安全管理措置の遵守
第1.5 部 情報システムについての基本的な対策
1.5.1 情報システムのセキュリティ要件
1.5.1.1 情報システムのセキュリティ要件
遵守事項
(1) 情報システムの計画
(2) 情報システムの構築・運用
(3) 情報システムの移行・廃棄
(4) 情報システムの見直し
1.5.2 情報システムに係る規定の整備と遵守
1.5.2.1 情報システムに係る文書及び台帳整備
遵守事項
(1) 情報システムの文書整備
(2) 情報システムの台帳整備
1.5.2.2 機器等の購入
適用範囲
遵守事項
(1) 機器等の購入に係る規定の整備
(2) 機器等の購入に係る規定の遵守
1.5.2.3 ソフトウェア開発
遵守事項
(1) ソフトウェア開発に係る規定の整備
(2) ソフトウェア開発に係る規定の遵守
1.5.2.4 暗号と電子署名の標準手順
遵守事項
(1) 暗号と電子署名に係る規定の整備
(2) 暗号と電子署名に係る規定の遵守
1.5.2.5 府省庁外の情報セキュリティ水準の低下を招く行為の防止
遵守事項
(1) 措置についての規定の整備
(2) 規定の遵守
1.5.2.6 ドメイン名の使用についての対策
遵守事項
(1) ドメイン名の使用についての規定の整備
(2) ドメイン名の使用についての規定の遵守
1.5.2.7 不正プログラム感染防止のための日常的実施事項
遵守事項
(1) 不正プログラム対策に係る規定の整備
(2) 不正プログラム対策に係る規定の遵守
第2 編 情報システム編
第2.1 部 情報セキュリティ要件の明確化に基づく対策
2.1.1 情報セキュリティについての機能
2.1.1.1 主体認証機能
遵守事項
(1) 主体認証機能の導入
(2) 識別コードの管理
(3) 主体認証情報の管理
2.1.1.2 アクセス制御機能
遵守事項
(1) アクセス制御機能の導入
(2) 適正なアクセス制御
2.1.1.3 権限管理機能
遵守事項
(1) 権限管理機能の導入
(2) 識別コードと主体認証情報の付与管理
(3) 識別コードと主体認証情報における代替手段等の適用
2.1.1.4 証跡管理機能
遵守事項
(1) 証跡管理機能の導入
(2) 証跡の取得と保存
(3) 取得した証跡の点検、分析及び報告
(4) 証跡管理に関する利用者への周知
2.1.1.5 保証のための機能
遵守事項
(1) 保証のための機能の導入
2.1.1.6 暗号と電子署名 (鍵管理を含む)
遵守事項
(1) 暗号化機能及び電子署名機能の導入
(2) 暗号化及び電子署名に係る管理
2.1.2 情報セキュリティについての脅威
2.1.2.1 セキュリティホール対策
遵守事項
(1) 情報システムの構築時
(2) 情報システムの運用時
2.1.2.2 不正プログラム対策
遵守事項
(1) 情報システムの構築時
(2) 情報システムの運用時
2.1.2.3 サービス不能攻撃対策
遵守事項
(1) 情報システムの構築時
(2) 情報システムの運用時
2.1.2.4 踏み台対策
遵守事項
(1) 情報システムの構築時
(2) 情報システムの運用時
第2.2 部 情報システムの構成要素についての対策
2.2.1 施設と環境
2.2.1.1 電子計算機及び通信回線装置を設置する安全区域
遵守事項
(1) 立入り及び退出の管理
(2) 訪問者及び受渡業者の管理
(3) 電子計算機及び通信回線装置のセキュリティ確保
(4) 安全区域内のセキュリティ管理
(5) 災害及び障害への対策
2.2.2 電子計算機
2.2.2.1 電子計算機共通対策
遵守事項
(1) 電子計算機の設置時
(2) 電子計算機の運用時
(3) 電子計算機の運用終了時
2.2.2.2 端末
遵守事項
(1) 端末の設置時
(2) 端末の運用時
2.2.2.3 サーバ装置
遵守事項
(1) サーバ装置の設置時
(2) サーバ装置の運用時
2.2.3 アプリケーションソフトウェア
2.2.3.1 電子メール
遵守事項
(1) 電子メールの導入時
(2) 電子メールの運用時
2.2.3.2 ウェブ
遵守事項
(1) ウェブの導入時
(2) ウェブの運用時
2.2.3.3 ドメインネームシステム (DNS)
遵守事項
(1) DNSの導入時
(2) DNSの運用時
2.2.4 通信回線
2.2.4.1 通信回線共通対策
遵守事項
(1) 通信回線の構築時
(2) 通信回線の運用時
(3) 通信回線の運用終了時
2.2.4.2 府省庁内通信回線の管理
遵守事項
(1) 府省庁内通信回線の構築時
(2) 府省庁内通信回線の運用時
(3) 回線の対策
2.2.4.3 府省庁外通信回線との接続
遵守事項
(1) 府省庁内通信回線と府省庁外通信回線との接続時
(2) 府省庁外通信回線と接続している府省庁内通信回線の運用時
第2.3 部 個別事項についての対策
2.3.1 その他
2.3.1.1 情報システムへのIPv6 技術の導入における対策
遵守事項
(1) IPv6 移行機構がもたらす脆弱性対策
(2) 意図しないIPv6 通信の抑止と監視
=====
Comments
丸山 様
夏井です。
この案でも破綻によるマネジメント主体の消滅または機能不能の場合に対する対応が完全に抜けていますね。致命的な欠陥だと思います。
戦争,原発事故,テロ,大震災,世界恐慌,国家税収消滅その他の原因により,目下の情報セキュリティのスキームが完全に破綻しそうになった場合あるいは全く機能しなくなってしまいそうになった場合に対する対処を事前に考えておかないと駄目です。
人は死すべき存在ですが,組織も企業も労働団体も政党も国も地球も宇宙も,それらすべてがいつか必ず死すべき存在です。
面倒なのでパブリックコメントの募集に対しては何も出しませんが・・・(笑)
Posted by: 夏井高人 | 2008.12.11 10:28
夏井先生、コメントありがとうございます。
=====
この案でも破綻によるマネジメント主体の消滅または機能不能の場合に対する対応が完全に抜けていますね。致命的な欠陥だと思います。
=====
そうですね。。。マネジメントに対する規定なのでマネジメント主体が消滅した場合の規定はつくるのがむつかしいかもしれないけど、どこか別のところで、、、というのもありですが、それって、情報セキュリティだけの問題かいなぁ。。。というのもありますな。。。
Posted by: 丸山満彦 | 2008.12.12 08:24
丸山 様
夏井です。
誰も「いつか自分が死ぬ」という当然のことを明確に意識して行動しようとはしないので,「そうしなさい」と言ってみてもかなり無理のあることは承知しています。
でも,そうしないとどうにもならない事態が目の前に迫っているということを自覚できない人は,かなり能力の低い人であるか大嘘つきであるかのどちらかだろうと信じています。
もちろん,情報セキュリティに限った問題ではないです。
しかし,情報セキュリティや個人情報保護や企業秘密保護や顧客保護や企業会計などの場面では,マネジメントの主体が破綻・消滅し,情報が「野ざらし」状態になってしまうことは,目下の金融不安による脅威の何万倍かの威力をもつ恐るべき脅威となって人類社会全体に襲い掛かってくることになるでしょう。
したがって,それぞれの分野において,少なくとも「どうすればいいのか?」というくらいの検討はしなければならないと考えています。
明確な自覚が必要です。
Posted by: 夏井高人 | 2008.12.12 10:04
夏井先生、コメントありがとうございます。
=====
明確な自覚が必要です。
=====
アグリーです。
金融危機等西洋的思考の限界はすでに見えていますので、最近、般若心経を読み込んでおります。宗教というよりも哲学として考えると大変参考になりますね。。。
Posted by: 丸山満彦 | 2008.12.14 13:35