6.3.1 府省庁外の情報セキュ テ 水準の 下を招く行 の防
趣旨 必要性
各府省庁 府省庁外 情報コゥポモゾ゛水準 を招 よう 行 を る
府省庁外 対 適 行 い 当然 あ 行 者 情報コゥポモ ゾ゛水準を る よ 各府省庁を り巻 情報コゥポモゾ゛環境を悪化
る 各府省庁 好 い
れら を 案 曓 府省庁外 情報コゥポモゾ゛水準 を招 行 防 る対策基準を る
遵守事項
(1) 措置 い 規 整備
基曓遵
(a) 統 情報コゥポモゾ゛ 任者 府省庁外 情報コゥポモゾ゛水準 を招
行 防 る措置 い 規 を整備 る
解 府省庁外 情報コゥポモゾ゛水準 を招 行 防 統 情報コゥポモゾ゛ 任者 規 を整備 る を求 る ある 府省庁外 情報コゥポモゾ゛水準 を招 能性 ある行
例え 挙 られる
゚ 適 サネダゞゟ゚ 使用要求 電子行 キヴニケ 例え 府省庁 ゞゟノ よるカンゾンゼ 提示等を言う を利用
る 弱性 問題 指摘 れ いるサネダゞゟ゚ 使用 弱 性 問題 指摘 れ いるサネダゞゟ゚ ゜ンケダヴャや 弱性 問題 指摘 れ いるトヴグミン 変更 よる使用を言う 弱性 問 題 改善 れ いるサネダゞゟ゚ 変更 い よる使用
を含 を暗黙又 明示的 要求 る行
゜ サネダゞゟ゚ 適 設 要求 電子行 キヴニケを利用 る 利用者 環境 ゜ンケダヴャ れ いるサネダゞゟ゚ 府省庁 直接提供 い いサネダゞゟ゚ 例え ェメ゜゚ンダPC OSや ゞゟノノメゞギ等 い コゥポモゾ゛設 方修
を暗黙又 明示的 要求 る行
ゞ サネダゞゟ゚等 適 削 要求 府省庁 ゞゟノ カンゾン ゼを利用 る 利用者 コゥポモゾ゛対策 必要 サネダゞゟ゚
やデヴチゞゟ゚等 無効化や削 を暗黙又 明示的 要求 る行
明示的 要求 る行 よう 設 を変更 い よう 明 る ある 暗黙 要求 る行
キヴニケを利用 る よう 設 必要 婉曲
147
載 る 何 載 結果的 よう
設 変更を い 利用を いよう 状態 キヴニケを提供
る 含
よう 場合 暗黙 要求 る ある 注意 る必要 ある
ンサネダゞゟ゚を実行 る場合 電子行 キヴニケ サネダゞ ゟ゚を実行 る場合 注意 る必要 ある れらを大 る 単
実行型 例え Windows .exe ネ゙゜ャ等 メンシ゜ヘ環境実
行型 例え Java゚ハヤセダやWindows ActiveXネ゙゜ャ等 ェ メ゜゚ンダサネダ 実行型 例え JavaScriptやネ゙゜ャ中 ブェュ 等 ある れら を含
ンHTMLベヴャ等を 信 る場合 府省庁 ら HTML ベヴャ等 利用 者 コゥポモゾ゛ 理由 ら 信側 ベヴャキヴトやベヴャェメ゜゚
ンダ 処理を 限 いる 想 れるベヴャ文書形式を用い ベ ヴャ を 信 る場合 注意 る必要 ある
れら 場合 い 結果的 利用者 ゞゟノノメゞギ等 コゥポ モゾ゛設 方修 を誘 る 能性 ある 実行 るサネダゞゟ
゚ 提供 い アンメ゜ン よる提供 ゞゟノ 掲載 ベヴャ 添付等 い 特 注意 規 を整備 る必要 ある
大 種類 整備 構わ い 例え 単 実行型ネ゙゜ャ い アンメ゜ン提供 原則禁 メンシ゜ヘ環境実行型 い 署 を付 る 義 付 HTMLベヴャ等 信 い 信 者 前 意を得 場合 信 意者 方式 信手段 提供 義 付 考えられる
゚ ゜ い 当 電子行 キヴニケ 準備を 時 弱性 問題 指摘 れ い 運用開始 指摘 れる場合 ある よう 場合 弱性を回避 る 選択を利用者 るよう れ ら い 回避 必要 当 電子行 キヴニケ 用いるゞゟノ カンゾンゼや゚ハモォヴクミン等 是 を容易 る よう 準備や設計 い 規 を整備 る必要 ある 容易 る
追 予算措置を講 よい程 あり 運用担当者 よ る変更 る 是 開 作業を保 用 範 含 る 方法 を考える る
例え 電子行 用ゞゟノ ゚ハモォヴクミンを利用 る 利用 者 PC 予 標準的 ゜ンケダヴャ れ いるサネダゞゟ゚ トヴ グミン あ る サネダゞゟ゚ 暷新トヴグミン 更新 れ トヴグミン い 弱性 公開 れ 場合 トヴグミン 当 ゚ハモォヴクミンを利用 るよう
148
れ ら い 当 ゚ハモォヴクミン サネダゞゟ゚
トヴグミン 動作 るよう 設計 利用者 弱性 あるト ヴグミン を利用 る を暗黙 要求 う る よ う 場合 適 対処 トヴグミン 当 ゚ハモォヴクミンを利用
るよう る等 を容易 実施 るよう 設計 容又 業者 保 契約 容等 い 検討 重要 ある
(2) 措置 遵
基曓遵
(a) 行 従 者 府省庁外 情報コゥポモゾ゛水準 を招 行 防
る措置を講 る
解 府省庁外 情報コゥポモゾ゛水準 を招 行 防 る各府 省庁 役割を ある 行 従 者 組織及 個人
措置を講 る 重要 ある
6.3.2 業務 計画 の整合的運用の確保
趣旨 必要性
各府省庁 い 中央省庁業 イ゜チメ゜ン 第 19 6暻 府 基 業 重大 支 を来 あるい 国民 全 利益 重大 威
る 能性 想 れる 態を特 当 態 対応 る計画を業 計画 策 る 想 れ いる 方 業 計画 対象 る 態 多 場 合 情報コゥポモゾ゛を損 う り 各府省庁 情報コゥポモゾ゛ 規程 基 対策 講 られる る 場合 業 計画 適 運用 情報コゥポモ ゾ゛ 確保 方 目的を適 る 両者 整合的運用 確保 必要 あ る
れら を 案 曓 業 計画 情報コゥポモゾ゛対策 整合的運用 確保 る対策基準を る
適用範囲
中央省庁業 イ゜チメ゜ン 第 19 6暻 府 基 業 計画を整備 又 整備を予 いる府省庁 適用 る
遵守事項
(1) 府省庁 る業 計画 整備計画 把握
基曓遵
(a) 暷高情報コゥポモゾ゛ 任者 府省庁 る業 計画 整備計画 い 統 情報コゥポモゾ゛ 任者を通 情報コゥポモゾ゛委員会 適時 知る
る体 を整備 る
149
解 暷高情報コゥポモゾ゛ 任者 府省庁 整備 る業 計画 容 や状況 い 情報コゥポモゾ゛委員会 適時 情報を入手 るよ う 体 を整備 る を求 る ある
業 計画 変更 ある場合 必要 情報 的 得られ るよう れ ら い
一般 業 計画 い 業 計画又 BCP Business
Continuity Plan いう 中央省庁業 イ゜チメ゜ン 第
19 6暻 府 従い 曓統一基準 い 業 計画 いう
(b) 統 情報コゥポモゾ゛ 任者 府省庁 い 業 計画 整備計画を把握
場合 容を情報コゥポモゾ゛委員会並 必要 応 情報コゥポ モゾ゛ 任者 情報クケゾヘコゥポモゾ゛ 任者及 課室情報コゥポモゾ゛ 任 者 連絡 る
解 情報コゥポモゾ゛委員会並 必要 応 情報コゥポモゾ゛ 任者 情報クケゾヘコゥポモゾ゛ 任者及 課室情報コゥポモゾ゛ 任者 府
省庁 る業 計画 整備計画を知る る 統
情報コゥポモゾ゛ 任者 対 把握 業 計画 整備計画 容を連絡 る を求 る ある
業 計画 変更 ある場合 当 連絡を行わ れ ら い
(2) 業 計画 情報コゥポモゾ゛対策 整合性 確保 基曓遵
(a) 情報コゥポモゾ゛委員会 府省庁 い 業 計画又 省庁対策基準を整
備 る場合 業 計画 省庁対策基準 整合性 確保 検討を 行う
解 業 計画 省庁対策基準 特 態 対 れ れ 体系 い られる あり得る 当 態 例 情報クケゾ ヘ 稼動を損 う地震及 風水害等 自然災害 火災等 人的災害ン 故 停電等 社会゜ンネメ 全 並 情報機器 故 等 想 れ る れら 態 対 業 計画及 省庁対策基準 れ れ
る対策 矛盾 ある 方 遵 を求 られる府省庁組織及 職 員 日常及 態 生時 一 性 ある適 行動を る
い 業 計画 省庁対策基準 間 整合性を確保 る よう検討を行う 必要 ある
例え 情報コゥポモゾ゛委員会 情報 格付 及 扱 限 指 並 明示等 規 整備 い 曓統一基準 3.1.1 求 ら
れ いる 整備 府省庁 業 計画 又 る
予 れ いる要求 を情報コゥポモゾ゛委員会 把握 業 計画 整備計画を担当 る者 議 方 を調整 る必要 ある 業 計画 変更 生 又 生 る 予
150
れ いる場合 変更 当 基準 影響 る う を確認 必要 あれ 当 基準 改訂を行う 業 計画 整合 確保 れ ら い
(b) 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 任者 情報クケゾヘコゥポモ
ゾ゛ 任者及 課室情報コゥポモゾ゛ 任者 府省庁 い 業 計画 整備計画 ある場合 情報クケゾヘ い 当 業 計画
暼無を検討 る
解 業 計画 情報コゥポモゾ゛ 規程 整合性を確保 る前提 府省庁 情報クケゾヘ う 業 計画 ある情報ク ケゾヘを特 る を求 る ある
(c) 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 任者 情報クケゾヘコゥポモ
ゾ゛ 任者及 課室情報コゥポモゾ゛ 任者 府省庁 い 業 計画 整備計画 ある場合 当 業 計画 ある 認 情報クケゾヘ
い 従 業 計画 省庁対策基準 基 共通 実施手 を整備 る
(゚) 通常時 い 業 計画 省庁対策基準 共通要素を整合的 運用 る
情報コゥポモゾ゛ 枠 必要 見直 を行う
解 例え 態 生時 業 外 対応 府省庁 施設 一部を 宅困 者 避場 使用 る場合等 考えられる よう 場合を想 対策を講 い い 特 者 出入り よ
通常時 比 コゥポモゾ゛ヤパャ 確保 支 を れ ある コゥポモゾ゛確保 面 配慮を要 る施設や業 影響を 析 必要 対策を十 検討 施設全体 入館管理
各執 室や各職員 コゥポモゾ゛対策を含 通常時 ら 特 者 出入りを想 対策を講 る必要 ある
(゜) 態 生時 い 業 計画 省庁対策基準 実施 害 る 能性
ある情報コゥポモゾ゛対策 遵 暼無を把握 整合的運用 能 るよう 態 生時 規 を整備 る
解 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 任者 情報クケゾヘ コゥポモゾ゛ 任者及 課室情報コゥポモゾ゛ 任者 業 計画 自ら 担当 る実施手 整合性 確保を求 る ある 整合性 を確保 る 対応 通常時 運用 い 実施 る
態 生時 実施 る ある 態 生 対応 業 計 画及 省庁対策基準 れ れ い 態 生時 る情報クケゾ ヘ 稼 動 水 準 及 復 要 時 間 目 標 を を る 様々 対策を実施手 い 体的 る等 想 れる 場 合 対策 例え 施設 耐災害性確保 施設ン情報クケゾヘ 地理的 散及 冗長化 非常用電源 確保 人手 よる業 処理や郵 ン 電 利用を含 情報クケゾヘ 外 通信手段 利用等 ある
態 生時 対応体 及 担当者 指 整備対象 り得る