サーバ装置

ないソフトウェアをサーバ装置から削除すること。 

解説：利用が定められたソフトウェアに該当しないものが導入されている場合、

利用を禁止していても不正侵入した攻撃者等に悪用される可能性がある ため、当該ソフトウェアをサーバ装置から削除することを求める事項で ある。

(2) サーバ装置の運用時 

【基本遵守事項】

(a) 情報システムセキュリティ責任者は、定期的にサーバ装置の構成の変更を確認 すること。また、当該変更によって生ずるサーバ装置のセキュリティへの影響 を特定し、対応すること。 

解説：サーバ装置のソフトウェア及びハードウェア等の構成が不正に変更され ていないか定期的に確認し、また、変更によるセキュリティレベルの低 下等が発生していないか検討し、変更状況に応じて対応することを求め る事項である。

(b) 情報システムセキュリティ管理者は、要安定情報を取り扱うサーバ装置につい ては、サーバ装置の運用状態を復元するために必要な措置を講ずること。 

解説：サーバ装置の運用状態を復元するための必要な措置を講ずることにより サーバ装置に保存されている情報及びその情報を用いたサービスの可用 性の担保を目的とした事項である。

サーバ装置の運用状態を復元するための必要な措置には、以下のような ものがある。

・サーバ装置の運用に必要なソフトウェアの原本を別に用意しておく。

・前回内容からの変更部分の定期的なバックアップを実施する。

なお、取得した情報を記録した電磁的記録媒体は、施錠された保管庫に 保存等して、業務上の必要がある場合にこれらの情報を利用する情報シ ステムセキュリティ管理者に限ってアクセスできるようにする。また、

災害等を想定してバックアップを取得する場合には、記録媒体を遠隔地 に保存することが考えられる。「定期的」とは、1日又は1週ごとに実施 することを想定しており、短い期間で実施するとセキュリティ確保に効 果的である。

(c) 情報システムセキュリティ管理者は、サーバ装置の運用管理について、作業日、

作業を行ったサーバ装置、作業内容及び作業者を含む事項を記録すること。 

解説：運用管理作業の記録を文書として残すための事項である。

各府省庁において、ある程度統一的な様式を作成する必要がある。

(d) 情報システムセキュリティ責任者は、サーバ装置上で証跡管理を行う必要性を 検討し、必要と認めた場合には実施すること。 

解説：サーバ装置上で取得可能な証跡について、証跡管理を行うための事項で ある。管理として、取得する情報項目の設定、証跡の保存及び点検、分 析並びに報告等が挙げられる。

(e) 情報システムセキュリティ管理者は、情報システムにおいて基準となる時刻に、

サーバ装置の時刻を同期すること。 

解説：情報システム内で同期されている基準となる時刻にサーバ装置を同期さ せることを求める事項である。

情報セキュリティが侵害された際に、時刻が同期していないとログの解 析等が困難になる。標準時との同期が望ましいが、情報システム内で同 期が取られていれば差し支えない。

【強化遵守事項】

(f) 情報システムセキュリティ管理者は、サーバ装置のセキュリティ状態を監視し、

不正行為及び不正利用を含む事象の発生を検知すること。 

解説：サーバ装置上での不正行為及び不正利用を監視するための事項である。

「セキュリティ状態を監視」するとは、サーバ装置上での不正な行為及 び要機密情報への不正なアクセス等の発生を監視することである。監視 の方法としては、侵入検知システム、アンチウイルスソフト又はファイ ル完全性チェックツール等が利用できる。

(g) 情報システムセキュリティ管理者は、要安定情報を取り扱うサーバ装置につい て、当該サーバ装置のシステム状態を監視し、当該サーバ装置に関する障害等 の発生を検知すること。 

解説：日常的なサーバ装置のシステム状態について監視を行うことで、トラブ ルを未然に防止するための事項である。

「システム状態を監視」するとは、サーバ装置のCPU、メモリ、ディス ク入出力等の性能及び故障等を監視することである。監視方法は、状況 に応じて、ツールの利用、手動から、適切な方法を選択することが可能 である。

(h) 情報システムセキュリティ管理者は、要安定情報を取り扱うサーバ装置につい て、サービス提供に必要なサーバ装置の負荷を複数のサーバ装置に分散するこ と。 

解説：障害や過度のアクセス等によりサービスを提供できない状態が発生した 場合、サービスを提供するサーバ装置群の負荷を分散させることにより、

サービスが中断しないように、負荷分散装置の設置、DNSによる負荷分 散等の実施を求める事項である。