サービス不能攻撃対策

184

185

a) インターネットに接続している通信回線の提供元となる事業者が別途提供す る、サービス不能攻撃に係る通信の遮断等の対策

b) サービス不能攻撃の影響を排除又は低減するための専用の対策装置の導入 c) サーバ装置、端末及び通信回線装置及び通信回線の冗長化

6.2.3(1)-4 情報システムセキュリティ責任者は、サービス不能攻撃を受け、サーバ装置、

通信回線装置又は通信回線が過負荷状態に陥り利用できない場合を想定し、攻撃へ の対処を効率的に実施できる手段の確保について検討すること。

＜6.2.3(1)(c)関連＞

6.2.3(1)-5 情報システムセキュリティ責任者は、特定した監視対象について、監視方法及

び監視記録の保存期間を定めること。

6.2.3(1)-6 情報システムセキュリティ責任者は、監視対象の監視記録を保存すること。

（解説）

遵守事項6.2.3(1)(a)「サービス不能攻撃」について

サービス不能攻撃は、DoS (Denial of Service)攻撃とも呼ばれる。また、このDoS攻 撃を複数の拠点から一か所に対して行う攻撃は、DDoS (Distributed Denial of Service) 攻撃と呼ばれ、攻撃元が複数に分散しているために防御側の対処が困難な攻撃として 知られている。

基本対策事項6.2.3(1)-3 a)「インターネットに接続している通信回線」について 情報システムに対してサーバ装置、端末及び通信回線装置に係るサービス不能攻撃 の対策を実施しても、府省庁外へ接続する通信回線及び通信回線装置への過負荷の影 響を完全に排除することは不可能である。このため、インターネットに接続している通 信回線の提供元となる事業者に確認した上で、サービス不能攻撃発生時の対処手順や 連絡体制を整備する必要がある。

基本対策事項6.2.3(1)-3 c)「冗長化」について

冗長化の例としては、サービス不能攻撃が発生した場合に備え、サービスを提供する サーバ装置、端末、通信回線装置又は通信回線について、負荷を分散させる、又はそれ ぞれ代替のものに切り替えるなどにより、サービスを継続することができるように情 報システムを構成することが考えられる。

なお、代替のものへの切替えについては、サービス不能攻撃の検知及び代替サーバ装 置等への切替えが許容される時間内に行えるようにする必要がある。

基本対策事項6.2.3(1)-4「攻撃への対処を効率的に実施できる手段」について

対処例としては、サービス提供に利用している通信回線がサービス不能攻撃により 過負荷状態に陥った場合においても、サービス不能攻撃を受けているサーバ装置、通信 回線装置及びそれらを保護するための装置を操作できる手段を確保することが挙げら れる。具体的には、管理者が当該装置を操作するためのサーバ装置、端末及び通信回線 を、サービス提供に利用しているものとは別に用意することが挙げられる。

また、サービス不能攻撃に伴い、府省庁の自己管理ウェブサイトの閲覧障害が発生し

186

た場合においても、緊急性・重要度が高い情報が長時間閲覧できなくなることは極力回 避すべきである。これに鑑み、災害情報等の緊急性が高く、国民の生命や財産に著しく 影響を及ぼしうるような重要情報については、広報担当とも協力するなどして、サービ ス不能攻撃を受けた際にも発信を可能とするよう、閲覧障害時の告知ページに最低限 のテキストデータを掲載するなどの必要な措置を考慮するとよい。

基本対策事項6.2.3(1)-5「監視方法及び監視記録の保存期間」について

インターネットからアクセスされるサーバ装置や、そのアクセスに利用される通信 回線装置及び通信回線の中から、特に高い可用性が求められるものを優先的に監視す る必要がある。

「監視方法」については、サービス不能攻撃を受けることに関する監視には、稼動中 か否かの状態把握や、システムの構成要素に対する負荷の定量的な把握(CPU 使用率、

プロセス数、ディスクI/O 量、ネットワークトラフィック量等)がある。監視方法は多 種多様であるため、当該情報システムの構成等の特性に応じて適切な方法を選択する 必要がある。

「監視記録の保存期間」については、監視対象の状態の変動を把握するという目的に 照らして、保存期間を定める必要がある。

基本対策事項6.2.3(1)-6「監視記録を保存」について

サーバ装置、端末、通信回線装置及び通信回線を監視している場合、監視対象の状態 は一定ではなく変動することが一般的である。時間変動、曜日変動、週変動、月変動、

季節変動等を検討した上で記録を一定期間保存する。

187