参考資料

「ウェブサーバ設定確認実施手順」の作成に際しては、以下のような資料が参考となる。

5.1 政府関係の資料

(1) 独立行政法人 情報処理推進機構(IPA)の「セキュアなWebサーバーの構築と運用」

URL: http://www.ipa.go.jp/security/fusei/ciadr.html

5.2 政府以外の資料

(1) マイクロソフト株式会社の「セキュリティガイダンスセンター」

URL: http://www.microsoft.com/japan/security/guidance/default.mspx

(2) マイクロソフト株式会社の「Windows Server. 2003 セキュリティ ガイド」

URL: http://www.microsoft.com/japan/technet/security/prodtech/

windowsserver 2003/w2003hg/sgch00.mspx

(3) サン・マイクロシステムズ株式会社の「SunR BluePrints Security Publications」

URL: http://www.sun.com/software/security/blueprints/index.xml (4) サン・マイクロシステムズ株式会社の「SolarisR Security Toolkit」

URL: http://www.sun.com/software/security/jass/

(5) 日本ヒューレット・パッカード株式会社の「ホワイトペーパー：ネットワーク&セキュリ ティ」

URL: http://h50146.www5.hp.com/products/software/oe/hpux/

developer/setup/tips.html

(6) 日本ヒューレット・パッカード株式会社の「HP-UXR Bastille」

URL: http://h20293.www2.hp.com/cgi-bin/swdepot_parser.cgi/cgi/

displayProductInfo.pl?productNumber=B6849AA (7) 「Bastille Linux®」

URL: http://www.bastille-linux.org/

A3108 電子メールサーバのセキュリティ維持手順（策定手引書）

1. 本書の目的

本書は、サーバ装置上で動作し、電子メールサービス提供のために利用しているソフトウ ェアのセキュリティ維持に関して、部局技術担当者等が遵守すべき規定（以下「電子メール サービス提供ソフトウェアのセキュリティ維持に関する手順」という。）を部局技術責任者が 整備するための手引書である。

本学においては、情報システム運用基本方針、情報システム運用基本規程に基づく情報シ ステム運用・管理規程及び関係する規定を整備することが求められている。「電子メールサー ビス提供ソフトウェアのセキュリティ維持に関する手順」は、これらの一つとして策定し、

本学内において電子メールサービスを提供する場合に適用するものである。

電子メールは通信回線を介して提供されるサービスの中で最も普及しているサービスの一 つであり、本学の研究教育事務を円滑に遂行するために不可欠なものになっている。その一 方で、電子メールの送受信は情報のやりとりにほかならず、そのやりとりは様々な中継地点 を経由して行われるため、その過程における情報の漏えい、改ざんのリスクがある。また、

セキュリティホール対策や不正プログラム対策をおこたると、不正中継、ウイルス感染等、

学内だけでなく学外にも迷惑をかけるおそれがある。このようなリスクを軽減するため、サ ーバ装置上で動作し、電子メールサービスにおいて利用されるアプリケーションソフトウェ アのセキュリティを維持することが部局技術担当者等に求められる。

本書は、これらの背景の下で、「電子メールサービス提供ソフトウェアのセキュリティ維持 に関する手順」に含めるべき事項を具体的に示し、もって情報システム運用基本方針、情報 システム運用基本規程及び情報システム運用・管理規程への準拠性、本学の研究教育事務へ の適用性等において適切な規定の整備に資することを目的とする。

2. 実施手順に記載すべき事項

「電子メールサービス提供ソフトウェアのセキュリティ維持に関する手順」には、以下の 事項を具体化させて記載すること。

2.1 情報システム運用・管理規程に定める「電子メールサービス提供ソフトウェアのセキュリ ティ維持に関する手順」に係る遵守事項

A2101-06  （セキュリティホール対策）

A2101-07  （不正プログラム対策）

A2101-08  （サービス不能攻撃対策）

A2101-09  （踏み台対策）

A2101-12  （サーバ装置の対策）

A2101-18  （セキュリティホール対策）

A2101-19  （不正プログラム対策）

A2101-20  （サービス不能攻撃対策）

A2101-21  （踏み台対策）

A2101-24  （資源の管理）

A2101-26  （サーバ装置の対策）

A2101-57  （主体認証機能の導入）

A2101-61  （アカウント管理機能の導入）

A2101-62  （アカウント管理手続の整備）

A2101-70  （管理者権限を持つアカウントの利用）

A2101-71  （証跡管理機能の導入）

A2101-72  （証跡の取得と保存）

A2101-73  （取得した証跡の点検、分析及び報告）

A2101-74  （証跡管理に関する利用者等への周知）

A2101-75  （通信の監視）

A2101-76  （利用記録）

A2101-78  （利用者等が保有する情報の保護）

A2101-84  （インシデントの発生に備えた事前準備）

A2101-85  （インシデントの原因調査と再発防止策）

2.2 セキュリティ確保に係るその他の留意事項

2.1に示す遵守事項のほか、セキュリティ確保に係る留意事項として、以下の項目を考慮す べきである。

・迷惑メールの取扱い

3. 文書構成例

「電子メールサービス提供ソフトウェアのセキュリティ維持に関する手順」は、情報セキ ュリティ対策の観点を含めた一般的な利用手順書とすべきである。そのため、利用者等の行 為に着目した構成が有効である。文書構成の例を以下に示す。

1 本手順の目的

2 本手順の対象者   2.1 対象者

3 定義

  《 対象：部局技術担当者 》

4 電子メールサービス提供ソフトェアに共通のセキュリティ維持のための対策   4.1 利用認証

  4.2 証跡管理

  4.3 セキュリティホール対策   4.4 サービス不能攻撃対策

5 交換用電子メールサーバにおけるセキュリティ維持のための対策   5.1 不正中継に関する対策

  5.2 電子メールに含まれる不正プログラムに関する対策   5.3 迷惑メールに関する対策

  5.4 電子メールキューの管理   5.5 エラーメールの管理

6 送受信用電子メールサーバにおけるセキュリティ維持のための対策   6.1 不正中継に関する対策

  6.2 メールボックスの管理   《 対象：権限管理を行う者 》

7 電子メールサーバのセキュリティ維持のための対策   7.1 メールアドレス発行・削除に伴う権限管理   《 対象：部局技術責任者 》

8 電子メールサーバのセキュリティ維持のための対策   8.1 利用認証

  8.2 証跡管理

  8.3 セキュリティホール対策   8.4 サービス不能攻撃対策

9 メールアドレスの発行・削除における注意事項   9.1 メールアドレス発行における注意事項   9.2 メールアドレス削除における注意事項   《 対象：部局総括責任者 》

10 電子メールサーバのセキュリティ維持のための対策

  10.1 不正プログラム対策