情報システムに係る台帳等の整備

目的・趣旨

府省庁が所管する情報システムの情報セキュリティ水準を維持するとともに、情報セキ ュリティインシデントに適切かつ迅速に対処するためには、府省庁が所管する情報システ ムの情報セキュリティ対策に係る情報を情報システム台帳で一元的に把握するとともに、

情報システムの構成要素に関する調達仕様書や設定情報等が速やかに確認できるように、

日頃から文書として整備しておき、その所在を把握しておくことが重要である。

遵守事項

(1) 情報システム台帳の整備

(a) 統括情報セキュリティ責任者は、全ての情報システムに対して、当該情報シス テムのセキュリティ要件に係る事項について、情報システム台帳に整備すること。

(b) 情報システムセキュリティ責任者は、情報システムを新規に構築し、又は更改 する際には、当該情報システム台帳のセキュリティ要件に係る内容を記録又は記 載し、当該内容について統括情報セキュリティ責任者に報告すること。

【 基本対策事項 】

＜5.1.1(1)(a)関連＞

5.1.1(1)-1 統括情報セキュリティ責任者は、以下の内容を含む台帳を整備すること。

a) 情報システム名 b) 管理課室

c) 当該情報システムセキュリティ責任者の氏名及び連絡先 d) システム構成

e) 接続する府省庁外通信回線の種別

f) 取り扱う情報の格付及び取扱制限に関する事項

g) 当該情報システムの設計・開発、運用・保守に関する事項

また、民間事業者等が提供する情報処理サービスにより情報システムを構築する場 合は、以下を含む内容についても台帳として整備すること。

a) 情報処理サービス名 b) 契約事業者

c) 契約期間

d) 情報処理サービスの概要 e) ドメイン名

122

f) 取り扱う情報の格付及び取扱制限に関する事項

＜5.1.1(1)(b)関連＞

5.1.1(1)-2 情報システムセキュリティ責任者は、政府情報システム管理データベースの

登録対象となるシステムについては、当該データベースに必要な情報を記録し、適時 最新の情報に更新すること。

（解説）

遵守事項5.1.1(1)(a)「情報システム台帳に整備する」について

あらかじめ統括情報セキュリティ責任者が認めた場合には、統括情報セキュリティ 責任者が指定した者に当該台帳を整備させることが考えられる。その際には、統括情報 セキュリティ責任者は、指定した者より適宜情報システム台帳の整備状況について報 告を受けることが望ましい。統括情報セキュリティ責任者は、台帳の整備状況について 把握しておくことが重要である。

遵守事項5.1.1(1)(b)「情報システムを新規に構築し、又は更改する際には」について

台帳の整備内容の網羅性維持のため、情報システムセキュリティ責任者は、情報シス テムを新規に構築した際又は更改した際には、速やかに台帳に記載の事項を報告する 必要がある。

なお、台帳を最新に保つため、台帳に記載の事項に変更が生じた場合には、当該変更 事項を報告し、台帳を更新する必要があるが、その報告の方法や時期については、府省 庁ごとに定めることが望ましい。

基本対策事項5.1.1(1)-1 d)「システム構成」について

当該事項については、各情報システムの運用管理に際して整備した文書に記載する 事項のうち、府省庁としての情報セキュリティ対策を行うために一元的に把握する必 要があると判断する事項を含める必要がある。

基本対策事項5.1.1(1)-1 g)「設計・開発、運用・保守に関する事項」について

当該情報システムの設計・開発、運用・保守に関する事項の記載は、実施責任者又は 実施担当組織、外部委託した場合には委託先及び委託契約形態に関する情報が考えら れるが、当該情報システムのライフサイクルに関する経緯や現状を把握し、情報セキュ リティ上の問題等が発生した場合に適切な対策を指示するために必要な事項である。

基本対策事項5.1.1(1)-1「民間事業者等が提供する情報処理サービスにより情報システ ムを構築する場合」について

府省庁として独自の情報システムを構築せずに、クラウドサービス等の情報処理サ ービスを利用して情報システムを構築し運用する場合や電気通信事業者が提供する電 気通信サービスを利用して情報処理業務を行う場合は、利用する情報処理サービス名 や契約事業者等の事項を記載したサービス契約に係る書類を適切に管理しておくこと が重要である。これらの書類を集約し、容易に参照できるようにすることをもって台帳 整備に代えることができる。

123

なお、約款による外部サービスを利用する際は、事業者から提供される情報が十分で ない場合が想定されるため、その場合は、利用する外部サービスに応じた内容の台帳を 整備することも考えられる。

基本対策事項5.1.1(1)-2「政府情報システム管理データベースの登録対象となるシステ ム」について

情報システム台帳の整備に当たっては、政府機関の情報システムを統一的に管理す る政府情報システム管理データベースにおいて管理することが求められる。当該デー タベースの管理対象となるシステムについては、データベースにおいて管理すること をもって台帳整備に代えることができる。

124 遵守事項

(2) 情報システム関連文書の整備

(a) 情報システムセキュリティ責任者は、所管する情報システムの情報セキュリテ ィ対策を実施するために必要となる文書として、以下を網羅した情報システム関 連文書を整備すること。

(ア) 情報システムを構成するサーバ装置及び端末関連情報 (イ) 情報システムを構成する通信回線及び通信回線装置関連情報

(ウ) 情報システム構成要素ごとの情報セキュリティ水準の維持に関する手順 (エ) 情報セキュリティインシデントを認知した際の対処手順

【 基本対策事項 】

＜5.1.1(2)(a)(ア)関連＞

5.1.1(2)-1 情報システムセキュリティ責任者は、所管する情報システムを構成するサー

バ装置及び端末に関連する情報として、以下を含む文書を整備すること。

a) サーバ装置及び端末を管理する行政事務従事者及び利用者を特定する情報 b) サーバ装置及び端末の機種並びに利用しているソフトウェアの種類及びバー

ジョン

c) サーバ装置及び端末の仕様書又は設計書

＜5.1.1(2)(a)(イ)関連＞

5.1.1(2)-2 情報システムセキュリティ責任者は、所管する情報システムを構成する通信

回線及び通信回線装置関連情報として、以下を含む文書を整備すること。

a) 通信回線及び通信回線装置を管理する行政事務従事者を特定する情報 b) 通信回線装置の機種並びに利用しているソフトウェアの種類及びバージョン c) 通信回線及び通信回線装置の仕様書又は設計書

d) 通信回線の構成

e) 通信回線装置におけるアクセス制御の設定

f) 通信回線を利用する機器等の識別コード、サーバ装置及び端末の利用者と当 該利用者の識別コードとの対応

g) 通信回線の利用部門

＜5.1.1(2)(a)(ウ)関連＞

5.1.1(2)-3 情報システムセキュリティ責任者は、所管する情報システムについて、情報シ

ステム構成要素ごとのセキュリティ維持に関する以下を含む手順を定めること。

a) サーバ装置及び端末のセキュリティの維持に関する手順

b) 通信回線を介して提供するサービスのセキュリティの維持に関する手順 c) 通信回線及び通信回線装置のセキュリティの維持に関する手順

（解説）

遵守事項5.1.1(2)(a)「情報システム関連文書を整備する」について

当該事項については、各情報システムの運用管理に際して整備した文書に記載する

125

事項のうち、府省庁としての情報セキュリティ対策を行うために一元的に把握する必 要があると判断するものを含める必要がある。

文書の整備に当たっては、維持管理が容易となるように適切な単位で整備すること が望ましい。また、文書は電磁的記録として整備してもよい。

また、所管する情報システムに変更があった場合、また、想定しているリスクが時間 の経過により変化した場合等、整備した文書の見直しが必要になるため、文書の見直し を定期的に行うことをあらかじめ定めておくとよい。

なお、約款による外部サービスを利用する際は、事業者から提供される情報が十分で ない場合が想定されるため、その場合は、利用する外部サービスに応じた内容の情報シ ステム関連文書を整備することも考えられる。

遵守事項5.1.1(2)(a)(エ)「情報セキュリティインシデントを認知した際の対処手順」に

ついて

情報セキュリティインシデントを認知した際の対処手順は、当該情報システムの個 別の事情に合わせて整備される対処手順である。本対処手順は、以下に示すような情報 システムの事情に応じて整備されることが望ましい。

業務継続計画で定める当該情報システムを利用する業務の重要性 情報システムの運用等の外部委託の内容

また、手順に記載される内容として、例えば以下が想定される。

情報セキュリティインシデントの内容・影響度の大きさに応じた情報連絡先の リスト

情報システムを障害等から復旧させるために当該情報システムの停止が必要な 場合の、停止の可否の判断基準

情報セキュリティインシデントに対する情報システムの構成要素ごとの対処に 関する事項

不正プログラム対策ソフトウェアでは検知されない新種の不正プログラムに感 染した場合等に支援を受けるための外部の専門家の連絡先

なお、統括情報セキュリティ責任者が整備する対処手順（「（解説）遵守事項2.2.4(1)(b)

「対処手順」について」を参照のこと。）が、情報システムの事情に応じた内容で整備 されているならば、情報システム別に整備しなくても構わない。

基本対策事項5.1.1(2)-1 a)・基本対策事項5.1.1(2)-2 a)「管理する行政事務従事者」に ついて

サーバ装置及び端末の管理者及び利用者、通信回線及び通信回線装置の管理者の記 載は、情報システムの構成要素の管理状況を確実に把握できるようにするとともに、障 害等を防止する責任の所在を明確化するために必要な事項である。

基本対策事項5.1.1(2)-1 b)・基本対策事項5.1.1(2)-2 b)「機種並びに利用しているソフ トウェアの種類及びバージョン」について

サーバ装置及び端末、通信回線装置の機種並びに利用ソフトウェアの種類及びバー ジョンの記載は、当該機種又は当該ソフトウェアに脆弱性が存在することにより使用