踏み台対策

趣旨（必要性）

インターネット等の府省庁外の通信回線に接続された情報システムは、第三者によ って不正アクセスや迷惑メール配信の中継地点として、意図しない用途に使われてしま うこと、いわゆる、踏み台とされてしまうおそれがある。踏み台とされた情報システム は、府省庁外に迷惑をかけるだけにとどまらず、例えば、当該情報システムが提供して いたサービスを利用者が利用できないという可用性に対する水準の低下や、府省庁内の

他の情報システムに対するセキュリティ脅威の原因ともなり得る。これらを防ぐために は、府省庁が意図しない目的で府省庁の情報システムが使われないようにすることが必 要である。 

これらのことを勘案し、踏み台防止に関する対策基準を定める。 

遵守事項

(1) 情報システムの構築時 

【基本遵守事項】

(a) 情報システムセキュリティ責任者は、情報システム（インターネット等の府省 庁外の通信回線に接続される電子計算機、通信回線装置又は通信回線を有する 情報システムに限る。以下この項において同じ。）が踏み台として使われるこ とを防止するための措置を講ずること。 

解説：電子計算機等に対し、踏み台になることを避けるための対処の実施を求 める事項である。

対策としては、アンチウイルスソフトウェア等の導入、セキュリティホ ールの対処、不要なサービスの削除、フィルタリング機能の有効化、不 審なプログラムの実行禁止、アンチウイルスソフトウェア等で検出され ないボットの通信の監視等が挙げられる。

(b) 情報システムセキュリティ責任者は、情報システムを踏み台として使われた場 合の影響が最小となるように情報システムを構築すること。 

解説：管理する情報システムを踏み台として使われた場合の影響を分析し、情 報システムを構築することを求める事項である。影響としては、通信回 線の帯域圧迫によるアクセス障害や、サーバの処理能力低下等が考えら れる。このため、踏み台として使われたことを検出した場合には、即座 に情報システムを外部ネットワークより遮断する、問題が発生している 電子計算機のみ切り離す、等といった手段を有する情報システムを構築 する必要がある。

【強化遵守事項】

(c) 情報システムセキュリティ責任者は、情報システムが踏み台になっているか否 かを監視するための監視方法及び監視記録の保存期間を定めること。 

解説：踏み台に関する監視方法及び監視記録の保存期間を定めることを求める 事項である。

「監視方法」については、意図しない稼動負荷やインターネットへの通 信の有無の把握、電子計算機に意図しない処理を行わせる命令の有無の 監視等がある。監視方法は多種多様であるため、適切な方法を選択する 必要がある。

「監視記録の保存期間」については、監視対象の状態の変動を把握する という目的に照らして、保存期間を定める必要がある。

(2) 情報システムの運用時 

【強化遵守事項】

(a) 情報システムセキュリティ管理者は、定められた監視方法に従って情報システ ムを監視し、その記録を保存すること。 

解説：情報システムの通常稼働時の状態を記録し把握することを求める事項で ある。

情報システムを監視している場合、監視対象の状態は一定ではなく変動 することが一般的である。時間変動、曜日変動、週変動、月変動、季節 変動を検討した上で記録を一定期間保存する。