踏台対策

2.4 見直し

4.2.4 踏台対策

趣旨必要性

゜ンシヴヅセダ等府省庁外通信回線接れ情報クケゾヘ第者よ

゚ェコケや迷惑ベヴャ配信中地意い用途使われういわゆる踏れうれある踏れ情報クケゾヘ府省庁外迷惑をるら例え当情報クケゾヘ提供いキヴニケを利用者利用いいう用性対る水準や府省庁情報クケゾヘ対るコゥポモゾ゛威原因り得るれらを防府省庁意

い目的府省庁情報クケゾヘ使われいようる必要あるれらを案踏防る対策基準をる

85 遵守事項

(1) 情報クケゾヘ構築時基曓遵

(a) 情報クケゾヘコゥポモゾ゛任者情報クケゾヘ゜ンシヴヅセダ等府省庁

外通信回線接れる電子計算機通信回線装置又通信回線を暼る情報

クケゾヘ限るい踏使われるを防

る措置を講る

解電子計算機等対踏るを避る対処実施を求るある

対策゚ンスゞ゜ャケサネダゞゟ゚等入コゥポモゾ゛ビヴャ対処要キヴニケ削ネ゛ャシモンエ機能暼効化審ハュエメヘ実行禁゚ンスゞ゜ャケサネダゞゟ゚等検出れ

いピセダ通信等挙られる

(b) 情報クケゾヘコゥポモゾ゛任者情報クケゾヘを踏使われ場合

影響暷るよう情報クケゾヘを構築る

解管理る情報クケゾヘを踏使われ場合影響を析情報クケゾヘを構築るを求るある影響通信回線域迫よる゚ェコケ害やキヴト処理能力等考えら

れる踏使われを検出場合

情報クケゾヘを外部ヅセダワヴェより断る問題生いる電子計算機り等い手段を暼る情報クケゾヘを構築

る必要ある強化遵

をる方法及録保期間をる

解踏る方法及録保期間をるを求るある

方法い意い稼動荷や゜ンシヴヅセダ通信暼無把握電子計算機意い処理を行わる暼無

等ある方法多種多様ある適方法を選択る必要ある

録保期間い対象状態変動を把握るいう目的照ら保期間をる必要ある

(2) 情報クケゾヘ運用時強化遵

(a) 情報クケゾヘコゥポモゾ゛管理者られ方法従情報クケゾヘ

を録を保る

解情報クケゾヘ通常稼働時状態を録把握るを求るある

情報クケゾヘをいる場合対象状態一変動る一般的ある時間変動曜日変動変動暻変動季節変動を検討録を一期間保る

4.3 情報システムのセキュリテ要件

4.3.1 情報テのセキュテ要件

趣旨必要性

情報クケゾヘ目的業を滑遂行る計画構築運用移行廃棄及見直メ゜ネキ゜ェャを通様々要件を満必要ある要件中コゥポモゾ゛観ら要件含れ情報クケゾヘメ゜ネキ゜ェャあわ

情報コゥポモゾ゛対策を実施る必要ある

れらを案曓情報クケゾヘメ゜ネキ゜ェャ立各段い考慮情報コゥポモゾ゛対策基準をる

遵守事項

(1) 情報クケゾヘ計画基曓遵

(a) 情報クケゾヘコゥポモゾ゛任者情報クケゾヘいメ゜ネキ゜ェャ全

般わコゥポモゾ゛維持能体確保を情報クケゾヘを統る任者求る

解情報クケゾヘを統る任者情報化統任者Ｉ確立体コゥポモゾ゛維持側面ら実施能体人員機器予算等るよう求るある

情報クケゾヘを統る任者情報クケゾヘメ゜ネキ

゜ェャ全般わ情報クケゾヘ構築ン運用等任を持を全うる人員機器予算等資源を確保る者を想いる

(b) 情報クケゾヘコゥポモゾ゛任者情報クケゾヘコゥポモゾ゛要件を決

る

解情報クケゾヘ求られる要求うコゥポモゾ゛わる要求い検討中重要れる要求い対策を実施る対象を確当情報クケゾヘコゥポモゾ゛要件決

るを求るある

情報クケゾヘコゥポモゾ゛要件情報クケゾヘを構るデヴチゞゟ゚サネダゞゟ゚及通信回線を含情報クケゾヘ構要素コゥポモゾ゛要件並構築れ情報クケゾヘ運用コゥポモゾ

゛要件ある前者コゥポモゾ゛要件い構築環境や構築手法コゥポモゾ゛る手含れる決れコゥポモゾ゛要件クケゾヘ要件義書や様書形式明確化

実装い望い

必要対策情報コゥポモゾ゛い機能設情報コゥポモゾ゛

い威対策並情報クケゾヘ構要素い対策いる

解曓情報クケゾヘコゥポモゾ゛要件を満必要対策をるを求るある省庁対策基準ら当情報クケゾヘコゥポモゾ゛対策実施る遵を選択コゥポモゾ゛

要件を満いるを検討満いいコゥポモゾ゛要件ある場合対策る必要ある

(d) 情報クケゾヘコゥポモゾ゛任者構築る情報クケゾヘ重要コゥポモゾ

゛要件ある認場合当情報クケゾヘコゥポモゾ゛機能設計い第者機よるコゥポモゾ゛設計様書 ST Security Target ST 評価ンST確認をる情報クケゾヘを更改又構築中様変更生場合あ見直コゥポモゾ゛設計様書い重要

コゥポモゾ゛要件変更軽微ある認限りい

解重要コゥポモゾ゛要件ある情報クケゾヘいコゥポモゾ゛

機能確実実装れるを目的 ISO/IEC 15408 基コ

ゥポモゾ゛設計様書 ST評価ンST確認を行うを求るある

ST評価ンST確認をる ST評価ンST確認れ

状態るを意味体的手申請確認書入手れるある情報クケゾヘ構築終了るコゥポモゾ

゛設計様書い ST 評価ンST 確認済いる必要あるコゥポモゾ゛設計様適ある断設計段ら作段移るあるら申請行設計段う行われいる通常手ある

情報クケゾヘ構築を外部委る場合契約時条件含納品 ST評価ンST確認をるる

(e) 情報クケゾヘコゥポモゾ゛任者情報クケゾヘい情報コゥポモゾ゛

侵害又れある象生をる必要性暼無を検討必要

ある認場合必要措置をる

解情報クケゾヘ計画い情報コゥポモゾ゛侵害又れある象必要措置をるを求るある情報コゥポモゾ゛侵害要保護情報い機密性完全性又

用性損われる及情報コゥポモゾ゛規程をいうる必要性暼無を検討る情報クケゾヘ及り扱う情報等を考慮情報クケゾヘ各いる必要性暼無を検討るをいう対象府省庁外部ら通信回線を通れる゚ェコケ侵入情報クケゾヘ管理者ン運用者又利用者誤操作又操作キヴト装置等機器動作及許れいい者全区域立入り等あり得る

必要措置をる例え考え

られる

設る機能をる機能例ある

ン府省庁外通信回線接いる箇る外部ら゚ェコケをる機能侵入検知クケゾヘ等よる

ンゞ゜ャケ感や踏利用れる等よる府省庁外通信をる機能

ン府省庁通信回線 PC 接をる機能ンPC 外部録媒体挿入をる機能ンキヴト装置等機器常動作をる機能ン全区域人出入をる機能

を行う運用時体をる情報クケゾヘ運用を行う体い行う考えられる

より職員等ハメ゜トクヴを侵害る能性ある場合当職員等明いる

(f) 情報クケゾヘコゥポモゾ゛任者構築情報クケゾヘを運用段入

る当情報コゥポモゾ゛観ら実施る入手及環境をる

解情報クケゾヘコゥポモゾ゛任者コゥポモゾ゛観試等実施より当情報クケゾヘコゥポモゾ゛要件を満を確認運用段入方法体作業手ケォグポヴャ期間教育やダメノャ対処い手を整備るを求るある

強化遵

(g) 情報クケゾヘコゥポモゾ゛任者構築る情報クケゾヘ構要素い

重要コゥポモゾ゛要件ある認場合当要件るコゥポモゾ゛機能設計基い製品調る機器及サネダゞゟ゚対要求るコゥポモゾ゛機能を当機能及要求条件を満用候補製品複数ある場合あ中当コゥポモゾ゛機能 ITコゥポモゾ゛評価及認証基認証を得いる製品ある場合当製品を情報クケゾヘ構要素選択る

解情報コゥポモゾ゛機能重要ある機器等購入い要求る機

能を暼る製品選択肢ある場合 ISO/IEC 15408 基 ITコゥポ

モゾ゛評価及認証よる認証を得いるを選択るを求るある

第者よる情報コゥポモゾ゛機能客観的評価よより信高い情報クケゾヘ構築期待る

(2) 情報クケゾヘ構築ン運用基曓遵

(a) 情報クケゾヘコゥポモゾ゛任者情報クケゾヘ構築運用コ

ゥポモゾ゛要件基情報コゥポモゾ゛対策を行う

解情報クケゾヘコゥポモゾ゛要件基機器等購入及サネダゞゟ

゚開い必要対策情報コゥポモゾ゛い機能設情報コゥポモゾ゛い威対策並情報クケゾヘい

対策及を実施情報クケゾヘを構築運用るを求るある

(3) 情報クケゾヘ移行ン廃棄基曓遵

(a) 情報クケゾヘコゥポモゾ゛任者情報クケゾヘ移行及廃棄を行う場合

情報消去及保並情報クケゾヘ廃棄及再利用い必要性を検討れれい適措置を講る

解情報クケゾヘ移行及廃棄を行う場合情報クケゾヘを構る機器扱い情報格付等を考慮機器及情報廃棄保

消去等適措置を講るを求るある

(4) 情報クケゾヘ見直基曓遵

(a) 情報クケゾヘコゥポモゾ゛任者情報クケゾヘ情報コゥポモゾ゛対策

い見直を行う必要性暼無を適時検討必要ある認場合見直を行い必要措置を講る

解情報クケゾヘ情報コゥポモゾ゛対策い必要応見直れ必要措置を求るある見直を行う時期新コゥポモゾ゛威出現運用等状況より断る必要ある

(5) 情報クケゾヘ帳整備基曓遵

(a) 情報クケゾヘコゥポモゾ゛任者情報クケゾヘを新規構築又更改

る当情報クケゾヘり扱う情報及当情報格付を含を統情報コゥポモゾ゛任者報告る

解情報クケゾヘコゥポモゾ゛要件決当情報クケゾヘり扱う情報及当情報格付を含を統情報コゥポモゾ゛

任者報告るを求るある

(b) 統情報コゥポモゾ゛任者情報クケゾヘ対当情報クケゾヘり扱う情報及当情報格付を含を載帳を整備る

解自府省庁よう情報クケゾヘを保暼当情報クケゾヘり扱う情報や格付を把握一元管理る日常的運用管理や害等生時る対処を適実施る前提る情報クケゾヘ帳載る目当情報クケゾヘり扱

ドキュメント内「政府機関の情報セキュリティ対策のための統一基準（第３版）」解説書 (ページ 94-118)

踏 台対策

2.4 見直し

4.2.4 踏 台対策

4.3 情報システムのセキュリテ 要件

4.3.1 情報 テ のセキュ テ 要件

4.2.4 踏台対策

4.3 情報システムのセキュリテ要件

4.3.1 情報テのセキュテ要件