k303 072 rev outline

Copyright 2007,2008 (http://www.nisc.go.jp/)

政府機 の情報セキュリテ 対策のための統一基準

第㄰版の改訂の概要

ㄯ００８年ㄯ月

内 官房情報セキュリテ センター

政府機 統一基準

政府機 統一基準 第 第 版 版 概要 概要

技術 環境 変化 反映

ンネ テ NS 対策

NS 攻撃 電子 等 政府機 サ 妨害等 対策 追加

監視機能

情報セキュ テ 侵害 予防 対処 抑 目的 監視 係 対策 追加

政府機 サ 成 対策

成 サ 対策 政府機 使用 ン 規定

実務 即 見直 等

遵 事項 明確化

用語 整理

参考： 政府機 統一基準解説書 記述 明確化

○ 国民等 P ン 全性確保 い 解説 充実

Copyright 2007,2008 (http://www.nisc.go.jp/)

1 1 - - 1 1 ^{ドメ ドメ ンネームシステムㄥ ンネームシステムㄥ} DNS DNS ^{ㄦに ㄦに す す 対策 対策 － －} 1 1 ^{－ －}

„

^{構築時 講 セキュ テ 対策}

9 ^{や電子 サ 定 利用 う}

Ö^{要 定情報 取 扱う情報 テ 前解決 提供 DNS コンテン サ い 前解決 停 い}

措置 講 こ 基曓遵 事項 _{(1)(a) ISP} 提供 セカン _DNS 利用 冗長化等

9 ^{管理 手続 定}

Ö^{DNS コンテン サ い 管理 ン 情報 運用管理 手続 定 こ 基曓遵 事項} (1)(b)

9 ^{第 者 キャ ュサ 利用やキャ ュ情報 汚染 防}

Ö^{DNS キャ ュサ い 府省庁外 前解決 要求 応 府省庁内 前解決 要求 回答}

行う 措置 講 こ 基曓遵 事項 _(1)(c) ォ 等 クセ 制御等

9 ^{府省庁内部 情報 漏えい 防}

Ö^{DNS コンテン サ い 内部 使用 前 解決 提供 場合 当該情報 外部 漏えい い 措}

置 講 こ 基曓遵 事項 _(1)(d) ォ 等 クセ 制御等

9 ^{DNS 成 や管理 ン 情報 ン情報 改 検出}

Ö^{重要 情報 テ 前解決 提供 DNS コンテン サ い 管理 ン 情報 電子署 付}

こ 強化遵 事項 _{(1)(e) DNSSEC}等 利用

„ ^{ン ネ 基礎 DNS 情報セキュ テ 必要 措置 求}

新規項目 _5.3.4

„ ^威

1. DoS^攻撃

2. ^{サ 等機器 故}

3. ^{外部 者 クセ 情報 破壊 改}

4. ^{外部 者 内部資産 キャ ュサ 使用 等}

„ ^{ク 影響}

→ 外部向 サ 停 府省庁内業務停滞

2. DNS ^{情報 混入}

→ サ 誘導

3. ^内部情報 IP ^{等 漏えい 等}

1 1 - - 1 1 ^{ドメ ドメ ンネームシステムㄥ ンネームシステムㄥ} DNS DNS ^{ㄦに ㄦに す す 対策 対策 － －} 2 2 ^{－ － 新規項目 5.3.4}

„ ^{ン ネ 基礎 DNS 情報セキュ テ 必要 措置 求}

ォ

DNS ^{コンテン サ}

キャ ュサ

DNS ^問い合わ

管理 ン 情報

電子署

5.3.4(1)(b)

キャ ュ サ

5.3.4(1)(c) ^{コンテン サ}

○○府省庁向

5.3.4(1)(d)

○○府省庁_LAN

公開ネ ワ ク DMZ

ン ネ

5.3.4(1)(e)

コンテン サ ン ネ 向

DMZ^{又 他ネ}

ワ ク _ISP等

5.3.4(1)(a)

Copyright 2007,2008 (http://www.nisc.go.jp/)

1 1 - - 1 1 ^{ドメ ドメ ンネームシステムㄥ ンネームシステムㄥ} DNS DNS ^{ㄦに ㄦに す す 対策 対策 － －} 3 3 ^{－ －}

„

^{運用時 講 セキュ テ 対策}

9 ^{冗長化 コンテン サ 間 整合性 維持}

Ö^{DNS コンテン サ 複数 設置 場合 管理 ン 情報 い サ 間 整合性}

維持 こ 基曓遵 事項 _(2)(a) ン転送等

9 ^{管理 ン 情報 確性 維持}

Ö^{DNS コンテン サ い 管理 ン 情報 運用管理 手続 基 い 当該情}

報 確 あ こ 適宜確認 こ 基曓遵 事項 _(2)(b)

新規項目 _5.3.4

„ ^{ン ネ 基礎 DNS 情報セキュ テ 必要 措置 求}

ォ

DNS ^{コンテン サ}

キャ ュサ

DNS ^問い合わ

管理 ン 情報

電子署

5.3.4(2)(b)

キャ ュ サ

コンテン サ

○○府省庁向

○○府省庁_LAN

公開ネ ワ ク DMZ

ン ネ

5.3.4(2)(a)

コンテン サ

ン ネ 向

DMZ^{又 他ネ}

ワ ク _ISP等

1 1 - - 2 2 ^{監視機能 監視機能}

„ ^{監視 実施}

Ö^{情報 テ い 情報セキュ テ 侵害又 そ そ あ 事象 発生 監視 必要性 暼無 検}

討 必要 あ 認 場合 監視 必要 措置 定 こ 基曓遵 事項 _(1)(e) 追加

4.3.1 ^{情報 テ セキュ テ 要件 既存項} (1) ^{情報 テ 計画 遵 事項 項目 追加}

„ ^{情報セキュ テ 侵害 予防 対処 抑 目的 監視 実施 求}

‡ ^{情報セキュ テ 侵害}

‡ ^{情報セキュ テ 侵害} そ あ 事象

‡ ^{情報セキュ テ 侵害}

‡ ^{情報セキュ テ 侵害} そ あ 事象

府省庁 い 監視 必要 あ 認 事象 い 実施

‡ ^{ン ネ 府省庁 情報 テ 攻撃 監視}

－ 侵入検知 テ _IDS 等

‡ ^{禁 端曒 持込や内部ネ ワ ク 無許 接続 監視}

‡ ^{サ 装置等機器 常 動作 等}

府省庁 い 監視 必要 あ 認 事象 い 実施

‡ ^{ン ネ 府省庁 情報 テ 攻撃 監視}

－ 侵入検知 テ _IDS 等

‡ ^{禁 端曒 持込や内部ネ ワ ク 無許 接続 監視}

‡ ^{サ 装置等機器 常 動作 等}

監視対象

監視対象

具体例

具体例

追加項目 _4.3.1.(1)

‡ ^{情報 テ い 必要 監視 定}

‡ ^{情報 テ い 必要 監視 定}

‡

情報 テ 計画時 準備例

情報 テ 計画時 準備例

Copyright 2007,2008 (http://www.nisc.go.jp/)

1 1 - - 3 3 ^{政府機 政府機 サ サ トへの成 トへの 成 すまし対策 すまし対策 － －} 1 1 ^{－ －}

„ ^{国民等 政府機 サ 曓物 あ 確認 成 サ 識別}

対策 実施 求

新規項目 _6.3.3

‡ ^{政府機 内外 送信元詐称 多発 い 状況 行政サ 利用 国民等 成 サ} 誘導 こ 懸念

‡ ^{政府機 割 当 ン 使用 こ 国民等 成 サ 気 こ}

‡ ^{セキュ ャ ン 2006年6暻15日 情報セキュ テ 政策会議決定 い 政府機 成 防} 期限 区切 取 組 セキュ ャ ン ₂₀₀₇年₆暻₁₄日 情報セキュ テ 政策会議決定 原則

2008^年3^{暻 引 続 期限 再確認 い 第 章第 節 ③}

‡ ^{政府機 内外 送信元詐称 多発 い 状況 行政サ 利用 国民等 成 サ} 誘導 こ 懸念

‡ ^{政府機 割 当 ン 使用 こ 国民等 成 サ 気 こ}

‡ ^{セキュ ャ ン 2006年6暻15日 情報セキュ テ 政策会議決定 い 政府機 成 防} 期限 区切 取 組 セキュ ャ ン ₂₀₀₇年₆暻₁₄日 情報セキュ テ 政策会議決定 原則

2008^年3^{暻 引 続 期限 再確認 い 第 章第 節 ③}

背 景

背 景

„ ^{ン 使用 い 対策}

9 ^{統括情報セキュ テ 責任者 ンネ テ ン 以 ン 言う 使用 い} 以 事項 行政事務従事者 求 規定 整備 こ 基曓遵 事項 _(1)(a)

告知 ン 使用

Ö^{( )行政事務従事者 府省庁外 者 国外在 者 除 以 曓項 い 対 クセ や送信 こ} 目的 ン 告知 場合 以 政府機 ン あ こ 保証 ン 以 政府 ン

いう 使用 こ

• go.jp ^{終わ ン}

•^{日曓語 ン 中 行政等 予約 ン}

電子 送信又 政府 ン 掲載 限 以 条件 満 場合 政府 ン

以外 ン 府省庁以外 告知 い

•^{電子 送信 場合 告知内容 い 問い合わ 先 政府 ン 電子 明記}

い 又 政府 ン 電子署 い こ

•^{告知 ン 管理 組織 明記 こ}

•^{告知 ン 暼効性 確認 時期又 暼効性 保証 期間 い 明記 い こ}

1 1 - - 3 3 ^{政府機 政府機 サ サ トへの成 トへの 成 すまし対策 すまし対策 － －} 2 2 ^{－ －}

„ ^{国民等 政府機 サ 曓物 あ 確認 成 サ 識別}

対策 実施 求

„ ^{ン 使用 い 対策 続}

電子 送信元 ン

Ö^{( )行政事務従事者 府省庁外 者 対 電子 送信元 ン 使用 場合 政府 ン 使} 用 こ 当該府省庁外 者 当該行政事務従事者 既知 者 あ 場合 除

コンテン 保存等 使用 サ ン

Ö^{( )行政事務従事者 府省庁外 者 対 クセ こ 目的 情報 保存 サ 使用 場合}

政府 ン サ 使用 こ

新規項目 _6.3.3

Copyright 2007,2008 (http://www.nisc.go.jp/)

2 2 ^{実務に即した見直し等 実務に即した見直し等}

2-1 ^{遵守事項の明確化}

z ^4.1.6

^{暗号 電子署名ㄥ鍵管理を含 ㄦ}

府省庁 使用する ルゴリズムについ 統括情報セキュリテ 責任者が定 る事項の表現を

明確化する

2-2 ^{用語の整理}

z

^{情報システムのラ フサ クルにつ 計画 構築 運用 等の用法を整理 統一する}

z

^その他

参考 参考 国民等が 国民等が _{PC PC} にダ にダ ンロードす ンロード す ソフト ソフト の安全性確保について の安全性確保に ついて

‡ ^{電子申請 利用 国民等}

^{ン 実行環境 ン 求 場合 あ}

ン 当該 い 弱性 指摘 新 ョン 移行等 解決

措置 迅速 行え い事例 旧版

使用 見

‡ ^{情報 テ 構築後 弱性 報告 能性 考慮 是 容易 行え 準備及び設計}

行うこ 求

‡ ^{電子申請 利用 国民等}

^{ン 実行環境 ン 求 場合 あ}

ン 当該 い 弱性 指摘 新 ョン 移行等 解決

措置 迅速 行え い事例 旧版

使用 見

‡ ^{情報 テ 構築後 弱性 報告 能性 考慮 是 容易 行え 準備及び設計}

行うこ 求

背 景

背 景

„ ^{遵 事項 既存}

統括情報セキュ テ 責任者 府省庁外 情報セキュ テ 水準 招 行 防 措置

い 規定 整備 こ

„ ^解説

^改訂

9 ^{府省庁外 情報セキュ テ 水準 招 行 説明 充実}

適切 使用要求

適切 設定要求

等 適切 削除要求

9

„ ^{国民等 PC ン 全性 確保 対策 実施 求}

府省庁外 情報セキュ テ 水準 招 行 防 一 具体的 解説

Copyright 2007,2008 (http://www.nisc.go.jp/)

参考 参考 政府機 政府機 統一基準 統一基準 改訂 改訂 経緯 経緯

政府機 統一基準 い 政府機 情報セキュ テ 水準 適切 維持 い 観 定期的 見直

行うこ 技術 環境 変化等 踏 え 記 ケ ュ 見直 改訂 実施

ㄯ月

ㄮ月

ㄮㄯ月

ㄮㄮ月

ㄮㄭ月

・・・

ク ク

コ ン

コ ン

実施 実施

△ △

政策会議

政策会議

^{開催 開催}

改訂版決定 改訂版決定

改訂案 改訂案

作成 作成

技術 環境

技術 環境

変化 反映

変化 反映 _{政府機 統一基準}

見直 作業 ^{△ △}

政策会議 政策会議

o ^{基準 対応} い い 威検討

改訂版 改訂版

決定 決定