ASP・SaaS における
情報セ
ュリテ
対策
ドラ
ン
ASP・SaaS の情報セ
ュリテ
対策に関する研究会
目次
取
序編
. 取 1
. 取 ASPンSaaSと 1
. 取 イ゜チメ゜ン 対象範囲 1
. 取 イ゜チメ゜ン 位置付け 2
. 取 イ゜チメ゜ン活用 効果 2
. 取 イ゜チメ゜ン 全体構成 3
. 取 ASPンSaaSキヴビス種別 パタヴン化 4
. . 取 パタヴン化 考え方 4
. . 取 典型的キヴビス パタヴン分類 6
. 取 イ゜チメ゜ン 利用方法 8
. . 取 対策 目 8
. . 取 基曓ン推奨 8
. . 取 ベスダプメクゾ゛ス 8
. . 取 評価 目 8
. . 取 対策参照値 8
. . 取 利用手 9
. 取 用語 定義 10
. . 取 JIS Q 27001 定義を踏襲 ている用語 10
. . 取 曓イ゜チメ゜ン独自 定義 る用語 10
. 取 参考文書取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 取 12
取
組織ン運用編
. 取 情報セゥポモゾ゛へ 組織的取組 基曓方針 13
. . 取 組織 基曓的 方針を定 た文書 13
. 取 情報セゥポモゾ゛ た 組織 15
. . 取 内部組織 15
. . 取 外部組織 タヴタセンタを含 16
. 取 連携ASPンSaaS事業者 関 る管理 17
. . 取 連携ASPンSaaS事業者 ら組 こ ASPンSaaSキヴビス 管理 17
. 取 情報資産 管理 18
. . 取 情報 分類 19
. . 取 セゥポモゾ゛方針及び要求事 遵守、点検及び監査 20
. 取 従業員 係る情報セゥポモゾ゛ 21
. . 取 雇用前 21
. . 取 雇用期間中 22
. . 取 雇用 終了又 変更 23
. 取 情報セゥポモゾ゛゜ンクタンダ 管理 24
. . 取 情報セゥポモゾ゛゜ンクタンダ及び い弱性 報告 24
. 取 コンプメ゜゚ンス 25
. . 取 法令と規則 遵守 25
. 取 マヴギキポヴダ 責任 27
. . 取 利用者へ 責任 27
取
物理的ン技術的対策編
. 取 ゚プモケヴクミン、プメッダフォヴム、ハヴチゞゟ゚、ネッダワヴク 共通 る情報セ
ゥポモゾ゛対策 28
. . 取 運用管理 関 る共通対策 28
. 取 ゚プモケヴクミン、プメッダフォヴム、ハヴチゞゟ゚、キヴビスタヴタ 35
. . 取 ゚プモケヴクミン、プメッダフォヴム、ハヴチゞゟ゚ 運用ン管理 35
. . 取 ゚プモケヴクミン、プメッダフォヴム、ハヴチゞゟ゚ セゥポモゾ゛対策 41
. . 取 キヴビスタヴタ 保護 43
. 取 ネッダワヴク 45
. . 取 外部ネッダワヴク(利用者、管理者、連携ASPンSaaS事業者) ら 不 ゚クセ
ス防 45
. . 取 外部ネッダワヴク(利用者、管理者、連携ASPンSaaS事業者と 接続) ける
セゥポモゾ゛対策 50
. 取 建物、電源(空調等) 53
. . 取 建物 災害対策 53
. . 取 電源ン空調 維持と災害対策 54
. . 取 火災、逃雷、静電気 らキヴビス提供用機器を防護 るた 対策 56
. . 取 建物 セゥポモゾ゛対策 58
. 取 他 61
. . 取 機密性ン完全性を保持 るた 対策 61
取
参考資料
Annex 1取 ASPンSaaSキヴビス 典型的 構成要素と情報資産
Annex 2取 組織ン運用編取 対策 目一覧表
取
序編
.
取
取
ノュヴチトンチ化 展 より、国民生活や社会経済活動 けるICT へ 依 高
る 中 、 ネ ッ ダ ワ ヴ ク を 通 て ア ン タ ブ ン チ ゚ プ モ ケ ヴ ク ミ ン を 機 能 と て 提 供 る
ASPやSaaSと れる新た ICTキヴビス 利用 展 て ている 企業等 ける
ASPンSaaS 利用 、自前 開発 るより 短期間 情報クスゾム 構築ン運用 可能と
る 、当 情報クスゾム 保守ン運用ン管理 る 担 軽減 れる等 ベモッダ
ある一方 、ASPンSaaS事業者及び 関係組織 利用者 ある企業等 膨大 機密情
報ン顧 情報等 情報資産 積 れることと るた 、ASPンSaaSキヴビス 健全 発
展 てい た 、ASPンSaaS事業者 ける適 情報セゥポモゾ゛対策 実施
要 ある
曓イ゜チメ゜ン 、ASPンSaaSキヴビス 利用 企業等 生産性向 健全 基 と
るよう、ASPンSaaS事業者 ける情報セゥポモゾ゛対策 資 るた 、ASPンSaaS
事業者 実施 情報セゥポモゾ゛対策を取り と た ある
.
取
ASP
ン
SaaS
と
取
ASP Application Service Provider 及びSaaS Software as a Service 、と ネ
ッダワヴクを通 て゚プモケヴクミンンキヴビスを提供 る あり、基曓的 ビグネ
スペタャ 大 差 い と考えられる
た て、曓イ゜チメ゜ン 、ASP゜ンジスダモンコンソヴク゚ムングホパン1 発
行 た2004 版 ASP白書 よるASP 定義 ネッダワヴクを通 て、゚プモケヴク
ミンンソフダゞゟ゚及び れ 付 るキヴビスを利用 ること、あるい う たキ
ヴビスを提供 るビグネスペタャを指 を採用 るとと 、ASP と SaaS を特 別
、 ASPンSaaS と連 て 称 ることと る た、ASPンSaaSとい た形態 提
供 れるキヴビスを ASPンSaaS キヴビス と び、ASPンSaaS キヴビスを提供 る主
体を ASPンSaaS事業者 と ぶことと る2
.
取
イ゜チメ゜ン
対象範囲取
1 成11 任意団体と て誕生 、 成14 2暻 特定非営利活動法人 NPO 認証を取得 ASPを活 用 た情報キヴビス より、社会生活 改善及び企業 活性化 更 る を ることを目的 、市場活性化支援等
活動を推 ている 会員数 140社 成20 1暻曒現
2 曓イ゜チメ゜ン 、一ASPンSaaS事業者 一ASPンSaaSキヴビスを提供 る場合を基曓と ている 、一ASPン
曓イ゜チメ゜ン 、ASPンSaaS事業者 ASPンSaaSキヴビスを提供 る 実施
情報セゥポモゾ゛対策を対象と ている た、利用者 ASPンSaaS事業者と 契約
範囲外 独自 利用 るハヴチゞゟ゚及びソフダゞゟ゚ 他 ASPンSaaSキヴビスを含 、
並び 利用者 契約 る通信回線及び゜ンタヴネッダンキヴビス ける情報セゥポモゾ
゛対策 、曓イ゜チメ゜ン 対象外と ている
、曓イ゜チメ゜ン 、利用者 ASPンSaaSキヴビスを選定 る 、ASPンSaaS
事業者 実施 ている情報セゥポモゾ゛対策 状況を確認 るた 指標と て活用 れ
ること 期待 ている
.
取
イ゜チメ゜ン
位置付け取
取 曓イ゜チメ゜ン 、ASPンSaaS事業者 、提供 るキヴビス内容 た適 情報セ
ゥポモゾ゛対策を実施 るた 指針と て、可能 限り分 りや 体的 対策
目を提示 ることを目指 て策定 れている た、ASPンSaaS事業者 、曓イ゜チメ
゜ンを 利用 ること 、比較的簡単 自ら提供 るASPンSaaSキヴビス た
情報セゥポモゾ゛対策 実施 るよう構成 れている ら、利用者と 契約
いて、より厳 い対策を設定 実施 る等、各ASPンSaaS事業者 実情 合わ て活
用 ること 可能 ある 、曓イ゜チメ゜ン 、ASPンSaaS事業者 ASPンSaaSキ
ヴビスを提供 る あたり実施 対策 絞り構成 れているた 、曓イ゜チメ゜ン
示 れている対策を全て実施 たこと より、企業 けるあらゆる情報セゥポモゾ゛
威 対応 る い点 留意 る必要 ある
取 た、曓イ゜チメ゜ン JIS Q 27001 ISO/IEC 27001 示 れる情報セゥポモゾ゛ブ
ネグベンダクスゾム3 考え方を参考と ている 曓イ゜チメ゜ンを足 りと て、ASPン
SaaS 事業者 ける情報セゥポモゾ゛ブネグベンダクスゾム 確立、 入、運用、監視、
見直 実施 れ、 続的 情報セゥポモゾ゛対策 改善 れてい ことを期待 ている
.
取
イ゜チメ゜ン活用
効果取
情 報 セ ゥ ポ モ ゾ ゛ ブ ネ グ ベ ン ダ 関 る 既 基 準 ン 規 範 JIS Q 27001 ISO/IEC
27001 、JISQ27002 ISO/IEC 27002 等 、ASPンSaaS キヴビス等 個別 キヴビ
ス 内容や形態を念頭 置いて作成 れた いた 、ASPンSaaS事業者 これら
ゾ゛ブネグベンダ 入ン運用 いとい た問題 ある
こ 、曓イ゜チメ゜ン 、ASPンSaaSキヴビス 特性 基 いたモスク゚セスベンダ
を実施 、ASPンSaaS事業者 実施 情報セゥポモゾ゛対策を取り と ること よ
り、 ASPンSaaS事業者 実践的 取り組 や い対策 と ている 曓イ゜チメ
゜ンを活用 ること 、 効果 見込 れる
ン大企業と比較 て、情報セゥポモゾ゛対策 人的ン金銭的 資源を割 こと 困難
中 ASPンSaaS事業者 対 て、独自 威分析 担を軽減 、優 的 取り組
対策 指針を える
ン他 ASPンSaaSキヴビスと連携4 る 、連携 ASPンSaaS事業者 対 る情報セゥ
ポモゾ゛対策 要求事 と て、曓イ゜チメ゜ン 一定 指針と る
ンこれ 、ASPンSaaS 情報セゥポモゾ゛対策 関 る明確 指針 た
た 、利用者 ASPンSaaSキヴビスを選択 る あたり、 ASPンSaaS事業者
実施 ている情報セゥポモゾ゛対策 妥当性を 断 得 た 曓イ゜チメ゜ン 、
利用者 ASPンSaaSキヴビスを選択 る 、一定 指針と る
.
取
イ゜チメ゜ン
全体構成取
曓イ゜チメ゜ン 、 序編 組織ン運用編 物理的ン技術的対策編 3編 ら構成
れる
. . 取 序編
取 曓イ゜チメ゜ン 目的、対象と る範囲、利用方法、注意事 、用語 定義等を取り
と た、 組織ン運用編 物理的ン技術的対策編 をより良 活用 るた 入編
. . 取 組織ン運用編
情報セゥポモゾ゛を確保 るた 求 られる運用管理体 、外部組織と 契約 け
る留意事 、利用者 対 る責任等 、組織ン運用 係る対策を取り と た対策 主
、経営者等 組織管理者 よ て参照 れることを想定 ている
. . 取 物理的ン技術的対策編
取 ASPンSaaS 典型的 クスゾム構成を基 、各構成要素5 ける情報資産6 対 る情
4 他 ASPンSaaSキヴビスを自ら ASPンSaaSキヴビス 組 込 こと より、異 る゚プモケヴクミン間 連携 可能と る
5
. 用語 定義 参照 6
. 用語 定義 参照 構成要素 ける情報資産 と 、キヴト等 構成要素及びキヴト タヴタ、ュエ
報セゥポモゾ゛対策を取り と た対策 構成要素 ゚プモケヴクミン、プメッダフ
ォヴム、キヴトンスダヤヴグ ネッダワヴク 建物、電源 空調等 3 大 分
類 、 構成要素 属 い情報資産を 他 と ている た、次 .
示 パタヴン 、 体的 対策をパッケヴグ化 ている 主 、実 ASPンSaaS
キヴビスを運用 ている現場 技術者等 よ て参照 れることを想定 ている
.
取
ASP
ン
SaaS
キヴビス種別
パタヴン化取
取 ASPンSaaS事業者 提供 るキヴビス 、基幹系業務クスゾム らエャヴプゞゟ゚
る 多岐 渡 て り、 取り扱う情報 い ら、各ASPンSaaSキヴビス 要求
れる 機密性 完全性 可用性 ヤベャ 必然的 異 て る
取 こ 、曓イ゜チメ゜ン 、ASPンSaaS キヴビス種別を 機密性 完全性 可用
性 観点 ら、 特性 と 6 パタヴン 分類 ている た、こ 分類を基 物
理的ン技術的対策編 対策 目をパタヴン化 ている
. . 取 パタヴン化 考え方取
取 機密性 完全性 可用性 基 、パタヴン分類 考え方 と り ある
簡略化 整理 た を 表1 示
パタヴン1
機密性ン完全性ン可用性 全てへ 要求 高 いキヴビス
パタヴン2
機密性ン完全性へ 要求 高 い 、可用性へ 要求 中 程 キヴビス
パタヴン3
機密性ン完全性へ 要求 高 い 、可用性へ 要求 7いキヴビス
パタヴン4
機密性へ 要求 い 、完全性ン可用性へ 要求 高 いキヴビス
パタヴン5
機密性へ 要求 い 、完全性へ 要求 高 、可用性へ 要求 中 程
キヴビス
パタヴン6
パタヴン 機密性へ 要求 完全性へ 要求 可用性へ 要求
1 高 高 高
2 高 高 中
3 高 高
4 高 高
5 高 中
6 高
表1取 各パタヴン 位置付け
ここ 機密性 完全性 可用性 へ 要求 高 関 る考え方 次 と り
ある
機密性へ 要求
情報を扱う場合 、 件数 関わり 、機密性へ 要求 高 い と
る
(1)個人情報
取 取 利用者及び利用者 顧 関 る、特定 個人を識別 ること る情報
(2)営業秘密情報
取 取 秘密と て管理 れている生産方法、販売方法、 他 事業活動 暼用 技術 又
営業 情報 あ て、公然と知られてい い
取
完全性へ 要求
ASPンSaaS事業者 利用者 タヴタを管理 るという特性 、 タヴタ 改 んン削
等 ゜ンクタンダ 発生 た場合、顧 事業 続 多大 影響を える と考えら
れる た、ASPンSaaS事業者 提供 る情報 いて 、 情報 改 ん等 ゜ンク
タンダ 発生 た場合、 情報 依 ている顧 と て大 損害 発生 ること
想定 れる た て、ASPンSaaS事業者 いて 、 キヴビス種別 関わら 、
完全性へ 要求 高 い と考えられる
可用性へ 要求
(1)可用性へ 要求 高 いキヴビス
a 運用時間中 原則と て必 稼働 て こと 求 られるキヴビス
取 取 取 b キヴビス 停 ること 、利用者 多大 経済的損失や人 害 生 る恐れ
あるキヴビス
取 取 取 a キヴビス 停 ること 、利用者 部分的 経済的損失 生 る恐れ あるキ ヴビス
取 取 取 b キヴビス 停 ること 、利用者 基幹業務 明確 影響を及 キヴビス
取 (3)可用性へ 要求 いキヴビス
取 取 取 (1)(2) 外 キヴビス
. . 取 典型的キヴビス パタヴン分類取
取 . . 基 、典型的 ASPンSaaSキヴビス いて、 特性を考慮
てパタヴン と 分類 た結果 、 表2 ある 曓イ゜チメ゜ン 基 いて 物理的ン
技術的対策編 対策を実施 る場合 、提供 るキヴビス パタヴン 分類 れて
いる よ て、 体的 対策 異 て る 、注意 必要 ある
パタヴン キヴビス種別
1 発注、人事給 ン勤怠管理ン経理、ERP 務会計等 、EC キポヴダ 電子商
取引 ゚ゞダソヴクンエ 、ネッダクミッヌンエ支援 仮想店舗 キヴビス 、
コヴャセンタヴ支援、金融業特化型キヴビス 地銀ン信金共 ゚ゞダソヴクンエ 、
療ン介護ン福祉業特化型キヴビス、電子入曔、公共 民情報、決済キヴビス、
不 ゚クセス監視
2 販売管理ン売掛金管理、公共窓口業務、 庫管理、建設業特化型キヴビス、卸売ン
売ン飲食業特化型キヴビス、保険業特化型キヴビス 生 保険見積 、宿泊業特
化型キヴビス、公共電子申請、公共個別部門業務、エャヴプゞゟ゚、゚チヤス帳
キヴビス、位置時間証明キヴビス
3 購 支援、CRM 顧 管理 ン営業支援、販売支援、契約、採用管理、資産管理、
ネッダクミッヌンエ 自ら 売 支援 、金融業特化型キヴビス 信用情報提供 、
保険業特化型キヴビス 自賠責保険見積 、゚フ゛モ゠゜ダ、ベヴャ配信
4 ネッダワヴク監視
5 ECキポヴダ 産地直 等、物流ン決済を一括 提供
6 広告、IT 資産管理、ニポヴスモモヴス業務、運輸業特化型キヴビス、電 会議ン
TV会議ンWeb会議、乗り換え、不動産物件検索、検索キヴビス 一般向け
※ eメヴニンエンLMS、文書管理、アンメ゜ンスダヤヴグ、ワヴクフュヴ、Webキ
゜ダ ビスゾ゛ンエ、ノュエンコプポニゾ゛コヴタ゛ネヴダ、コンゾンゼタモト
モヴンスダモヴプンエキヴビス、GIS 地 情報クスゾム /GIS応用、映像監視、
ベタ゛゚ン言語変換キヴビス、検索キヴビス 個別用途 、認証キヴビス、セゥポ
モゾ゛キヴビス
※一 パタヴンを設定 ること 困難 キヴビス
表2取 パタヴン と キヴビス種別
取 、 表 全て ASPンSaaSキヴビス 特性を網羅 ている い
た て、自ら 提供 るASPンSaaSキヴビス 、 表2 分類 れているパタヴン
わ い場合、 表中 い場合、 一 パタヴンを設定 ること 困難 キヴビ
ス 当 る場合等 、 . . 示 た考え方 基 、 当 るパタヴンを
.
取
イ゜チメ゜ン
利用方法取
取 曓イ゜チメ゜ン 、 . 示 ASPンSaaS事業者 提供 るキヴビス種別
て分類 たパタヴン と 、適 情報セゥポモゾ゛対策 実施 るよう るこ
とを基曓と ている . . ら . . 示 組織ン運用編 物
理的ン技術的対策編 各 目 意味をよ 理解 、 た、 . . 示 利用手
従 て、自ら 行う 情報セゥポモゾ゛対策を 定 、実施 れたい
. . 取 対策 目取
取 ASPンSaaS事業者 実施 情報セゥポモゾ゛対策事 認証基準等 用いられるよ
う 実施必須事 を示 、情報セゥポモゾ゛対策を実施 る 指標と
ることを期待 ている
. . 取 基曓ン推奨取
取 対策を 基曓 と 推奨 分類 ること 、対策実施 優 を示 ている
ン基曓 ASPンSaaSキヴビスを提供 る あたり、優 的 実施 情報セゥポモゾ゛
対策
ン推奨 ASPンSaaSキヴビスを提供 る あたり、実施 ること 望 れる情報セゥポモ
ゾ゛対策
. . 取 ベスダプメクゾ゛ス取
取 対策を実施 る あた て 、 体的 実施手法や注意 点を と た参考事例
. . 取 評価 目取
取 対策 目を実施 る 、 実施ヤベャを定 的あるい 体的 評価 るた 指
標 SLA8 合意事 と て活用 れること 想定 れる
. . 取 対策参照値取
取 対策 目 実施ヤベャ 目 と る評価 目 値 、パタヴン と 設定 れている
特 成 ること 必要 あると考えられる値 いて * を付 ている た、評価
目 よ て 、対策参照値 - と ているパタヴン る 、これ いて 、
ASPンSaaS事業者 任意 対策参照値を設定 ること 、対策 目 実施ヤベャを評価
. . 取 利用手 取
取 曓イ゜チメ゜ンを基 体的 情報セゥポモゾ゛対策を実施 る場合 、 手
従 て利用 れたい 、利用手 を示 表3を併 て参照 ると良い
取 た、曓イ゜チメ゜ン 参考資料と てAnnex 1 ASPンSaaSキヴビス 典型的 構
成要素と情報資産 、Annex 2 組織ン運用編取 対策 目一覧表 、Annex 3 物理的ン技術
的対策編取 対策 目一覧表 を付属 ている Annex 1 、ASPンSaaSキヴビス 典型的
構成要素を 式化 、対策 対象と る情報資産を例示 た ある Annex 2ン3 、
.組織ン運用編 及び .物理的ン技術的対策編 れ れ 対策を一覧表 た
あり、対策を実施 る 実施計画や実績管理等 使用 るよう ている これ
ら 資料 いて 、適宜参照 れたい
ン経営者等 組織管理者
i. .序編 を 、曓イ゜チメ゜ン 位置付け、利用方法、用語 定義等を確認
る
ii. .組織ン運用編 対策を実施 る 対策を実施 る 、ベスダプメクゾ゛
スを参照 ると良い
ン運用現場 ける技術者等
i. .序編 を 、曓イ゜チメ゜ン 位置付け、利用方法、用語 定義等を確認
る
iii. .序編 ン 基 、自ら 提供 るASPンSaaSキヴビス パタヴ
ン 当 る を確認 る
iv. .物理的ン技術的対策編 を見て、自分 パタヴン 当 る対策を実施 る
基曓 対策 ら優 的 実施 、 ら 推奨 対策を実施 ること 望
い 対策を実施 る 、ベスダプメクゾ゛スを参照 ると良い た、評価
目を使用 、対策参照値を目 対策 実施ヤベャを 断 ること る
表3取 利用手
対策の実施 タ ンの確認
対策の実施
利用方法の確認
ベスダプメクゾ゛ス 運用現場
技術者 経営者等
組織管理者
ASPンSaaS事業者
参照
評価 目ン
対策参照値
実施 ベ の確認
ベスダプメクゾ゛ス
参照
序編
序編 組織 運用編
組織 運用編
物理的 技術的対策編
.
取
用語
定義取
. . 取 JIS Q 27001 定義を踏襲 ている用語取
i. 機密性
取 取 取 取 認可 れてい い個人、゠ンゾ゛ゾ゛又 プュセス 対 て、情報を使用不可又
非公開 る特性
ii. 完全性
取 取 取 取 資産 確 及び完全 を保護 る特性
iii. 可用性
取 認可 れた゠ンゾ゛ゾ゛ 要求 たと 、゚クセス及び使用 可能 ある特性
iv. 情報セゥポモゾ゛
取 取 取 取 情報 機密性、完全性及び可用性を維持 ること ら 、真 性、責任追跡性、
否認防 及び信頼性 よう 特性を維持 ることを含 て よい
v. 情報セゥポモゾ゛事象
取 取 取 取 取 クスゾム、キヴビス又 ネッダワヴク ける特定 状態 発生 特定 状態
と 、情報セゥポモゾ゛基曓方針へ 管理策 不 合 可能性、又
セゥポモゾ゛ 関連 る れ い曑知 状況を示 ていることをいう
vi. 情報セゥポモゾ゛゜ンクタンダ
取 取 取 取 望 い単独 一連 情報セゥポモゾ゛事象、又 期 い単独
一連 情報セゥポモゾ゛事象 あ て、事業運営を う る確率及び情報
セゥポモゾ゛を 確率 高い
vii. モスク
取 取 取 取 事象 発生確率と事象 結果と 組合
viii. モスク分析
取 取 取 取 モスク因子を特定 るた 、及びモスクを算定 るた 情報 系統的使用
ix. モスク゚セスベンダ
取 取 取 取 モスク分析 らモスク評価 て プュセス
. . 取 曓イ゜チメ゜ン独自 定義 る用語取
i. 構成要素
取 取 取 取 ASPンSaaSキヴビス 提供 用いるハヴチゞゟ゚、ソフダゞゟ゚、通信機器ン
回線、建物等 固定資産
ii. 情報資産
取 取 取 取 構成要素及び構成要素を介 る情報
モゾ゛対策 ける 体的 実施基準や手 等 総称
iv. 利用者
取 取 取 取 ASPンSaaSキヴビスを利用 る法人又 個人
v. 従業員
取 取 取 取 ASPンSaaS 事業者 所属 、当 ASPンSaaS 事業者 提供 る ASPンSaaS
キヴビス 提供 携わる者 経営 を 者 派遣社員、゚ャト゜ダ等を含
vi. 管理責任者
取 取 取 取 取 ASPンSaaSキヴビス 提供 使用 る設備 運用管理を坦当 る現場責任者
vii. 連携ASPンSaaS事業者
取 取 取 取 自ら ASPンSaaSキヴビス 他 ASPンSaaSキヴビスを組 込 こと より、
゚プモケヴクミン間 統合ン連携を実施 る 、他 ASPンSaaSキヴビスを提
供 るASPンSaaS事業者
viii. 外部組織
取 取 取 取 連携ASPンSaaS事業者やASPンSaaS事業者 らキヴビス 一部を委 れた
企業等、ASPンSaaSキヴビス 提供 あたり契約関係 ある組織 総称
ix. 業務プュセス
取 取 取 取 ASPンSaaSキヴビスを提供 るた 行われる一連 活動
x. マヴギキポヴダ
取 取 取 取 ASPンSaaS キヴビス 関 る問い合わ 窓口 バャプタスク と ASPンSaaS
キヴビス 品質や 続性を維持 るた 組織 総称
xi. 情報処理施設
取 取 取 取 ASPンSaaS事業者 キヴビスを提供 るた 設備 設置 れた建物
xii. 物理的セゥポモゾ゛境界
取 取 取 取 情報処理施設 特定 領域を保護 るた 設置 れる壁、ィヴチ 御 よる出
入口等 物理的 り
xiii. キヴトンスダヤヴグ
取 取 取 取 ASPンSaaSキヴビスを提供 る 利用 る゚プモケヴクミン等を搭載 る機
器及び゚プモケヴクミン 情報を蓄積ン保 るた 装置 総称 、付
るOS等 基 ソフダゞゟ゚、蓄積 れているタヴタンュエ等 情報を含
xiv. プメッダフォヴム
取 取 取 取 認証、決済等 付 的機能を提供 る、ASPンSaaSキヴビス 提供 れる゚プ
モケヴクミン 基
xv. 通信機器
取 取 取 取 ャヴタ、ス゜ッス等、通信を 御 るた 装置
xvi. 情報セゥポモゾ゛対策機器
ポモゾ゛事象 ら、ASPンSaaS事業者 設備を防護 るた 機器
xvii. 外部ネッダワヴク
取 取 取 取 情報処理施設と 外部とを結ぶネッダワヴク 総称 、ASPンSaaS事業者と
ISP間、ASPンSaaS事業者と連携ASPンSaaS事業者間、ASPンSaaS事業者 保
守管理用回線等を指 曓イ゜チメ゜ン 対象外 ある、利用者 契約 る通信回
線及び゜ンタヴネッダンキヴビス
.
取
参考文書取
• JIS Q 27001:2006 (ISO/IEC 27001:2005)
• JIS Q 27002:2006 (ISO/IEC 17799:2005)
• JIS Q 13335-1:2006 MICTS-1
• MICTS-29
• 総務省 公共IT ける゚ゞダソヴクンエ 関 るイ゜チメ゜ン
• 団法人 金融情報クスゾムセンタヴ 金融機関等コンヌポヴタクスゾム 全対策
凡例
取
対策 目取
取 取 ASPンSaaS事業者 実施 情報セゥポモゾ゛対策事 認証基準等 用いられる
よう 実施必須事 を示 、情報セゥポモゾ゛対策を実施 る 指標
と ることを期待 ている
基曓ン推奨取
取 対策を 基曓 と 推奨 分類 ること 、対策実施 優 を示 ている
ン基曓 ASPンSaaSキヴビスを提供 る あたり、優 的 実施 情報セゥポモゾ゛
対策
ン推奨 ASPンSaaSキヴビスを提供 る あたり、実施 ること 望 れる情報セゥポモ
ゾ゛対策
ベスダプメクゾ゛ス取
取 対策を実施 る あた て 、 体的 実施手法や注意 点を と た参考事例
.
取
情報セゥポモゾ゛へ
組織的取組
基曓方針取
取
. . 取 組織 基曓的 方針を定 た文書取
取
. . . 取 基曓 取
経営 、情報セゥポモゾ゛ 関 る組織的取組 いて 基曓的 方針を定 た文書を
作成 ること た、当 文書 、経営 認 署 等を行い、情報セゥポモゾ゛
関 る経営 責任を明確 ること 取
取
ベスダプメクゾ゛ス 取
至. 情報セゥポモゾ゛ 関 る組織的取組と 、経営 主 組織全体 自ら定 た指
針、ャヴャ、 体的手続ン手 等 従 て、情報セゥポモゾ゛向 実現 取組 こ
とを言う 取
至至. 作成 た情報セゥポモゾ゛ 関 る組織的取組 いて 基曓的 方針 、 情
報セゥポモゾ゛ 関 る基曓的 方針 と言う を定 た文書 いて、全て 従
業員及び利用者並び 外部組織 対 て公表 、通知 ること 望 い 、
事業所内 多 場所 見や 掲示 る等、利用、理解 や い形 、適 知ら
ること 望 い 取
至至至.情報セゥポモゾ゛ 関 る基曓方針を定 た文書 次 事 関 る 述を含
ること 望 い 取
バ)取情報セゥポモゾ゛ 定義、目的及び適用範囲取
パ)取事業戦略や事業目的 照ら 合わ て、経営 情報セゥポモゾ゛ 要性を
う考えている 取
ヒ)取経営 情報セゥポモゾ゛へ 組織的取組 目標と原則を支持 ていること取
ビ)取体 構築と情報資産保護へ 取組 言取
ピ)取組織 ける遵守事 言取
1)取法令、規 等 遵守取 取 取
平)取教育ン訓練 実施取
年)取事件ン事故 防と対応へ 取組取
ィ)取管理責任者や従業員 義務取
フ)取見直 及び改善へ 取組 言取 等取
取
. . . 取 基曓 取
情報セゥポモゾ゛ 関 る基曓的 方針を定 た文書 、定期的又 ASPンSaaSキヴビス
提供 係る 大 変更 生 た場合 組織環境、業務環境、法的環境、技術的環境等
見直 を行うこと こ 見直 結果、変更 必要性 生 た場合 、経営 認
改定等を実施 ること 取
.
取
情報セゥポモゾ゛
た
組織取
取
. . 取 内部組織取
取
. . . 取 基曓 取
経営 、情報セゥポモゾ゛ 関 る取組 いて 責任と関 を明示 、人員ン資産ン
算 面 積極的 支援ン支持を行うこと 取
取
ベスダプメクゾ゛ス 取
至. 情報セゥポモゾ゛ 関 る取組 あた て 、必要と る調整 各種 断や連絡ン
指 示 、 協 力 等 適 行 わ れ る よ う 、 関 連 る 役 割 及 び 職 務 機 能 を 持 表 者
CIO10
、CISO11等 を定 ること 望 い 取
至至. 組織 規模 よ て 、取締役会 CIO、CISO等 役割を担 て よい 取
至至至.経 営 、 情 報 セ ゥ ポ モ ゾ ゛ 関 る 専 門 的 助 言 必 要 と 断 た 場 合 、
CISOや内部 情報セゥポモゾ゛専門技術者 ら助言を け、 結果をヤビポヴ
た 組織内 調整 ること 望 い 取
取
取
. . . 取 基曓 取
従業員 対 る秘密保持又 守秘義務 いて 要求を明確 、文書化 ること 当
文書 、定期的又 ASPンSaaSキヴビス 提供 係る 大 変更 生 た場合 組織環境、
業務環境、法的環境、技術的環境等 見直 を行うこと 取
取
取
. . . 取 基曓 取
情報セゥポモゾ゛対策 ける 体的 実施基準や手 等を明確化 、文書化 ること
当 文書 、定期的又 ASPンSaaSキヴビス 提供 係る 大 変更 生 た場合 組織
環境、業務環境、法的環境、技術的環境等 見直 を行うこと 取
10 Chief Information Officer 暷高情報責任者
. . 取 外部組織 タヴタセンタを含 取
取
. . . 取 基曓 取
外部組織 関わる業務プュセス ける、情報資産 対 るモスクを識別 、適 対策
を実施 ること 取
取
ベスダプメクゾ゛ス 取
至. 情報資産 対 るモスクと て 、不 ゚クセス、情報資産 盗難ン不 変更、情
報処理設備 悪用ン破壊等 ある 取
至至. これら モスクを軽減 るた 、外部組織 特 、タヴタセンタ、電気通信事業
者、情報セゥポモゾ゛キヴビス提供事業者等 よる情報資産へ ゚クセスを、各
ASPンSaaS事業者 実環境 合わ て管理ン 限 ること 望 い 、情
報資産 ゚クセス可能 外部組織を例示 る 取
バ) 情報処理施設 定期ン不定期 出入り る外部組織 配 業者、設備点検等 取
パ) 情報処理施設 常駐 る外部組織 SE、警備会社等 取
ヒ) ネッダワヴクを通 キヴビスを提供 る外部組織 連携 ASPンSaaS 事業者、ネ
ッダワヴク監視キヴビス等 取
至至至.情報資産ぺクセス る手段を 別 、 れ れ 対 て゚クセスを管理ン 限
る方針と方法を定 ること 望 い 取
取
取
. . . 取 基曓 取
情報資産へ ゚クセス 可能と る外部組織と 契約 いて 、想定 れる全て ゚ク
セス いて、 範囲を規定 ること 取
取
ベスダプメクゾ゛ス 取
至. 外部組織 よる゚クセス手法と て 、 よう 想定 れる 取
バ)取物理的セゥポモゾ゛境界 ら 入 取
パ)取情報クスゾム 管理用端曒 利用取
ヒ)取外部ネッダワヴク ら 接続取
ビ)取タヴタを格納 た媒体 交換取
至至. ASPンSaaSキヴビス 提供 あた て 、連携ASPンSaaS事業者等外部組織 多
岐 渡ること 多いた 、契約 締結を慎 行うこと 望 い 取
.
取
連携
ASP
ン
SaaS
事業者
関
る管理取
取
. . 取 連携ASPンSaaS事業者 ら組 込 ASPンSaaSキヴビス 管理取
取
. . . 取 基曓 取
連携ASPンSaaS事業者 提供 るASPンSaaSキヴビス いて、事業者間 合意 れた
情報セゥポモゾ゛対策及びキヴビスヤベャ 、連携ASPンSaaS事業者 よ て確実 実施
れることを担保 ること 取
取
ベスダプメクゾ゛ス 取
至. 連携ASPンSaaS事業者 らASPンSaaSキヴビス 提供を ける場合 、情報セ
ゥポモゾ゛ 係る取決 を連携ASPンSaaS事業者 確実 実施 るよう 、契約や
SLAを締結 ること 望 い 取
至至. 連携ASPンSaaS事業者 提供 るキヴビス内容 、 意 変更 れたり、キヴ
ビスヤベャ 要求を た いこと 無いよう 、契約やSLAを締結 ること 望
い 取
取
取
. . . 取 基曓 取
連携ASPンSaaS事業者 提供 るASPンSaaSキヴビス 運用 関 る報告及び 録を常
確認 、ヤビポヴ ること た、定期的 監査を実施 ること 取
取
ベスダプメクゾ゛ス 取
至. 連携ASPンSaaS事業者 提供 るASPンSaaSキヴビス 確認及びヤビポヴ 実施
例と て 、連携 ASPンSaaS 事業者と 契約等 いて、SLA 目 計測方法及
び計測結果を定期報告 るよう 義務付けると共 、定期的 実施結果を確認 ると
いう方法 考えられる 取
至至. 連携ASPンSaaS事業者 起因 る情報セゥポモゾ゛゜ンクタンダ及び問題点 い
.
取
情報資産
管理取
. . 取 情報資産 対 る責任取
取
. . . 取 基曓 取
取り扱う各情報資産 いて、管理責任者を定 ると共 、 利用 許容範囲 利用可
能者、利用目的、利用方法、返 方法等 を明確 、文書化 ること 取
取
ベスダプメクゾ゛ス 取
至. 情報資産 目録を作成 、情報セゥポモゾ゛゜ンクタンダ ら復 るた 必要
全て 情報を 載 ること 望 い 取
例 取 種類、形式、所 、トック゚ップ情報、メ゜センス情報、業務 価値取 等取
至至. 情報資産 目録 ける 載内容 、他 目録 ける 載内容と整合 とれてい
ること 望 い た、不必要 複 いこと 望 い 取
至至至.情報資産 分類方法と各情報資産 管理責任者を定 、組織内 合意 文書
化 ること 望 い 取
至ュ. 情報資産 要 を業務 価値 基 いて定 、組織内 合意 文書化
ること 望 い 取
ュ. 情報資産 保護 ヤベャ 例 機密性ン完全性ン可用性 対 る要求ヤベャ を各
情報資産 直面 るモスク 大 基 いて定 、組織内 合意 文書化
ること 望 い 取
ュ至. 全て 従業員及び外部組織 対 て、情報資産 利用 許容範囲 関 る規則 従
. . 取 情報 分類取
取
. . . 取 基曓 取
組織 ける情報資産 価値や、法的要求 個人情報 保護等 等 基 、取扱い 慎
合いや 要性 観点 ら情報資産を分類 ること 取
取
ベスダプメクゾ゛ス 取
至. 情報資産 分類結果 、メベャ付け等 より、従業員 対 て明示 ること 望
い 取
至至. 情報資産 分類及び保護管理策 選定 いて 、情報資産 共暼又 利用 限
係る業務 必要性とこれ より生 る影響を考慮 ること 望 い 取
至至至.情報資産 分類 複雑 いこと 望 い 管理コスダ 増 を た た 取
至ュ. 外部組織 ら 文書 付いている分類メベャ 、定義 異 ること ある 、
称 又 類似 ていたと て 、 解釈 注意 る必要 ある 取
ュ. 情報資産 各分類ヤベャ と 、 全 取扱い手 処理ン保 ン伝 ン秘密解 ン
破棄等 を定 ること 望 い 取
ュ至. 取扱い 慎 を要 る又 要と分類 れる情報を含 クスゾム出力 、適
分類メベャを付 ること 望 い クスゾム出力 例と て 、 れた文書、
スクモヴン表示、 録媒体 例え 、ゾヴプ、タ゛スク、CD 、電子的 ベッセヴグ
及び転 ブ゜ャ等 ある 取
. . 取 情報セゥポモゾ゛ポモクヴ 遵守、点検及び監査取
取
. . . 取 基曓 取
各情報資産 管理責任者 、自ら 責任範囲 ける全て 情報セゥポモゾ゛対策 、情
報セゥポモゾ゛ポモクヴ 則り 確実 実施 れるよう、定期的 ヤビポヴ及び見直
を行うこと 取
取
ベスダプメクゾ゛ス 取
至. 管理責任者 、ヤビポヴ及び見直 方法を 定 て こと 望 い 取
至至. 管理責任者 実施 たヤビポヴ及び見直 結果を 録 、 録を保管管理
ること 望 い 取
取
取
. . . 取 基曓 取
ASPンSaaSキヴビス 提供 用いる情報クスゾム 、情報セゥポモゾ゛ポモクヴ 要求
を遵守 ていることを確認 るた 、定期的 点検ン監査 ること 取
取
ベスダプメクゾ゛ス 取
至. 点検ン監査 、十分 技術的能力及び経験を持 者 例 情報セゥポモゾ゛゚チプ
ニスダヤヴタ資格を持 、情報セゥポモゾ゛ 係る技術的対策 実務を一定 数
経験 ている者 監督 行うこと 望 い 取
至至. 情報クスゾム 点検ン監査 あた て 、ASPンSaaSキヴビス 提供中断 よるモ
スクを暷 限 抑えるよう、考慮 ること 望 い 取
.
取
従業員
係る情報セゥポモゾ゛取
取
. . 取 雇用前取
取
. . . 取 基曓 取
雇用 定 従業員 対 て、機密性ン完全性ン可用性 係る情報セゥポモゾ゛ 要求及
び責任 分界点を提示ン 明 るとと 、こ 要求等 対 る明確 意を て雇用
契約を締結 ること 取
取
ベスダプメクゾ゛ス 取
至. 雇用条件 、情報セゥポモゾ゛ 関 る基曓的 方針を 映 ること 望
い 取
至至. 雇用条件 、次 事 を明確 述 ること 望 い 取
バ) 取扱注意情報へ ゚クセス権を えられる全て 従業員 対 て、゚クセス 認
られる前 、秘密保持契約書又 守秘義務契約書 署 を求 る取
パ) 従業員 法的 責任と権利取
ヒ) 従業員 担う 情報資産 対 る責任取
ビ) 雇用契約を締結 る過程 取得 た個人情報 扱い 関 る組織 責任取
至至至.雇用終了 、一定期間 雇用期間 ける責任 続 るよう、雇用条件を規定
ること 望 い 取
取
. . 取 雇用期間中取
取
. . . 取 基曓 取
全 て 従 業 員 対 て 、 情 報 セ ゥ ポ モ ゾ ゛ ポ モ ク ヴ 関 る 意 識 向 た 適 教
育ン訓練を実施 ること 取
取
取
. . . 取 基曓 取
従業員 、情報セゥポモゾ゛ポモクヴ ASPンSaaSキヴビス提供 契約
た場合 対応手続を備えること 取
取
ベスダプメクゾ゛ス 取
至. 雇用条件 いて、従業員 情報セゥポモゾ゛ポモクヴ等 従わ い場合 対応手
続等を明確 ること 望 い 取
取
. . 取 雇用 終了又 変更取
取
. . . 取 基曓 取
従業員 雇用 終了又 変更と た場合 ゚クセス権や情報資産等 扱い いて、実
施 事 や手続 、確認 目等を明確 ること 取
取
ベスダプメクゾ゛ス 取
至. 雇用終了時 、支給 たソフダゞゟ゚、電子ブ゜ャ等 電子媒体、会社 書類、
手引書等 紙媒体、ペト゜ャコンヌポヴゾ゛ンエ装置、゚クセスィヴチ等 設備等、
全て 返 を求 ること 望 い 取
至至. 雇用終了 、情報資産 対 る個人 ゚クセス権を や 削 ること 望
い 取
至至至.雇用 変更を行う場合 、新規 業務 対 て 認 れてい い全て ゚クセス
権を削 ること 望 い 取
至ュ. ゚クセス権 削 当た て 、情報クスゾムへ 物理的 ゚クセスゥヴ 情報処
理施設 鍵、身分証明書等 及び電子的 ゚クセスゥヴ パスワヴチ等 等を返 ン
消去 ること 望 い 取
ュ. 雇用終了 、組織 現行 一員 あることを認定 る書類 ら削 ること
望 い 取
ュ至. 雇用 終了又 変更と る従業員 、稼働中 情報クスゾム等 情報資産 ゚クセ
ス るた 必要 ゚クセスゥヴを知 ている場合 、雇用 終了又 変更時 当
情報資産へ ゚クセスゥヴを変更 ること 望 い 取
.
取
情報セゥポモゾ゛゜ンクタンダ
管理取
取
. . 取 情報セゥポモゾ゛゜ンクタンダ及び い弱性 報告取
取
. . . 取 基曓 取
取 全て 従業員 対 、業務 いて発見あるい 疑いを た情報クスゾム い弱性
や情報セゥポモゾ゛゜ンクタンダ キヴビス停 、情報 漏えいン改 んン破壊ン紛失、
ゞ゜ャス感染等 いて、 よう 録 、 る け や 管理責任者
報告 るよう手続 を定 、実施を要求 ること 取
報告を けた 、迅 整然と効果的 対応 るよう、責任体 及び手 を確立
ること 取
取
ベスダプメクゾ゛ス 取
至. 情報セゥポモゾ゛゜ンクタンダ 式 報告手 を、報告を けた ゜ンクタン
ダ対応及び段 的取扱い 例 原因 り分け、部分復 、完全復 フゟヴゲ 分け
た取扱い 手 と共 確立 ること 望 い た、情報セゥポモゾ゛゜ンクタ
ンダ 報告手 全て 従業員 周知徹底 ること 望 い 取
至至. 情報セゥポモゾ゛゜ンクタンダ報告 た 連絡 を明確 ること 望 い
ら 、こ 連絡 を全て 従業員 認識 、い 利用 るよう ること 、
適 時機を逸 い対応を確実 実施 ること 望 い 取
至至至.全て 従業員 対 、情報クスゾム い弱性や情報セゥポモゾ゛゜ンクタンダ
兆等 情報資産 対 る 険を発見 た場合 、い る場合 あ て る
限り や 管理責任者 報告 る義務 あることを認識 て こと 望
い 取
至ュ. た情報セゥポモゾ゛゜ンクタンダ情報を分析 、必要 応 て対策 見直
資 ること 望 い 取
取
.
取
コンプメ゜゚ンス取
取
. . 取 法令と規則 遵守取
取
. . . 取 基曓 取
個人情報、機密情報、知的 産等、法令又 契約 適 管理 求 られている情報
いて 、 当 る法令又 契約を特定 た 、 要求 基 適 情報セゥポモゾ
゛対策を実施 ること 取
取
ベスダプメクゾ゛ス 取
至. 関連 る法規と て 、個人情報保護法、不 競 防 法、著作権法、e-文書法、電
子帳簿保 法等 考えられる 取
至至. 法令を遵守 る あたり、 示 よう イ゜チメ゜ン等を参照 ること
望 い 取
バ) 個人情報保護法関係 イ゜チメ゜ン取
22分 35 イ゜チメ゜ン ある 取
参考 内 府国民生活局 個人情報 保護 関 るイ゜チメ゜ン いて 取
パ) 不 競 防 法関係 イ゜チメ゜ン取
日曓弁理士会 不 競 防 法イ゜チメ゜ン 取 等取
ヒ) 著作権法関係 イ゜チメ゜ン取
文化庁 成19 著作権ゾゥスダ 、社団法人ゾヤコムキヴビス協会 著作権
関係イ゜チメ゜ン 取 等取
ビ) e-文書法関係 イ゜チメ゜ン取
経済産業省 文書 電磁的保 等 関 る検討委員会 報告書、タ゜ムビグネ
ス推 協議会 e-文書法 けるタ゜ムスタンプ適用イ゜チメ゜ン取 Vピメ1.1 取 等取
ピ) 電子帳簿保 法関係 イ゜チメ゜ン取
国税庁取 電子帳簿保 法取扱通 取 等取
至至至.ASPンSaaSキヴビス 提供 あたり、海外 タヴタセンタ ある場合等、海外法
適用 れる場合 ある 注意 る必要 ある 取
取
取
. . . 取 基曓 取
ASPンSaaSキヴビス 提供及び 続 要 録 会計 録、タヴタベヴス 録、取引ュ
エ、監査ュエ、運用手 等 いて 、法令又 契約及び情報セゥポモゾ゛ポモクヴ等
要求事 従 て、適 管理 ること 取
ベスダプメクゾ゛ス 取
至. 録類 、 録 種類 例 会計 録、タヴタベヴス 録、ュエ 録、運用手 等
よ て大分類 、 ら れ れ 種類 いて保 期間と 録媒体 種別 例
紙、 媒体、磁気媒体等 よ て細分類 ること 望 い 取
至至. 録 保 媒体 製 業者 推奨 様 従 て行うこと 望 い 取
至至至.媒体 劣化 る可能性を考慮 、長期保 た 紙又 ブ゜クュフ゛ャムを利
用 ること 望 い 取
至ュ. 国又 地域 法令又 規 よ て保 期間 定 られている 録を確実 特定
ること 望 い 取
取
取
. . . 取 基曓 取
利用可否範囲 対象 画ン施設、利用 許可 れる者等 明示、認可手続 定、監視、
警告等 より、認可 れてい い目的 た 情報クスゾム及び情報処理施設 利用を行
わ いこと 取
取
ベスダプメクゾ゛ス 取
至. 情報クスゾム又 情報処理施設を利用 ようと る者 対 て、利用 ようと て
いる情報クスゾム又 情報処理施設 ASPンSaaS事業者 所暼 あること、認可
れてい い目的 た ゚クセス 許可 れ いこと等 いて、警告文を画面表示
る等 よ て警告 ること 望 い 取
至至. 利用を 続 るた 、警告 意を求 ること 望 い 但 、利用者
いて 、キヴビス 利便性を考慮 、ASPンSaaSキヴビス 利用開始時 意
を求 ること 対応 ること 可能 ある 取
.
取
マヴギキポヴダ
責任取
取
. . 取 利用者へ 責任取
取
. . . 取 基曓 取
ASPンSaaSキヴビス 提供 支 生 た場合 、 原因 連携ASPンSaaS事業者
起因 る あ たと て 、利用者と直接契約を結ぶASPンSaaS事業者 、 責
任 いて一元的 マヴギキポヴダを実施 ること 取
取
ベスダプメクゾ゛ス 取
至. 連携ASPンSaaS事業者 提供 ているASPンSaaSキヴビス部分 係るマヴギキポ
ヴダ いて 、利用者便益を暷優 た方法 よ て実施 ること 望 い こ
た 、ASPンSaaS事業者 、連携ASPンSaaS事業者と 間 利用者 ら 故
対応要求や業務問合 、作業依頼等 対 る取扱手続を定 、合意を得た手段 実施
ること 望 い 取
例 ASPンSaaS事業者 、連携ASPンSaaS事業者 キヴビス部分 係る問合
いて 一括 て け付ける等取
取
凡例
取
対策 目取
取 取 ASPンSaaS事業者 実施 情報セゥポモゾ゛対策事 認証基準等 用いられる
よう 実施必須事 を示 、情報セゥポモゾ゛対策を実施 る 指標
と ることを期待 ている
基曓ン推奨取
取 対策を 基曓 と 推奨 分類 ること 、対策実施 優 を示 ている
ン基曓 ASPンSaaSキヴビスを提供 る あたり、優 的 実施 情報セゥポモゾ゛
対策
ン推奨 ASPンSaaSキヴビスを提供 る あたり、実施 ること 望 れる情報セゥポモ
ゾ゛対策
ベスダプメクゾ゛ス取
取 対策を実施 る あた て 、 体的 実施手法や注意 点を と た参考事例
取
評価 目取
取 対策 目を実施 る 、 実施ヤベャを定 的あるい 体的 評価 るた 指
標 SLA 合意事 と て活用 れること 想定 れる
対策参照値取
取 対策 目 実施ヤベャ 目 と る評価 目 値 、パタヴン と 設定 れている
特 成 ること 必要 あると考えられる値 いて * を付 ている た、評価
目 よ て 、対策参照値 - と ているパタヴン る 、これ いて 、
ASPンSaaS事業者 任意 対策参照値を設定 ること 、対策 目 実施ヤベャを評価
.
取
゚プモケヴクミン、プメッダフォヴム、キヴトンスダヤヴグ、ネッダ
ワヴク
共通
る情報セゥポモゾ゛対策取
. . 取 運用管理 関 る共通対策取
. . . 取 基曓
取 ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン、プメッダフォヴム、キヴトンス
ダヤヴグ、情報セゥポモゾ゛対策機器、通信機器 稼働監視 応答確認等 を行うこと
取 稼働停 を検知 た場合 、利用者 報を通知 ること
ベスダプメクゾ゛ス
i. 監視対象機器 死活監視を行うた 方法 ping12コブンチ 、監視゜ンタヴト
ャ、監視時間帯、監視体 等 実施基準ン手 等を明確 ること 望 い
ii. 実施基準ン手 等 従い監視を行い、監視結果 いて評価ン見直 を行うこと
望 い
iii. 稼働停 を検知 た場合 、短文 電子ベヴャ等 利用者 や 報を通知
ること 望 い ここ 、通知 、利用者側 管理連絡窓口 け 、ASPン
SaaSキヴビスを利用 る全て 者を含 こと 望 い
評価 目
a. 死活監視゜ンタヴトャ 応答確認
12 Packet INternet Groper TCP/IPネッダワヴク 状態を診断 るた ゼヴャ 監視対象機器 pingコブンチを 信 ると 信 た機器 ら応答 返 て る 応答状況 ら、対象機器 動作状態や通信 要 る時間等を確認
ること る
パタヴン 対策参照値
1 1回 5分*
2 1回 10分*
3 1回 20分*
4 1回 5分*
5 1回 10分*
b. 通知時間 稼働停 検知 、利用者 通知 る 時間
. . . 取 基曓
取 ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン、プメッダフォヴム、キヴトンス
ダヤヴグ、情報セゥポモゾ゛対策機器、通信機器 害監視 キヴビス 常 動作 て
いること 確認 を行うこと
害を検知 た場合 、利用者 報を通知 ること
ベスダプメクゾ゛ス
i. キヴビス稼働状態を監視 るた 方法、監視゜ンタヴトャ、監視時間帯、監視体
等 実施基準ン手 等を明確 ること 望 い
ii. 実施基準ン手 等 従い監視を行い、監視結果 いて評価ン見直 を行うこと
望 い
iii. 害を検知 た場合 、短文 電子ベヴャ等 利用者 報を通知 ること 望
い ここ 、通知 利用者側 管理連絡窓口 と ること 望 い
評価 目
a. 害監視゜ンタヴトャ
パタヴン 対策参照値
1 20分 内*
2 60分 内*
3 5時間 内*
4 20分 内*
5 60分 内*
6 5時間 内*
パタヴン 対策参照値
1 1回 10分
2 1回 30分
3 1回 60分
4 1回 10分
5 1回 30分
b. 通知時間 害検知 、利用者 通知 る 時間
. . . 取 推奨
ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン、プメッダフォヴム、キヴト、ス
ダヤヴグ、ネッダワヴク 対 一定間隔 パフォヴブンス監視 キヴビス ヤスポンス時
間 監視 を行うこと
た、利用者と 取決 基 いて、監視結果を利用者 通知 ること
ベスダプメクゾ゛ス
i. 監視 実施 あたり、監視方法 コブンチ 入力手 、監視ゼヴャ 操作手 等 、
監視゜ンタヴトャ、監視時間帯、監視体 等 実施基準ン手 等を明確 ること
望 い
ii. 監視 結果、ASPンSaaSキヴビス ヤスポンス時間 大 増 た場合 、SLA
等 利用者と 取決 基 いて、利用者 報を通知 ること 望 い ここ 、
通知 利用者側 管理連絡窓口 と ること 望 い
iii. 管理責任者 、監視結果をヤビポヴ 、必要 ら 実施基準ン手 等 評価ン見直
を行うこと 望 い
評価 目
a. パフォヴブンス監視゜ンタヴトャ
パタヴン 対策参照値
1 20分
2 60分
3 5時間
4 20分
5 60分
6 5時間
パタヴン 対策参照値
1 1回 10分
2 1回 30分
3 1回 60分
4 1回 10分
5 1回 30分
b. 通知時間 異常検知 、利用者 通知 る 時間
. . . 推奨
ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン、プメッダフォヴム、キヴトンスダ
ヤヴグ等 稼働監視、 害監視、パフォヴブンス監視 結果を評価ン総括 て、管理責任
者 報告 ること
ベスダプメクゾ゛ス
i. 監視結果 報告内容、報告時期、報告 等 実施基準ン手 等を明確 ること
望 い
ii. 管理責任者へ 報告 電子ベヴャ、紙文書等 直接伝えること 望 い 、管理
用Webヒヴグ 掲載 て伝えること 良い
. . . 基曓
ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン、プメッダフォヴム、キヴトンスダ
ヤヴグ等 情報セゥポモゾ゛対策機器、通信機器等 時刻 期 方法を規定 、実施
ること
ベスダプメクゾ゛ス
i. タ゜ムビグネス信頼ン 心認定 ける時刻提供精 要求等を参考 て、日
曓標準時と 期を取ること 望 い
ii. ASPンSaaSキヴビス 、責任分界 観点 ら、ュエ よる証 保全 要 ある
た 、キヴトンスダヤヴグ間 時刻 期を取ること 望 い
iii. 全て 機器 時刻 期を行う方法、及び時刻 誤差 生 た場合 修 方法 い
NTP13
パタヴン 対策参照値
1 20分
2 60分
3 5時間
4 20分
5 60分
iv. 定期的 時刻 期 状況を確認 ること 望 い
. . . 基曓
ASPンSaaSキヴビス 提供 用いるプメッダフォヴム、キヴトンスダヤヴグ、情報セゥポ
モゾ゛対策機器、通信機器 いて 技術的 い弱性 関 る情報 OS、 他ソフダゞ
ゟ゚ パッス発行情報等 を定期的 、 時パッス よる更新を行うこと
ベスダプメクゾ゛ス
i. 情報セゥポモゾ゛ 関 る情報を提供 ている機関 @police、JPCERT/CC、IPA
セゥポモゾ゛センタヴ等 や、ハヴチゞゟ゚ベンジ、ソフダゞゟ゚ベンジ、アヴプン
ソフダゞゟ゚ンフモヴソフダゞゟ゚等 セゥポモゾ゛情報を提供 ているWebキ゜
ダ等 ら い弱性 関 る情報を入手 ること る
ii. い弱性 発見 れた場合 、提供 れたパッスを適用 ること よる情報クスゾ
ムへ 影響を確認 た 、パッス適用を実施 ること 望 い
評価 目
a. OS、 他ソフダゞゟ゚ 対 るパッス更新作業 着手 時間
. . . 推奨
ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン、プメッダフォヴム、キヴトンスダ
ヤヴグ等 情報セゥポモゾ゛対策機器、通信機器等 監視結果 害監視、死活監視、
パフォヴブンス監視 いて、定期報告書を作成 て利用者等 報告 ること
ベスダプメクゾ゛ス
i. 定期報告書 、稼働率、SLA 実施結果、パフォヴブンス監視結果等を含 るこ
と 望 い
ii. 定期報告内容 、暻単位 計 ること 望 い
パタヴン 対策参照値
1 ベンジモモヴス ら24時間 内*
2 ベンジモモヴス ら24時間 内*
3 ベンジモモヴス ら24時間 内*
4 ベンジモモヴス ら3日 内*
5 ベンジモモヴス ら3日 内*
評価 目
a. 定期報告 間隔 Web等 よる報告 含
. . . 基曓
ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン、プメッダフォヴム、キヴトンスダ
ヤヴグ等 情報セゥポモゾ゛対策機器、通信機器等 係る稼働停 、 害、パフォヴブ
ンス 等 いて、 報をフォュヴ゚ップ る追 報告を利用者 対 て行うこと
ベスダプメクゾ゛ス
i. 稼働停 、 害、パフォヴブンス 、 他 情報セゥポモゾ゛事象 いて、
第一報 報 続いて、より い分析報告を利用者 対 て行うこと 望 い
ここ 、報告 利用者側 管理連絡窓口 と ること 望 い
ii. 追 報告 いて 、電子ベヴャやFAX 報等 実施 ること 望 い
iii. 原因 分析結果や復 測を含ん 報告を行うこと 望 い
評価 目
a. 第一報 報 続 追 報告 タ゜プンエ
パタヴン 対策参照値
1 1ヶ暻
2 3ヶ暻
3 6ヶ暻
4 1ヶ暻
5 3ヶ暻
6 6ヶ暻
パタヴン 対策参照値
1 発見 1時間
2 発見 1時間
3 発見 12時間
4 発見 1時間
5 発見 12時間
. . . 基曓
情報セゥポモゾ゛監視 稼働監視、 害監視、パフォヴブンス監視等 実施基準ン手
等を定 ること
た、ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン、プメッダフォヴム、キヴ
ト、スダヤヴグ、ネッダワヴク 運用ン管理 関 る手 書を作成 ること
ベスダプメクゾ゛ス
i. 運用ン管理対象、運用ン管理方法 コンヌポヴタ 起動ン停 手 、トック゚ッ
プ、媒体 取扱い、情報セゥポモゾ゛゜ンクタンダへ 対応ン報告、ュエ 録と管
理、パフォヴブンス監視ン評価、クスゾム監査ゼヴャ 不 使用 防 等 、運用ン
管理体 等を明確 ること 望 い
ii. 管理責任者 、運用ン管理報告 いてヤビポヴを実施 、必要 ら 実施基準ン
.
取
゚プモケヴクミン、プメッダフォヴム、キヴトンスダヤヴグ取
. . 取 ゚プモケヴクミン、プメッダフォヴム、キヴトンスダヤヴグ 運用ン管理取
. . . 基曓
ASPンSaaSキヴビスを利用者 提供 る時間帯を定 、こ 時間帯 けるASPンSaaS
キヴビス 稼働率を規定 ること
た、゚プモケヴクミン、プメッダフォヴム、キヴトンスダヤヴグ 定期保守時間を規
定 ること
ベスダプメクゾ゛ス
i. ASPンSaaSキヴビスを利用者 提供 る時間帯 キヴビス時間帯 と 、契約キヴ
ビス時間 ら定期保守時間を差 引いた ある ここ 、契約キヴビス時間と 、
契約時 利用者 提示 たASPンSaaSキヴビス 提供時間 例 365日/24時間、
休日ン日祭日を 8:00-20:00 等 こと あり、定期保守時間と 、事前通知
れた定期保守 よるASPンSaaSキヴビス停 総時間 例 5時間/ こと あ
る
ii. 稼働率と 、キヴビス時間帯 締 る実稼働時間 割合 こと ある ここ 、実
稼働時間と 、キヴビス時間帯 いて実 ASPンSaaSキヴビス 提供 実施
れた時間 こと ある
評価 目
a. ASPンSaaSキヴビス 稼働率
. . . 基曓
ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン、プメッダフォヴム、キヴトンスダ
パタヴン 対策参照値
1 99.5% *
2 99% *
3 95% *
4 99.5% *
5 99% *
ベスダプメクゾ゛ス
i. 要求 れたキヴビス性能を た ことを確実 るた 、゚プモケヴクミン、プ
メッダフォヴム、キヴトンスダヤヴグ 利用を監視ン調整 、 た、将来必要と る
容 ン能力を 測 ること 望 い
ii. 定期的 ゚プモケヴクミン、プメッダフォヴム、キヴトンスダヤヴグ 利用状況を
監視 ること 望 い
評価 目
a. 容 ン能力等 要求事 を 録 た文書 保 期間
. . . 基曓
利用者 利用状況、例外処理及び情報セゥポモゾ゛事象 録 ュエ等 を取得 、 録
ュエ等 保 期間を明示 ること
ベスダプメクゾ゛ス
i. 利用者 利用状況、例外処理及び情報セゥポモゾ゛事象 録と て何を取得 る
、取得 た 録 保管期間、取得 た 録 保管方法、取得 た 録 スゟック 監
査等 方法等を明確 ること 望 い 取得 ること 望 い情報 例
通り
a) 利用者ID
b) 主要 事象 日時及び内容 例 ュエアン、ュエアフ、 d)e)g)h 事象発生
c) 可能 場合 端曒装置 ID 又 所 地
d) 情報クスゾムへ ゚クセス 、成 及び失敗 た試 録
e) タヴタ及び他 情報資産へ ゚クセス 、成 及び失敗 た試 録
f) 情報クスゾム構成 変更
g) 特権 利用
h) 情報クスゾムマヴゾ゛モゾ゛及び゚プモケヴクミン 利用
パタヴン 対策参照値
1 キヴビス提供期間 1 間
2 キヴビス提供期間 6ヶ暻
3 キヴビス提供期間 3ヶ暻
4 キヴビス提供期間 1 間
5 キヴビス提供期間 6ヶ暻
i) ゚クセス れたブ゜ャ及び゚クセス 種類
j) ネッダワヴク゚チヤス及びプュダコャ
k) ゚クセス 御クスゾム 発 た警報
l) 保護クスゾム 例え ゞ゜ャス対策クスゾム 侵入検知クスゾム 作動及び
停 取 等
ii. クスゾム 害等 よるュエ 損を る限り少 るた 、スタント゜機等
を用いてュエキヴト 運転を迅 再開 る状態 て こと 望 い
評価 目
a. 利用者 利用状況 録 ュエ等 保 期間
b. 例外処理及び情報セゥポモゾ゛事象 録 ュエ等 保 期間
パタヴン 対策参照値
1 3ヶ暻
2 1ヶ暻
3 1 間
4 3ヶ暻
5 1ヶ暻
6 1 間
パタヴン 対策参照値
1 5
2 1
3 6ヶ暻
4 5
5 1
c. スタント゜機 よる運転再開
14 使用 る情報クスゾムと を別 用意 、 動作を行い ら待機状態 て こと 、情報クスゾム
害 発生 た り暶え るよう て 冗長化手法
15
使用 る情報クスゾムと を別 用意 る 、ビッダスタント゜と異 り 動作を行うこと 、情報ク
スゾム 害 発生 た 作動 り暶える冗長化手法
パタヴン 対策参照値
1 可能 ビッダスタント゜14
2 可能 コヴャチスタント゜15
3 -
4 可能 ビッダスタント゜
5 可能 コヴャチスタント゜
. . . 推奨
ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン、プメッダフォヴム、キヴトンスダ
ヤヴグ いて定期的 い弱性診断を行い、 結果 基 いて対策を行うこと
ベスダプメクゾ゛ス
i. い弱性 診断対象 ゚プモケヴクミン等 、診断方法 ポヴダスゥホンゼヴャや
い弱性診断ゼヴャ 使用等 、診断時期等 計画を明確 ること 望 い
ii. 診断 より い弱性 対 る対策を実施 た場合 、対策 実施 いて 録を
残 こと 望 い
iii. ASPンSaaSキヴビス 提供 用いる゚プモケヴクミン いて 、開発段 ら
い弱性診断を行うこと等 より、 入前 あら い弱性対策を実施 て こ
と 望 い
評価 目
a. い弱性診断 実施間隔 キヴト等へ 外部 ら 侵入 関 る簡易自動診断 ポ
ヴダスゥホン等
b. い弱性診断 実施間隔 キヴト等へ 外部 ら 侵入 関 る 細診断 ネッ
ダワヴク関係、外部委 を含
パタヴン 対策参照値
1 1回 1ヶ暻
2 1回 1ヶ暻
3 1回 1ヶ暻
4 1回 1ヶ暻
5 1回 1ヶ暻
6 1回 1ヶ暻
パタヴン 対策参照値
1 1回 6ヶ暻
2 1回 1
3 1回 1
4 1回 6ヶ暻
5 1回 1
c. い弱性診断 実施間隔 ゚プモケヴクミン 弱性 細診断 外部委 を含
パタヴン 対策参照値
1 1回 1
2 1回 1
3 1回 1
4 1回 1
5 1回 1
. . 取 ゚プモケヴクミン、プメッダフォヴム、キヴトンスダヤヴグ 情報セゥポモ
ゾ゛対策取
. . . 基曓
ASPンSaaSキヴビス 提供 用いるプメッダフォヴム、キヴトンスダヤヴグ タヴタンプ
ュエメム、電子ベヴャ、タヴタベヴス等 いてゞ゜ャス等 対 る対策を講 ること
ベスダプメクゾ゛ス
i. 利用者 よるキヴトンスダヤヴグ タヴタへ ゚クセス 対 て、ゞ゜ャス対策
ソフダ よるモ゚ャタ゜ムスゥホン、情報クスゾム 完全スゥホン等 よる情報セゥ
ポモゾ゛対策を行うこと 望 い
ii. ゞ゜ャス対策ソフダ いて 、常 暷新 パタヴンブ゜ャを適用 ること 望
い
iii. ソフダゞゟ゚ 対 る情報セゥポモゾ゛対策と て、ソフダゞゟ゚ 構成管理 ソ
フダゞゟ゚ トヴグミン いこと、意 いソフダゞゟ゚ いこと
確認等 を行うこと 望 い
iv. 提供 るASPンSaaSキヴビス 一環と て、利用者 よるジゞンュヴチを許可 る
ブ゜ャ いて 、ゞ゜ャス等 不 コヴチ 含 れてい いことを十分 確認
て ら提供 ること 望 い
評価 目
a. パタヴンブ゜ャ 更新間隔
. . . 推奨
タヴタベヴス 格納 れたタヴタ 暗号化を行うこと
パタヴン 対策参照値
1 ベンジモモヴス ら24時間 内*
2 ベンジモモヴス ら24時間 内*
3 ベンジモモヴス ら3日 内*
4 ベンジモモヴス ら24時間 内*
5 ベンジモモヴス ら3日 内*
ii. 暗号化ン復号 使用 る鍵 いて 、改変、破壊、紛失 ら保護 るた 厳密
管理 ること 望 い
iii. 使用 る暗号゚ャガモゲム 、電子 府推奨暗号モスダ 掲載 れている゚ャガモ
