高知県公立大学法人規程集

トップページに戻る
最上位 > 第1 法人 > 第8章 情報セキュリティ
高知県公立大学法人情報セキュリティ対策基準
第1章 総則
(趣旨)
第1条 この基準は、高知県公立大学法人情報セキュリティ対策基本規程第13条に基づき、高知県公立大学法人(以下「本法人」という。)における適切な情報セキュリティ対策に関する基準について必要な事項を定めるものとする。
(適用範囲)
第2条 本基準において適用対象とする者は、全ての教職員、並びに本法人の情報システムの利用者及び臨時利用者とする。
(定義)
第3条 運用基本規程に定めるもののほか、この基準において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1)IPv6移行機構
  物理的に一つのネットワークにおいて、IPv4技術を利用する通信とIPv6を利用する通信の両方を共存させることを可能とする技術の総称である。例えば、サーバ装置及び端末並びに通信回線装置が2つの通信プロトコルを併用するデュアルスタック機構や、相互接続性の無い2つのIPv6ネットワークを既設のIPv4ネットワークを使って通信可能とするIPv6-IPv4トンネル機構等がある。
(2)アクセス制御
  情報又は情報システムへのアクセスを許可する主体を制限することをいう。
(3)アプリケーション
  OS上で動作し、サービスの提供、文書作成又は電子メールの送受信等の特定の目的のために動作するソフトウェアをいう。
(4)アプリケーション・コンテンツ
  アプリケーションプログラム、ウェブコンテンツ等の総称をいう。
(5)アルゴリズム
  ある特定の目的を達成するための演算手段をいう。
(6)暗号化
  第三者が容易に復元することができないよう、定められた演算を施しデータを変換することをいう。
(7)暗号モジュール
  暗号化及び電子署名の付与に使用するアルゴリズムを実装したソフトウェアの集合体又はハードウェアをいう。
(8)委託先
  外部委託により本法人の情報処理業務の一部又は全部を実施する者をいう。
(9)ウェブクライアント
  ウェブページを閲覧するためのアプリケーション(いわゆるブラウザ)及び付加的な機能を追加するためのアプリケーションをいう。
(10)S/MIME (SecureMultipurposeInternetMailExtensions)
  公開鍵暗号を用いた、電子メールの暗号化と電子署名付与の一方式をいう。
(11)法人外通信回線
  通信回線のうち、法人内通信回線以外のものをいう。
(12)本法人内通信回線
  本法人が管理するサーバ装置又は端末の間の通信の用に供する通信回線であって、本法人の管理下にないサーバ装置又は端末が論理的に接続されていないものをいう。本法人内通信回線には、専用線やVPN等物理的な回線を本法人が管理していないものも含まれる。
(13)可用性
  情報へのアクセスを認められた者が、必要時に中断することなく、情報にアクセスできる特性をいう。可用性についての格付の区分は、以下のとおりとする。

可用性2情報

本法人で取り扱う情報(書面を除く。)のうち、その滅失、紛失又は当該情報が利用不可能であることにより、本法人の権利が侵害され又は法人業務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報

可用性1情報

可用性2情報以外の情報(書面を除く。)

(14)完全性
  情報が破壊、改ざん又は消去されていない特性をいう。完全性についての格付の区分は、以下のとおりとする。

完全性2情報  

本法人で取り扱う情報(書面を除く。)のうち、改ざん、誤びゅう又は破損により、本法人の権利が侵害され又は法人業務の適切な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報 

完全性1情報

完全性2情報以外の情報(書面を除く。)

(15)基盤となる情報システム
  本法人外の機関等と共通的に使用する情報システム(一つの機関でハードウェアからアプリケーションまで管理・運用している情報システムを除く。)をいう。
(16)基本規程
  本法人が定める「高知県公立大学法人情報セキュリティ対策基本規程」をいう。
(17)ポリシー
  本法人が定める「高知県公立大学法人情報セキュリティ対策基本方針」をいう。
(18)機密性
  情報に関して、アクセスを認められた者だけがこれにアクセスできる特性をいう。機密性についての格付の区分は、以下のとおりとする。

機密性3情報

本法人で取り扱う情報のうち、特段の機密性を要する情報。 

特に重要な取扱いが必要と認められるものは、別途定めることができる。

機密性2情報

本法人で取り扱う情報のうち、特段の機密性は要しないが、漏えいにより、本法人の権利が侵害され又は本法人業務の遂行に支障を及ぼすおそれがある情報

機密性1情報

公表済みの情報、公表しても差し支えない情報等、機密性2情報又は機密性3情報以外の情報

(19)業務継続計画
  本法人において策定される、発災時に非常時優先業務を実施するための計画をいう。広義には、平常時からの取組等や復旧に関する計画も含まれる。
(20)共用識別コード
  複数の主体が共用するために付与された識別コードをいう。原則として、一つの識別コードは一つの主体のみに対して付与されるものであるが、情報システム上の制約や利用状況等に応じて、識別コードを組織で共用する場合もある。このように共用される識別コードを共用識別コードという。
(21)クラウドサービス
  事業者によって定義されたインタフェースを用いた、拡張性、柔軟性を持つ共用可能な物理的又は仮想的なリソースにネットワーク経由でアクセスするモデルを通じて提供され、利用者によって自由にリソースの設定・管理が可能なサービスであって、情報セキュリティに関する十分な条件設定の余地があるものをいう。
(22)クラウドサービス事業者
  クラウドサービスを提供する事業者又はクラウドサービスを用いて情報システムを開発・運用する事業者をいう。
(23)CRYPTREC(CryptographyResearchandEvaluationCommittees)
  電子政府推奨暗号の安全性を評価・監視し、暗号モジュール評価基準等の策定を検討するプロジェクトである。
(24)権限管理
  主体認証に係る情報(識別コード及び主体認証情報を含む。)及びアクセス制御における許可情報を管理することをいう。
(25)サービス不能攻撃
  悪意ある第三者等が、ソフトウェアの脆弱性を悪用しサーバ装置又は通信回線装置のソフトウェアを動作不能にさせることや、サーバ装置、通信回線装置又は通信回線の容量を上回る大量のアクセスを行い通常の利用者のサービス利用を妨害する攻撃をいう。
(26)最小限の特権機能
  管理者権限を実行できる範囲を必要最小限に制限する機能をいう。
(27)CYMAT(サイマット)
  サイバー攻撃等により機関等の情報システム障害が発生した場合又はその発生のおそれがある場合であって、政府として一体となった対応が必要となる情報セキュリティに係る事象に対して機動的な支援を行うため、内閣官房内閣サイバーセキュリティセンターに設置される体制をいう。CyberIncidentMobileAssistanceTeam(情報セキュリティ緊急支援チーム)の略。
(28)識別
  情報システムにアクセスする主体を、当該情報システムにおいて特定することをいう。
(29)識別コード
  主体を識別するために、情報システムが認識するコード(符号)をいう。代表的な識別コードとして、ユーザIDが挙げられる。
(30)主体
  情報システムにアクセスする者又は他の情報システムにアクセスするサーバ装置、端末等をいう。
(31)主体認証
  識別コードを提示した主体が、その識別コードを付与された主体、すなわち正当な主体であるか否かを検証することをいう。識別コードとともに正しい方法で主体認証情報が提示された場合に主体認証ができたものとして、情報システムはそれらを提示した主体を正当な主体として認識する。
(32)主体認証情報
  主体認証をするために、主体が情報システムに提示する情報をいう。代表的な主体認証情報として、パスワード等がある。
(33)主体認証情報格納装置
  主体認証情報を格納した装置であり、正当な主体に所有又は保持させる装置をいう。所有による主体認証では、これを所有していることで、情報システムはその主体を正当な主体として認識する。代表的な主体認証情報格納装置として、ICカード等がある。
(34)情報の抹消
  電磁的記録媒体に記録された全ての情報を利用不能かつ復元が困難な状態にすることをいう。情報の抹消には、情報自体を消去することのほか、情報を記録している記録媒体を物理的に破壊すること等も含まれる。削除の取消しや復元ツールで復元できる状態は、復元が困難な状態とはいえず、情報の抹消には該当しない。
(35)セキュリティパッチ
  発見された情報セキュリティ上の問題を解決するために提供される修正用のファイルをいう。提供元によって、更新プログラム、パッチ、ホットフィクス、サービスパック等名称が異なる。
(36)ソフトウェア
  サーバ装置、端末、通信回線装置等を動作させる手順及び命令を、当該サーバ装置等が理解できる形式で記述したものをいう。OSやOS上で動作するアプリケーションを含む広義の意味である。
(37)耐タンパ性
  暗号処理や署名処理を行うソフトウェアやハードウェアに対する外部からの解読攻撃に対する耐性をいう。
(38)DNSサーバ
  名前解決のサービスを提供するアプリケーション及びそのアプリケーションを動作させるサーバ装置をいう。DNSサーバは、その機能によって、自らが管理するドメイン名等についての名前解決を提供する「コンテンツサーバ」とクライアントからの要求に応じて名前解決を代行する「キャッシュサーバ」の2種類に分けることができる。
(39)電子署名
  情報の正当性を保証するための電子的な署名情報をいう。
(40)電子メールクライアント
  電子メールサーバにアクセスし、電子メールの送受信を行うアプリケーションをいう。
(41)電子メールサーバ
  電子メールの送受信、振り分け、配送等を行うアプリケーション及び当該アプリケーションを動作させるサーバ装置をいう。
(42)特定用途機器
  テレビ会議システム、IP電話システム、ネットワークカメラシステム、入退管理システム、施設管理システム、環境モニタリングシステム等の特定の用途に使用される情報システム特有の構成要素であって、通信回線に接続されている又は内蔵電磁的記録媒体を備えているものをいう。
(43)ドメインネームシステム(DNS)
  クライアント等からの問合せを受けて、ドメイン名やホスト名とIPアドレスとの対応関係について回答を行うシステムである。
(44)ドメイン名
  国、組織、サービス等の単位で割り当てられたネットワーク上の名前であり、英数字及び一部の記号を用いて表したものをいう。例えば、www.example.ac.jpというウェブサイトの場合は、example.ac.jpの部分がこれに該当する。
(45)取扱制限
  情報の取扱いに関する制限であって、複製禁止、持出禁止、配付禁止、暗号化必須、読後廃棄その他の情報の適正な取扱いを利用者等に確実に行わせるための手段をいう。
(46)名前解決
  ドメイン名やホスト名とIPアドレスを変換することをいう。
(47)VPN(VirtualPrivateNetwork)
  暗号技術等を利用し、インターネット等の公衆回線を仮想的な専用回線として利用するための技術をいう。
(48)複合機
  プリンタ、ファクシミリ、イメージスキャナ、コピー機等の機能が一つにまとめられている機器をいう。
(49)不正プログラム
  コンピュータウイルス、ワーム(他のプログラムに寄生せず単体で自己増殖するプログラム)、スパイウェア(プログラムの使用者の意図に反して様々な情報を収集するプログラム)等の、情報システムを利用する者が意図しない結果を当該情報システムにもたらすプログラムの総称をいう。
(50)不正プログラム定義ファイル
  不正プログラム対策ソフトウェアが不正プログラムを判別するために利用するデータをいう。
(51)踏み台
  悪意ある第三者等によって不正アクセスや迷惑メール配信の中継地点に利用されている情報システムのことをいう。
(52)MACアドレス(MediaAccessControladdress)
  機器等が備える有線LANや無線LANのネットワークインタフェースに割り当てられる固有の認識番号である。識別番号は、各ハードウェアベンダを示す番号と、ハードウェアベンダが独自に割り当てる番号の組合せによって表される。
(53)抹消
  本条(34)号「情報の抹消」参照。
(54)無線LAN
  IEEE802.11a、802.11b、802.11g、802.11n、802.11ac、802.11ad等の規格により、無線通信で情報を送受信する通信回線をいう。
(55)明示等
  情報を取り扱う全ての者が当該情報の格付について共通の認識となるようにする措置をいう。明示等には、情報ごとに格付を記載することによる明示のほか、当該情報の格付に係る認識が共通となるその他の措置も含まれる。その他の措置の例としては、特定の情報システムに記録される情報について、その格付を情報システムの規程等に明記するとともに、当該情報システムを利用する全ての者に周知すること等が挙げられる。
(56)約款による外部サービス
  民間事業者等の本法人外の組織が約款に基づきインターネット上で提供する情報処理サービスであって、当該サービスを提供するサーバ装置において利用者が情報の作成、保存、送信等を行うものをいう。ただし、利用者が必要とする情報セキュリティに関する十分な条件設定の余地があるものを除く。
(57)要安定情報
  可用性2情報をいう。
(58)要管理対策区域
  機関等の管理下にある区域(機関等が外部の組織から借用している施設等における区域を含む。)であって、取り扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。
(59)要機密情報
  機密性2情報及び機密性3情報をいう。
(60)要保護情報
  要機密情報、要保全情報及び要安定情報に一つでも該当する情報をいう。
(61)要保全情報
  完全性2情報をいう。
(62)リスク
  目的に対する不確かさの影響をいう。ある事象(周辺状況の変化を含む。)の結果とその発生の起こりやすさとの組合せとして表現されることが多い。
(63)利用者等
  利用者及び臨時利用者のほか、本法人情報システムを取り扱う者をいう。
(64)ルートヒントファイル
  最初に名前解決を問い合わせるDNSコンテンツサーバ(以下「ルートDNS」という。)の情報をいう。ルートヒントファイルには、ルートDNSのサーバ名とIPアドレスの組が記載されており、ルートDNSのIPアドレスが変更された場合はルートヒントファイルも変更される。ルートヒントファイルはInterNIC(InternetNetworkInformationCenter)のサイトから入手可能である。
(65)例外措置
  利用者等がポリシー並びにそれに基づく規程及び手順等を遵守することが困難な状況で、教育研究事務の適正な遂行を継続するため、遵守事項とは異なる代替の方法を採用し、又は遵守事項を実施しないことについて合理的理由がある場合に、そのことについて申請し許可を得た上で適用する行為をいう。
(66)機器等
  情報システムの構成要素(サーバ装置、端末、通信回線装置、複合機、特定用途機器等、ソフトウェア等)、外部電磁的記録媒体等の総称をいう。
(67)実施手順
  対策基準に定められた対策内容を個別の情報システムや業務において実施するため、あらかじめ定める必要のある具体的な手順をいう。
(68)情報セキュリティ対策推進体制
  本法人の情報セキュリティ対策の推進に係る事務を遂行するため、本法人内に設置された体制をいう。
(69)要管理対策区域
  本法人の管理下にある区域(本法人外組織から借用している施設等における区域を含む。)であって、取り扱う情報を保護するために、施設及び執務環境に係る対策が必要な区域をいう。
第2章 導入・計画
第1節 資産管理
(情報システム台帳の整備)
第4条 CISOは、全ての情報システムに対して、当該情報システムのセキュリティ要件に係る事項について、情報システム台帳に整備すること。
2 CISOは、以下の内容を含む台帳を整備すること。 
(1)情報システム名
(2)管理する部局
(3)当該部局技術責任者の氏名及び連絡先
(4)システム構成
(5)接続する本法人外通信回線の種別
(6)取り扱う情報の格付け及び取扱制限に関する事項
(7)当該情報システムの設計・開発、運用・保守に関する事項
(8)当該情報システムの利用目的
(9)当該情報システムの分類基準に基づいて実施した情報システムの分類結果
(10)連携する情報システム及び連携内容 
3 CISOは、民間事業者等が提供するクラウドサービス等を利用して情報システムを構築する場合は、第2項に加え、以下を全て含む内容についても台帳として整備すること。
(1)クラウドサービス等の名称(クラウドサービスの場合、必要に応じて機能名までを含む)
(2)クラウドサービス等の提供者の名称
(3)利用期間
(4)クラウドサービス等の概要
(5)ドメイン名(インターネット上で提供される情報処理サービスを利用する場合)
(6)取り扱う情報の格付け及び取扱制限に関する事項
(7)クラウドサービス等で取り扱う情報が保存される国・地域
第2節 情報セキュリティ関係規程の整備 
(運用規程及び実施手順の策定)
第5条 CISOは、本法人における情報セキュリティ対策に関する実施手順を整備すること。
2 CISOは、情報セキュリティ対策における雇用の開始、終了及び人事異動時等(入学、卒業を含む。)に関する管理の規定を整備すること。
(対策推進計画の策定)
第6条 CISOは、高知県公立大学法人情報戦略統括会議規程第1条で定める高知県公立大学法人情報戦略統括会議(以下本基準において「情報戦略統括会議」という。)における審議を経て、対策推進計画を定めること。
2 CISOは、対策推進計画に、本法人の業務、取り扱う情報及び保有する情報システムに関するリスク評価の結果を踏まえた全体方針並びに以下に掲げる取組の方針・重点及びその実施時期を全て含むよう定めること。
(1)情報セキュリティに関する教育
(2)情報セキュリティ対策の自己点検
(3)情報セキュリティ監査及び過年度の監査結果を踏まえた取組
(4)情報システムに関する技術的な対策を推進するための取組
(5)前各号に掲げるもののほか、情報セキュリティ対策に関する重要な取組
第3章 運用
第1節 情報セキュリティ関係規程の運用
(情報セキュリティ対策に関する実施手順の整備・運用)
第7条 情報セキュリティ対策推進体制は、CISOが規定した当該体制の役割に応じて必要な事務を遂行すること。
2 部門実施責任者は、利用者等により情報セキュリティ関係規程に係る課題及び問題点の報告を受けた場合は、部門統括責任者へ報告すること。報告を受けた部門統括責任者は、法人全体で対処すべき内容と判断できる場合、ただちにCISOへ報告すること。
3 部門統括責任者は、情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じてCISOにその内容を報告すること。
4 CISOは、情報セキュリティ対策を適切に推進するため、文部科学省及び関係機関と密接な連携を要する事項や専門的知見を要する事項について、必要と判断される場合に助言を求めること。
(違反への対処)
第8条 利用者等は、情報セキュリティ関係規程への重大な違反を知った場合は、部門実施責任者にその旨を報告すること。
2 部門実施責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には、違反者及び必要な者に情報セキュリティの維持に必要な措置を講じさせるとともに、部門実施責任者に報告すること。報告を受けた部門実施責任者は法人全体で対処すべき内容と判断できる場合、部門統括責任者を通じてただちにCISOへ報告すること。
(違反に対する措置)
第9条 部門実施責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には、速やかに調査を行い、事実を確認すること。事実の確認にあたっては、可能な限り当該行為を行った者の意見を聴取すること。
2 部門実施責任者は、調査によって違反行為が判明したときには、次号に掲げる措置を講ずることができる。
(1)当該行為者に対する当該行為の中止命令
(2)当該行為者に対する当該行為に係る情報発信の遮断命令
(3)当該行為者に対する当該行為者のアカウント停止命令、または削除命令
(4)部門情報セキュリティ委員会への報告
(5)その他法令に基づく措置
3 部門実施責任者は、第2項の措置を講じた場合には、部門統括責任者を通じてただちにCISOへ報告すること。
第2節 例外措置
(例外措置手続の整備)
第10条 CISOは、例外措置の適用の申請を審査する者(以下本基準において「許可権限者」という。)及び審査手続を定めること。
2 CISOは、例外措置について以下を含む手順を定めること。
(1)例外措置の許可権限者
(2)事前申請の原則その他の申請方法
(3)審査項目その他の審査方法
ア 申請者の情報(氏名、所属、連絡先)
イ 例外措置の適用を申請する情報セキュリティ関係規程の該当箇所(規程名と条項等)
ウ 例外措置の適用を申請する期間
エ 例外措置の適用を申請する措置内容(講ずる代替手段等)
オ 例外措置により生じる情報セキュリティ上の影響と対処方法
カ 例外措置の適用を終了した旨の報告方法
キ 例外措置の適用を申請する理由
3 部門実施責任者は、例外措置の適用審査記録の台帳を整備し、許可権限者に対して、定期的に申請状況の報告を求めること。
4 許可権限者は、例外措置の適用審査記録に以下の内容を記載し、適用審査記録の台帳として保管するとともに、部門実施責任者へ定期的に報告すること。
(1)審査した者の情報(氏名、役割名、所属、連絡先)
(2)申請内容
ア 申請者の情報(氏名、所属、連絡先)
イ 例外措置の適用を申請する情報セキュリティ関係規程の該当箇所(規程名と条項等)
ウ 例外措置の適用を申請する期間
エ 例外措置の適用を申請する措置内容(講ずる代替手段等)
オ 例外措置の適用を終了した旨の報告方法
カ 例外措置の適用を申請する理由
(3)審査結果の内容
ア 許可又は不許可の別
イ 許可又は不許可の理由
ウ 例外措置の適用を許可した情報セキュリティ関係規程の該当箇所(規程名と条項等)
エ 例外措置の適用を許可した期間
オ 許可した措置内容(講ずるべき代替手段等)
カ 例外措置を終了した旨の報告方法
(例外措置の運用)
第11条 利用者等は、定められた審査手続に従い、許可権限者に規定の例外措置の適用を申請すること。ただし、業務の遂行に緊急を要し、当該規定の趣旨を充分尊重した扱いを取ることができる場合であって、情報セキュリティ関係規程の規定とは異なる代替の方法を直ちに採用すること又は規定されている方法を実施しないことが不可避のときは、事後速やかに届け出ること。
2 許可権限者は、利用者等による例外措置の適用の申請を、定められた審査手続に従って審査し、許可の可否を決定すること。
3 許可権限者は、例外措置の申請状況を台帳に記録し、部門実施責任者に報告すること。
4 部門実施責任者は、例外措置の申請状況を踏まえた情報セキュリティ関係規程の追加又は見直しの検討を行い、部門統括責任者を通じて、CISOに報告をすること。
第3節 教育
(教育体制等の整備)
第12条 部門実施責任者は、情報セキュリティ対策に係る教育について、対策基本計画に基づき教育実施計画を策定し、その実施体制を整備すること。
2 部門実施責任者は、利用者等の役割に応じて教育すべき内容を検討し、教育のための資料を整備すること。
3 部門実施責任者は、利用者等が毎年度最低1回は教育を受講できるように、教育実施計画を立案するとともに、その実施体制を整備すること。
4 部門実施責任者は、利用者等の入学、着任又は異動後に、3か月以内に受講できるように、その実施体制を整備すること。
5 部門実施責任者は、情報セキュリティの状況の変化に応じ利用者等に対して新たに教育すべき事項が明らかになった場合には、教育実施計画を見直すこと。
(教育の実施)
第13条 管理運営部局は、利用者等に対して、情報セキュリティ対策の教育を適切に受講させること。
2 利用者等は、教育実施計画に従って、適切な時期に教育を受講すること。
3 管理運営部局は、CSIRTに属する職員に教育を適切に受講させること。
4 管理運営部局は、教育の実施状況を記録し、部門実施責任者に報告すること。
5 部門実施責任者は、報告された教育の実施状況を分析、評価し、部門総括責任者に情報セキュリティ対策に関する教育の実施状況について報告すること。
第4節 情報セキュリティインシデントへの対処
(情報セキュリティインシデントに備えた事前準備)
第14条 CISOは、情報セキュリティインシデントの可能性を認知した際の報告窓口を含む本法人関係者への報告手順を整備し、報告が必要な具体例を含め、利用者等に周知すること。
2 CISOは、情報セキュリティインシデントを認知した際の本法人外との情報共有を含む対処手順を整備すること。
3 CISOは、情報セキュリティインシデントの可能性に備え、教育研究事務の遂行のため特に重要と認めた情報システムについて、緊急連絡先、連絡手段、連絡内容を含む緊急連絡網を整備すること。
4 CISOは、情報セキュリティインシデントへの対処の訓練の必要性を検討し、教育研究事務の遂行のため特に重要と認めた情報システムについて、その訓練の内容及び体制を整備すること。
5 CISOは、情報セキュリティインシデントについて本法人外の者から報告を受けるための窓口を整備し、その窓口への連絡手段を本法人外の者に明示すること。
6 CISOは、対処手順が適切に機能することを訓練等により確認すること。
(情報セキュリティインシデントへの対処)
第15条 利用者等は、情報セキュリティインシデントの可能性を認知した場合には、本法人の報告窓口に報告し、指示に従うこと。
2 CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行うこと。
3 CSIRT責任者は、情報セキュリティインシデントであると評価した場合、CISOに速やかに報告すること。
4 CSIRTは、情報セキュリティインシデントに関係する部門実施責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示又は勧告を行うこと。
5 部門実施責任者は、所管する情報システムについて情報セキュリティインシデントを認知した場合には、本法人で定められた対処手順又はCSIRTの指示若しくは勧告に従って、適切に対処すること。
6 部局技術責任者は、所管する情報システムについて情報セキュリティインシデントを認知した場合には、本法人で定められた対処手順又はCSIRTの指示若しくは勧告に従って、適切に対処すること。
7 CSIRTは、認知した情報セキュリティインシデントがサイバー攻撃又はそのおそれのあるものである場合には、警察への通報・連絡等を行うこと。
8 CSIRTは、情報セキュリティインシデントに関する対処状況を把握し、必要に応じて対処全般に関する指示、勧告又は助言を行うこと。
9 CSIRTは、情報セキュリティインシデントに関する対処の内容を記録すること。
10 CSIRTは、情報セキュリティインシデントに関して、本法人を含む関係機関と情報共有を行うこと。
(情報セキュリティインシデントに係る情報共有)
第16条 CSIRTは、情報セキュリティインシデントではないと評価した場合であっても、注意喚起が必要と考えられるものについては、関係する者に情報共有を行うこと。
2 情報セキュリティインシデントにより、個人情報・特定個人情報の漏えい等が発生した場合、必要に応じて個人情報保護委員会へ報告を行うこと。
(情報セキュリティインシデントの再発防止・教訓の共有)
第17条 部門実施責任者は、CSIRTから応急措置の実施及び復旧に係る指示又は勧告を受けた場合は、当該指示又は勧告を踏まえ、情報セキュリティインシデントの原因を調査するとともに再発防止策を検討し、それを報告書として部門統括責任者を通じてCISOに報告すること。
2 CISOは、部門統括責任者から情報セキュリティインシデントについての報告を受けた場合には、その内容を確認し、再発防止策を実施するために必要な措置を指示すること。
3 CSIRT責任者は、情報セキュリティインシデント対処の結果から得られた教訓を、CISO及び関係する部門統括責任者等に共有すること。
第4章 点検・監査
第1節 情報セキュリティ対策の自己点検・監査
(自己点検計画の策定・手順の準備)
第18条 CISOは、対策基本計画に基づき年度自己点検計画を策定すること。
2 部門実施責任者は、利用者等ごとの自己点検票及び自己点検の実施手順を整備すること。
3 CISOは、情報セキュリティの状況の変化に応じ、利用者等に対して新たに点検すべき事項が明らかになった場合は、年度自己点検計画を見直すこと。
(自己点検の実施)
第19条 部門実施責任者は、年度自己点検計画に基づき、利用者等に自己点検の実施を指示すること。
2 利用者等は、部門実施責任者から指示された自己点検票及び自己点検の実施手順を用いて自己点検を実施すること。
(自己点検結果の評価・改善)
第20条 部門実施責任者は、自己点検結果について、自らが担当する組織のまとまり特有の課題の有無を確認するなどの観点から自己点検結果を分析、評価すること。また、評価結果について、部門統括責任者を通じてCISOに報告すること。
2 CISOは、自己点検結果を全体として評価し、自己点検の結果により明らかになった問題点について、部門統括責任者に改善を指示し、改善結果の報告を受けること。
(監査)
第21条 部門実施責任者その他の関係者は、情報セキュリティ監査責任者の行う監査の適正かつ円滑な実施に協力するものとする。
第5章 見直し
第1節 情報セキュリティ対策の見直し
(情報セキュリティ対策の見直し)
第22条 CISOは、リスク評価に変化が生じた場合には、情報戦略統括会議による審議を経て、対策基準や対策推進計画の必要な見直しを行うこと。
(情報セキュリティ関係規程の見直し)
第23条 CISOは、情報セキュリティの運用及び自己点検・監査等の結果等を総合的に評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、情報戦略統括会議の審議を経て、ポリシー及びそれに基づく規程、情報セキュリティ対策に関する実施手順等について必要な見直しを行うこと。
(対策基本計画の見直し)
第24条 CISOは、情報セキュリティ対策の運用及び点検・監査等を総合的に評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、情報戦略統括会議の審議を経て、対策基本計画について定期的な見直しを行うこと。
第6章 情報の取扱い
第1節 情報の取扱い
(情報の取扱いに係る規定の整備)
第25条 CISOは、以下を含む情報の取扱いに関する規定を整備し、教職員等へ周知すること。
(1)情報の格付け及び取扱制限についての定義
(2)情報の格付け及び取扱制限の明示等についての手続
(3)情報の格付け及び取扱制限の継承、見直しに関する手続
(情報の取扱いに係る手順の整備)
第26条 CISOは、情報の取扱いに関する規定として、以下を例とする手順を整備すること。
(1)情報のライフサイクル全般にわたり必要な手順(教育研究事務の遂行以外の目的で情報を利用等しないこと等)
(2)情報の入手・作成時の手順
(3)情報の利用・保存時の手順
(4)情報の提供・公表時の手順
(5)情報の運搬・送信時の手順
(6)情報の消去時の手順
(7)情報のバックアップ時の手順
(格付けと取扱制限の明示に係る規定の整備)
第27条 CISOは、情報の格付け及び取扱制限の明示の方法について、以下を例に、規定を整備すること。
(1)電磁的記録として取り扱われる情報に明示する場合
ア 電磁的記録の本体である文書ごとにヘッダ部分又は情報の内容へ直接記載
イ 電磁的ファイル等の取扱単位ごとにファイル名自体へ記載
ウ フォルダ単位等で取り扱う情報は、フォルダ名に記載
エ 電子メールで取り扱う情報は、メール本文又はメール件名に記載
(2)外部電磁的記録媒体に保存して取り扱う情報に明示する場合
ア 保存する電磁的ファイル又は文書等の単位ごとに記載
イ 外部電磁的記録媒体本体に記載
(3)書面に印刷されることが想定される場合
ア 書面のヘッダ部分等に記載
イ 冊子等の単位で取り扱う場合は、冊子の表紙、裏表紙等に記載
(4)既に書面として存在している情報に対して格付けや取扱制限を明示する場合
ア 手書きによる記入
イ スタンプ等による押印
2 CISOは、情報の格付け及び取扱制限の明示を省略する必要がある場合には、これらに係る認識が共通となるその他の措置の実施条件や実施方法について、規定を整備すること。
(格付けと取扱制限の継承、見直しに係る規定の整備)
第28条 CISOは、情報の加工時、複製時等における格付け及び取扱制限の継承、見直しについて、以下を例に、規定を整備すること。
(1)情報を作成する際に、参照した情報又は入手した情報の機密性に係る格付け及び取扱制限を継承する。
(2)既存の情報に、より機密性の高い情報を追加するときは、格付け及び取扱制限を見直す。
(3)機密性の高い情報から機密に該当する部分を削除したときは、残りの情報の機密性に応じて格付け及び取扱制限を見直す。
(4)情報を複製する場合には、元となる情報の機密性に係る格付け及び取扱制限を継承する。
(5)完全性及び可用性については、作成時又は複製時に適切な格付けを決定する。
(6)他者が決定した情報の格付け及び取扱制限を見直す必要がある場合には、その決定者(決定について引き継いだ者を含む。)又はその上司(以下この条において「決定者等」という。)に確認を求める。
(情報の目的外での利用等の制限)
第29条 教職員等は、自らが担当している教育研究事務の遂行以外の目的で、情報を利用等しないこと。
(情報の格付け及び取扱制限の決定・明示等)
第30条 教職員等は、情報の作成時及び本法人外の者が作成した情報を入手したことに伴う管理の開始時に、格付け及び取扱制限の定義に基づき格付け及び取扱制限を決定し、明示等すること。
2 教職員等は、情報を作成又は複製する際に、参照した情報又は入手した情報に既に格付け及び取扱制限の決定がなされている場合には、元となる情報の機密性に係る格付け及び取扱制限を継承すること。
3 教職員等は、修正、追加、削除その他の理由により、情報の格付け及び取扱制限を見直す必要があると考える場合には、情報の格付け及び取扱制限の決定者(決定を引き継いだ者を含む。)又は決定者の上司(以下この条において決定者等という。)に確認し、その結果に基づき見直すこと。
(情報の利用・保存)
第31条 教職員等は、利用する情報に明示等された格付及び取扱制限に従い、当該情報を適切に取り扱うこと。
2 教職員等は、情報の格付及び取扱制限に応じて、情報を取り扱う際は、以下を全て含む対策を講ずること。
(1)要保護情報を放置しない。
(2)要機密情報を必要以上に複製しない。
(3)電磁的記録媒体に要機密情報を保存する場合には、主体認証情報を用いて保護するか又は情報を暗号化したり、施錠のできる書庫・保管庫に媒体を保存したりするなどの措置を講ずる。
(4)電磁的記録媒体に要保全情報を保存する場合には、電子署名の付与を行うなど、改ざん防止のための措置を講ずる。
(5)情報の保存方法を変更する場合には、格付、取扱制限及び記録媒体の特性に応じて必要な措置を講ずる。
3 教職員等は、入手した情報の格付及び取扱制限が不明な場合には、情報の作成元又は入手元への確認を行う。
4 教職員等は、機密性3情報について要管理対策区域外で情報処理を行う場合は、課室情報セキュリティ責任者の許可を得ること。
5 教職員等は、要保護情報について要管理対策区域外で情報処理を行う場合は、必要な安全管理措置を講ずること。
6 教職員等は、保存する情報にアクセス制限を設定するなど、情報の格付及び取扱制限に従って情報を適切に管理すること。
(1)機器等に保存する場合は、インターネットや、インターネットに接点を有する情報システムに接続しない端末、サーバ装置等の機器等を使用すること。
(2)当該情報に対し、暗号化による保護を行うこと。
(3)当該情報を保存した機器等について、盗難及び不正な持ち出し等の物理的な脅威から保護するための対策を講ずること。
7 利用者等は、USBメモリ等の外部電磁的記録媒体を用いて情報を取り扱う際、定められた利用手順に従うこと。
(情報の提供・公表)
第32条 教職員等は、情報を公表する場合には、当該情報が機密性1情報に格付けされるものであることを確認すること。
2 教職員等は、閲覧制限の範囲外の者に情報を提供する必要が生じた場合は、当該格付け及び取扱制限の決定者等に相談し、その決定に従うこと。また、提供先において、当該情報に付された格付け及び取扱制限に応じて適切に取り扱われるよう、取扱い上の留意事項を確実に伝達するなどの措置を講ずること。
3 教職員等は、機密性3情報を閲覧制限の範囲外の者に提供する場合には、課室情報セキュリティ責任者の許可を得ること。
4 教職員等は、電磁的記録を提供又は公表する場合には、当該電磁的記録等からの不用意な情報漏えいを防止するための措置を講ずること。
5 教職員等は、電磁的記録媒体を他の者へ提供する場合は、当該電磁的記録媒体に保存された不要な要機密情報を抹消すること。
(情報の運搬・送信)
第33条 教職員等は、要保護情報が記録又は記載された記録媒体を要管理対策区域外に持ち出す場合には、安全確保のための適切な措置を講ずること。
2 教職員等は、要保護情報である電磁的記録を電子メール等で送信する場合には、安全確保に留意して送信の手段を決定し、情報の格付け及び取扱制限に応じて、安全確保のための適切な措置を講ずること。
(情報の運搬を第三者に依頼する場合の対策)
第34条 教職員等は、要保護情報が記録又は記載された記録媒体の要管理対策区域外への運搬を第三者へ依頼する場合は、セキュアな運送サービスを提供する運送事業者により運搬すること。
(情報漏えいの防止、情報の改ざんの防止)
第35条 教職員等は、要機密情報である電磁的記録を要管理対策区域外に運搬又は本法人外通信回線を使用して送信する場合には、情報漏えいを防止するため、以下を例とする対策を講ずること。
(1)運搬又は送信する情報を暗号化する。
(2)運搬又は送信を複数の情報に分割し、それぞれ異なる経路及び手段を用いて運搬または送信する。
(3)主体認証機能や暗号化機能を備えるセキュアな外部電磁的記録媒体が存在する場合、これに備わる機能を利用する。
(情報の送信に係る対策)
第36条 教職員等は、要保護情報である電磁的記録を送信する場合は、安全確保に留意して、以下を例に当該情報の送信の手段を決定すること。
(1)本法人管理の通信回線を用いて送信する。
(2)信頼できる通信回線を使用して送信する。
(3)VPNを用いて送信する。
(4)S/MIME等の暗号化された電子メールを使用して送信する。
(5)本法人独自で運用するなどセキュリティが十分確保されたウェブメールサービス又はオンラインストレージ環境を利用する。
(情報の消去)
第37条 教職員等は、電磁的記録媒体に保存された情報が職務上不要となった場合は、速やかに情報を消去すること。
2 教職員等は、電磁的記録媒体を廃棄する場合には、当該記録媒体内に情報が残留した状態とならないよう、全ての情報を復元できないように抹消すること。
3 教職員等は、要機密情報である書面を廃棄する場合には、復元が困難な状態にすること。
(情報のバックアップ)
第38条 教職員等は、情報の格付けに応じて、適切な方法で情報のバックアップを実施すること。
2 教職員等は、取得した情報のバックアップについて、格付け及び取扱制限に従って保存場所、保存方法、保存期間等を定め、適切に管理すること。
3 教職員等は、保存期間を過ぎた情報のバックアップについては、前条の規定に従い、適切な方法で消去、抹消又は廃棄すること。
4 教職員等は、要保全情報又は要安定情報である電磁的記録又は重要な設計書について、バックアップを取得すること。
5 教職員等は、要保全情報、要安定情報である電磁的記録のバックアップ又は重要な設計書のバックアップの保管について、災害等により生ずる業務上の支障を考慮し、適切な保管場所を選定すること。
第7章 情報を取り扱う区域の管理
第1節 情報を取り扱う区域の管理
(要管理対策区域における対策の基準の決定)
第39条 CISOは、要管理対策区域の範囲を定めること。
2 CISOは、要管理対策区域の特性に応じて、以下の観点を含む対策の基準を定めること。
(1)許可されていない者が容易に立ち入ることができないようにするための、施錠可能な扉、間仕切り等の施設の整備、設備の設置等の物理的な対策。
(2)許可されていない者の立入りを制限するため及び立入りを許可された者による立入り時の不正な行為を防止するための入退管理対策。
(要管理対策区域における対策)
第40条 CISOは、以下を例とする、要管理対策区域の安全性を確保するための段階的な対策の水準(以下「クラス」という。)を定めること。
 下表のとおり、3段階のクラスを定める。

クラス

説明

クラス3

一部の限られた者以外の者の立入りを制限する必要があるなど、クラス2より強固な情報セキュリティを確保するための厳重な対策を実施する必要がある区域

クラス2

教職員等以外の者の立入りを制限する必要があるなど、情報セキュリティを確保するための対策を実施する必要がある区域

クラス1

クラス3、クラス2以外の要管理対策区域

 ※便宜上、要管理対策区域外の区域はクラス0と呼び、クラス0<クラス1<クラス2<クラス3の順位を設ける。すなわち、クラス0が最も下位のクラス、クラス3が最も上位のクラスとなる。
2 CISOは、クラス1の区域について、以下を含む施設の整備、設備の設置等の物理的な対策及び入退管理対策の基準を定めること。
(1)不特定の者が容易に立ち入らないように、壁、施錠可能な扉、パーティション等で囲むことで、下位のクラスの区域と明確に区分すること。
(2)不特定の者が容易に立ち入らないように、立ち入る者の身元、訪問目的等の確認を行うための措置を講ずること。また、出入口が無人になるなどにより立入りの確認ができない時間帯がある場合には、確認ができない時間帯に施錠するための措置を講ずること。
(3)クラス2以上の区域に不正に立ち入った者を容易に判別することができるように、以下を含む措置を講ずること。
ア 教職員等は、身分証明書等を着用、明示する。クラス2及びクラス3の区域においても同様とする。
イ 一時的に立ち入った者にゲストカード等を貸与し、着用、明示させる。クラス2及びクラス3の区域においても同様とする。この際、一時的に立ち入った者と継続的に立入りを許可された者に貸与するゲストカード等やそれと併せて貸与するストラップ等の色分けを行う。また、悪用防止のために一時的に立ち入った者に貸与したものは、退出時に回収する。
3 CISOは、クラス2の区域について、以下を含む施設の整備、設備の設置等の物理的な対策及び入退管理対策の基準を定めること。
(1)クラス2の区域への立入りを許可されていない者が容易に立ち入らないように、壁、施錠可能な扉、パーティション等で囲むことで、下位のクラスの区域と明確に区分すること。ただし、窓口のある教室、研究室、事務室等の明確に区分できない区域については、不特定の者が出入りできる時間帯は教職員等が窓口を常に目視できるような措置を講ずること。
(2)クラス2の区域への立入りを許可されていない者が容易に立ち入らないように、施錠可能な扉を設置し全員不在時に施錠すること。
(3)クラス2の区域へ許可されていない者が容易に立ち入らないように、立ち入る者が許可された者であることの確認を行うための措置を講ずること。
4 CISOは、クラス3の区域について、以下を含む施設の整備、設備の設置等の物理的な対策及び入退管理対策の基準を定めること。
(1)クラス3の区域への立入りを許可されていない者の立入り等を防止するために、壁、常時施錠された扉、固定式のパーティション等強固な境界で下位のクラスの区域と明確に区分すること。
(2)クラス3の区域へ許可されていない者が立ち入らないように、立ち入る者が許可された者であることの確認を行うための措置を講ずること。
(3)クラス3の区域への立入りを許可されていない者に、不必要に情報を与えないために、区域の外側から内部の重要な情報や情報システムが見えないようにすること。
(4)一時的に立ち入った者が不正な行為を行うことを防止するために、一時的に立ち入った者を放置しないなどの措置を講ずること。業者が作業を行う場合は立会いや監視カメラ等により監視するための措置を講ずること。
5 CISOは、以下を例とする、区域へのクラスの割当ての基準を定めること。
(1)クラスの割当ての基準を以下のように定める。
(2)サーバ室や日常的に機密性が高い情報を取り扱う研究室、事務室には、一部の限られた者以外の者が立ち入り盗難又は破壊をすること、情報システムを直接操作して情報窃取すること等を防止するために、クラス3を割り当てる。
(3)一般的な研究室、事務室や会議室には、教職員等及び関係の学生等以外の者が立ち入り、情報システムを盗難又は破壊すること、情報システムを直接操作して情報窃取すること等を防止するために、クラス2を割り当てる。
(区域ごとの対策の決定)
第41条 部門実施責任者は、CISOが定めた対策の基準を踏まえ、施設及び環境に係る対策を行う単位ごとの区域を定めること。
2 区域情報セキュリティ責任者は、管理する区域について、CISOが定めた対策の基準と、周辺環境や当該区域で行う教育研究事務の内容、取り扱う情報等を勘案し、当該区域において実施する対策を決定すること。
(区域ごとの対策)
第42条 区域情報セキュリティ責任者は、管理する区域において、クラスの割当ての基準を参考にして当該区域に割り当てるクラスを決定するとともに、決定したクラスに対して定められた対策の基準と、周辺環境や当該区域で行う教育研究事務の内容、取り扱う情報等を勘案し、当該区域において実施する対策を決定すること。この際、決定したクラスで求められる対策のみでは安全性が確保できない場合は、当該区域で実施する個別の対策を含め決定すること。
(要管理対策区域における対策の実施)
第43条 区域情報セキュリティ責任者は、管理する区域に対して定めた対策を実施すること。利用者等が実施すべき対策については、利用者等が認識できる措置を講ずること。
2 区域情報セキュリティ責任者は、災害から要安定情報を取り扱う情報システムを保護するために物理的な対策を講ずること。
3 利用者等は、利用する区域について区域情報セキュリティ責任者が定めた対策に従って利用すること。また、利用者等が本法人外の者を立ち入らせる際には、当該本法人外の者にも当該区域で定められた対策に従って利用させること。
(要管理対策区域における利用手順等の整備)
第44条 区域情報セキュリティ責任者は、管理する区域について、以下を例とする利用手順等を整備し、当該区域を利用する利用者等に周知すること。
(1)扉の施錠及び開閉に関する利用手順
(2)一時的に立ち入る者が許可された者であることを確認するための手順
(3)一時的に立ち入る者を監視するための手順
第8章 業務委託
第1節 業務委託
(業務委託に係る運用規程の整備)
第45条 CISOは、外部委託に係る以下の内容を含む規定を整備すること。
(1)委託先によるアクセスを認める情報及び情報システムの範囲を判断する基準
(2)委託先の選定基準
(業務委託実施前の対策)
第46条 部局技術責任者又は課室情報セキュリティ責任者は、業務委託の実施までに、以下を全て含む事項を実施すること。
(1)委託する業務内容の特定
(2)委託先の選定条件を含む仕様の策定
(3)仕様に基づく委託先の選定
(4)契約の締結
(5)委託先に要機密情報を提供する場合は、秘密保持契約(NDA)の締結
2 部局技術責任者又は課室情報セキュリティ責任者は、以下の内容を全て含む情報セキュリティ対策を実施することを委託先の選定条件とし、仕様にも含めること。
(1)委託先に提供する情報の委託先における目的外利用の禁止
(2)委託先における情報の適正な取扱いのための情報セキュリティ対策の実施内容及び管理体制
(3)情報セキュリティインシデントへの対処方法
(4)情報セキュリティ対策その他の契約の履行状況の確認方法
(5)情報セキュリティ対策の履行が不十分な場合の対処方法
3 部局技術責任者又は課室情報セキュリティ責任者は、委託する業務において取り扱う情報の格付等を勘案し、以下の内容の全てを必要に応じて仕様に含めること。
(1)監査の受入れ
(2)サービス品質の保証
4 部局技術責任者又は課室情報セキュリティ責任者は、委託先との情報の受渡し方法や委託業務終了時の情報の廃棄方法等を含む情報の取扱手順について委託先と合意し、定められた手順により情報を取り扱うこと。
5 部局技術責任者又は課室情報セキュリティ責任者は、委託先がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、本基準本条第2項及び第3項の措置の実施を委託先に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を本法人に提供し、本法人の承認を受けるよう、仕様に含めること。また、委託判断基準及び委託先の選定基準に従って再委託の承認の可否を判断すること。
6 部局技術責任者又は課室情報セキュリティ責任者は、業務委託の実施までに、委託の前提条件として、以下を全て含む事項の実施を委託先に求めること。
(1)仕様に準拠した提案
(2)契約の締結
(3)委託先において要機密情報を取り扱う場合は、秘密保持契約(NDA)の締結
7 部局技術責任者又は課室情報セキュリティ責任者は、以下の内容を全て含む委託先における情報セキュリティ対策の遵守方法、情報セキュリティ管理体制等に関する確認書等を提出させること。また、変更があった場合は、速やかに再提出させること。
(1)当該委託業務に携わる者の特定
(2)当該委託業務に携わる者が実施する具体的な情報セキュリティ対策の内容
(業務委託実施期間中の対策)
第47条 部局技術責任者又は課室情報セキュリティ責任者は、業務委託の実施期間において以下を全て含む対策を実施すること。
(1)委託判断基準に従った要保護情報の提供
(2)契約に基づき委託先に実施させる情報セキュリティ対策の履行状況の定期的な確認
2 部局技術責任者又は課室情報セキュリティ責任者は、業務委託の実施期間において以下を全て含む対策の実施を委託先に求めること。
(1)情報の適正な取扱いのための情報セキュリティ対策
(2)契約に基づき委託先が実施する情報セキュリティ対策の履行状況の定期的な報告
(3)委託した業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合における、委託事業の一時中断などの必要な措置を含む対処
3 部局技術責任者又は課室情報セキュリティ責任者は、委託業務における情報の適正な取扱いを委託先に担保させるため、以下の内容を全て含む情報セキュリティ対策について、あらかじめ委託先との契約に含めた上で、委託期間を通じて、情報の格付等に応じた実施を求めること。
(1)情報セキュリティインシデント等への対処能力の確立・維持
(2)情報へアクセスする主体の識別とアクセスの制御
(3)ログの取得・監視
(4)情報を取り扱う機器等の物理的保護
(5)情報を取り扱う要員への周知と統制
(6)セキュリティ脅威に対処するための資産管理・リスク評価
(7)委託先が取り扱う情報及び当該情報を取り扱うシステムの完全性の保護
(8)セキュリティ対策の検証・評価・見直し
(業務委託終了時の対策)
第48条 部局技術責任者又は課室情報セキュリティ責任者は、業務委託の終了に際して以下を全て含む対策を実施すること。
(1)業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの確認を含む検収
(2)委託先に提供した情報を含め、委託先において取り扱われた情報が確実に返却、廃棄又は抹消されたことの確認
2 部局技術責任者又は課室情報セキュリティ責任者は、契約に基づき、業務委託の終了に際して以下を全て含む対策の実施を委託先に求めること。
(1)業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの報告を含む検収の受検
(2)提供を受けた情報を含め、委託業務において取り扱った情報の返却、廃棄又は抹消
第2節 情報システムに関する業務委託
(情報システムに関する業務委託における共通的対策)
第49条 部局技術責任者は、情報システムに関する業務委託の実施までに、委託先の選定条件に情報システムに本法人の意図せざる変更が加えられないための対策に係る選定条件を加え、仕様を策定すること。
2 部局技術責任者は、以下の内容を全て含む情報セキュリティ対策を実施することを情報システムに関する業務委託の委託先の選定条件に加え、仕様にも含めること。
(1)委託先企業若しくはその従業員、再委託先又はその他の者によって、情報システムに本法人の意図せざる変更が加えられないための管理体制
(2)委託先の資本関係・役員等の情報、委託事業の実施場所、委託事業従事者の所属・専門性(情報セキュリティに係る資格(情報処理安全確保支援士等)・研修実績等)・実績及び国籍に関する情報提供
(情報システムの構築を業務委託する場合の対策)
第50条 部局技術責任者は、情報システムの構築を業務委託する場合は、契約に基づき、以下を全て含む対策の実施を委託先に求めること。
(1)情報システムのセキュリティ要件の適切な実装
(2)情報セキュリティの観点に基づく試験の実施
(3)情報システムの開発環境及び開発工程における情報セキュリティ対策
2 部局技術責任者は、情報セキュリティの観点に基づく試験の実施について、調達仕様書に記載するなどして、以下を全て含む事項の実施を委託先に求めること。
(1)ソフトウェアの作成及び試験を行う情報システムについては、情報セキュリティの観点から運用中の情報システムに悪影響が及ばないように、運用中の情報システムと分離すること。
(2)情報セキュリティの観点から必要な試験がある場合には、試験項目及び試験方法を定め、これに基づいて試験を実施すること。
(3)情報セキュリティの観点から実施した試験の実施記録を保存すること。
3 部局技術責任者は、開発工程における情報セキュリティ対策として、調達仕様書に記載するなどして、以下を全て含む事項の実施を委託先に求めること。
(1)ソースコードが不正に変更・消去されることを防ぐために、以下の事項を含むソースコードの管理を適切に行うこと。
ア ソースコードの変更管理
イ ソースコードの閲覧制限のためのアクセス制御
ウ ソースコードの滅失、き損等に備えたバックアップの取得
(2)情報システムに関連する脆弱性についての対策要件として定めたセキュリティ実装方針に従うこと。
(3)セキュリティ機能が適切に実装されていること及びセキュリティ実装方針に従った実装が行われていることを確認するために、設計レビュー及びソースコードレビューの範囲及び方法を定め、これに基づいてレビューを実施すること。
(情報システムの運用・保守を業務委託する場合の対策)
第51条 部局技術責任者は、情報システムの運用・保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、契約に基づき、委託先に実施を求めること。
2 部局技術責任者は、情報システムの運用・保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるために、以下を全て含む要件を調達仕様書に記載するなどして、契約に基づき、委託先に実施を求めること。
(1)情報システムの運用環境に課せられるべき条件の整備
(2)情報システムのセキュリティ監視を行う場合の監視手順や連絡方法
(3)情報システムの保守における情報セキュリティ対策
(4)運用中の情報システムに脆弱性が存在することが判明した場合の情報セキュリティ対策
3 部局技術責任者は、情報システムの運用・保守を業務委託する場合は、委託先が実施する情報システムに対する情報セキュリティ対策を適切に把握するため、当該対策による情報システムの変更内容について、契約に基づき、委託先に速やかな報告を求めること。
(本法人向けに情報システムの一部の機能を提供するサービスを利用する場合の対策)
第52条 部局技術責任者又は課室情報セキュリティ責任者は、学外の一般の者が本法人向けに要機密情報を取り扱う情報システムの一部の機能を提供するサービス(クラウドサービスを除く。)(以下「業務委託サービス」という。)を利用するため、情報システムに関する業務委託を実施する場合は、委託先の選定条件に業務委託サービスに特有の選定条件を加えること。
2 部局技術責任者又は課室情報セキュリティ責任者は、業務委託サービスの中断や終了時に円滑に業務を移行するための対策として、以下を例とするセキュリティ対策を実施することを委託先の選定条件に加え、仕様にも含めること。
(1)取り扱う情報の可用性区分の格付に応じた、業務委託サービス中断時の復旧要件
(2)取り扱う情報の可用性区分の格付に応じた、業務委託サービス終了又は変更の際の事前告知の方法・期限及びデータ移行方法
3 部局技術責任者又は課室情報セキュリティ責任者は、業務委託サービスの利用を通じて本法人が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価して委託先を選定し、必要に応じて本法人の情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を委託先の選定条件に加え、仕様にも含めること。
4 部局技術責任者又は課室情報セキュリティ責任者は、業務委託サービスに係るセキュリティ要件を定め、業務委託サービスを選定すること。
5 部局技術責任者又は課室情報セキュリティ責任者は、取り扱う情報の格付及び取扱制限に応じてセキュリティ要件を定め、業務委託サービスを選定すること。また、業務委託サービスのセキュリティ要件としてセキュリティに係る国際規格等と同等以上の水準を求めること。
6 部局技術責任者又は課室情報セキュリティ責任者は、委託先の信頼性が十分であることを総合的・客観的に評価し判断すること。
7 部局技術責任者又は課室情報セキュリティ責任者は、監査による報告書の内容、各種の認定・認証制度の適用状況等から、業務委託先の信頼性が十分であることを総合的・客観的に評価し判断すること。
8 部局技術責任者又は課室情報セキュリティ責任者は業務委託サービスを利用する場合には、部門実施責任者へ当該サービスの利用申請を行うこと。
9 部門実施責任者は、業務委託サービスの利用申請を受けた場合は、当該利用申請を審査し、利用の可否を決定すること。
10 部門実施責任者は、業務委託サービスの利用申請を承認した場合は、承認済み業務委託サービスとして記録し、業務委託サービス管理者を指名すること。
第9章 クラウドサービス
第1節 情報システムに係る台帳等の整備
(情報システム台帳の整備)
第53条 CISOは、全ての情報システムに対して、当該情報システムのセキュリティ要件に係る事項について、情報システム台帳に整備すること。
2 部局システム管理者は、情報システムを新規に構築し、又は更改する際には、当該情報システム台帳のセキュリティ要件に係る内容を記録又は記載し、当該内容についてCSIRTに報告すること。
(情報システム台帳の記載事項)
第54条 CISOは、以下の内容を含む台帳を整備すること。
(1)情報システム名
(2)管理する職場
(3)当該部局技術責任者の氏名及び連絡先
(4)システム構成
(5)接続する本法人外通信回線の種別
(6)取り扱う情報の格付け及び取扱制限に関する事項
(7)当該情報システムの設計・開発、運用・保守に関する事項
2 CISOは、民間事業者等が提供するクラウドサービス等の情報処理サービスにより情報システムを構築する場合は、以下を含む内容についても台帳として整備すること。
(1)情報処理サービス名
(2)契約事業者
(3)契約期間
(4)情報処理サービスの概要
(5)ドメイン名(インターネット上で提供される情報処理サービスを利用する場合)
(6)取り扱う情報の格付け及び取扱制限に関する事項
(情報システム関連文書の整備)
第55条 部局システム管理者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を網羅した情報システム関連文書を整備すること。
(1)情報システムを構成するサーバ装置及び端末関連情報
(2)情報システムを構成する通信回線及び通信回線装置関連情報
(3)情報システム構成要素ごとの情報セキュリティ水準の維持に関する手順
(4)情報セキュリティインシデントを認知した際の対処手順
(情報システム関連文書の記載事項)
第56条 部局システム管理者は、所管する情報システムを構成するサーバ装置及び端末に関連する情報として、以下を含む文書を整備すること。
(1)サーバ装置及び端末を管理する教職員等及び利用者を特定する情報
(2)サーバ装置及び端末の機種並びに利用しているソフトウェアの種類及びバージョン
(3)サーバ装置及び端末で利用するソフトウェアを動作させるために用いられる他のソフトウェアであって、以下を含むものの種類及びバージョン
ア 動的リンクライブラリ等、ソフトウェア実行時に読み込まれて使用されるもの
イ フレームワーク等、ソフトウェアを実行するための実行環境となるもの
ウ プラグイン等、ソフトウェアの機能を拡張するもの
エ 静的リンクライブラリ等、本法人がソフトウェアを開発する際に当該ソフトウェアに組み込まれるもの
オ インストーラー作成ソフトウェア等、本法人がソフトウェアを開発する際に開発を支援するために使用するもの
(4)サーバ装置及び端末の仕様書又は設計書
2 部局システム管理者は、前項第2号及び第3号の情報を収集するため、自動でソフトウェアの種類やバージョン等を管理する機能を有するIT資産管理ソフトウェアを導入するなどにより、これら情報を効率的に収集する手法を決定すること。
3 部局システム管理者は、所管する情報システムを構成する通信回線及び通信回線装置関連情報として、以下を含む文書を整備すること。
(1)通信回線及び通信回線装置を管理する教職員等を特定する情報
(2)通信回線装置の機種並びに利用しているソフトウェアの種類及びバージョン
(3)通信回線及び通信回線装置の仕様書又は設計書
(4)通信回線の構成
(5)通信回線装置におけるアクセス制御の設定
(6)通信回線を利用する機器等の識別コード、サーバ装置及び端末の利用者と当該利用者の識別コードとの対応
(7)通信回線の利用部門
4 部局システム管理者は、所管する情報システムについて、情報システム構成要素ごとのセキュリティ維持に関する以下を含む手順を定めること。
(1)サーバ装置及び端末のセキュリティの維持に関する手順
(2)通信回線を介して提供するサービスのセキュリティの維持に関する手順
(3)通信回線及び通信回線装置のセキュリティの維持に関する手順
第2節 機器等の調達に係る規定の整備
(機器等の調達に係る規定の整備)
第57条 CISOは、機器等の選定基準を整備すること。必要に応じて、選定基準の一つとして、機器等の開発等のライフサイクルで不正な変更が加えられない管理がなされ、その管理を本法人が確認できることを加えること。
2 CISOは、情報セキュリティ対策の視点を加味して、機器等の納入時の確認・検査手続を整備すること。
(機器等の選定基準)
第58条 CISOは、機器等の選定基準に、サプライチェーン・リスクを低減するための要件として、以下を例に規定すること。
(1)調達した機器等に不正な変更が見付かったときに、追跡調査や立入検査等、本法人と調達先が連携して原因を調査・排除できる体制を整備していること。
2 CISOは、調達する機器等において、設計書の検査によるセキュリティ機能の適切な実装の確認、開発環境の管理体制の検査、脆弱性テスト等、第三者による情報セキュリティ機能の客観的な評価を必要とする場合には、ISO/IEC15408に基づく認証を取得しているか否かを、調達時の評価項目とすることを機器等の選定基準として定めること。
(納品時の確認・検査手続)
第59条 CISOは、機器等の納入時の確認・検査手続には以下を含む事項を確認できる手続を定めること。
(1)調達時に指定したセキュリティ要件の実装状況
(2)機器等に不正プログラムが混入していないこと
(クラウドサービスの利用における対策)
第60条 クラウドサービスの利用を検討する者は、クラウドサービス(民間事業者が提供するものに限らず、政府等が提供するものを含む。以下同じ。)を利用するに当たり、取り扱う情報の格付け及び取扱制限を踏まえ、情報の取扱いを委ねることの可否を判断すること。
2 クラウドサービスの利用を検討する者は、クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定し、必要に応じて委託事業の実施場所及び契約に定める準拠法・裁判管轄を指定すること。
3 クラウドサービスの利用を検討する者は、クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件とすること。
4 クラウドサービスの利用を検討する者は、クラウドサービスの特性を考慮した上で、クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めること。
5 クラウドサービスの利用を検討する者は、クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先の信頼性が十分であることを総合的・客観的に評価し判断すること。
(クラウドサービスの中断や終了時の業務移行に係る対策)
第61条 クラウドサービスを導入する者は、クラウドサービスを利用するに当たり、サービスの中断や終了時に際し、円滑に業務を移行するための対策として、以下を例とするセキュリティ対策を実施することをクラウドサービスの選定条件とし、仕様内容にも含めること。
(1)取り扱う情報の可用性区分の格付けに応じた、サービス中断時の復旧要件
(2)取り扱う情報の可用性区分の格付けに応じた、サービス終了又は変更の際の事前告知の方法・期限及びデータ移行方法
2 クラウドサービスを導入する者は、クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティ対策を構築すること。また、対策を実現するために、以下を例とするセキュリティ要件をクラウドサービスに求め、契約内容にも含めること。特に、運用段階で委託先が変更となる場合、開発段階等で設計したクラウドサービスのセキュリティ要件のうち継承が必須なセキュリティ要件について、変更後の委託先における維持・向上の確実性を事前に確認すること。
(1)クラウドサービスに係るアクセスログ等の証跡の保存及び提供
(2)インターネット回線とクラウド基盤の接続点の通信の監視
(3)クラウドサービスの委託先による情報の管理・保管の実施内容の確認
(4)クラウドサービス上の脆弱性対策の実施内容の確認
(5)クラウドサービス上の情報に係る復旧時点目標(RPO)等の指標
(6)クラウドサービス上で取り扱う情報の暗号化
(7)利用者の意思によるクラウドサービス上で取り扱う情報の確実な削除・廃棄
(8)利用者が求める情報開示請求に対する開示項目や範囲の明記
第10章 機器等の調達
第1節 機器等の調達
(機器等の調達に係る運用規程の整備)
第62条 CISOは、機器等の選定基準を整備すること。必要に応じて、選定基準の一つとして、機器等の開発等のライフサイクルで不正な変更が加えられない管理がなされ、その管理を本法人が確認できることを加えること。
2 CISOは、情報セキュリティ対策の視点を加味して、機器等の納入時の確認・検査手続を整備すること。
(機器等の選定基準)
第63条 CISOは、機器等の選定基準に、サプライチェーン・リスクを低減するための要件として、以下を例に規定すること。
(1)調達した機器等に不正な変更が見付かったときに、追跡調査や立入検査等、本法人と調達先が連携して原因を調査・排除できる体制を整備していること。
2 CISOは、調達する機器等において、設計書の検査によるセキュリティ機能の適切な実装の確認、開発環境の管理体制の検査、脆弱性テスト等、調達時の評価項目とすることを機器等の選定基準として定めること。
(納品時の確認・検査手続)
第64条 CISOは、機器等の納入時の確認・検査手続には以下を含む事項を確認できる手続を定めること。
(1)調達時に指定したセキュリティ要件の実装状況
(2)機器等に不正プログラムが混入していないこと
第11章 情報システムの分類
第1節 情報システムの分類基準等の整備
(情報システムにおける分類のための運用規程の整備)
第65条 CISOは、情報システムの情報セキュリティインシデント発生時の業務影響度等を踏まえ、高度な情報セキュリティ対策が要求される情報システムを判別するための基準である情報システムの分類基準を運用規程として整備すること。
(情報システムの分類基準に基づいた情報セキュリティ対策に係る運用規程の整備)
第66条 CISOは、情報システムに求める分類基準に応じた情報システムのセキュリティ要件及び情報システムの構成要素ごとの情報セキュリティ対策の具体的な対策事項を運用規程として整備すること。
2 CISOは、本法人の特性や国内外の情報セキュリティに関連する動向等を踏まえ、セキュリティベースラインとして全ての情報システムに対し対策を求める「基本セキュリティ対策」と、それに加え高度な情報セキュリティ対策を要求する情報システムに対し追加で対策を求める「追加セキュリティ対策」を定めること。
(情報システムの分類基準に基づいた分類の実施)
第67条 部門実施責任者は、情報システムの分類基準に基づいた情報システムの分類を部局技術責任者に実施させ、実施した結果を報告させること。部局技術責任者から報告を受けた情報システムの分類結果については、情報セキュリティインシデント発生時の業務影響度や脅威動向等を踏まえて、上位又は下位の情報システムの分類の適用が望ましい場合には修正の指示を行うこと。
2 部門実施責任者は、以下の全ての場合、部局技術責任者に対して分類基準に基づいた情報システムの分類を行わせること。
(1)情報システムの構築又は更改が発生した場合
(2)情報システムで取り扱う情報の格付等に変更が発生した場合
(3)分類の再実施を指示する場合
3 部門実施責任者は、自組織で所管する情報システムの分類結果を確認し、以下の例に該当する場合、報告を受けた情報システムの分類結果の上位への修正指示の要否を検討すること。
(1)業務特性やシステム特性、取り扱う情報等を踏まえると上位の情報システムの分類の適用が望ましいと判断される場合
(2)類似する自組織の情報システムで上位の情報システムの分類が適用されていた場合
(情報システムの分類基準と情報セキュリティ対策の具体的な対策事項の運用規程の見直し)
第68条 部門実施責任者は、情報システムの分類基準と分類基準に応じた情報セキュリティ対策の具体的な対策事項の運用規程について定期的な確認による見直しをすること。
2 部門実施責任者は、全ての情報システムが分類基準に基づいて適切に分類が行われていることを定期的に確認すること。
3 部門実施責任者は、以下の全ての場合に分類基準に基づいた情報システムの分類が行われていることを確認すること。
(1)情報システムの構築又は更改を把握した場合
(2)対策推進計画の各種施策や情報セキュリティ監査、自己点検等の結果を踏まえ、定期評価や評価の再実施が必要と判断した場合
第12章 情報システムのライフサイクルの各段階における対策
第1節 情報システムの企画・要件定義
(実施体制の確保)
第69条 部門統括責任者は、情報システムのライフサイクル全般にわたって情報セキュリティの維持が可能な体制の確保を、CISOに求めること。
2 CISOは、前項で求められる体制の確保に際し、部門CIOの協力を得ることが必要な場合は、当該情報システムを統括する責任者に当該体制の全部又は一部の整備を求めること。
(情報システムの分類基準に基づいた分類の実施)
第70条 部局技術責任者は、情報システムを新規に構築し、又は更改する際には、情報システムの分類基準に基づいて情報システムの分類を行い、部門実施責任者に報告すること。
(情報システムのセキュリティ要件の策定)
第71条 部局技術責任者は、情報システムを構築する目的、対象とする業務等の業務要件及び当該情報システムで取り扱われる情報の格付等を勘案し情報システムの分類に基づき、情報システムに求める分類基準に応じた具体的な対策事項を踏まえて、以下の全ての事項を含む情報システムのセキュリティ要件を策定すること。
2 部局技術責任者は、開発する情報システムが運用される際に想定される脅威の分析結果並びに当該情報システムにおいて取り扱う情報の格付及び取扱制限に応じて、セキュリティ要件を適切に策定し、調達仕様書等に明記すること。
3 部局技術責任者は、開発する情報システムが対抗すべき脅威について、適切なセキュリティ要件が策定されていることを第三者が客観的に確認する必要がある場合には、セキュリティ設計仕様書(ST:Security Target)を作成し、ST確認を受けること。
(1)情報システムに組み込む主体認証、アクセス制御、権限管理、ログ管理、暗号化機能等のセキュリティ機能要件
(2)情報システム運用時の監視等の運用管理機能要件(監視するデータが暗号化されている場合は、必要に応じて復号すること)
(3)情報システムに関連する脆弱性及び不正プログラムについての対策要件
(4)情報システムの可用性に関する対策要件
(5)情報システムのネットワーク構成に関する要件
4 部局技術責任者は、情報システム運用時のセキュリティ監視等の運用管理機能要件を明確化し、情報システム運用時に情報セキュリティ確保のために必要となる管理機能や監視のために必要な機能を調達仕様書に明記すること。
5 部局技術責任者は、開発する情報システムに関連する脆弱性への対策が実施されるよう、以下を全て含む対策を調達仕様書等に明記すること。
(1)既知の脆弱性が存在するソフトウェアや機能モジュールを情報システムの構成要素としないこと。
(2)開発時に情報システムに脆弱性が混入されることを防ぐためのセキュリティ実装方針。
(3)セキュリティ侵害につながる脆弱性が情報システムに存在することが発覚した場合に修正が施されること。
(4)ソフトウェアのサポート期間又はサポート打ち切り計画に関する本法人への情報提供。
6 部局技術責任者は、開発する情報システムに本法人の意図せざる不正なプログラム等が組み込まれないよう、以下を全て含む対策を実施すること。
(1)情報システムで利用する機器等を調達する場合は、本法人の意図せざる不正なプログラム等が組み込まれていないことを確認すること。
(2)アプリケーション・コンテンツの開発時に本法人の意図せざる不正なプログラム等が混入されることを防ぐための対策を講ずること。
(3)情報システムの構築を委託する場合は、委託先において本法人の意図せざる変更が加えられないための管理体制を求めること。
7 部局技術責任者は、開発する情報システムのネットワーク構成に関する要件について、以下を全て含む要件を調達仕様書等に明記すること
(1)インターネットやインターネットに接点を有する情報システム(クラウドサービスを含む。)から分離することの要否の判断とインターネットから分離するとした場合の要件
(2)端末、サーバ装置及び通信回線装置上で利用するソフトウェアを実行するために必要な通信要件
(3)インターネット上のクラウドサービス等のサービスを利用する場合の通信経路全般のネットワーク構成
(4)法人外通信回線を経由して機器等に対してリモートメンテナンスすることの要否の判断とリモートメンテナンスすることとした場合の要件
8 部局技術責任者は、インターネット回線と接続する情報システムを構築する場合は、接続するインターネット回線を定めた上で、標的型攻撃を始めとするインターネットからの様々なサイバー攻撃による情報の漏えい、改ざん等のリスクを低減するための多重防御のためのセキュリティ要件を策定すること。
第2節 情報システムの調達・構築
(機器等の選定時の対策)
第72条 部局技術責任者は、情報システムの構築において、情報セキュリティの観点から必要な措置を講ずること。
2 部局技術責任者は、情報システムの構築において以下を全て含む情報セキュリティ対策を行うこと。
(1)情報システム構築の工程で扱う要保護情報への不正アクセス、滅失、き損等に対処するために開発環境を整備すること。
(2)セキュリティ要件が適切に実装されるようにセキュリティ機能を設計すること。
(3)情報システムで使用する機器やソフトウェア等においては、設定の誤りを防止するため、当該提供者が提示している推奨設定や業界標準、ベストプラクティス等を参照し、情報システムの各種設定を行うこと。
(4)情報システムへの脆弱性の混入を防ぐために定めたセキュリティ実装方針に従うこと。
(5)セキュリティ機能が適切に実装されていること及びセキュリティ実装方針に従った実装が行われていることを確認するために、設計レビューやソースコードレビュー等を実施すること。
(6)脆弱性検査を含む情報セキュリティの観点での試験を実施すること。
3 部局技術責任者は、構築した情報システムを運用保守段階へ移行するに当たり、移行手順及び移行環境に関して、情報セキュリティの観点から必要な措置を講ずること。
4 部局技術責任者は、情報システムの運用保守段階へ移行するに当たり、以下を全て含む情報セキュリティ対策を行うこと。
(1)情報セキュリティに関わる運用保守体制の整備
(2)運用保守要員へのセキュリティ機能の利用方法等に関わる教育の実施
(3)情報セキュリティインシデントを認知した際の対処方法の確立
5 部局技術責任者は、情報システムを新規に構築し、又は更改する際には、情報システム台帳のセキュリティ要件に係る内容を記録又は記載し、当該内容について部門実施責任者に報告すること。
6 部局技術責任者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む情報システム関連文書を整備すること。
(1)情報システムを構成するサーバ装置及び端末関連情報
(2)情報システムを構成する通信回線及び通信回線装置関連情報
7 部局技術責任者は、所管する情報システムを構成するサーバ装置及び端末に関連する情報として、以下を全て含む文書を整備すること。
(1)サーバ装置及び端末を管理する教職員等及び利用者を特定する情報
(2)サーバ装置及び端末の機種並びに利用しているソフトウェアの種類、名称及びバージョン、サポート体制等
(3)サーバ装置及び端末で利用するソフトウェアを動作させるために用いられる他のソフトウェアであって、以下を全て含むものの種類、名称及びバージョン、入手先、サポート体制等
ア 動的リンクライブラリ等、ソフトウェア実行時に読み込まれて使用されるもの
イ フレームワーク等、ソフトウェアを実行するための実行環境となるもの
ウ プラグイン等、ソフトウェアの機能を拡張するもの
エ 静的リンクライブラリ等、本法人がソフトウェアを開発する際に当該ソフトウェアに組み込まれるもの
オ インストーラー作成ソフトウェア等、本法人がソフトウェアを開発する際に開発を支援するために使用するもの
(4)サーバ装置及び端末の調達仕様書又は設計書
8 部局技術責任者は、所管する情報システムを構成する通信回線及び通信回線装置関連情報として、以下を全て含む文書を整備すること。
(1)通信回線装置の機種並びに利用しているソフトウェアの種類、名称及びバージョン、サポート体制等
(2)通信回線及び通信回線装置の調達仕様書又は設計書
(3)通信回線の構成
(4)通信回線装置におけるアクセス制御の設定
(5)通信回線を利用する機器等の識別コード、サーバ装置及び端末の利用者と当該利用者の識別コードとの対応
(6)通信回線の利用部門
9 部局技術責任者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む実施手順を整備すること。
(1)情報システム構成要素ごとの情報セキュリティ水準の維持に関する手順
(2)情報セキュリティインシデントを認知した際の対処手順
(3)情報システムが停止した際の復旧手順
(納品検査時の対策)
第73条 部局技術責任者は、機器等の納入時又は情報システムの受入れ時の確認・検査において、調達仕様書等定められた検査手続に従い、情報セキュリティ対策に係る要件が満たされていることを確認すること。
2 部局技術責任者は、情報システムの受入れ時の確認・検査を行う場合は、以下を全て含む内容を確認すること。
(1)情報システムの構築時に使用し、運用時に不要となる識別コードが削除されていること。
(2)機器等において推測可能な初期値として設定されている主体認証情報等が変更されていること。
(3)機器等において公開された脆弱性について対策を実施していること。
(4)機器等において不要なポートが開放されていない、不要なサービスが起動していない、利用を認めていないソフトウェアが動作していないこと。
3 部局技術責任者は、情報システムが構築段階から運用保守段階へ移行する際に、当該情報システムの開発事業者から運用保守事業者へ引き継がれる項目に、情報セキュリティ対策に必要な内容が含まれていることを確認すること。
第3節 情報システムの運用・保守
(情報システムの運用・保守時の対策)
第74条 部局技術責任者は、情報システムの運用・保守において、情報システムに実装された監視を含むセキュリティ機能を適切に運用すること。
2 部局技術責任者は、情報システムに実装されたセキュリティ機能が適切に運用されていることを確認すること。
3 部局技術責任者は、情報システムにおいて取り扱う情報について、当該情報の格付及び取扱制限が適切に守られていることを確認すること。
4 部局技術責任者は、情報システムで不要となった識別コードや過剰なアクセス権限等の付与がないか適時見直すこと。
5 部局技術責任者は、運用中の情報システムにおいて定期的に脆弱性対策の状況を確認すること。
6 部局技術責任者は、運用中の情報システムの脆弱性の存在が明らかになった場合には、情報セキュリティを確保するための措置を講ずること。
7 部局技術責任者は、情報システムの運用・保守において、情報システム台帳及び関連文書の内容に変更が生じた場合、情報システム台帳及び関連文書を更新又は修正すること。なお、情報システム台帳を更新又は修正した場合は、CISOへ報告すること。
8 部局技術責任者は、情報システムの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講ずること。
9 部局技術責任者は、要安定情報を取り扱う情報システムについて、以下を全て含む運用をすること。
(1)情報システムの各構成要素及び取り扱われる情報に関する適切なバックアップの取得及びバックアップ要件の確認による見直し
(2)情報システムの構成や設定の変更等が行われた際及び定期的に、情報システムが停止した際の復旧手順の確認による見直し
第4節 情報システムの更改・廃棄
(情報システムの更改・廃棄時の対策)
第75条 部局技術責任者は、情報システムの更改又は廃棄を行う場合は、当該情報システムに保存されている情報について、当該情報の格付及び取扱制限を考慮した上で、以下を全て含む措置を適切に講ずること。
(1)情報システム更改時の情報の移行作業における情報セキュリティ対策
(2)情報システム廃棄時の不要な情報の抹消
第5節 情報システムについての対策の見直し
(情報システムについての対策の見直し)
第76条 部局技術責任者は、対策推進計画に基づき情報システムの情報セキュリティ対策を適切に見直すこと。
2 部局技術責任者は、法人内で横断的に改善が必要となる情報セキュリティ対策の見直しによる改善指示に基づき、情報セキュリティ対策を適切に見直すこと。また、措置の結果については、CISOへ報告すること。
第13章 情報システムの運用継続計画
第1節 情報システムの運用継続計画の整備・整合的運用の確保
(情報システムの運用継続計画の整備・整合的運用の確保)
第77条 CISOは、本法人において非常時優先業務を支える情報システムの運用継続計画を整備するに当たり、非常時における情報セキュリティに係る対策事項を検討すること。
2 CISOは、情報システムの運用継続計画の教育訓練や維持改善を行う際等に、非常時における情報セキュリティに係る対策事項が運用可能であるかを確認すること。
3 CISOは、危機的事象発生時における情報セキュリティに係る対策事項及び運用規程が運用可能であるかを確認するため、以下を例とする訓練の実施を検討すること。
(1)情報システム復旧訓練
(2)情報システム切り替え訓練
4 CISOは、危機的事象発生時における情報セキュリティに係る実施手順が運用可能であるかを確認するため、以下を例とする訓練の実施を検討すること。
(1)手順書確認訓練
(2)シナリオ非提示型訓練
5 CISOは、情報システムの運用継続計画に沿って、危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順を定期的に見直すこと。
6 CISOは、以下を全て含む事項を踏まえ、危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順を見直すこと。
(1)危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順が運用可能であるかの確認結果
(2)危機的事象発生時の対処結果
(3)情報システムの構成や利用環境、利用方法、取り扱う情報の変化
第14章 端末
第1節 端末
(端末の導入時の対策)
第78条 部門実施責任者及び部局システム管理者は、要保護情報を取り扱う端末について、端末の盗難、不正な持ち出し、第三者による不正操作、表示用デバイスの盗み見等の物理的な脅威から保護するための対策を講ずること。
2 部門実施責任者及び部局システム管理者は、多様なソフトウェアを利用することにより脆弱性が存在する可能性が増大することを防止するため、端末で利用を認めるソフトウェア及び利用を禁止するソフトウェアを定めること。
(物理的な脅威から保護するための対策)
第79条 部門実施責任者及び部局システム管理者は、モバイル端末を除く端末について、原則としてクラス2以上の要管理対策区域に設置すること。
2 部門実施責任者及び部局システム管理者は、端末の盗難及び不正な持ち出しを防止するために、以下を例とする対策を講ずること。
(1)モバイル端末を除く端末を、容易に切断できないセキュリティワイヤを用いて固定物又は搬出が困難な物体に固定する。
(2)モバイル端末を保管するための設備(利用者が施錠できる袖机やキャビネット等)を用意する。
3 部門実施責任者及び部局システム管理者は、第三者による不正操作及び表示用デバイスの盗み見を防止するために、以下を例とする対策を講ずること。
(1)一定時間操作が無いと自動的にスクリーンロックするよう設定する。
(2)要管理対策区域外で使用するモバイル端末に対して、盗み見されるおそれがある場合にのぞき見防止フィルタを取り付ける。
(端末で利用を認めるソフトウェア及び利用を禁止するソフトウェアに係る対策)
第80条 責任者及び部局システム管理者は、以下を考慮した上で、端末で利用を認めるソフトウェア及び利用を禁止するソフトウェアをバージョンも含め定めること。
(1)ソフトウェアベンダ等のサポート状況
(2)ソフトウェアと外部との通信の有無及び通信する場合はその通信内容
(3)インストール時に同時にインストールされる他のソフトウェア
(4)その他、ソフトウェアの利用に伴う情報セキュリティリスク
(端末の運用時の対策)
第81条 部門実施責任者及び部局システム管理者は、利用を認めるソフトウェア及び利用を禁止するソフトウェアについて定期的に見直しを行うこと。
2 部門実施責任者及び部局システム管理者は、所管する範囲の端末で利用されている全てのソフトウェアの状態を定期的に調査し、不適切な状態にある端末を検出等した場合には、改善を図ること。
(端末の運用終了時の対策)
第82条 部門実施責任者及び部局システム管理者は、端末の運用を終了する際に、端末の電磁的記録媒体の全ての情報を抹消すること。
第2節 要管理対策区域外での端末利用時の対策
(要機密情報を取り扱う本法人が支給する端末(要管理対策区域外で使用する場合に限る)及び本法人支給以外の端末に関する安全管理措置に関する対策)
第83条 部門実施責任者及び部局システム管理者は、要機密情報を取り扱う本法人が支給する端末(要管理対策区域外で使用する場合に限る)及び本法人支給以外の端末について、以下の安全管理措置に関する規定を整備すること。
(1)盗難、紛失、不正プログラムの感染等により情報窃取されることを防止するための技術的な措置
(2)本法人支給以外の端末において不正プログラムの感染等により情報窃取されることを防止するための利用時の措置
2 部門実施責任者は、本法人支給以外の端末を用いた本法人の業務に係る情報処理に関する安全管理措置の実施状況を管理する責任者(以下「端末管理責任者」という。)を定めること。
3 次の各号に掲げる責任者は、利用者等が当該各号に定める端末を用いて要機密情報を取り扱う場合は、当該端末について第1項第1号の安全管理措置を講ずること。
(1)部門実施責任者及び部局システム管理者 本法人が支給する端末(要管理対策区域外で使用する場合に限る)
(2)端末管理責任者 本法人支給以外の端末
4 端末管理責任者は、要機密情報を取り扱う本法人支給以外の端末について、前項の規定にかかわらず第1項第1号に定める安全管理措置のうち自ら講ずることができないもの、及び第1項第2号に定める安全管理措置を利用者等に講じさせること。
5 利用者等は、要機密情報を取り扱う本法人支給以外の端末について、前項において第1項第1号に定める安全管理措置のうち端末管理責任者が講ずることができないもの、及び第1項第2号に定める安全管理措置を講ずること。
(要機密情報を取り扱う本法人が支給する端末(要管理対策区域外で使用する場合に限る)及び本法人支給以外の端末の導入及び利用時の対策)
第84条 CISOは、要機密情報を取り扱う本法人が支給する端末(要管理対策区域外で使用する場合に限る)及び本法人支給以外の端末について、以下を例に、利用者が端末に情報を保存できないようにするための機能又は端末に保存される情報を暗号化するための機能を設けること。
(1)シンクライアント等の仮想デスクトップ技術を活用した、端末に情報を保存させないリモートアクセス環境を構築する。利用者は専用のシンクライアントアプリケーションを利用端末にインストールし、業務用システムへリモートアクセスする。
(2)セキュアブラウザ等を活用した、端末に情報を保存させないリモートアクセス環境を構築する。利用者はセキュアブラウザを利用端末にインストールし、業務用システムへリモートアクセスする。
(3)ファイル暗号化等のセキュリティ機能を持つアプリケーションを導入する。
(4)端末に、ハードディスク等の電磁的記録媒体全体を自動的に暗号化する機能を設ける。
(5)上記の各号のいずれの機能も使用できない場合は、端末にファイルを暗号化する機能を設ける。
(6)ハードディスク等電磁的記録媒体に保存されている情報を遠隔からの命令等により消去する機能を設ける。ただし、この場合は第3号から第5号を例とする暗号化の機能を組み合わせること。
2 CISOは、要機密情報を取り扱う本法人支給以外の端末について、以下を例に、利用者等が講ずるべき利用時の実施手順に係る安全管理措置を設けること。
(1)パスワード等による端末ロックの常時設定
(2)OSやアプリケーションの最新化
(3)不正プログラム対策ソフトウェアの導入及び定期的な不正プログラム検査の実施(本法人として不正プログラム対策ソフトウェアを指定する場合は当該ソフトウェアの導入も含める)
(4)端末内の要機密情報の外部サーバ等へのバックアップの禁止(安全管理措置として定める場合は職務上取り扱う情報のバックアップ手順を別途考慮する必要がある)
(5)本法人提供の業務専用アプリケーションの利用(専用アプリケーションを提供する場合のみ)
(6)以下を例とする禁止事項の遵守
ア 端末、OS、アプリケーション等の改造行為
イ 安全性が確認できていないアプリケーションのインストール及び利用
ウ 利用が禁止されているソフトウェアのインストール及び利用
エ 許可されていない通信回線サービスの利用(利用する回線を限定する場合)
オ 第三者への端末の貸与
第3節 本法人支給以外の端末の利用
(本法人支給以外の端末の利用可否の判断)
第85条 CISOは、本法人支給以外の端末の利用について、取り扱うことになる情報の格付け及び取扱制限、本法人が講じる安全管理措置、当該端末の管理は本法人ではなくその所有者が行うこと等を踏まえ、求められる情報セキュリティの水準の達成の見込みを勘案し、本法人における本法人支給以外の端末の利用の可否を判断すること。
2 CISOは利用の可否を部門実施責任者に委譲できるものとする。
(本法人支給以外の端末の利用規定の整備・管理)
第86条 CISOは、利用者等が本法人支給以外の端末を用いて研究教育事務に係る情報処理を行う場合の許可等の手続を定めること。
(本法人支給以外の端末を利用する際の許可等の手続に関する手順の整備)
第87条 CISOは、本法人支給以外の端末を利用する際に、以下を含む許可等の手続を整備し、利用者等に周知すること。
(1)以下を含む本法人支給以外の端末利用時の申請内容
ア 申請者の氏名、所属、連絡先
イ 利用する端末の契約者の名義(スマートフォン等の通信事業者と契約を行う端末の場合)
ウ 利用する端末の機種名
エ 利用目的、取り扱う情報の概要、要機密情報の利用の有無等
オ 主要な利用場所
カ 利用する主要な通信回線サービス
キ 利用する期間
(2)利用許諾条件
(3)申請手順
(4)利用期間中の不具合、盗難・紛失、修理、機種変更等の際の届出の手順
(5)利用期間満了時の利用終了又は利用期間更新の手続方法
(6)許可権限者(端末管理責任者)
(本法人支給以外の端末の利用時の対策)
第88条 利用者等は、本法人支給以外の端末を用いて研究教育事務に係る情報処理を行う場合には、端末管理責任者の許可を得ること。
2 利用者等は、情報処理の目的を完了した場合は、要機密情報を本法人支給以外の端末から消去すること。
第15章 サーバ装置
第1節 サーバ装置
(サーバ装置の導入時の対策)
第89条 部門実施責任者及び部局システム管理者は、要保護情報を取り扱うサーバ装置について、サーバ装置の盗難、不正な持ち出し、不正な操作、表示用デバイスの盗み見等の物理的な脅威から保護するための対策を講ずること。
2 部門実施責任者及び部局システム管理者は、障害や過度のアクセス等によりサービスが提供できない事態となることを防ぐため、要安定情報を取り扱う情報システムについて、サービス提供に必要なサーバ装置を冗長構成にするなどにより可用性を確保すること。
3 部門実施責任者及び部局システム管理者は、多様なソフトウェアを利用することにより脆弱性が存在する可能性が増大することを防止するため、サーバ装置で利用を認めるソフトウェア及び利用を禁止するソフトウェアを定めること。
4 部門実施責任者及び部局システム管理者は、通信回線を経由してサーバ装置の保守作業を行う際に送受信される情報が漏えいすることを防止するための対策を講ずること。
(物理的な脅威から保護するための対策)
第90条 部門実施責任者及び部局システム管理者は、要保護情報を取り扱うサーバ装置については、クラス2以上の要管理対策区域に設置すること。
2 部門実施責任者及び部局システム管理者は、サーバ装置の盗難及び不正な持ち出しを防止するために、以下を例とする対策を講ずること。
(1)施錠可能なサーバラックに設置して施錠する。
(2)容易に切断できないセキュリティワイヤを用いて、固定物又は搬出が困難な物体に固定する。
3 部門実施責任者及び部局システム管理者は、第三者による不正操作及び表示用デバイスの盗み見を防止するために、以下を例とする対策を講ずること。
(1)一定時間操作が無いと自動的にスクリーンロックするよう設定する。
(可用性を確保するための対策)
第91条 部門実施責任者及び部局システム管理者は、障害や過度のアクセス等によりサービスが提供できない事態となることを防ぐため要安定情報を取り扱う情報システムについては、将来の見通しも考慮し、以下を例とする対策を講ずること。
(1)負荷分散装置、DNSラウンドロビン方式等による負荷分散
(2)同一システムを2系統で構成することによる冗長化
(サーバ装置で利用を認めるソフトウェア及び利用を禁止するソフトウェアに係る対策)
第92条 部門実施責任者及び部局システム管理者は、以下を考慮した上で、利用を認めるソフトウェア及び利用を禁止するソフトウェアをバージョンも含め定めること。
(1)ソフトウェアベンダのサポート状況
(2)ソフトウェアが行う外部との通信の有無及び通信する場合はその通信内容
(3)インストール時に同時にインストールされる他のソフトウェア
(4)その他、ソフトウェアの利用に伴う情報セキュリティリスク
(サーバ装置の運用時の対策)
第93条 部門実施責任者及び部局システム管理者は、利用を認めるソフトウェア及び利用を禁止するソフトウェアについて定期的に見直しを行うこと。
2 部門実施責任者及び部局システム管理者は、所管する範囲のサーバ装置の構成やソフトウェアの状態を定期的に確認し、不適切な状態にあるサーバ装置を検出等した場合には改善を図ること。
3 部門実施責任者及び部局システム管理者は、サーバ装置上での不正な行為、無許可のアクセス等の意図しない事象の発生を検知する必要がある場合は、当該サーバ装置を監視するための措置を講ずること。ただし、サーバ装置の利用環境等から不要と判断できる場合はこの限りではない。
4 部門実施責任者及び部局システム管理者は、要安定情報を取り扱うサーバ装置について、サーバ装置が運用できなくなった場合に正常な運用状態に復元することが可能になるよう、必要な措置を講ずること。
(サーバ装置の運用管理作業の記録に係る対策)
第94条 部門実施責任者及び部局システム管理者は、所管する範囲内のサーバ装置の構成やソフトウェアの状態を定期的に確認する場合は、作業日、作業を行ったサーバ装置、作業内容及び作業者を含む事項を記録すること。
(サーバ装置の監視に係る対策)
第95条 部門実施責任者及び部局システム管理者は、サーバ装置への無許可のアクセス等の不正な行為を監視するために、以下を例とする対策を講ずること。
(1)アクセスログ等を定期的に確認する。
(2)IDS/IPS、WAF等を設置する。
(3)不正プログラム対策ソフトウェアを利用する。
(4)ファイル完全性チェックツールを利用する。
(5)CPU、メモリ、ディスクI/O等のシステム状態を確認する。
(サーバ装置の復元に係る対策)
第96条 部門実施責任者及び部局システム管理者は、要安定情報を取り扱うサーバ装置については、運用状態を復元するために以下を例とする対策を講ずること。
(1)サーバ装置の運用に必要なソフトウェアの原本を別に用意しておく。
(2)定期的なバックアップを実施する。
(3)サーバ装置を冗長構成にしている場合には、サービスを提供するサーバ装置を代替サーバ装置に切り替える訓練を実施する。
(4)バックアップとして取得した情報からサーバ装置の運用状態を復元するための訓練を実施する。
(サーバ装置の運用終了時の対策)
第97条 部門実施責任者及び部局システム管理者は、サーバ装置の運用を終了する際に、サーバ装置の電磁的記録媒体の全ての情報を抹消すること。
第2節 電子メール
(電子メールの導入時の対策)
第98条 部門実施責任者及び部局システム管理者は、電子メールサーバが電子メールの不正な中継を行わないように設定すること。
2 部門実施責任者及び部局システム管理者は、電子メールクライアントから電子メールサーバへの電子メールの受信時及び送信時に主体認証を行う機能を備えること。
3 部門実施責任者及び部局システム管理者は、電子メールのなりすましの防止策を講ずること。
4 部門実施責任者及び部局システム管理者は、インターネットを介して通信する電子メールの盗聴及び改ざんの防止のため、電子メールのサーバ間通信の暗号化の対策を講ずること。
(電子メールの受信時及び送信時の主体認証)
第99条 部門実施責任者及び部局システム管理者は、電子メールクライアントから電子メールサーバへの電子メールの受信時及び送信時に、以下を例とする利用者等の主体認証を行う機能を備えること。
(1)電子メールの受信時に限らず、送信時においても不正な利用を排除するためにSMTP認証等の主体認証機能を導入する。
(電子メールのなりすましの防止)
第100条 部門実施責任者及び部局システム管理者は、以下を例とする電子メールのなりすましの防止策を講ずること。
(1)SPF(SenderPolicyFramework)、DKIM(DomainKeysIdentifiedMail)、DMARC(Domain-basedMessageAuthentication,Reporting&Conformance)等の送信ドメイン認証技術による送信側の対策を行う。
(2)SPF、DKIM、DMARC等の送信ドメイン認証技術による受信側の対策を行う。
(3)S/MIME(Secure/MultipurposeInternetMailExtensions)等の電子メールにおける電子署名の技術を利用する。
第3節 ウェブ
(ウェブサーバの導入・運用時の対策)
第101条 部門実施責任者及び部局システム管理者は、ウェブサーバの管理や設定において、以下の事項を含む情報セキュリティ確保のための対策を講ずること。
(1)ウェブサーバが備える機能のうち、不要な機能を停止又は制限すること。
(2)ウェブコンテンツの編集作業を担当する主体を限定すること。
(3)公開してはならない又は無意味なウェブコンテンツが公開されないように管理すること。
(4)ウェブコンテンツの編集作業に用いる端末を限定し、識別コード及び主体認証情報を適切に管理すること。
(5)インターネットを介して転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化及び電子証明書による認証の対策を講じること。
2 部門実施責任者及び部局システム管理者は、ウェブサーバに保存する情報を特定し、サービスの提供に必要のない情報がウェブサーバに保存されないことを確認すること。
(ウェブサーバの管理や設定)
第102条 部門実施責任者及び部局システム管理者は、不要な機能の停止又は制限として、以下を例とするウェブサーバの管理や設定を行うこと。
(1)CGI機能を用いるスクリプト等は必要最低限のものに限定し、CGI機能を必要としない場合は設定でCGI機能を使用不可とする。
(2)ディレクトリインデックスの表示を禁止する。
(3)ウェブコンテンツ作成ツールやコンテンツ・マネジメント・システム(CMS)等における不要な機能を制限する。
(4)ウェブサーバ上で動作するソフトウェアは、最新のものを利用するなど、既知の脆弱性が解消された状態を維持する。
2 部門実施責任者及び部局システム管理者は、ウェブコンテンツの編集作業を担当する主体の限定として、以下を例とするウェブサーバの管理や設定を行うこと。
(1)ウェブサーバ上のウェブコンテンツへのアクセス権限は、ウェブコンテンツの作成や更新に必要な者以外に更新権を与えない。
(2)OSやアプリケーションのインストール時に標準で作成される識別コードやテスト用に作成した識別コード等、不要なものは削除する。
3 部門実施責任者及び部局システム管理者は、公開してはならない又は無意味なウェブコンテンツが公開されないよう管理することとして、以下を例とするウェブサーバの管理や設定を行うこと。
(1)公開を想定していないファイルをウェブ公開用ディレクトリに置かない。
(2)初期状態で用意されるサンプルのページ、プログラム等、不要なものは削除する。
4 部門実施責任者及び部局システム管理者は、ウェブコンテンツの編集作業に用いる端末の限定、識別コード及び主体認証情報の適切な管理として、以下を例とするウェブサーバの管理や設定を行うこと。
(1)ウェブコンテンツの更新の際は、専用の端末を使用して行う。
(2)ウェブコンテンツの更新の際は、ウェブサーバに接続する接続元のIPアドレスを必要最小限に制限する。
(3)ウェブコンテンツの更新に利用する識別コードや主体認証情報は、情報セキュリティを確保した管理を行う。
5 部門実施責任者及び部局システム管理者は、通信時の盗聴による第三者への情報の漏えいの防止及び改ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするための措置として、以下を含むウェブサーバの実装を行うこと。
(1)TLS(SSL)機能を適切に用いる。
(2)TLS(SSL)機能のために必要となるサーバ証明書には、利用者が事前のルート証明書のインストールを必要とすることなく、その正当性を検証できる認証局(証明書発行機関)により発行された電子証明書を用いる。
(3)暗号技術検討会及び関連委員会(CRYPTREC)により作成された「SSL/TLS暗号設定ガイドライン」に従って、TLS(SSL)サーバを適切に設定する。
(ウェブアプリケーションの開発時・運用時の対策)
第103条 部門実施責任者及び部局システム管理者は、ウェブアプリケーションの開発において、既知の種類のウェブアプリケーションの脆弱性を排除するための対策を講ずること。また、運用時においても、これらの対策に漏れが無いか定期的に確認し、対策に漏れがある状態が確認された場合は対処を行うこと。
(ウェブアプリケーションの脆弱性の排除)
第104条 部門実施責任者及び部局システム管理者は、以下を含むウェブアプリケーションの脆弱性を排除すること。
(1)SQLインジェクション脆弱性
(2)OSコマンドイジェクション脆弱性
(3)ディレクトリトラバーサル脆弱性
(4)セッション管理の脆弱性
(5)アクセス制御欠如と認可処理欠如の脆弱性
(6)クロスサイトスクリプティング脆弱性
(7)クロスサイトリクエストフォージェリ脆弱性
(8)クリックジャッキング脆弱性
(9)メールヘッダインジェクション脆弱性
(10)HTTPヘッダインジェクション脆弱性
(11)evalインジェクション脆弱性
(12)レースコンディション脆弱性
(13)バッファオーバーフロー及び整数オーバーフロー脆弱性
第4節 ドメインネームシステム(DNS)
(DNSの導入時の対策)
第105条 部門実施責任者及び部局システム管理者は、要安定情報を取り扱う情報システムの名前解決を提供するコンテンツサーバにおいて、名前解決を停止させないための措置を講ずること。
2 部門実施責任者及び部局システム管理者は、キャッシュサーバにおいて、名前解決の要求への適切な応答をするための措置を講ずること。
3 部門実施責任者及び部局システム管理者は、コンテンツサーバにおいて、本法人のみで使用する名前の解決を提供する場合、当該コンテンツサーバで管理する情報が外部に漏えいしないための措置を講ずること。
(コンテンツサーバに係る対策)
第106条 部門実施責任者及び部局システム管理者は、要安定情報を取り扱う情報システムの名前解決を提供するコンテンツサーバにおいて、以下を例とする名前解決を停止させないための措置を講ずること。
(1)コンテンツサーバを冗長化する。
(2)通信回線装置等で、コンテンツサーバへのサービス不能攻撃に備えたアクセス制御を行う。
(キャッシュサーバに係る対策)
第107条 部門実施責任者及び部局システム管理者は、本法人外からの名前解決の要求に応じる必要性があるかについて検討し、必要性がないと判断される場合は必要であれば本法人内からの名前解決の要求のみに応答をするよう、以下を例とする措置を講ずること。
(1)キャッシュサーバの設定でアクセス制御を行う。
(2)ファイアウォール等でアクセス制御を行う。
(DNSキャッシュポイズニング攻撃に係る対策)
第108条 部門実施責任者及び部局システム管理者は、DNSキャッシュポイズニング攻撃から保護するため、以下を例とする措置を講ずること。
(1)ソースポートランダマイゼーション機能を導入する。
(2)DNSSECを利用する。
(本法人内のみで使用する名前の解決を提供するコンテンツサーバに係る対策)
第109条 部門実施責任者及び部局システム管理者は、本法人内のみで使用する名前の解決を提供するコンテンツサーバにおいて、以下を例とする当該コンテンツサーバで管理する情報の漏えいを防止するための措置を講ずること。
(1)外部向けのコンテンツサーバと別々に設置する。
(2)ファイアウォール等でアクセス制御を行う。
(DNSの運用時の対策)
第110条 部門実施責任者及び部局システム管理者は、コンテンツサーバを複数台設置する場合は、管理するドメインに関する情報についてサーバ間で整合性を維持すること。
2 部門実施責任者及び部局システム管理者は、コンテンツサーバにおいて管理するドメインに関する情報が正確であることを定期的に確認すること。
3 部門実施責任者及び部局システム管理者は、キャッシュサーバにおいて、名前解決の要求への適切な応答を維持するための措置を講ずること。
(キャッシュサーバに係る対策)
第111条 部門実施責任者及び部局システム管理者は、キャッシュサーバにおいて、ルートヒントファイル(DNSルートサーバの情報が登録されたファイル)の更新の有無を定期的(3か月に一度程度)に確認し、最新のDNSルートサーバの情報を維持すること。
第5節 データベース
(データベースの導入・運用時の対策)
第112条 部門実施責任者及び部局システム管理者は、データベースに対する内部不正を防止するため、管理者アカウントの適正な権限管理を行うこと。
2 部門実施責任者及び部局システム管理者は、データベースに格納されているデータにアクセスした利用者を特定できるよう、措置を講ずること。
3 部門実施責任者及び部局システム管理者は、データベースに格納されているデータに対するアクセス権を有する利用者によるデータの不正な操作を検知できるよう、対策を講ずること。
4 部門実施責任者及び部局システム管理者は、データベース及びデータベースへアクセスする機器等の脆弱性を悪用した、データの不正な操作を防止するための対策を講ずること。
5 部門実施責任者及び部局システム管理者は、データの窃取、電磁的記録媒体の盗難等による情報の漏えいを防止する必要がある場合は、適切に暗号化をすること。
(データベースの管理者権限に係る対策)
第113条 部門実施責任者及び部局システム管理者は、必要に応じて情報システムの管理者とデータベースの管理者を別にすること。
2 部門実施責任者及び部局システム管理者は、データベースに格納されているデータにアクセスする必要のない管理者に対して、データへのアクセス権を付与しないこと。
3 部門実施責任者及び部局システム管理者は、データベースの管理に関する権限の不適切な付与を検知できるよう、措置を講ずること。
(データベースの操作ログに係る対策)
第114条 部門実施責任者及び部局システム管理者は、業務を遂行するに当たって不必要なデータの操作を検知できるよう、以下を例とする措置を講ずること。
(1)一定数以上のデータの取得に関するログを記録し、警告を発する。
(2)データを取得した時刻が不自然であるなど、通常の業務によるデータベースの操作から逸脱した操作に関するログを記録し、警告を発する。
(データベースにおける脆弱性に係る対策)
第115条 部門実施責任者及び部局システム管理者は、データベースにアクセスする機器上で動作するプログラムに対して、SQLインジェクションの脆弱性を排除すること。
2 部門実施責任者及び部局システム管理者は、データベースにアクセスする機器上で動作するプログラムに対してSQLインジェクションの脆弱性の排除が不十分であると判断した場合、以下を例とする対策の実施を検討すること。
(1)ウェブアプリケーションファイアウォールの導入
(2)データベースファイアウォールの導入
(データベースにおける暗号化に係る対策)
第116条 部門実施責任者及び部局システム管理者は、格納されているデータに対して暗号化を実施する場合には、バックアップデータやトランザクションデータ等についても暗号化を実施すること。
第16章 複合機・特定用途機器
第1節 複合機・特定用途機器
(複合機)
第117条 部門実施責任者及び部局システム管理者は、複合機を調達する際には、当該複合機が備える機能、設置環境並びに取り扱う情報の格付け及び取扱制限に応じ、適切なセキュリティ要件を策定すること。
2 部門実施責任者及び部局システム管理者は、複合機が備える機能について適切な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講ずること。
3 部門実施責任者及び部局システム管理者は、複合機の運用を終了する際に、複合機の電磁的記録媒体の全ての情報を抹消すること。
(複合機の導入時の対策)
第118条 部門実施責任者及び部局システム管理者は、経済産業省が公表している「IT製品の調達におけるセキュリティ要件リスト」を参照するなどし、複合機が備える機能、設置環境及び取り扱う情報の格付け及び取扱制限に応じ、当該複合機に対して想定される脅威を分析した上で、脅威へ対抗するためのセキュリティ要件を調達仕様書に明記すること。
(複合機の運用時の対策)
第119条 部門実施責任者及び部局システム管理者は、以下を例とする運用中の複合機に対する、情報セキュリティインシデントへの対策を講ずること。
(1)複合機について、利用環境に応じた適切なセキュリティ設定を実施する。
(2)複合機が備える機能のうち利用しない機能を停止する。
(3)印刷された書面からの情報の漏えいが想定される場合には、複合機が備える操作パネルで利用者認証が成功した者のみ印刷が許可される機能等を活用する。
(4)本法人内通信回線とファクシミリ等に使用する公衆通信回線が、複合機の内部において接続されないようにする。
(5)複合機をインターネットに直接接続しない。
(6)リモートメンテナンス等の目的で複合機がインターネットを介して外部と通信する場合は、ファイアウォール等の利用により適切に通信制御を行う。
(7)利用者ごとに許可される操作を適切に設定する。
(複合機の運用終了時の対策)
第120条 部門実施責任者及び部局システム管理者は、内蔵電磁的記録媒体の全領域完全消去機能(上書き消去機能)を備える複合機については、当該機能を活用することにより複合機内部の情報を抹消すること。当該機能を備えていない複合機については、外部委託先との契約時に外部委託先に複合機内部に保存されている情報の漏えいが生じないための対策を講じさせることを、契約内容に含むようにするなどの別の手段で対策を講ずること。
(IoT機器を含む特定用途機器)
第121条 部門実施責任者及び部局システム管理者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により脅威が存在する場合には、当該機器の特性に応じた対策を講ずること。
(特定用途機器の運用時の対策)
第122条 部門実施責任者及び部局システム管理者は、特定用途機器の特性に応じて、以下を含む対策を講ずること。ただし、使用している特定用途機器の機能上の制約により講ずることができない対策を除く。
(1)特定用途機器について、主体認証情報を初期設定から変更した上で、適切に管理する。
(2)特定用途機器にアクセスする主体に応じて必要な権限を割り当て、管理する。
(3)特定用途機器が備える機能のうち利用しない機能を停止する。
(4)インターネットと通信を行う必要のない特定用途機器については、当該特定用途機器をインターネットやインターネットに接点を有する情報システムに接続しない。
(5)特定用途機器がインターネットを介して外部と通信する場合は、ファイアウォール等の利用により適切に通信制御を行う。
(6)特定用途機器のソフトウェアに関する脆弱性の有無を確認し、脆弱性が存在する場合は、バージョンアップやセキュリティパッチの適用、アクセス制御等の対策を講ずる。
(7)特定用途機器に対する不正な行為、無許可のアクセス等の意図しない事象の発生を監視する。
(8)特定用途機器を廃棄する場合は、特定用途機器の内蔵電磁的記録媒体に保存されている全ての情報を抹消する。
第17章 通信回線
第1節 通信回線
(通信回線の導入時の対策)
第123条 部門実施責任者及び部局システム管理者は、通信回線構築時に、当該通信回線に接続する情報システムにて取り扱う情報の格付け及び取扱制限に応じた適切な回線種別を選択し、情報セキュリティインシデントによる影響を回避するために、通信回線に対して必要な対策を講ずること。
2 部門実施責任者及び部局システム管理者は、通信回線において、サーバ装置及び端末のアクセス制御及び経路制御を行う機能を設けること。
3 部門実施責任者及び部局システム管理者は、要機密情報を取り扱う情報システムを通信回線に接続する際に、通信内容の秘匿性の確保が必要と考える場合は、通信内容の秘匿性を確保するための措置を講ずること。
4 部門実施責任者及び部局システム管理者は、利用者等が通信回線へ情報システムを接続する際に、当該情報システムが接続を許可されたものであることを確認するための措置を講ずること。
5 部門実施責任者及び部局システム管理者は、通信回線装置を要管理対策区域に設置すること。ただし、要管理対策区域への設置が困難な場合は、物理的な保護措置を講ずるなどして、第三者による破壊や不正な操作等が行われないようにすること。
6 部門実施責任者及び部局システム管理者は、要安定情報を取り扱う情報システムが接続される通信回線について、当該通信回線の継続的な運用を可能とするための措置を講ずること。
7 部門実施責任者及び部局システム管理者は、本法人内通信回線にインターネット回線、公衆通信回線等の本法人外通信回線を接続する場合には、本法人内通信回線及び当該本法人内通信回線に接続されている情報システムの情報セキュリティを確保するための措置を講ずること。
8 部門実施責任者及び部局システム管理者は、本法人内通信回線と本法人外通信回線との間で送受信される通信内容を監視するための措置を講ずること。
9 部門実施責任者及び部局システム管理者は、通信回線装置が動作するために必要なソフトウェアを定め、ソフトウェアを変更する際の許可申請手順を整備すること。ただし、ソフトウェアを変更することが困難な通信回線装置の場合は、この限りでない。
10 部門実施責任者及び部局システム管理者は、保守又は診断のために、遠隔地から通信回線装置に対して行われるリモートアクセスに係る情報セキュリティを確保すること。
11 部門実施責任者及び部局システム管理者は、電気通信事業者の通信回線サービスを利用する場合には、当該通信回線サービスの情報セキュリティ水準及びサービスレベルを確保するための措置について、情報システムの構築を委託する事業者と契約時に取り決めておくこと。
(通信経路の分離に係る対策)
第124条 部門実施責任者及び部局システム管理者は、通信回線を経由した情報セキュリティインシデントの影響範囲を限定的にするため、通信回線の構成、当該通信回線に接続する情報システムにて取り扱う情報の格付け及び取扱制限に応じて、以下を例とする通信経路の分離を行うこと。
(1)外部との通信を行うサーバ装置及び通信回線装置のセグメントをDMZとして構築し、内部のセグメントと通信経路を分離する。
(2)業務目的や取り扱う情報の格付け及び取扱制限に応じて情報システムごとにVLANにより通信経路を分離し、それぞれの通信制御を適切に行う。
(3)他の情報システムから独立した専用の通信回線を構築する。
(通信回線の秘匿性確保に係る対策)
第125条 部門実施責任者及び部局システム管理者は、通信経路における盗聴及び情報の改ざん等の脅威への対策として、通信内容の秘匿性を確保するための機能を設けること。通信回線の秘匿性確保の方法として、TLS(SSL)、IPsec等による暗号化を行うこと。また、その際に使用する暗号アルゴリズムについては、「電子政府推奨暗号リスト」を参照し決定すること。
(通信回線への情報システムの接続に係る対策)
第126条 部門実施責任者及び部局システム管理者は、本法人内通信回線への接続を許可された情報システムであることを確認し、無許可の情報システムの接続を拒否するための機能として、以下を例とする対策を講ずること。
(1)情報システムの機器番号等により接続機器を識別する。
(2)クライアント証明書により接続機器の認証を行う。
(通信回線及び通信回線装置の保護に係る対策)
第127条 部門実施責任者及び部局システム管理者は、第三者による通信回線及び通信回線装置の破壊、不正操作等への対策として、以下を例とする措置を講ずること。
(1)通信回線装置を施錠可能なラック等に設置する。
(2)施設内に敷設した通信ケーブルを物理的に保護する。
(3)通信回線装置の操作ログを取得する。
(要安定情報を取り扱う情報システムが接続される通信回線に係る対策)
第128条 部門実施責任者及び部局システム管理者は、要安定情報を取り扱う情報システムが接続される通信回線を構築する場合は、以下を例とする対策を講ずること。
(1)通信回線の性能低下や異常の有無を確認するため、通信回線の利用率、接続率等の運用状態を定常的に確認、分析する機能を設ける。
(2)通信回線及び通信回線装置を冗長構成にする。
(本法人内通信回線と本法人外通信回線との接続に係る対策)
第129条 部門実施責任者及び部局システム管理者は、本法人内通信回線に、インターネット回線や公衆通信回線等の本法人外通信回線を接続する場合には、外部からの不正アクセスによる被害を防止するため、以下を例とする対策を講ずること。
(1)ファイアウォール、WAF(WebApplicationFirewall)、リバースプロキシ等により通信制御を行う。
(2)通信回線装置による特定の通信プロトコルの利用を制限する。
(3)IDS/IPSにより不正アクセスを検知及び遮断する。
(遠隔地から通信回線装置に対して行われるリモートアクセスに係る対策)
第130条 部門実施責任者及び部局システム管理者は、遠隔地から保守又は診断のためのリモートメンテナンスのセキュリティ確保のために、以下を例とする対策を講ずること。
(1)リモートメンテナンス端末の機器番号等の識別コードによりアクセス制御を行う。
(2)主体認証によりアクセス制御する。
(3)通信内容の暗号化により秘匿性を確保する。
(4)ファイアウォール等の通信制御のための機器に例外的な設定を行う場合は、その設定により脆弱性が生じないようにする。
(通信回線の運用時の対策)
第131条 部門実施責任者及び部局システム管理者は、情報セキュリティインシデントによる影響を防止するために、通信回線装置の運用時に必要な措置を講ずること。
2 部門実施責任者及び部局システム管理者は、経路制御及びアクセス制御を適切に運用し、通信回線や通信要件の変更の際及び定期的に、経路制御及びアクセス制御の設定の見直しを行うこと。
3 部門実施責任者及び部局システム管理者は、通信回線装置が動作するために必要なソフトウェアの状態を定期的に調査し、許可されていないソフトウェアがインストールされているなど、不適切な状態にある通信回線装置を認識した場合には、改善を図ること。
4 部門実施責任者及び部局システム管理者は、情報システムの情報セキュリティの確保が困難な事由が発生した場合には、当該情報システムが他の情報システムと共有している通信回線について、共有先の他の情報システムを保護するため、当該通信回線とは別に独立した閉鎖的な通信回線に構成を変更すること。
(作業記録・設定情報等のバックアップの取得と保管)
第132条 部門実施責任者及び部局システム管理者は、通信回線及び通信回線装置の運用・保守に関わる作業を実施する場合は、情報セキュリティインシデント発生時の調査対応のための作業記録を取得し保管すること。
2 部門実施責任者及び部局システム管理者は、要安定情報を取り扱う情報システムを構成する通信回線装置については、運用状態を復元するために必要な設定情報等のバックアップを取得し保管すること。
(通信回線の運用終了時の対策)
第133条 部門実施責任者及び部局システム管理者は、通信回線装置の運用を終了する場合には、当該通信回線を構成する通信回線装置が運用終了後に再利用された時又は廃棄された後に、運用中に保存していた情報が漏えいすることを防止するため、当該通信回線装置の電磁的記録媒体に記録されている全ての情報を抹消するなど適切な措置を講ずること。
(リモートアクセス環境導入時の対策)
第134条 部門実施責任者及び部局システム管理者は、VPN回線を整備する場合は、利用者の主体認証及び通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講ずること。
2 部門実施責任者及び部局システム管理者は、利用者等の業務遂行を目的としたリモートアクセス環境を、本法人外通信回線を経由して本法人の情報システムへリモートアクセスする形態により構築する場合は、利用者の主体認証及び通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講ずること。
(VPN回線によるリモートアクセス環境に係る対策)
第135条 部門実施責任者及び部局システム管理者は、VPN回線を整備してリモートアクセス環境を構築する場合は、以下を例とする対策を講ずること。
(1)利用開始及び利用停止時の申請手続の整備
(2)通信を行う端末の識別又は認証
(3)利用者の認証
(4)通信内容の暗号化
(5)主体認証ログの取得及び管理
(6)リモートアクセスにおいて利用可能な公衆通信網の制限
(7)アクセス可能な情報システムの制限
(8)リモートアクセス中の他の通信回線との接続禁止
(無線LAN環境導入時の対策)
第136条 部門実施責任者及び部局システム管理者は、無線LAN技術を利用して本法人内通信回線を構築する場合は、通信回線の構築時共通の対策に加えて、通信内容の秘匿性を確保するために通信路の暗号化を行った上で、その他の情報セキュリティ確保のために必要な措置を講ずること。
(無線LAN環境導入時の対策)
第137条 部門実施責任者及び部局システム管理者は、無線LAN技術を利用して本法人内通信回線を構築する場合は、通信回線の構築時共通の対策に加えて、以下を例とする対策を講ずること。
(1)SSIDの隠蔽
(2)無線LAN通信の暗号化
(3)MACアドレスフィルタリングによる端末の識別
(4)802.1Xによる無線LANへのアクセス主体の認証
(5)無線LAN回線利用申請手続の整備
(6)無線LAN機器の管理手順の整備
(7)無線LANと接続する情報システムにおいて不正プログラム感染を認知した場合の対処手順の整備
(情報コンセント設置時の対策)
第138条 部門実施責任者及び部局システム管理者は、情報コンセントを設置する場合は、以下を例とする対策を講ずること。
(1)利用開始及び利用停止時の申請手続の整備
(2)通信を行う端末の識別又は認証
(3)利用者の認証
(4)主体認証ログの取得及び管理
(5)情報コンセント経由でアクセス可能な情報システムの明確化
(6)情報コンセント接続中の他の通信回線との接続禁止
(7)情報コンセント接続方法の機密性の確保
(8)情報コンセントに接続する端末及び通信回線装置の管理
(端末の本法人内通信回線への接続の管理)
第139条 部門実施責任者は、端末の本法人内通信回線への接続の申請を受けた場合は、別途定める接続手順に従い、申請者に対して接続の諾否を通知し必要な指示を行うこと。
(サーバ装置及び情報ネットワーク資源の管理)
第140条 部門実施責任者及び部局システム管理者は、サーバ装置及び情報ネットワークの利用を総合的かつ計画的に推進するため、サーバ装置のCPU資源及びディスク資源並びにネットワーク帯域資源を利用者等の利用形態に応じて適切に分配し管理すること。
(ネットワーク情報の管理)
第141条 部門実施責任者及び部局システム管理者は、部局情報ネットワークで使用するドメイン名やIPアドレス等のネットワーク情報について、管理運営部局から割り当てを受け、利用者等からの利用形態に応じて適切に分配し管理すること。
(上流ネットワークとの関係)
第142条 管理運営部局は、本法人内通信回線を構築し運用するにあたっては、本法人内通信回線の上流ネットワークとなる本法人外通信回線との整合性に留意すること。
第2節 IPv6通信回線
(IPv6通信を行う情報システムに係る対策)
第143条 部門実施責任者及び部局システム管理者は、IPv6技術を利用する通信を行う情報システムを構築する場合は、製品として調達する機器等について、IPv6Programに基づくPhase-2準拠製品を、可能な場合には選択すること。
2 部門実施責任者及び部局システム管理者は、IPv6通信の特性等を踏まえ、IPv6通信を想定して構築する情報システムにおいて、以下の事項を含む脅威又は脆弱性に対する検討を行い、必要な措置を講ずること。
(1)グローバルIPアドレスによる直接の到達性における脅威
(2)IPv6通信環境の設定不備等に起因する不正アクセスの脅威
(3)IPv4通信とIPv6通信を情報システムにおいて共存させる際の処理考慮漏れに起因する脆弱性の発生
(4)アプリケーションにおけるIPv6アドレスの取扱い考慮漏れに起因する脆弱性の発生
(意図しないIPv6通信の抑止・監視)
第144条 部門実施責任者及び部局システム管理者は、サーバ装置、端末及び通信回線装置を、IPv6通信を想定していない通信回線に接続する場合には、自動トンネリング機能で想定外のIPv6通信パケットが到達する脅威等、当該通信回線から受ける不正なIPv6通信による情報セキュリティ上の脅威を防止するため、IPv6通信を抑止するなどの措置を講ずること。
第18章 アプリケーション・コンテンツの作成・提供
第1節 アプリケーション・コンテンツ作成時の対策
(アプリケーション・コンテンツの作成に係る規定の整備)
第145条 CISOは、アプリケーション・コンテンツの提供時に本法人外の情報セキュリティ水準の低下を招く行為を防止するための規定を整備すること。
(アプリケーション・コンテンツのセキュリティ要件の策定)
第146条 部門実施責任者及び部局システム管理者は、本法人外の情報システム利用者の情報セキュリティ水準の低下を招かぬよう、アプリケーション・コンテンツについて以下の内容を仕様に含めること。
(1)提供するアプリケーション・コンテンツが不正プログラムを含まないこと。
(2)提供するアプリケーションが脆弱性を含まないこと。
(3)実行プログラムの形式以外にコンテンツを提供する手段がない限り、実行プログラムの形式でコンテンツを提供しないこと。
(4)電子証明書を利用するなど、提供するアプリケーション・コンテンツの改ざん等がなく真正なものであることを確認できる手段がある場合には、それをアプリケーション・コンテンツの提供先に与えること。
(5)提供するアプリケーション・コンテンツの利用時に、脆弱性が存在するバージョンのOSやソフトウェア等の利用を強制するなどの情報セキュリティ水準を低下させる設定変更を、OSやソフトウェア等の利用者に要求することがないよう、アプリケーション・コンテンツの提供方式を定めて開発すること。
(6)サービス利用に当たって必須ではない、サービス利用者その他の者に関する情報が本人の意思に反して第三者に提供されるなどの機能がアプリケーション・コンテンツに組み込まれることがないよう開発すること。
2 教職員等は、アプリケーション・コンテンツの開発・作成を外部委託する場合において、前号に掲げる内容を調達仕様に含めること。
(アプリケーション・コンテンツのセキュリティ要件に係る対策)
第147条 部門実施責任者及び部局システム管理者は、提供するアプリケーション・コンテンツが不正プログラムを含まないことを確認するために、以下を含む対策を行うこと。
(1)アプリケーション・コンテンツを提供する前に、不正プログラム対策ソフトウェアを用いてスキャンを行い、不正プログラムが含まれていないことを確認すること。
(2)外部委託により作成したアプリケーションプログラムを提供する場合には、委託先事業者に、当該アプリケーションの仕様に反するプログラムコードが含まれていないことを確認させること。
2 部門実施責任者及び部局システム管理者は、提供するアプリケーション・コンテンツにおいて、本法人外のウェブサイト等のサーバへ自動的にアクセスが発生する機能が仕様に反して組み込まれていないことを、HTMLソースを表示させるなどして確認すること。必要があって当該機能を含める場合は、当該本法人外へのアクセスが情報セキュリティ上安全なものであることを確認すること。
3 部門実施責任者及び部局システム管理者は、提供するアプリケーション・コンテンツに、本来のサービス提供に必要のない本法人外へのアクセスを自動的に発生させる機能を含めないこと。
4 部門実施責任者及び部局システム管理者は、文書ファイル等のコンテンツの提供において、当該コンテンツが改ざん等なく真正なものであることを確認できる手段がない場合は、「https://」で始まるURLのウェブページから当該コンテンツをダウンロードできるように提供すること。
5 部門実施責任者及び部局システム管理者は、改ざん等がなく真正なものであることを確認できる手段の提供として電子証明書を用いた署名を用いるとき、国立情報学研究所UPKI電子証明書発行サービス(UPKI)の利用が可能である場合は、国立情報学研究所UPKI電子証明書発行サービスにより発行された電子証明書を用いて署名を施すこと。
第2節 アプリケーション・コンテンツ提供時の対策
(高知県公立大学法人関連ドメイン名の使用)
第148条 部門実施責任者及び部局システム管理者は、本法人外向けに提供するウェブサイト等が実際の本法人提供のものであることを利用者が確認できるように、kppuc.ac.jp、u-kochi.ac.jp及びkochi-tech.ac.jpで終わるドメイン名(以下「高知県公立大学法人関連ドメイン名」という。)を情報システムにおいて使用するよう仕様に含めること。
2 教職員等は、本法人外向けに提供するウェブサイト等の作成を外部委託する場合においては、前項と同様、高知県公立大学法人関連ドメイン名を使用するよう調達仕様に含めること。
(不正なウェブサイトへの誘導防止)
第149条 部門実施責任者及び部局システム管理者は、利用者が検索サイト等を経由して本法人のウェブサイトになりすました不正なウェブサイトへ誘導されないよう対策を講ずること。
(検索サイトに係る対策)
第150条 部門実施責任者及び部局システム管理者は、本法人外向けに提供するウェブサイトに対して、以下を例とする検索エンジン最適化措置(SEO対策)を講ずること。
(1)クローラからのアクセスを排除しない。
(2)cookie機能を無効に設定したブラウザでも正常に閲覧可能とする。
(3)適切なタイトルを設定する。
(4)不適切な誘導を行わない。
2 部門実施責任者及び部局システム管理者は、本法人外向けに提供するウェブサイトに関連するキーワードで定期的にウェブサイトを検索し、検索結果に不審なサイトが存在した場合は、速やかにその検索サイト業者へ報告するとともに、不審なサイトへのアクセスを防止するための対策を講ずること。
(本法人外のアプリケーション・コンテンツの告知)
第151条 アプリケーション・コンテンツを告知する場合は、告知する対象となるアプリケーション・コンテンツに利用者が確実に誘導されるよう、必要な措置を講ずること。
2 利用者等は、本法人外の者が提供するアプリケーション・コンテンツを告知する場合は、告知するURL等の有効性を保つこと。
(アプリケーション・コンテンツの告知に係る対策)
第152条 利用者等は、アプリケーション・コンテンツを告知するに当たって、誘導を確実なものとするため、URL等を用いて直接誘導することを原則とし、検索サイトで指定の検索語を用いて検索することを促す方法その他の間接的な誘導方法を用いる場合であっても、URL等と一体的に表示すること。また、短縮URLを用いないこと。
2 利用者等は、アプリケーション・コンテンツを告知するに当たって、URLを二次元コード等に変換して印刷物等に表示して誘導する場合には、当該コードによる誘導先を明らかにするため、アプリケーション・コンテンツの内容に係る記述を当該コードと一体的に表示すること。
3 利用者等は、本法人外の者が提供するアプリケーション・コンテンツを告知する場合は、告知するURL等の有効性を保つために以下の措置を講ずること。
(1)告知するアプリケーション・コンテンツを管理する組織名を明記する。
(2)告知するアプリケーション・コンテンツの所在場所の有効性(リンク先のURLのドメイン名の有効期限等)を確認した時期又は有効性を保証する期間について明記する。
第19章 情報システムのセキュリティ機能
第1節 主体認証機能
(主体認証機能の導入)
第153条 部門実施責任者及び部局システム管理者は、情報システムや情報へのアクセスを管理するため、主体を特定し、それが正当な主体であることを検証する必要がある場合、主体の識別及び主体認証を行う機能を設けること。
2 部門実施責任者及び部局システム管理者は、外部機関との間の申請、届出等のオンライン手続を提供する情報システムを構築する場合は、オンライン手続におけるリスクを評価した上で、主体認証に係る要件を策定すること。
3 部門実施責任者及び部局システム管理者は、主体認証を行う情報システムにおいて、主体認証情報の漏えい等による不正行為を防止するための措置及び不正な主体認証の試行に対抗するための措置を講ずること。
(主体認証に係る対策)
第154条 部門実施責任者及び部局システム管理者は、利用者が正当であることを検証するための主体認証機能を設けるに当たっては、以下を例とする主体認証方式を決定し、導入すること。この際、認証の強度として2つ以上の方式を組み合わせる主体認証方式(多要素主体認証方式)が求められる場合には、これを用いること。
(1)知識(パスワード等、利用者本人のみが知り得る情報)による認証
(2)所有(電子証明書を格納するICカード又はワンタイムパスワード生成器、利用者本人のみが所有する機器等)による認証
(3)生体(指紋や静脈等、本人の生体的な特徴)による認証
2 部門実施責任者及び部局システム管理者は、主体認証情報としてパスワードを使用し、利用者自らがパスワードを設定することを可能とする場合には、辞書攻撃等によるパスワード解析への耐性を考慮し、文字の種類や組合せ、桁数等のパスワード設定条件を利用者に守らせる機能を設けること。
(不正行為を防止するための措置)
第155条 部門実施責任者及び部局システム管理者は、主体認証を行う情報システムにおいて、利用者に主体認証情報の定期的な変更を求める場合には、利用者に対して定期的な変更を促す機能のほか、以下を例とする機能を設けること。
(1)利用者が定期的に変更しているか否かを確認する機能
(2)利用者が定期的に変更しなければ、情報システムの利用を継続させない機能
(3)利用者が主体認証情報を変更する際に、以前に設定した主体認証情報の再設定を防止する機能
2 部門実施責任者及び部局システム管理者は、主体認証を行う情報システムにおいて、主体認証情報が第三者に対して明らかにならないよう、以下を含む方法を用いて適切に管理すること。
(1)主体認証情報を送信又は保存する場合には、その内容を暗号化する。
(2)主体認証情報に対するアクセス制限を設ける。
3 部門実施責任者及び部局システム管理者は、主体認証を行う情報システムにおいて、主体認証情報を他の主体に利用され、又は利用されるおそれを認識した場合の対策として、以下を例とする機能を設けること。
(1)当該主体認証情報及び対応する識別コードの利用を停止する機能
(2)主体認証情報の再設定を利用者に要求する機能
(識別コード及び主体認証情報の管理)
第156条 部門実施責任者及び部局システム管理者は、情報システムにアクセスする全ての主体に対して、識別コード及び主体認証情報を適切に付与し、管理するための措置を講ずること。
2 部門実施責任者及び部局システム管理者は、主体が情報システムを利用する必要がなくなった場合は、当該主体の識別コード及び主体認証情報の不正な利用を防止するための措置を速やかに講ずること。
(識別コード及び主体認証情報の管理に係る対策)
第157条 部門実施責任者及び部局システム管理者は、情報システムを利用する許可を得た主体に対してのみ、識別コード及び主体認証情報を付与(発行、更新及び変更を含む。以下この項において同じ。)すること。
2 部門実施責任者及び部局システム管理者は、識別コードの付与に当たっては、以下を例とする措置を講ずること。
(1)単一の情報システムにおいて、ある主体に付与した識別コード(共用識別コードを除く。)を別の主体に対して付与することの禁止
(2)主体への識別コードの付与に関する記録を消去する場合の部門実施責任者からの事前の許可
3 部門実施責任者及び部局システム管理者は、主体以外の者が識別コード又は主体認証情報を設定する場合に、主体へ安全な方法で主体認証情報を配布するよう、措置を講ずること。
4 部門実施責任者及び部局システム管理者は、識別コード及び知識による主体認証情報を付与された主体に対し、初期設定の主体認証情報(必要に応じて、初期設定の識別コードも)を速やかに変更するよう、促すこと。
5 部門実施責任者及び部局システム管理者は、知識による主体認証方式を用いる場合には、他の情報システムで利用している主体認証情報を設定しないよう主体に注意を促すこと。
6 部門実施責任者及び部局システム管理者は、情報システムを利用する主体ごとに識別コードを個別に付与すること。ただし、部門実施責任者及び部局システム管理者の判断の下、やむを得ず共用識別コードを付与する必要がある場合には、利用者を特定できる仕組みを設けた上で、共用識別コードの取扱いに関する規定を整備し、その規定に従って利用者に付与すること。
7 部門実施責任者及び部局システム管理者は、主体認証情報の不正な利用を防止するために、主体が情報システムを利用する必要がなくなった場合には、以下を例とする措置を講ずること。
(1)当該主体の識別コードを無効にする。
(2)当該主体に交付した主体認証情報格納装置を返還させる。
(3)無効化した識別コードを他の主体に新たに発行することを禁止する。
第2節 アクセス制御機能
(アクセス制御機能の導入)
第158条 部門実施責任者及び部局システム管理者は、情報システムの特性、情報システムが取り扱う情報の格付け及び取扱制限等に従い、権限を有する者のみがアクセス制御の設定等を行うことができる機能を設けること。
2 部門実施責任者及び部局システム管理者は、情報システム及び情報へのアクセスを許可する主体が確実に制限されるように、アクセス制御機能を適切に運用すること。
(アクセス制御に係る対策)
第159条 部門実施責任者及び部局システム管理者は、主体の属性、アクセス対象の属性に基づくアクセス制御の要件を定めること。また、必要に応じて、以下を例とするアクセス制御機能の要件を定めること。
(1)利用時間や利用時間帯によるアクセス制御
(2)同一主体による複数アクセスの制限
(3)IPアドレスによる端末の制限
(4)ネットワークセグメントの分割によるアクセス制御
第3節 権限の管理
(権限の管理)
第160条 部門実施責任者及び部局システム管理者は、主体から対象に対するアクセスの権限を適切に設定するよう、措置を講ずること。
2 部門実施責任者及び部局システム管理者は、管理者権限の特権を持つ主体の識別コード及び主体認証情報が、悪意ある第三者等によって窃取された際の被害を最小化するための措置及び、内部からの不正操作や誤操作を防止するための措置を講ずること。
(権限管理に係る対策)
第161条 部門実施責任者及び部局システム管理者は、権限管理を行う情報システムにおいて、以下を含めた機能を導入すること。
(1)業務上必要な場合に限定する
(2)必要最小限の権限のみ付与
(3)管理者権限を行使できる端末をシステム管理者等の専用の端末とする
第4節 ログの取得・管理
(ログの取得・管理)
第162条 部門実施責任者及び部局システム管理者は、情報システムにおいて、情報システムが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために必要なログを取得すること。
2 部門実施責任者及び部局システム管理者は、情報システムにおいて、その特性に応じてログを取得する目的を設定した上で、ログを取得する対象の機器等、ログとして取得する情報項目、ログの保存期間、要保護情報の観点でのログ情報の取扱方法、及びログが取得できなくなった場合の対処方法等について定め、適切にログを管理すること。
3 部門実施責任者及び部局システム管理者は、情報システムにおいて、取得したログを定期的に点検又は分析する機能を設け、悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施すること。
(ログの取得に係る対策)
第163条 部門実施責任者及び部局システム管理者は、情報システムに含まれる構成要素(サーバ装置・端末等)のうち、時刻設定が可能なものについては、情報システムにおいて基準となる時刻に、当該構成要素の時刻を同期させ、ログに時刻情報も記録されるよう、設定すること。
(ログの管理に係る対策)
第164条 部門実施責任者及び部局システム管理者は、所管する情報システムの特性に応じてログを取得する目的を設定し、以下を例とする、ログとして取得する情報項目を定め、管理すること。
(1)事象の主体(人物又は機器等)を示す識別コード
(2)識別コードの発行等の管理記録
(3)情報システムの操作記録
(4)事象の種類
(5)事象の対象
(6)正確な日付及び時刻
(7)試みられたアクセスに関わる情報
(8)電子メールのヘッダ情報及び送信内容
(9)通信パケットの内容
(10)操作する者、監視する者、保守する者等への通知の内容
2 部門実施責任者及び部局システム管理者は、取得したログに対する、不正な消去、改ざん及びアクセスを防止するため、適切なアクセス制御を含む、ログ情報の保全方法を定めること。
3 部門実施責任者及び部局システム管理者は、ログが取得できなくなった場合の対処方法を定めること。
(ログの分析・点検に係る対策)
第165条 部門実施責任者及び部局システム管理者は、取得したログを効率的かつ確実に点検及び分析し、その結果を報告するために、以下を例とする、当該作業を支援する機能を導入すること。
(1)ログ情報をソフトウェア等により集計し、時系列で表示し、報告書を生成するなどの作業の自動化
(通信の監視)
第166条 情報システムを運用・管理する者及び利用者等は、ネットワークを通じて行われる通信を傍受してはならない。ただし、CISO又は当該ネットワークを管理する部門実施責任者は、セキュリティ確保のため、あらかじめ指定した者に、ネットワークを通じて行われる通信の監視(以下「監視」という。)を行わせることができる。
2 CISO又は部門実施責任者は、監視の範囲をあらかじめ具体的に定めておかなければならない。ただし、不正アクセス行為又はこれに類する重大なセキュリティ侵害に対処するために特に必要と認められる場合、CISO又は部門実施責任者は、セキュリティ侵害の緊急性、内容及び程度に応じて、対処のために不可欠と認められる情報について、監視を行うよう命ずることができる。
3 監視を行う者は、監視によって知った通信の内容又は個人情報を、他の者に伝達してはならない。ただし、前項ただし書きに定める情報については、CISO並びに部門実施責任者、及び、情報セキュリティ委員会に伝達することができる。
4 監視によって採取された記録(以下「監視記録」という。)は要機密情報、要保全情報、要安定情報とし、監視を行わせる者を情報の作成者とする。
5 監視を行わせる者は、監視を行う者に対して、監視記録を保存する期間をあらかじめ指示するものとする。監視を行う者は、指示された期間を経過した監視記録を直ちに破棄しなければならない。ただし、監視記録から個人情報に係る部分を削除して、ネットワーク運用・管理のための資料とすることができる。資料は、体系的に整理し、常に活用できるよう保存することが望ましい。
6 監視を行う者及び監視記録の伝達を受けた者は、ネットワーク運用・管理のために必要な限りで、これを閲覧し、かつ、保存することができる。監視記録を不必要に閲覧してはならない。不必要となった監視記録は、直ちに破棄しなければならない。監視記録の内容を、法令に基づく場合等を除き、他の者に伝達してはならない。
(利用記録)
第167条 複数の者が利用する情報機器を管理する部門実施責任者及び部局システム管理者(以下「当該情報機器の管理者」という。)は、当該機器に係る利用記録(以下「利用記録」という。)をあらかじめ定めた目的の範囲でのみ取得することができる。当該目的との関連で必要性の認められない利用記録を取得することはできない。
2 前項に規定する目的は、法令の遵守、情報セキュリティの確保、課金その他当該情報機器の利用に必要なものに限られる。個人情報の取得を目的とすることはできない。
3 利用記録は要機密情報、要保全情報とし、当該情報機器の管理者を情報の作成者とする。
4 当該情報機器の管理者は、第1項の目的のために必要な限りで、利用記録を閲覧することができる。他人の個人情報及び通信内容を不必要に閲覧してはならない。
5 当該情報機器の管理者は、第2項に規定する目的のために必要な限りで、利用記録を他の者に伝達することができる。
6 当該情報機器の管理者は、第2項の目的、これによって取得しようとする利用記録の範囲及び前項により利用記録を伝達する者を、あらかじめ部門実施責任者に申告し、かつ、当該機器の利用者等に開示しなければならない。部門実施責任者は、申告の内容を不適切と認めるときは、これを修正させるものとする。
7 当該情報機器の管理者又は利用記録の伝達を受けた者は、第1項の目的のために必要な限りで、これを保有することができる。不要となった利用記録は、直ちに破棄しなければならない。ただし、当該情報機器の管理者は、利用記録から個人情報に係る部分を削除して、ネットワーク運用・管理のための資料とすることができる。資料は、体系的に整理し、常に活用できるよう保存することが望ましい。
(個人情報の取得と管理)
第168条 電子的に個人情報の提供を求めようとする者は、提供を求める情報の範囲、利用の目的、その情報が伝達される範囲を、あらかじめ相手方に示さなければならない。
2 前項の個人情報は、当人の請求により開示、訂正又は削除をしなければならない。また、そのための手続を示さなければならない。
(利用者等が保有する情報の保護)
第169条 複数の者が利用する情報機器を管理する部門実施責任者及び部局システム管理者は、利用者等が保有する情報をネットワーク運用に不可欠な範囲又は情報セキュリティインシデントへの対処に不可欠な範囲において、閲覧、複製又は提供することができる。
第5節 暗号・電子署名
(暗号化機能・電子署名機能の導入)
第170条 部門実施責任者及び部局システム管理者は、情報システムで取り扱う情報の漏えいや改ざん等を防ぐため、以下の措置を講ずること。
(1)要機密情報を取り扱う情報システムについては、暗号化を行う機能の必要性の有無を検討し、必要があると認めたときは、当該機能を設けること。
(2)要保全情報を取り扱う情報システムについては、電子署名の付与及び検証を行う機能を設ける必要性の有無を検討し、必要があると認めたときは、当該機能を設けること。
2 部門実施責任者及び部局システム管理者は、「暗号技術検討会及び関連委員会」(CRYPTREC)により安全性及び実装性能が確認された「電子政府推奨暗号リスト」を参照した上で、情報システムで使用する暗号及び電子署名のアルゴリズム並びにそれを利用した安全なプロトコル及びその運用方法について、以下の事項を含めて定めること。
(1)利用者等が暗号化及び電子署名に対して使用するアルゴリズム及びそれを利用した安全なプロトコルについて、「電子政府推奨暗号リスト」に記載された暗号化及び電子署名のアルゴリズムが使用可能な場合には、それを使用させること。
(2)情報システムの新規構築又は更新に伴い、暗号化又は電子署名を導入する場合には、やむを得ない場合を除き、「電子政府推奨暗号リスト」に記載されたアルゴリズム及びそれを利用した安全なプロトコルを採用すること。
(3)暗号化及び電子署名に使用する「アルゴリズムが危殆化」(危殆化の読み:きたいか、意味:暗号アルゴリズムは年月が経つにつれ、情報システムの処理能力の向上や新たな暗号解読技法の考案等によって、アルゴリズム設計当初の強度を失い、結果として、安全性を保てなくなること)した場合又はそれを利用した安全なプロトコルに脆弱性が確認された場合を想定した緊急対応手順を定めること。
(4)暗号化された情報の復号又は電子署名の付与に用いる鍵について、管理手順を定めること。
3 部門実施責任者及び部局システム管理者は、本法人における暗号化及び電子署名のアルゴリズム及び運用方法に、電子署名を行うに当たり、電子署名の目的に合致し、かつ適用可能な電子証明書を国立情報学研究所UPKI電子証明書発行サービスが発行している場合は、それを使用するように定めること。
(暗号化・電子署名に係る対策)
第171条 部門実施責任者及び部局システム管理者は、暗号化又は電子署名を行う情報システムにおいて、以下を例とする措置を講ずること。
(1)情報システムのコンポーネント(部品)として、暗号モジュールを交換することが可能な構成とする。
(2)複数のアルゴリズム及びそれに基づいた安全なプロトコルを選択することが可能な構成とする。
(3)選択したアルゴリズムがソフトウェア及びハードウェアへ適切に実装されており、かつ、暗号化された情報の復号又は電子署名の付与に用いる鍵及びそれに対応する主体認証情報等が安全に保護される製品を利用することを確実にするため、暗号モジュール試験及び認証制度」(認証機関:IPA(独立行政法人情報処理推進機構))に基づく認証を取得している製品を選択する。
(4)暗号化された情報の復号又は電子署名の付与に用いる鍵については、耐タンパ性を有する暗号モジュールへ格納する。
(5)機微な情報のやり取りを行う情報システムを新規に構築する場合は、安全性に実績のある暗号プロトコルを選択し、長期的な秘匿性を保証する観点を考慮する。
(暗号化・電子署名に係る管理)
第172条 部門実施責任者及び部局システム管理者は、暗号及び電子署名を適切な状況で利用するため、以下の措置を講ずること。
(1)電子署名の付与を行う情報システムにおいて、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全な方法で提供すること。
(2)暗号化を行う情報システム又は電子署名の付与若しくは検証を行う情報システムにおいて、暗号化又は電子署名のために選択されたアルゴリズムの危殆化及びプロトコルの脆弱性に関する情報を定期的に入手し、必要に応じて、利用者等と共有を図ること。
(電子署名の正当性を検証するための情報提供)
第173条 部門実施責任者及び部局システム管理者は、署名検証者が、電子署名の正当性を容易に検証するための情報を入手できるよう、以下を例とする方法により、当該情報の提供を可能とすること。
(1)信頼できる機関による電子証明書の提供
(2)本法人の窓口での電子証明書の提供
第20章 情報セキュリティの脅威への対策
第1節 ソフトウェアに関する脆弱性対策
(ソフトウェアに関する脆弱性対策の実施)
第174条 部門実施責任者及び部局システム管理者は、サーバ装置、端末及び通信回線装置の設置又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開された脆弱性についての対策を実施すること。
2 部門実施責任者及び部局システム管理者は、公開された脆弱性の情報がない段階において、サーバ装置、端末及び通信回線装置上でとり得る対策がある場合は、当該対策を実施すること。
3 部門実施責任者及び部局システム管理者は、サーバ装置、端末及び通信回線装置上で利用するソフトウェアにおける脆弱性対策の状況を定期的に確認すること。
4 部門実施責任者及び部局システム管理者は、脆弱性対策の状況の定期的な確認により、脆弱性対策が講じられていない状態が確認された場合並びにサーバ装置、端末及び通信回線装置上で利用するソフトウェアに関連する脆弱性情報を入手した場合には、セキュリティパッチの適用又はソフトウェアのバージョンアップ等による情報システムへの影響を考慮した上で、ソフトウェアに関する脆弱性対策計画を策定し、措置を講ずること。
(ソフトウェアに関する脆弱性対策)
第175条 部門実施責任者及び部局システム管理者は、対象となるソフトウェアの脆弱性に関して、以下を含む情報を適宜入手すること。
(1)脆弱性の原因
(2)影響範囲
(3)対策方法
(4)脆弱性を悪用する不正プログラムの流通状況
2 部門実施責任者及び部局システム管理者は、利用するソフトウェアはサポート期間を考慮して選定し、サポートが受けられないソフトウェアは利用しないこと。
3 部門実施責任者及び部局システム管理者は、以下を例とする手段で脆弱性対策の状況を確認すること。
(1)構成要素ごとにソフトウェアのバージョン等を把握し、当該ソフトウェアの脆弱性の有無を確認する。
(2)脆弱性診断を実施する。
4 部門実施責任者及び部局システム管理者は、脆弱性対策の状況を確認する間隔を、可能な範囲で短くすること。
5 部門実施責任者及び部局システム管理者は、ソフトウェアに関する脆弱性対策計画を策定する場合には、以下の事項について判断すること。
(1)対策の必要性
(2)対策方法 
(3)対策方法又は回避方法が情報システムに与える影響
(4)対策の実施予定時期
6 部門実施責任者及び部局システム管理者は、脆弱性対策が計画どおり実施されていることについて、実施予定時期の経過後、遅滞なく確認すること。
7 部門実施責任者及び部局システム管理者は、脆弱性対策を実施する場合には、少なくとも以下の事項を記録し、これらの事項のほかに必要事項があれば適宜記録すること。
(1)実施日
(2)実施内容
(3)実施者
8 部門実施責任者及び部局システム管理者は、セキュリティパッチ、バージョンアップソフトウェア等の脆弱性を解決するために利用されるファイル(以下「対策用ファイル」という。)は、信頼できる方法で入手すること。
第2節 不正プログラム対策
(不正プログラム対策の実施)
第176条 部門実施責任者及び部局システム管理者は、サーバ装置及び端末に不正プログラム対策ソフトウェア等を導入すること。ただし、当該サーバ装置及び端末で動作可能な不正プログラム対策ソフトウェア等が存在しない場合を除く。
2 部門実施責任者及び部局システム管理者は、想定される不正プログラムの感染経路の全てにおいて、不正プログラム対策ソフトウェア等により対策を講ずること。
3 部門実施責任者及び部局システム管理者は、不正プログラム対策の状況を適宜把握し、必要な対処を行うこと。
(不正プログラム対策ソフトウェア等に係る対策)
第177条 部門実施責任者及び部局システム管理者は、不正プログラム対策ソフトウェア等及びその定義ファイルは、常に最新のものが利用可能となるよう構成すること。
2 部門実施責任者及び部局システム管理者は、不正プログラム対策ソフトウェア等の設定変更権限については、システム管理者が一括管理し、システム利用者に当該権限を付与しないこと。
3 部門実施責任者及び部局システム管理者は、不正プログラム対策ソフトウェア等は、定期的に全てのファイルを対象としたスキャンを実施するよう構成すること。
(想定される不正プログラムの感染経路の全てにおける対策)
第178条 部門実施責任者及び部局システム管理者は、想定される全ての感染経路を特定し、不正プログラム対策ソフトウェア等の導入による感染の防止、端末の接続制限及び機能の無効化等による感染拡大の防止等の必要な対策を行うこと。
(不正プログラム対策の状況の把握)
第179条 部門実施責任者及び部局システム管理者は、不正プログラム対策の実施を徹底するため、以下を例とする不正プログラム対策に関する状況を把握し、必要な対処を行うこと。
(1)不正プログラム対策ソフトウェア等の導入状況
(2)不正プログラム対策ソフトウェア等の定義ファイルの更新状況
第3節 サービス不能攻撃対策
(サービス不能攻撃対策の実施)
第180条 部門実施責任者及び部局システム管理者は、要安定情報を取り扱う情報システム(インターネットからアクセスを受ける情報システムに限る。以下この条において同じ。)については、サービス提供に必要なサーバ装置、端末及び通信回線装置が装備している機能又は民間事業者等が提供する手段を用いてサービス不能攻撃への対策を行うこと。
2 部門実施責任者及び部局システム管理者は、要安定情報を取り扱う情報システムについては、サービス不能攻撃を受けた場合の影響を最小とする手段を備えた情報システムを構築すること。
3 部門実施責任者及び部局システム管理者は、要安定情報を取り扱う情報システムについては、サービス不能攻撃を受けるサーバ装置、端末、通信回線装置又は通信回線から監視対象を特定し、監視すること。
(サービス不能攻撃への対策)
第181条 部門実施責任者及び部局システム管理者は、サーバ装置、端末及び通信回線装置について、以下を例とするサービス不能攻撃に対抗するための機能を設けている場合は、これらを有効にしてサービス不能攻撃に対処すること。
(1)パケットフィルタリング機能
(2)3-wayhandshake時のタイムアウトの短縮
(3)各種Flood攻撃への防御
(4)アプリケーションゲートウェイ機能
(サービス不能攻撃を受けた場合を想定した対策)
第182条 部門実施責任者及び部局システム管理者は、サービス不能攻撃を受けた場合を想定し、直ちに情報システムを外部ネットワークから遮断する、又は通信回線の通信量を制限するなどの手段を有する情報システムを構築すること。
2 部門実施責任者及び部局システム管理者は、サーバ装置、端末及び通信回線装置に設けられている機能を有効にするだけではサービス不能攻撃の影響を排除又は低減できない場合には、以下を例とする対策を検討すること。
(1)インターネットに接続している通信回線の提供元となる事業者が別途提供する、サービス不能攻撃に係る通信の遮断等の対策
(2)サービス不能攻撃の影響を排除又は低減するための専用の対策装置の導入
(3)サーバ装置、端末及び通信回線装置及び通信回線の冗長化
3 部門実施責任者及び部局システム管理者は、サービス不能攻撃を受け、サーバ装置、通信回線装置又は通信回線が過負荷状態に陥り利用できない場合を想定し、攻撃への対処を効率的に実施できる手段の確保について検討すること。
(サービス不能攻撃を受けることに関する監視)
第183条 部門実施責任者及び部局システム管理者は、特定した監視対象について、監視方法及び監視記録の保存期間を定めること。
2 部門実施責任者及び部局システム管理者は、監視対象の監視記録を保存すること。
第4節 標的型攻撃対策
(標的型攻撃対策の実施)
第184条 部門実施責任者及び部局システム管理者は、情報システムにおいて、標的型攻撃による組織内部への侵入を低減する対策(入口対策)を講ずること。
2 部門実施責任者及び部局システム管理者は、情報システムにおいて、内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策(内部対策)を講ずること。
(標的型攻撃に係る入口対策)
第185条 部門実施責任者及び部局システム管理者は、サーバ装置及び端末について、組織内部への侵入を低減するため、以下を例とする対策を行うこと。
(1)不要なサービスについて機能を削除又は停止する。
(2)不審なプログラムが実行されないよう設定する。
(3)パーソナルファイアウォール等を用いて、サーバ装置及び端末に入力される通信及び出力される通信を必要最小限に制限する。
2 部門実施責任者及び部局システム管理者は、USBメモリ等の外部電磁的記録媒体を利用した、組織内部への侵入を低減するため、以下を例とする対策を行うこと。
(1)出所不明の外部電磁的記録媒体を組織内ネットワーク上の端末に接続させない。接続する外部電磁的記録媒体を事前に特定しておく。
(2)外部電磁的記録媒体をサーバ装置及び端末に接続する際、不正プログラム対策ソフトウェアを用いて検査する。
(3)サーバ装置及び端末について、自動再生(オートラン)機能を無効化する。
(4)サーバ装置及び端末について、外部電磁的記録媒体内にあるプログラムを一律に実行拒否する設定とする。
(5)サーバ装置及び端末について、使用を想定しないUSBポートを無効化する。
(6)組織内ネットワーク上の端末に対する外部電磁的記録媒体の接続を制御及び管理するための製品やサービスを導入する。
(標的型攻撃に係る内部対策)
第186条 部門実施責任者及び部局システム管理者は、情報窃取や破壊等の攻撃対象となる蓋然性が高いと想定される、認証サーバやファイルサーバ等の重要なサーバについて、以下を例とする対策を行うこと。
(1)重要サーバについては、組織内ネットワークを複数セグメントに区切った上で、重要サーバ類専用のセグメントに設置し、他のセグメントからのアクセスを必要最小限に限定する。また、インターネットに直接接続しない。
(2)認証サーバについては、利用者端末から管理者権限を狙う攻撃(辞書攻撃、ブルートフォース攻撃等)を受けることを想定した対策を講ずる。
2 部門実施責任者及び部局システム管理者は、端末の管理者権限アカウントについて、以下を例とする対策を行うこと。
(1)不要な管理者権限アカウントを削除する。
(2)管理者権限アカウントのパスワードは、容易に推測できないものに設定する。
3 部門実施責任者及び部局システム管理者は、重点的に守るべき業務・情報を取り扱う情報システムについては、内閣官房内閣サイバーセキュリティセンターが公表する「高度サイバー攻撃対処のためのリスク評価等のガイドライン」に従って、対策を講ずること。
第21章 ゼロトラストアーキテクチャ
第1節 動的なアクセス制御の実装時の対策
(動的なアクセス制御における責任者の設置)
第187条 CISOは、複数の情報システム間で動的なアクセス制御を実装する場合は、複数の情報システム間で横断的な対策の企画・推進・運用に関する事務の責任者として、部局技術責任者を選任すること。
(動的なアクセス制御の導入方針の検討)
第188条 部局技術責任者は、動的なアクセス制御を導入する場合、動的アクセス制御の対象とする情報システムのリソースを識別し、動的なアクセス制御の導入方針を定めること。
2 部局技術責任者は、動的なアクセス制御の対象とする情報システムの範囲や優先度を検討し、動的なアクセス制御の対象とする情報システムを特定すること。
3 部局技術責任者は、特定した情報システムの利用形態等を基に以下を例とする区分で情報システムのリソースを識別すること。
(1)ユーザアカウント
(2)機器
(3)アプリケーション
(4)データ
4 部局技術責任者は、識別したリソースを基にアクセスパターンを整理すること。
5 部局技術責任者は、整理したアクセスパターンに対するリスク評価を実施し、動的なアクセス制御を実装するアクセスパターンを特定すること。
(動的なアクセス制御の実装時の対策)
第189条 部局技術責任者は、動的なアクセス制御の実装に当たり、リソースの信用情報の変化に応じて動的にアクセス制御を行うためのアクセス制御ポリシー(以下「アクセス制御ポリシー」という。)を作成すること。
2 部局技術責任者は、動的なアクセス制御を実現するための構成について検討すること。
3 部局技術責任者は、動的なアクセス制御の実装に当たり、動的なアクセス制御に活用する以下を例とするリソースの信用情報を整理すること。
(1)ユーザアカウント
(2)機器
(3)アプリケーション
(4)データ
4 部局技術責任者は、リソースの信用情報の変化に応じてアクセス制御ポリシーを作成すること。
5 部局技術責任者は、アクセス制御ポリシーに基づき、動的なアクセス制御を行うこと。
6 部局技術責任者は、リソースの信用情報の変化を踏まえて、リソースの信用情報を収集する頻度・機会について定めること。
7 部局技術責任者は、リソースの認証・認可において、アクセス制御ポリシーに基づき、セッションが確立していない操作ごとにアクセス制御を行うこと。
第2節 動的なアクセス制御の運用時の対策
(動的なアクセス制御の実装方針の見直し)
第190条 部局技術責任者は、動的なアクセス制御の運用に際し、情報セキュリティに係る重大な変化等を踏まえ、アクセス制御ポリシーの見直しをすること。
2 部局技術責任者は、動的なアクセス制御の運用に際し、アクセスパターンやアクセス先のリソースの変化があった場合は、変化が影響する箇所に対し再度リスク評価を行い、アクセス制御ポリシーの見直しをすること。
第22章 情報システムの利用
(情報システムの利用に係る規定の整備)
第191条 CISOは、本法人の情報システムの利用のうち、情報セキュリティに関する規定を整備すること。
2 CISOは、利用者等が本法人により支給する端末(要管理対策区域外で使用する場合に限る)及び本法人支給以外の端末を用いて要保護情報を取り扱う場合について、これらの端末や利用した通信回線から情報が漏えいするなどのリスクを踏まえた利用手順及び許可手続を定めること。
3 CISOは、要管理対策区域外において本法人外通信回線に接続した端末(支給外端末を含む)を要管理対策区域で本法人内通信回線に接続することについての可否を判断した上で、可と判断する場合は、当該端末(支給外端末を含む)から本法人内通信回線を経由して情報システムが不正プログラムに感染するリスクを踏まえた安全管理措置に関する規定及び許可手続を定めること。
4 CISOは、USBメモリ等の外部電磁的記録媒体を用いた情報の取扱いに関する利用手順を定めること。当該手順には、以下の事項を含めること。
(1)利用者等は、国の行政機関、独立行政法人若しくは指定法人が支給する外部電磁的記録媒体、又は本項に規定する利用手順において定められた外部電磁的記録媒体を用いた情報の取扱いの遵守を契約により本法人との間で取り決めた本法人外の組織から受け取った外部電磁的記録媒体を使用すること。
(2)自組織以外の組織から受け取った外部電磁的記録媒体は、自組織と当該組織との間で情報を運搬する目的に限って使用することとし、当該外部電磁的記録媒体から情報を運搬する目的に限って使用することとし、当該外部電磁的記録媒体から情報を読み込む場合及びこれに情報を書き出す場合の安全確保のために必要な措置を講ずること。
5 CISOは、機密性3情報、要保全情報又は要安定情報が記録されたUSBメモリ等の外部電磁的記録媒体を要管理対策区域外に持ち出す際の許可手続を定めること。
(情報システムの利用に係る実施手順の整備)
第192条 CISOは、本法人の情報システムの利用のうち、情報セキュリティに関する規定として、以下を例とする実施手順を定めること。
(1)情報システムの基本的な利用のうち、情報セキュリティに関する手順
(2)電子メール及びウェブの利用のうち、情報セキュリティに関する手順
(3)識別コードと主体認証情報の取扱手順
(4)暗号と電子署名の利用に関する手順
(5)不正プログラム感染防止の手順
(6)アプリケーション・コンテンツの提供時に本法人外の情報セキュリティ水準の低下を招く行為の防止に関する手順
(7)ドメイン名の使用に関する手順
(要管理対策区域外で情報を取り扱う場合の対策)
第193条 CISOは、利用者等が本法人が支給する端末(要管理対策区域外で使用する場合に限る)及び本法人支給以外の端末を用いて要保護情報を取り扱う場合の利用手順を、以下を例として定めること。
(1)端末で利用する電磁的記録媒体に保存されている要機密情報の暗号化
(2)盗み見に対する対策(のぞき見防止フィルタの利用等)
(3)盗難・紛失に対する対策(不要な情報を端末に保存しない、端末の放置の禁止、利用時以外のシャットダウン及びネットワークの切断、モバイル端末を常時携帯する、常に身近に置き目を離さないなど)
(4)利用する場所や時間の限定
(5)端末の盗難・紛失が発生した際の緊急対応手順
2 CISOは、利用者等が本法人が支給する端末(要管理対策区域外で使用する場合に限る)及び本法人支給以外の端末を用いて要保護情報を取り扱う場合について、以下を含む許可手続を定めること。
(1)利用時の許可申請手続
(2)手続内容(利用者、利用期間、主たる利用場所、目的、利用する情報、端末、通信回線の接続形態等)
(3)利用期間満了時の手続
(4)許可権限者(部門実施責任者あるいは部門実施責任者)による手続内容の記録
3 CISOは、要管理対策区域外にて本法人外通信回線に接続した端末(支給外端末を含む)を要管理対策区域で本法人内通信回線に接続することの許可手続として、以下を含む手続を規定し、利用者等に遵守させること。
(1)利用時の許可申請手続
(2)手続内容(利用者、目的、利用する情報、端末等)
(3)利用期間満了時の手続
(4)許可権限者(部門実施責任者あるいは部門実施責任者)による手続内容の記録
(USBメモリ等の外部電磁的記録媒体を用いる場合の対策)
第194条 CISOは、USBメモリ等の外部電磁的記録媒体を用いた情報の取扱いに関する利用手順として以下の事項を含めて定めること。
(1)主体認証機能や暗号化機能を備えるセキュアな外部電磁的記録媒体が存在する場合、これに備わる機能を利用する。
(2)要機密情報は保存される必要がなくなった時点で速やかに削除する。
(3)外部電磁的記録媒体を使用する際には、事前に不正プログラム対策ソフトウェアによる検疫・駆除を行う。
(4)外部電磁的記録媒体の利用者が利用内容を貸出簿等に記録する。
2 CISOは、機密性3情報、要保全情報又は要安定情報が記録されたUSBメモリ等の外部電磁的記録媒体を要管理対策区域外に持ち出す際の許可手続として、以下を含む手続を規定し、利用者等に遵守させること。
(1)利用時の許可申請手続
(2)手続内容(利用者、利用期間、主たる利用場所、目的、記録する情報、機器名)
(3)利用期間満了時の手続
(4)許可権限者(部門実施責任者あるいは部門実施責任者)による手続内容の記録
(情報システム利用者の規定の遵守を支援するための対策)
第195条 部門実施責任者及び部局システム管理者は、利用者等による規定の遵守を支援する機能について情報セキュリティリスクと業務効率化の観点から支援する範囲を検討し、当該機能を持つ情報システムを構築すること。
(情報システム利用者の規定の遵守を支援するためのウェブサイト、電子メールに係る対策)
第196条 部門実施責任者及び部局システム管理者は、本法人外のウェブサイトについて、利用者等が閲覧できる範囲を制限する機能を情報システムに導入すること。具体的には、以下を例とする機能を導入すること。また、当該機能に係る設定や条件について定期的に見直すこと。
(1)ウェブサイトフィルタリング機能
(2)事業者が提供するウェブサイトフィルタリングサービスの利用
2 部門実施責任者及び部局システム管理者は、利用者等が不審なメールを受信することによる被害をシステム的に抑止する機能を情報システムに導入すること。具体的には、以下を例とする機能を導入すること。また、当該機能に係る設定や条件について定期的に見直すこと。
(1)受信メールに対するフィルタリング機能
(2)受信メールをテキスト形式で表示する機能
(3)スクリプトを含む電子メールを受信した場合において、当該スクリプトが自動的に実行されることがないメールクライアントの導入
(4)受信メールに添付されている実行プログラム形式のファイルを削除することで実行させない機能
(情報システムの利用時の基本的対策)
第197条 利用者等は、研究教育事務の遂行以外の目的で情報システムを利用してはならない。
2 利用者等は、部門実施責任者が接続許可を与えた通信回線以外に本法人の情報システムを接続しないこと。
3 利用者等は、本法人内通信回線に、部門実施責任者の接続許可を受けていない情報システムを接続しないこと。
4 利用者等は、情報システムで利用を禁止するソフトウェアを利用しないこと。また、情報システムで利用を認めるソフトウェア以外のソフトウェアを研究教育事務上の必要により利用する場合は、部門実施責任者の承認を得ること。
5 利用者等は、接続が許可されていない機器等を情報システムに接続しないこと。
6 利用者等は、情報システムの設置場所から離れる場合等、第三者による不正操作のおそれがある場合は、情報システムを不正操作から保護するための措置を講ずること。
7 利用者等は、本法人が支給する端末(要管理対策区域外で使用する場合に限る)及び本法人支給以外の端末を用いて要保護情報を取り扱う場合は、定められた利用手順に従うこと。
8 利用者等は、要管理対策区域外において本法人外通信回線に接続した端末(支給外端末を含む)を要管理対策区域外において本法人内通信回線に接続する場合は、定められた安全管理措置を講ずること。
9 利用者等は、要管理対策区域外において本法人外通信回線に接続した端末(支給外端末を含む)を要管理対策区域外において本法人内通信回線に接続する場合は、部門実施責任者の許可を得ること。
10 利用者等は、機密性3情報、要保全情報又は要安定情報が記録されたUSBメモリ等の外部電磁的記録媒体を要管理対策区域外に持ち出す場合には、部門実施責任者の許可を得ること。
(情報システムを不正操作から保護するための対策)
第198条 利用者等は、第三者による不正操作のおそれがある場合は、情報システムを不正操作から保護するために、以下を例とする措置を講ずること。
(1)スクリーンロックの設定
(2)利用後のログアウト徹底
(3)利用後に情報システムを鍵付き保管庫等に格納し施錠
(電子メール・ウェブの利用時の対策)
第199条 利用者等は、要機密情報を含む電子メールを送受信する場合には、本法人が運営し、又は外部委託した電子メールサーバにより提供される電子メールサービスを利用すること。
2 利用者等は、本法人外の者へ電子メールにより情報を送信する場合は、当該電子メールのドメイン名に高知県公立大学法人ドメイン名を使用すること。ただし、高知県公立大学法人ドメイン名が使用できない場合に限り、電子メールを受信する本法人外の者が、本法人の利用者等から送信された電子メールであることを認知できる場合は例外とする。
3 利用者等は、不審な電子メールを受信した場合には、あらかじめ定められた手順に従い、対処すること。
4 利用者等は、ウェブクライアントの設定を見直す必要がある場合は、情報セキュリティに影響を及ぼすおそれのある設定変更を行わないこと。
5 利用者等は、ウェブクライアントが動作するサーバ装置又は端末にソフトウェアをダウンロードする場合には、電子署名により当該ソフトウェアの配布元を確認すること。
6 利用者等は、閲覧しているウェブサイトに表示されるフォームに要機密情報を入力して送信する場合には、以下の事項を確認すること。
(1)送信内容が暗号化されること
(2)当該ウェブサイトが送信先として想定している組織のものであること
(識別コード・主体認証情報の取扱い)
第200条 利用者等は、主体認証の際に自己に付与された識別コード以外の識別コードを用いて情報システムを利用しないこと。
2 利用者等は、自己に付与された識別コードを適切に管理すること。
3 利用者等は、管理者権限を持つ識別コードを付与された場合には、管理者としての業務遂行時に限定して、当該識別コードを利用すること。
4 利用者等は、自己の主体認証情報の管理を徹底すること。
(識別コードの適切な管理に係る対策)
第201条 利用者等は、自己に付与された識別コードを適切に管理するため、以下を含む措置を講ずること。
(1)知る必要のない者に知られるような状態で放置しない。
(2)他者が主体認証に用いるために付与及び貸与しない。
(3)識別コードを利用する必要がなくなった場合は、定められた手続に従い、識別コードの利用を停止する。
(主体認証情報の適切な管理に係る対策)
第202条 利用者等は、知識による主体認証情報を用いる場合には、以下の管理を徹底すること。
(1)自己の主体認証情報を他者に知られないように管理する。
(2)自己の主体認証情報を他者に教えない。
(3)主体認証情報を忘却しないようにすること。
(4)主体認証情報を設定するに際しては、容易に推測されないものにする。
(5)異なる識別コードに対して、共通の主体認証情報を用いない。
(6)異なる情報システムにおいて、識別コード及び主体認証情報についての共通の組合せを用いない。(シングルサインオンの場合を除く。)
(7)部門実施責任者及び部局システム管理者から主体認証情報を定期的に変更するように指示されている場合は、その指示に従って定期的に変更する。
2 利用者等は、所有による主体認証情報を用いる場合には、以下の管理を徹底すること。
(1)主体認証情報格納装置を本人が意図せずに使われることのないように安全措置を講じて管理する。
(2)主体認証情報格納装置を他者に付与及び貸与しない。
(3)主体認証情報格納装置を紛失しないように管理する。紛失した場合には、定められた報告手続に従い、直ちにその旨を報告する。
(4)主体認証情報格納装置を利用する必要がなくなった場合には、これを部門実施責任者及び部局システム管理者に返還する。
(暗号・電子署名の利用時の対策)
第203条 利用者等は、情報を暗号化する場合及び情報に電子署名を付与する場合には、定められたアルゴリズム及び方法に従うこと。
2 利用者等は、暗号化された情報の復号又は電子署名の付与に用いる鍵について、定められた鍵の管理手順等に従い、これを適切に管理すること。
3 利用者等は、暗号化された情報の復号に用いる鍵について、鍵のバックアップ手順に従い、そのバックアップを行うこと。
(不正プログラム感染防止)
第204条 利用者等は、不正プログラム感染防止に関する措置に努めなければならない。
2 利用者等は、情報システム(支給外端末を含む)が不正プログラムに感染したおそれがあることを認識した場合は、感染した情報システムの通信回線への接続を速やかに切断するなど、必要な措置を講ずること。
(不正プログラム感染防止に係る対策)
第205条 利用者等は、不正プログラム対策ソフトウェアを活用し、不正プログラム感染を回避するための以下措置に努めなければならない。
(1)不正プログラム対策ソフトウェア等により不正プログラムとして検知された実行プログラム形式のファイルを実行しない。また、検知されたデータファイルをアプリケーション等で読み込まない。
(2)不正プログラム対策ソフトウェア等に係るアプリケーション及び不正プログラム定義ファイル等について、これを常に最新の状態に維持する。
(3)不正プログラム対策ソフトウェア等による不正プログラムの自動検査機能を有効にする。
(4)不正プログラム対策ソフトウェア等により定期的に全てのファイルに対して、不正プログラムの検査を実施する。
2 利用者等は、外部からデータやソフトウェアをサーバ装置及び端末等に取り込む場合又は外部にデータやソフトウェアを提供する場合には、不正プログラム感染の有無を確認すること。
3 利用者等は、不正プログラムに感染するリスクを低減する情報システムの利用方法として、以下のうち実施可能な措置を講ずること。
(1)不審なウェブサイトを閲覧しない。
(2)アプリケーションの利用において、マクロ等の自動実行機能を無効にする。
(3)プログラム及びスクリプトの実行機能を無効にする。
(4)安全性が確実でないプログラムをダウンロードしたり実行したりしない。
 
附 則
 この基準は、平成23年4月1日から施行する。
附 則
 この基準は、平成27年4月1日から施行する。
附 則 
 この基準は、平成28年11月1日から施行する。
附 則  
 この基準は、令和6年4月1日から施行する。
附 則 
 この基準は、令和6年7月1日から施行する。