31.認証基準本文 |
ISMS枠組み構築の考え方:
Q3101.情報セキュリティ基本方針は、ISMS文書ではどのような位置付けでしょうか。
A.ISMS認証基準では、ISMSの文書化に関する要求事項はありますが、ISMS文書の構成に関する要求事項はありません。ISMS文書体系の構成について、JIPDECのISMSガイド(P82)が参考になります。
1)情報セキュリティ基本規程
情報セキュリティ基本方針にあたる文書。情報セキュリティに関する全社的な規程となっています。
2)情報セキュリティ関連全社規程
全社規程のなかで情報セキュリティに関連する規程を、ISMS文書の一部として採用したもので、全社員が対象となります。
3)情報セキュリティガイドライン
適用範囲内の情報セキュリティ管理を行うために必要なもので、上記1)、2)に含まれない内容を、適用範囲内の情報セキュリティ対策の指針として新たにガイドラインとして作成したものです。
4)ルール・手順書等
適用範囲内の情報セキュリティ管理を行うための共通な手順や運用規程です。
5)各部門内のルールおよび手順書
上記4)に基づいて作成した各部門に固有の手順や運用規程です。
※なお、ISMSガイドにおける事例の場合、セキュリティ運用は全社でやるが、認証取得は特定部門に限定しているので、変形ピラミッド型の文書体系になっています。
ISMSガイドは下記URLよりダウンロードできます。
http://www.isms.jipdec.jp/std/ |
| |
リスクアセスメントを実施するタイミング:
Q3102.リスクアセスメントを実施するタイミングはどのように考えれば良いのでしょうか。
A.リスクアセスメントの進め方については、ISMS制度の紹介パンフレットの「5.ISMSの確立」の9ステップの図を参照して下さい。この中ではフェーズ2のSTEP4でリスクを識別し、STEP5でリスクアセスメントを行う様になっています。ただし、必ずしもこの順序で実行する必要はありません。上記パンフレットは下記URLよりダウンロードできます。
http://www.isms.jipdec.jp/std/ |
| |
経営陣の位置付け:
Q3103.組織運営体制における、経営陣は取締役である必要がありますか。
A.ISMS認証基準では、経営陣は取締役であることを要求していません。しかし経営陣(management)は相応の責任と権限を有している、あるいは委譲されていることが必要になります。例えば、特定の部門でのISMSにおいても、総務部門(人事関連)や法務部門(契約、法規関連)などの関連部門と調整する必要も生じてきますので、そうした部門の横断的な調整能力(権限)を有していることを認証審査において客観的に説明できることが求められます。 |
Q3104.ISMSの適用範囲の部門責任者である事業部長は、基準で要求している「経営陣」になれますか。
A.経営陣(management)の位置付けは、品質・環境など他のマネジメントシステムなどと同様に、ISMSに関する組織活動を指揮し管理できる責任者(又はグループ)となります。つまり要件としては下記が必要となります。
1)ISMS活動に関する資源(ヒト・モノ・カネ・情報)を提供できる権限をもつ。
2)ISMS活動における方針、計画、結果を承認する権限と責任をもつ。
3)ISMS活動を組織的に推進し改善できる指導力・判断力(知見)をもつ。
4)社長など組織の代表者から、ISMSの責任者として正式な人事発令を受けている。
経営陣の決め方について、通常該当するのは、代表取締役(理事長)、取締役(理事)、CIO/CISO(情報専任役員)、事業部門担当役員等ですが、組織の規模や適用範囲を考慮して責任者を決め、ISMS推進体制を構築する必要があります。
次に「事業部長が経営陣に値するか」の件については、上記の定義を踏襲する役目を事業部長が担うのであれば、事業部長がISMSの経営陣として活動することが可能となります。機能、責任、権限をご検討の上判断して下さい。ただし、情報セキュリティ事故が起こった場合、最終的にはすべて経営陣の責任となりますので、定期的に取締役会に情報セキュリティ報告をするなど、関係する取締役や執行役員を情報セキュリティ運営委員会等のメンバーとしてISMSを運営するのが有効だと考えられます。 |
| |
情報セキュリティ基本方針:
Q3105.「情報セキュリティ基本方針」について、下記の1)と2)は同一のものでしょうか。
1)第4 2.(1)Aでは、「ISMSの基本方針を策定する」ことが要求されており、第4 3.(1)@の文書化に関する要求事項として「情報セキュリティ基本方針」(第4 2.(1)A参照)の文書化があげられています。
2)附属書「詳細管理策」の3.(1)@では「情報セキュリティ基本方針文書」が要求されています。
A.これは表現は異なりますが、同じ要求事項です。JIS X 5080:2002の3.1.1に基本方針文書として含めるべき内容の説明がありますので、これも参考にして下さい。 |
| |
本社としての情報セキュリティ基本方針は必要か:
Q3106.特定サービスもしくは部門単位でISMS認証を取得する場合、本社の情報セキュリティ基本方針が策定されていなくても、ISMS認証を取得することは可能ですか。
A.可能です。認証基準では、情報セキュリティ基本方針が適切に策定・承認・周知されることにより、適用範囲において効果的に運用されることを求めています。言い換えると、本社が策定したセキュリティ基本方針が個別サービス・部門のISMSの運用の前提条件として適切に運用されていれば問題ありません。
ただ部門の運営方針や事業目標、事業の環境(特徴、組織、所在地、情報資産、技術など)を考慮に入れた場合、全社的な方針をブレークダウンした、もっと具体的なセキュリティ方針を策定することも考えられます。
|
| |
内部監査人の資格:
Q3107.ISMS認証を取得した場合、年1回以上の内部監査が必要になりますが、内部監査人の資格条件はありますか。資格が必要な場合には、その内容を教えて下さい。
A.ISMSの内部監査人の資格について、基準からの要求事項はありません。ただ、「第6.4内部監査」の中で、文書化された内部監査手順を求めています。つまりISMSの妥当性・有効性を維持するために、必要とする「ISMS内部監査人」の資格や能力の基準を組織が決める必要があります。一般的には、JIPDECのISMS審査員登録など、公的な資格の取得なども有効な要件と考えられますが、組織が策定したセキュリティ基本方針に従って、何を重要と考えるか、何を守るか、と言った観点から必要な知識や監査能力が求められます。 |
| |
32.詳細管理策 |
附9.(5)E 想定される脅威等に対する警報:
Q3201.詳細管理策の「附9.(5)E 利用者を保護するための脅迫に対する警報」において、想定される脅威と、脅迫に対する警報とはどのようなものですか。
A.この条項は「脅迫通報」と呼ばれるセキュリティ対策です。リスクの発生条件としては、例えば操作員が脅迫される可能性があり、しかも脅迫による不正操作の結果、組織に重大な被害が想定される場合が考えられます。
・脅威の例:金融機関の端末操作員が脅迫により不正な出金操作を強要される場合。
・対策の例:次のような対策が考えられますが、どの対策を採用するかは、想定される脅威のリスクアセスメントの結果で判断することが必要です。
1)物理的対策:机の下の警報ベルの隠しボタンを押すことにより、脅迫警報を知らせる。
2)人的対策:脅迫されている事を、身振りや合言葉で脅迫者に悟られずに周りの人に合図する。
3)システム対策:端末操作の特定のIDや特定パスワード入力などの隠し機能により、脅迫警報を知らせる。
4)組織的な対策:脅迫警報が発生した時の責任者や対策手順を定める。
|
| |
附9.(1)@ アクセス制御方針とは:
Q3202.詳細管理策の「附9.(1)@ アクセス制御方針」とはどのようなものですか。
A.この条項では、情報資産へのアクセスについて、業務上の必要性や禁止事項をアクセス制御についての要求事項として明確にして文書化すること、また利用者ごと(又は利用者グループごと)のアクセス制御規則やアクセス権を、アクセス制御方針で明確に記述することについて述べられています。JIS
X 5080:2002ではアクセス制御方針に記載することが望ましい例があげられています。例えば、
1)業務用ソフトウェアに関わる全ての情報の識別
2)異なるシステム及びネットワークにおけるアクセス制御と情報分類の方針との整合性
3)データ又はサービスへのアクセスの保護に関連する法令
などです。 |
| |
外部委託に関する要求の違い:
Q3203.詳細管理策における「外部委託」に関する要求の種類とその内容はどのようなものですか。
A.具体的には、4つの項目があります。これは外部委託の対象によってセキュリティ対策が変わってくることを表しています。
1)附4.(2) 第三者によるアクセスのセキュリティ
これは情報処理施設の近辺で作業する清掃人や警備員、情報処理施設を利用する臨時職員、コンピュータ保守要員、ソフトウェア保守要員など外部の要員に関するものです。セキュリティ要求事項や守秘義務などを契約書に盛り込むことで、セキュリティ対策を実施します。
2)附4.(3) 外部委託
これは情報システムの運用やネットワークの運用などを外部業者に委託する場合です。
セキュリティに関する責任などを、外部委託契約書に盛り込むことで、セキュリティ対策を実施します。
3)附8.(1)E 外部委託による施設管理
これは情報システムやネットワークの運用管理を専門の外部業者に委託する場合です。この場合は、組織が利用者側になるので、業務の継続性を確保するのに必要な管理策についての要求事項を明確にし契約書に盛り込むことが必要です。特に、事故発生時の業務再開に関する責任や手順などを明確にしておくことが重要となります。
4)附10.(5)D 外部委託によるソフトウェア開発
これは情報システムで利用するソフトウェアを外部のソフトウェア開発業者に委託する場合です。開発するシステムの設計や運用の要件を明確にするとともに、受け入れ試験に関する役割や責任を明確にすることが大切です。 |
| |
附9.(4)D 遠隔診断用ポートとは:
Q3204.詳細管理策の「附9.(4)D 遠隔診断用ポートの保護」における、診断ポートとは何ですか。
A.遠隔診断用ポートとは、情報システムやネットワークの保守の為の遠隔診断用通信ポートのことです。
なお、診断用通信ポートへのアクセスは、ダイヤルアップだけではなくLAN、VPN等による接続も考えられます。そのため、診断用通信ポートに対するリスクアセスメントを行い、気がつかなかった脅威や脆弱性によるリスクが発見された場合には、追加の管理策を検討することが必要です。 |
| |
附7.(1)D 受渡し場所の隔離:
Q3205.詳細管理策の「附7.(1)D 受渡し場所の隔離」について、コンピュータ室が建屋の2階にあり、他の区画と明確にセキュリティ分離されている場合、建物に付帯している屋外に積荷場所(受渡し場所)があるケースは隔離されていると考えていいでしょうか。
A.質問の状況を整理すると次のようになります。
1)コンピュータ室(2階)は他の区画と明確にセキュリティ分離されている。
2)積荷場所(1階社屋の別棟)は、1階社屋とセキュリティ分離されている。
この状況から、区画分離がされていると考えられます。なお実際の運用にあたっては、JIS X 5080:2002 7.1.5で解説されているガイドを参考に運用方法を検討して下さい。 |
| |
附12.(3) システム監査の考慮事項:
Q3206.詳細管理策の「附12.(3) システム監査の考慮事項」の管理目的で「監査手続への/からの干渉」とありますが、『/』の意味は何ですか。
A.附12.(3)の「/」は、英文「and/or」の表現で、「〜システム監査手続への干渉および/又はシステム監査手続からの干渉〜」を意味しています。
なお、附12.(3)@の条項は、システム監査の実施計画では色々と考慮をすることを要求しています。まず、システム監査では、情報システムの管理者権限(特権)に相当する「監査ツール」という名前のソフトウェアを動作させて、情報システムやネットワークの状況を調査します。しかしながら、運用中のシステムに対してこのような「監査ツール」を平行動作させるというのは危険が伴います。例えば、
・監査ツールが、情報システムの正常な動作を妨げた(干渉)。
・情報システムの機能が、監査ツールの正しい動作を妨げた(干渉)。しかも悪意ある行為で、システム監査ツールの改ざんや、悪用される危険がある。
また、システム監査では、情報システムに関わる業務(オペレーションなど)を手順と比較することもあります。この場合システム監査人が行う、オペレータへのインタビューなどで業務に支障が出る場合もあります。これらのシステム監査からの干渉を避けるように監査計画を立案し、監査を実施することを考慮するよう求めています。 |
| |
附10.(5)C コバート通信路:
Q3207.詳細管理策の「附10.(5)C 隠れチャネル及びトロイの木馬」に於いて、「隠れチャネル(Covert
channels)」とは何のことですか。
A.附10.(5)C にでてくる「隠れチャネル(Covert channels)」や「トロイの木馬(Trojan code)」は、不正なソフトウェアがシステムに混入する危険について述べているものです。隠れチャネル(コバートチャネル)というのは、通常は想定してない手段によって情報を伝えるものです。例えば、タスク間でメモリ資源が共有されることで、意図しないメモリの読み出しや書き込みにより情報漏洩や改ざんを引き起こすものです。 |
| |
附9.(5)@ 自動の端末識別の対策:
Q3208.詳細管理策の「附9.(5)@ 自動の端末識別」の対策としては、どのようなことが実施されていればよいのでしょうか。
A.この条項は、重要な業務システムへのアクセスを、セキュリティが確保された特定の場所や接続が認められた特定の端末からしかできないように制限されているときに有効なセキュリティ機能です。
JIS X 5080:2002 9.4.3 の外部から接続する利用者の認証の解説にさまざまな方法が紹介されていますので参照して下さい。 |
| |
附4.(3) 外部委託の方法:
Q3209.24H/365日オンラインサービスを行う場合、外部委託(アウトソーシング)を行い、ISMS認証基準に従った外部委託契約締結すれば、問題ありませんか。
A.問題ないとはいえません。ISMSの基準では、絶対安全な具体的手段を規定していません。つまり、組織のリスクアセスメントの結果に従って、経営陣の承認(組織自身の責任)のもとに対策が決められるからです。質問の例の場合、どのようなリスクを想定して、どのような業者を選定して、どのような内容の外部委託契約を締結するか、はすべて組織が決めています。しかしISMSでは、常に新たなリスクが発生していないか、セキュリティの弱点はないか、たとえ未遂でもセキュリティ事件・事故は起こっていないか、現状の契約が正しく実行されているか、現状の契約条件に過不足はないか等を適切に点検し、必要があれば見直すことを求めています。この監視・改善のプロセスが有効に働くことで、ISMSは組織のセキュリティ対策の信頼性を高め継続的改善を実施できるのが特徴です。 |
| |
附7.(2)A 停電対策:
Q3210.詳細管理策の「附7.(2)A 電源」の停電対策として、投資額の大きい大規模蓄電池や自家発電を設置せず、瞬時停電対策でも問題ありませんか。
A.問題があるかどうかは状況によります。「附7.(2)A 電源」の条項では、情報システムやネットワーク装置の電源異常についての対策です。これは電源異常による業務中断の影響がどの程度大きいかなど、情報システムに要求される運用条件によって、対策の内容が変わってきます。例えば、部門サーバーの場合では、一般的には停電時に安全にシャットダウンができれば良いので、瞬断対策のUPSを導入すれば良いと思われます。また大型システムでも、他のセンターのサーバーと二重化運転がされていれば、停電による業務中断のリスクは少ないはずです。ISMSの基準では、セキュリティ障害に関するリスクアセスメントの結果で採用する管理策と実施する具体的な対策方法が変わってくるのが特徴となっています。 |
| |
附7.(1)A 入退室セキュリティシステムの導入:
Q3211.詳細管理策の「附7.(1)A 物理的入退管理策」において、ICカード等による入退室セキュリティシステムの導入が必須でしょうか。
A.入退室セキュリティシステムの導入が必要かどうかはリスクの大きさで判断して下さい。例えば、セキュリティ事故が起こると、事業への重大な影響があるような情報資産があり、しかも多くの外来者が訪れるような場所には、ICカード等により厳重な物理的入退管理が有効です。しかし、外部からの侵入の危険が少なく、サーバー室が施錠管理されていて関係者以外入室できない場合は、リスクは少ないと考えられます。また、この管理策として入室者は受付で名札(バッチ)をもらってそれを胸につけることで、代用できる場合も考えられます。管理策の実施方法についてはJIS X 5080:2002の解説を参考に選択して下さい。
技術は進歩しているので、生体認証などの動向も注目しながら採用する方式や導入時期を配慮することも、リスク対応計画として重要な観点です。 |
| |