マネジメントコース実践編 -...

Copyright © 2013 独立行政法人情報処理推進機構

情報セキュリティセミナーマネジメントコース実践編

IPA 技術本部セキュリティセンター

Copyright © 2013 独立行政法人情報処理推進機構 2

本セミナーの対象者

本セミナーは、これから情報セキュリティ対策を実施していこうと考えている企業・組織の経営者、管理者の方を対象と想定しています。本セミナーの内容は、既に理解しているとおっしゃる方には、セキュリティ対策の見直し、委託先や子会社に対するセキュリティ教育のための情報収集をするための内容であると理解いただきたいと考えています。


セミナー講演内容

組織的な情報セキュリティ対策

事例に基づく情報セキュリティ対策の解説

委託関係における情報セキュリティ対策情報セキュリティ対策の考え方（まとめ）


組織的な情報セキュリティ対策

1. 情報セキュリティに対する組織的な取り組み

2. 物理的セキュリティ

3. 情報システム及び通信ネットワークの運用管理

4. 情報システムのアクセス制御の状況及び情報システムの開発、保守におけるセキュリティ対策

5. 情報セキュリティ上の事故対応



① 情報セキュリティに関する経営者の意図が従業員に明確に示されている

② 情報セキュリティ対策に関わる責任者と担当者を明示する

③ 管理すべき重要な情報資産を区分する

④ 重要な情報については、入手、作成、利用、保管、交換、提供、消去、破棄における取り扱い手順を定める

⑤ 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事項について合意を取る

⑥ 従業者（派遣を含む）に対し、セキュリティに関して就業上何をしなければいけないかを明示する

⑦ 情報セキュリティに関するルールの周知と、情報セキュリティに関わる知識習得の機会を与える



① 情報セキュリティに関する経営者の意図が従業員に明確に示されている

経営者が情報セキュリティポリシーの策定に関与し、実現に対して責任を持つ

情報セキュリティポリシーを定期的に見直しする



② 情報セキュリティ対策に関わる責任者と担当者を明示する

責任者として情報セキュリティと経営を理解する立場の人を任命する

責任者は、各セキュリティ対策について（社内外を含め）、責任者、担当者それぞれの役割を具体化し、役割を徹底する



③ 管理すべき重要な情報資産を区分する

管理すべき重要な情報資産を、他の情報資産と分類する

情報資産の管理者を定める重要度に応じた情報資産の取り扱い指針を定める重要な情報資産を利用できる人の

範囲を定める



④ 重要な情報については、入手、作成、利用、保管、交換、提供、消去、破棄における取り扱い手順を定める

各プロセスにおける作業手順を明確化し、決められた担当者が、手順に基づいて作業を行っている

重要な情報に対して、漏洩や不正利用を防ぐ保護対策を行っている


例えば･･･

重要な情報を利用できる人に対してのみ、アクセス可能とする重要な情報の利用履歴を残しておく重要な情報を確実に消去・廃棄する



⑤ 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事項について合意を取る

契約書や委託業務の際に取り交わす書面等に、情報の取り扱いに関する注意事項を含める


例えば･･･

システム開発を委託する際の本番データ利用時の際の情報管理、例えば管理体制や受託情報の取り扱い・受け渡し・返却、廃棄等について、注意事項を含める

関係者のみにデータの取り扱いを制限する

外部の組織との間で情報を授受する場合、情報受渡書を持っておこなう

契約に基づく作業を遂行することによって新たに発生する情報（例：新たに作製された、金型・図面・モックアップ等々）の取扱を含める



⑥ 従業者（派遣を含む）に対し、セキュリティに関して就業上何をしなければいけないかを明示する

従業者を採用する際に、守秘義務契約や誓約書を交わしている

従業者が順守すべき事項を明確にしている違反を犯した従業員に対する懲戒手続きが

整備されている在職中及び退職後の機密保持義務を明確化

するため、プロジェクトへの参加時など、具体的に企業機密に接する際に、退職後の機密保持義務も含む誓約書を取る



⑦ 情報セキュリティに関するルールの周知と、情報セキュリティに関わる知識習得の機会を与える

ポリシーや関連規程を従業員に理解させる実践するために必要な教育を定期的に行っている



① 重要な情報を保管したり、扱ったりする場所の入退管理と施錠管理を行う

② 重要なコンピュータや配線は地震などの自然災害や、ケーブルの引っ掛けなどの人的災害が起こらないように配置・設置する

③ 重要な書類、モバイルPC、記憶媒体などについて

、整理整頓を行うと共に、盗難防止対策や確実な廃棄を行う



① 重要な情報を保管したり、扱ったりする場所の入退管理と施錠管理を行う

重要な情報を保管したり、扱ったりする区域を定めている

重要な情報を保管している部屋（事務室）又はフロアーへの侵入を防止するための対策を行っている

重要な情報を保管している部屋（事務室）又はフロアーに入ることができる人を制限し、入退の記録を取得している



② 重要なコンピュータや配線は地震などの自然災害や、ケーブルの引っ掛けなどの人的災害が起こらないように配置・設置する

重要なコンピュータは許可された人だけが入ることができる安全な場所に設置する

電源や通信ケーブルなどは、他の人が容易に接触できないようにする

重要なシステムについて、地震などによる転倒防止、水濡れ防止、停電時の代替電源の確保などを行っている



③ 重要な書類、モバイルPC、記憶媒体などについて、整理整頓を行うと共に、盗難防止対策や確実な廃棄を行う

（重要な書類について）不要になった場合、シュレッダーや焼却などして確実に処

分する重要な書類を保管するキャビネットには、施錠管理を行う重要な情報が存在する机上、書庫、会議室

などは整理整頓を行う郵便物、FAX、印刷物などの放置は禁止。

重要な書類の裏面を再利用しない



③ 重要な書類、モバイルPC、記憶媒体などについて、整理整頓を行うと共に、盗難防止対策や確実な廃棄を行う

（モバイルPC、記憶媒体について）保存した情報が不要になった場合、消去ソフトを用いるな

ど、確実に処分しているモバイルPC、記憶媒体については、盗難防止の対策を行

う私有PCを会社に持ち込んだり、私有PCで業務を行ったり

しない



① 情報システムの運用に関して運用ルールを策定する

② ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う

③ 導入している情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う

④ 通信ネットワークを流れる重要なデータに対して、暗号化などの保護策を実施する

⑤ モバイルPCやUSBメモリなどの記憶媒体やデータを外部に持ち出す場合、盗難、紛失などに備えて、適切なパスワード設定や暗号化などの対策を実施する



① 情報システムの運用に関して運用ルールを策定する

システム運用におけるセキュリティ要求事項を明確にしている

情報システムの運用手順書（マニュアル）を整備している

システムの運用状況を点検している

システムにおいて実施した操作や障害、セキュリティ関連イベントについてログ（記録）を取得している

設備（具体例）の使用状況を記録している



② ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う

ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行っている

ウイルス対策ソフトが持っている機能（ファイアウォール機能、スパムメール対策機能、有害サイト対策機能）を活用する

各サーバやクライアントPCについて、定期的なウイルス検査を行っている

Winny等、組織で許可されていないソフトウェアのインストールの禁止、あるいは使用制限を行っている



③ 導入している情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う

脆弱性の解消（修正プログラムの適用、Windows update等）を行っている

脆弱性情報や脅威に関する情報の入手方法を確認し、定期的に収集する

情報システム導入の際に、不要なサービスの停止など、セキュリティを考慮した設定を実施するなどの対策が施されているかを確認する

Webサイトの公開にあたっては、不正アクセスや改ざんなどを受けないような設定・対策を行い、脆弱性の解消を行う

Webブラウザや電子メールソフトのセキュリティ設定を行う



④ 通信ネットワークを流れる重要なデータに対して、暗号化などの保護策を実施する

必要に応じて、SSL(Secure Socket Layer：暗号通信を行うための

プロトコル)等を用いて通信データを暗号化する

外部のネットワークから内部のネットワークや情報システムにアクセスする場合に、VPN(Virtual Private Network)などを用いて暗号化した通信路を使用している

電子メールをやり取りする際に、重要な情報についてはファイルにパスワードを付ける、又は暗号化する



⑤ モバイルPCやUSB(Universal Serial Bus)メモリなどの記憶媒体やデータを外部に持ち出す場合、盗難、紛失などに備えて、適切なパスワード設定や暗号化などの対策を実施する

モバイルPCやUSBメモリ等の使用や外部持ち出しについて、規程を定めている

外部でモバイルPCやUSBメモリ等を使用する場合の紛失や盗難対策を講じている

モバイルPCやUSBメモリ等を外部に持出す際は、利用者の認証（ID・パスワード設定、USBキーやICカード認証、バイオメトリクス認証等）を行う

保存されているデータを、重要度に応じてHDD暗号化、 BIOS(Basic Input/Output System)パスワード設定などの技術的対策を実施する

PCを持出す場合の持出者、持出・返却管理を実施する盗難、紛失時に情報漏えいの脅威にさらされた情報が

何かを正確に把握するため、持ち出し情報の一覧、内容管理を行う



① 情報（データ）や情報システムへのアクセスを制限するために、利用者IDの管理（パスワードの管理など）を行う

② 重要な情報に対するアクセス権限の設定を行う

③ インターネット接続に関わる不正アクセス対策（ファイアウォール機能、パケットフィルタリング、ISPサービス等）を行う

④ 無線LANのセキュリティ対策（WPA2(Wi-Fi Protected Access 2)

の導入等）を行う

⑤ ソフトウェアの選定や購入、情報システムの開発や保守に際して、情報セキュリティを前提とした管理を行う



① 情報（データ）や情報システムへのアクセスを制限するために、利用者IDの管理（パスワードの管理など）を行う

利用者毎にIDとパスワードを割当て、そのIDとパスワードによる識別と認証を確実に行う

利用者IDの登録や削除に関する規程を整備する

パスワードの定期的な見直しを求める。また、空白のパスワードや単純な文字列のパスワードを設定しないよう利用者に求める

離席する際は、パスワードで保護されたスクリーンセーバーでパソコンを保護する

不要になった利用者IDを削除する



② 重要な情報に対するアクセス権限の設定を行う

重要な情報に対するアクセス管理方針を定め、利用者毎にアクセス可能な情報、情報システム、業務アプリケーション、サービス等を設定する

職務の変更や異動に際して、利用者のアクセス権限を見直す



③ インターネット接続に関わる不正アクセス対策（ファイアウォール機能、パケットフィルタリング、ISPサービス等）を行う

（外部から内部へのアクセス）

外部から内部のシステムにアクセスする際、利用者認証を実施する

保護すべき重要な情報が保存されるシステムは、それ以外のシステムが接続しているネットワークから物理的に遮断する、もしくはセグメント分割することによりアクセスできないようにする

（内部から外部へのアクセス）

不正なプログラムをダウンロードさせる恐れのあるサイトへのアクセスを遮断するような仕組み（フィルタリングソフトの導入等）を行っている



④ 無線LANのセキュリティ対策（WPA2の導入等）を行う

無線LANにおいて重要な情報の通信を行う場合は、暗号化通信（WPA2等）の設定を行う

無線LANの使用を許可する端末（MAC認証）や利用者の認証を行う



⑤ ソフトウェアの選定や購入、情報システムの開発や保守に際して、情報セキュリティを前提とした管理を行う

ソフトウェアの導入や変更に関する手順を整備している

システム開発において、レビューの実施と記録を残している

外部委託によるソフトウェア開発を行う場合、使用許諾、知的所有権などについて取り決めている

開発や保守を外部委託する場合に、セキュリティ管理の実施状況を把握できる



① 情報システムに障害が発生した場合、業務を再開するために何をすべきかを把握する

② 情報セキュリティに関連する事件や事故等（ウイルス感染、情報漏えい等）の緊急時に、何をすべきかを把握する



① 情報システムに障害が発生した場合、業務を再開するために何をすべきかを把握する

情報システムに障害が発生した場合の、最低限運用の必要な時間帯と許容停止時間を明確にしておく

障害対策の仕組みが組織として効果的に機能するよう、よく検討している

システムの切り離し（即応処理）、必要なサービスを提供できるような機能（縮退機能）、情報の回復や情報システムの復旧に必要となる機能などが、障害時に円滑に機能するよう確認しておく

日常のシステム運用の中で、バックアップデータや運用の記録などを確保しておく

障害発生時に必要な対応として、障害発生時の報告要領（電話連絡先の認知等）、障害対策の責任者と対応体制、システム切替え・復旧手順、障害発生時の業務実施要領等の準備を整えておく


例えば･･･

大容量データの復元には時間を要するため、復元に要する時間の事前見積りの実施関係者への障害対応要領の周知や、必要なスキルに関する教育や訓練などの実施を行っている



② 情報セキュリティに関連する事件や事故等（ウイルス感染、情報漏えい等）の緊急時に、何をすべきかを把握する

ウイルス感染や情報漏えい等の発生時、組織内の関係者への報告、緊急処置の適用基準や実行手順、被害状況の把握、原因の把握と対策の実施、被害者への連絡や外部への周知方法、通常システムへの復旧手順、業務再開手順などを整えておく


例えば･･･

ウイルス感染の場合ウイルス定義ファイルを最新の状態にしたウイルス対策ソフトにより、

コンピュータの検査を実施

ウイルス対策ソフトのベンダのWebサイト等の情報を基に、検出されたウイルスの駆除方法などを試す

情報漏えいの場合事実を確認したら速やかに責任者に報告し、対応体制を取る

対応についての判断を行うため5W1Hの観点で調査し情報を整理する

対策本部で対応方針を決定する

被害の拡大防止と復旧のための措置を行う

漏洩した個人情報の本人、取引先などへの通知、監督官庁等への報告、ホームページやマスコミ等による公表についても検討する


情報漏えい発生時の対応ポイント集

http://www.ipa.go.jp/security/

awareness/johorouei/


参考情報

中小企業の情報セキュリティ対策ガイドライン (IPA) http://www.ipa.go.jp/security/fy20/reports/ sme-guide/documents/sme-guide.pdf

中小企業の情報セキュリティ対策ガイドライン：別冊１委託関係における情報セキュリティ対策ガイドライン (IPA) http://www.ipa.go.jp/security/fy20/reports/ sme-guide/documents/sme-itaku.pdf

中小企業の情報セキュリティ対策ガイドライン：別冊２中小企業における組織的な情報セキュリティ対策ガイドライン (IPA) http://www.ipa.go.jp/security/fy20/reports/ sme-guide/documents/sme-itaku.pdf

営業秘密管理指針 (経済産業省)

http://www.meti.go.jp/press/ 20100409006/20100409006-6.pdf


参考情報

安全なウェブサイト運営入門 (IPA) http://www.ipa.go.jp/security/vuln/7incidents/

SaaS 向けSLA ガイドライン (経済産業省) http://www.meti.go.jp/committee/materials/downloadfiles/ g80207c05j.pdf

クラウドサービス安全利用のすすめ(IPA) http://www.ipa.go.jp/security/cloud/ cloud_tebiki_handbook_V1.pdf

個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン (経済産業省) http://www.meti.go.jp/policy/it_policy/privacy/ kaisei-guideline.pdf


参考情報

事業継続計画策定ガイドライン (経済産業省) http://www.meti.go.jp/report/downloadfiles/g50331d06j.pdf

IT サービス継続ガイドライン (経済産業省) http://www.meti.go.jp/policy/netsecurity/downloadfiles/ itsc_gl.pdf

事業継続ガイドライン (内閣府) http://www.bousai.go.jp/MinkanToShijyou/guideline02.pdf

中小企業BCP策定運用指針 (中小企業庁) http://www.chusho.meti.go.jp/bcp/index.html


参考情報

情報漏えい発生時の対応ポイント集（IPA) http://www.ipa.go.jp/security/awareness/johorouei/

Winnyによる情報漏えいを防止するために (IPA) http://www.ipa.go.jp/security/topics/20060310_winny.html

無線LANを他人に使われないようにしましょう！ (IPA) http://www.ipa.go.jp/security/txt/2011/04outline.html

ウイルス対策情報 (IPA) http://www.ipa.go.jp/security/antivirus/antivirus-top.html


事例に基づく情報セキュリティ対策の解説

事例１ホームページへの不正アクセス事例２無許可の外部サービスの利用事例３在庫管理システム障害の発生事例４無線LANのパスワードのいい加減な管理事例５委託した先からの情報漏えい


事例１

ホームページへの不正アクセス


【状況】

老舗輸入食品販売のA物産は、近年自社ショッピングサイトを開設し、主に個人を顧客に様々な食品を直接販売することで、売り上げを伸ばしてきている。自社ショッピングサイトの開発は、従来よりA物産の業務システムを開発してきたBシステムズに外注した。A物産には情報システムに詳しい人間がおらず、IT部門などの担当部署もないため、基

本的には仕様の策定から開発・運用まで丸投げしていた


【状況】

ショッピングサイトの顧客DBはインターネットから直

接アクセスできない社内ネットワーク上の業務サーバーに置かれ、インターネットからアクセスされるショッピングサイトのサーバーからの問い合わせを処理するような構成になっている

近年、百貨店向けの販売不振から、経費節減のため、Bシステムズとのショッピングサイトシステムの運用契約を解除し、A物産からの要求があった場合にのみ対応する形態の契約に変更した


【発生した事故】

A物産のショッピングサイト問い合わせ窓口に、外部機関から、Webサイトにウイルスが埋め込まれている、という連絡があった。A物産はBシステムズに依頼し調査を行ってもらったところ、OSの脆弱性をついてショッピングサイトのページが書き換えられており、ウイルスが埋め込まれていることが確認された。さらに、Webサーバーのログを分析したところ、SQLインジェクションにより顧客DBに対して不正なアクセスが行われ、顧客の個人情報が約1万件漏洩したことが判明した



また、A物産の発表前に、ネット上の掲示板で問題が公表され、問い合わせが殺到したが、責任者も不明確で、またどのような対応をとるべきかが分からなかったことから、マスコミに批判的な記事が出るなど会社のイメージが大きく低下した

その後、A物産では、情報が漏洩した顧客に対する謝罪を行うとともに、1000円分の割引券を発行した。またシステムの改修が終わるまでショッピングサイトを閉鎖したため、その間の売り上げが減少、再開後も顧客が事件前に戻るのに1年程度を要した


なぜ、このような事件が起こったのだろうか？

この事例における主な危険要因は以下の通り

開発管理の不備

脆弱な運用体制

不十分な不正アクセス対策

事故対応体制の未整備


開発管理の不備【対策の例】

ソフトウェアの選定や購入、情報システムの開発や保守に際して、情報セキュリティを前提とした管理を行う

ソフトウェアの導入や変更に関する手順を整備している

システム開発において、レビューの実施と記録を残している

外部委託によるソフトウェア開発を行う場合、使用許諾、知的所有権などについて取り決めている

開発や保守を外部委託する場合に、セキュリティ管理の実施状況を把握できる

Webアプリケーションの脆弱性に関しては、開発時にセキュリティを考慮した仕様書を示すと共に、公開前に専門家による確認を行うことが望ましい


脆弱な運用体制【対策の例】

情報セキュリティ対策に関わる責任者と担当者を明示する



情報システムの運用に関して運用ルールを策定する。特に、必要なログが正確に取得されるようにしておく必要がある

システム運用におけるセキュリティ要求事項を明確にしている

情報システムの運用手順書（マニュアル）を整備している

システムの運用状況を点検している

システムにおいて実施した操作や障害、セキュリティ関連イベントについてログ（記録）を取得している

設備（具体例）の使用状況を記録している



ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う。

ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行っている

ウイルス対策ソフトが持っている機能（ファイアーウォール機能、スパムメール対策機能、有害サイト対策機能）を活用する

各サーバーやクライアントPCについて、定期的なウイルス検査を行っている

Winny等、組織で許可されていないソフトウェアのインストールの禁止、あるいは使用制限を行っている



導入している情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う。

脆弱性の解消（修正プログラムの適用、Windows update等）を行っている

脆弱性情報や脅威に関する情報の入手方法を確認し、定期的に収集する

情報システム導入の際に、不要なサービスの停止など、セキュリティを考慮した設定を実施するなどの対策が施されているかを確認する

Webサイトの公開にあたっては、不正アクセスや改ざんなどを受けないような設定・対策を行い、脆弱性の解消を行う

Webブラウザや電子メールソフトのセキュリティ設定を行うこと。


不十分な不正アクセス対策【対策の例】

インターネット接続に関わる不正アクセス対策を行う

（外部から内部へのアクセス）





特に重要なシステムや、インターネットに直接接続されたシステムについては、IDS（侵入検知システム）やIPS（侵入防御システム）などを導入する


事故対応体制の未整備【対策の例】

情報セキュリティに関連する事件や事故等の緊急時に、何をすべきかを把握するウイルス感染や情報漏えい等の発生時、組織内の関係者への報告

、緊急処置の適用基準や実行手順、被害状況の把握、原因の把握と対策の実施、被害者への連絡や外部への周知方法、通常システムへの復旧手順、業務再開手順などを整えておく

（例）

ウイルス感染の場合、ウイルス定義ファイルを最新の状態にしたウイルス対策ソフトにより、コンピュータの検査を実施し、ウイルス対策ソフトのベンダーのWebサイト等の情報を基に、検出されたウイルスの駆除方法などを試すことが必要となる


事故対応体制の未整備【対策の例】

情報漏えいの場合、事実を確認したら速やかに責任者に報告し、対応体制を取ること、対応についての判断を行うため5W1Hの観点で調査し

情報を整理すること、対策本部で対応方針を決定すること、被害の拡大防止と復旧のための措置を行うことが必要となる。また、漏洩した個人情報の本人、取引先などへの通知、監督官庁等への報告、ホームページやマスコミ等による公表についても検討する必要がある


【対策のポイント】

近年発生している不正アクセス事件の多くは、SQLインジェクション等のWebアプリケーションの脆弱性をついたものである。従って、Webアプリケーションの開発・運用に際しては、IPAの『安全なウェブサイト運営入門』等を参考に、既知の脆弱性への対策を行う必要がある事故対応体制もしくは、事故時に何をすべきかを事前に把握しておくことが重要である。顧客への対応はもちろんであるが、法令遵守の観点も重要である。具体的には個人情報保護法などへの対応が重要である

参考情報安全なウェブサイト運営入門 (IPA) http://www.ipa.go.jp/security/vuln/7incidents/


事例２

無許可の外部サービスの利用


【状況】

市場調査を行っているAマーケティング社のB調査

員は、会社の了解を得ずに、地理情報システムとして無料のSaaS（Software as a Service）型のサービスである、C社のC-Worldを使っている

C-Worldがネットワーク上で提供している地図、衛星写真などの地理情報に、B調査員が調査したマーケット調査結果をC-Worldサーバーに送信し、結

果を地図情報と重ね合わせて顧客へのプレゼンテーションに利用していた



ある日、AマーケティングではB調査員の顧客から、前回の

調査結果がインターネット上に公開されており、誰でも見ることができるようになっている、というクレームを受けた。Aマーケティング社で調べたところ、確かにC-Worldサーバーか

らマーケット調査結果が誰でも見ることができる状態になっていた。これはC-Worldの無料サービスの約款では、ユー

ザーが登録した情報はデフォルト状態では一般に公開されることになっており、B調査員はそれを知らずにそのままの状態で使っていたためであることがわかった




外部サービスの無許可利用

外部サービスのサービス内容についての不十分な理解


外部サービスの無許可利用【対策の例】

SaaS、ASPも含む、新たなソフトウェアや、システムを導入

する場合、セキュリティ上のリスクを把握した上で導入の可否を決定する

業務上、必要のないツールの利用制限を行う


外部サービスのサービス内容についての

不十分な理解【対策の例】

外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事項について合意をとる契約書や委託業務の際に取り交わす書面等に、情報の取り扱いに

関する注意事項を含める（例）


関係者のみにデータの取り扱いを制限する外部の組織との間で情報を授受する場合、情報受渡書を持っておこ

なう契約に基づく作業に遂行することによって新たに発生する情報（例：

新たに作製された、金型・図面・モックアップ等々）の取扱を含める等


外部サービスのサービス内容についての

不十分な理解【対策の例】サービス約款・SLＡ（サービス品質保証）等について十分に理解したうえで、利用の可否を判断する

ツール（SaaS、ASPも含む）を使用する場合は、デフォルトの設定を確認し、セキュアな設定を行うよう注意する

通信ネットワークを流れる重要なデータに対して、暗号化などの保護策を実施する必要に応じて、SSL等を用いて通信データを暗号化する外部のネットワークから内部のネットワークや情報システムにアクセ

スする場合に、VPNなどを用いて暗号化した通信路を使用している

電子メールをやり取りする際に、重要な情報についてはファイルにパスワードを付ける、又は暗号化する



SaaS等、外部サービスのセキュリティ水準は、一般事業者のセキュリティ水準よりも高いことが期待される。したがって、リソースの面で十分なセキュリティ対策の実施が困難な中小企業にとって、SaaS等の利用はセキュリティの観点からも望ましい場合が多い

一方で、外部のサービスを利用する場合、事前にサービス提供事業者に対して、情報セキュリティの観点から確認を行うことが重要である。詳細については、下記の参考情報を参照されたい

参考情報

SaaS 向けSLA ガイドライン (経済産業省) http://www.meti.go.jp/committee/materials/downloadfiles/g80207c05j.pdf

クラウドサービス安全利用のすすめ(IPA) http://www.ipa.go.jp/security/cloud/cloud_tebiki_handbook_V1.pdf


事例３

在庫管理システム障害の発生


【状況】

卸売り業を営むA商会は、IT化にも積極的で、5年前から在庫管理は全てシステム化していた

データのバックアップについては、テープバックアップ装置は設置されていたものの、使い方が分からないため、ほとんど使われていない。また、ITが停止した場合を想定した事業継続計画は策定していない



ある日、震度4の地震が発生し、A商会の在庫管理サーバーの脇に置いてあったパーティションが倒れ、サーバーにぶつかった。この影響でサーバーのHDDが故障し、サーバーが正常に起動しなくなった

サーバーの予備機はなく、ベンダーに修理を依頼したが、緊急時を想定した契約を結んでおらず、ベンダーが来て修理したのは地震発生1週間後であった

またデータは半年前にバックアップしただけだったため、業務には全く役に立たず、在庫を調査して再度データ入力が終わったのは1ヶ月後であった

その間、A商会は、急遽手作業で出荷等の作業を行っていたが、手作業による出荷管理等のマニュアルが無かったため、現場は大混乱を来たした




事業継続への意識の低さ


事業継続への意識の低さ【対策の例】

情報システムに障害が発生した場合、業務を再開するために何をすべきかを把握する情報システムに障害が発生した場合の、最低限運用の必要な時間

帯と許容停止時間を明確にしておく

障害対策の仕組みが組織として効果的に機能するよう、よく検討している

システムの切り離し（即応処理）、必要なサービスを提供できるような機能（縮退機能）、情報の回復や情報システムの復旧に必要となる機能などが、障害時に円滑に機能するよう確認しておく

日常のシステム運用の中で、バックアップデータや運用の記録などを確保しておく

障害発生時に必要な対応として、障害発生時の報告要領（電話連絡先の認知等）、障害対策の責任者と対応体制、システム切替え・復旧手順、障害発生時の業務実施要領等の準備を整えておく



（例）

大容量データの復元には時間を要するため、復元に要する時間の事前見積りの実施

関係者への障害対応要領の周知や、必要なスキルに関する教育や訓練などの実施を行っている



重要なコンピュータや配線は地震などの自然災害や、ケーブルの引っ掛けなどの人的災害が起こらないように配置・設置する重要なコンピュータは許可された人だけが入ることができる安全な

場所に設置する

電源や通信ケーブルなどは、他の人が容易に接触できないようにする

重要なシステムについて、地震などによる転倒防止、水濡れ防止、停電時の代替電源の確保などを行っている

事業継続計画を策定するなど、事業継続マネジメント体制を構築する



企業の業務がITに依存すればするほど、ITに異常が発生した場合の業務に対する影響も大きくなる。そのため、災害時やIT障害が発生した際でも、業務を継続する場合は、事業継続に関する検討が重要である

事業継続に関して具体的に検討を行う際には、経済産業省『事業継続計画策定ガイドライン』、経済産業省『IT サービス継続ガイドライン』、内閣府『事業継続ガイドライン』等を参照することが望ましい

参考情報事業継続計画策定ガイドライン (経済産業省)

http://www.meti.go.jp/report/downloadfiles/g50331d06j.pdf

IT サービス継続ガイドライン (経済産業省) http://www.meti.go.jp/policy/netsecurity/downloadfiles/itsc_gl.pdf

事業継続ガイドライン (内閣府) http://www.bousai.go.jp/MinkanToShijyou/guideline02.pdf

中小企業BCP策定運用指針 (中小企業庁）

http://www.chusho.meti.go.jp/bcp/index.html


事例４

無線LANのパスワードのいい加減な管理


【状況】

Webデザイン企業のAメディア株式会社では、会議室でのプレゼンテーション用に、無線LANを導入している。セキュリティを確保するため、無線LANにはWEP（Wired Equivalent Privacy）を設定していたが、WEPキーは、無線LAN機器に最初に設定されていたものをそのまま用いている



Aメディア社内のコンピュータから、外部のサイトに不正アクセスが行われている、という通知メールが、ある日ISPから届いた。Aメディアで社内を調査したところ、不正アクセスは確かにAメディア社内のネットワークから行われているが、それは無線LANを介して行われた不正アクセスで、その時間帯には社員はだれも在社していなかった

結局犯人は見つからなかったが、隣のビルなど、電波の圏内からAメディアの無線LANに不正にアクセスし、Aメディアを踏み台として使ったのではないかと推測された。不正アクセスをしていた外部のサイトにはISPを介して謝罪すると共に、対策がすむまで無線LANを停止するなど、業務にも影響があった




無線LANの危険性に対する認識の不足パスワード管理の重要性に対する認識の不足


無線LANの危険性に対する認識の不足

【対策の例】

無線LANのセキュリティ対策（WPAの導入等）を行う無線LANにおいて重要な情報の通信を行う場合は、暗号化通信（WPA2等）

の設定を行う

無線LANの使用を許可する端末（MAC認証）や利用者の認証を行う

インターネット接続に関わる不正アクセス対策を行う（外部から内部へのアクセス）






パスワード管理の重要性に対する認識の

不足【対策の例】

情報や情報システムへのアクセスを制限するために、利用者IDの管理を行う利用者毎にIDとパスワードを割当て、そのIDとパスワードによる識

別と認証を確実に行う利用者IDの登録や削除に関する規程を整備するパスワードの定期的な見直しを求める。また、空白のパスワードや

単純な文字列のパスワードを設定しないよう利用者に求める離席する際は、パスワードで保護されたスクリーンセーバーでパソコ

ンを保護する不要になった利用者IDを削除する



無線LANは有線LANと異なり、物理的に接続を制御することが出来ないので、より慎重なセキュリティ対策が求められる。無線LANでよく用いられているセキュリティ対策のWEPは既に脆弱性が発見されているため、比較的簡単にWEPキーを破られてしまう。そのため、より強度の高いWPAを用いることが望ましい

パスワード（今回の例ではWEPキー）については、システムに当初設定されていたデフォルトのものを用いたり、容易に推測できるようなものを用いないことが重要である。また、パスワードの定期的な変更などの対策も効果的である

参考情報無線LANを他人に使われないようにしましょう！ (IPA)

http://www.ipa.go.jp/security/txt/2011/04outline.html


事例５

委託した先からの情報漏えい


【状況】

市場調査を行っているAマーケティング社のB調査員は、アンケートを送付するため、C印刷株式会社に送付先の個人情報リスト（1万人分）を渡して、宛名ラベルの印刷を委託した。

B調査員は日頃からC印刷と取引があるため、C印

刷における情報管理について確認することなく、個人情報リストを電子メールでC印刷の担当者に送付し、後日、注文書を送った。

C印刷では、従業員であれば誰でも入室できる場所に設置してある、誰でもログインできるPCに個人情報を格納した。



C印刷の担当者から、B調査員から受け取った個人情報を含む個人情報を、C印刷の従業員が持ち出

して名簿業者に販売していた疑いで、警察に逮捕されたとの連絡があった

Aマーケティングでは、漏洩した個人に連絡すると

共に、謝罪文の作成・発表、監督官庁への報告等のため業務遂行に大きな影響があった。また、売り上げも減少するなど、企業業績にも影響が及んだ




法令遵守に対する意識の低さ

委託先管理の不十分さ



【対策の例】個人情報保護法が求める個人情報保護対策を実施する

情報セキュリティ対策に関わる責任者と担当者を明示する



管理すべき重要な情報資産を分類する

管理すべき重要な情報資産を、他の情報資産と分類する

情報資産の管理者を定める

重要度に応じた情報資産の取り扱い指針を定める

重要な情報資産を利用できる人の範囲を定める



【対策の例】

重要な情報については、入手、作成、利用、保管、交換、提供、消去、破棄における取り扱い手順を定める各プロセスにおける作業手順を明確化し、決められた担当者が、手

順に基づいて作業を行っている重要な情報に対して、漏洩や不正利用を防ぐ保護対策を行っている

（例）重要な情報を利用できる人に対してのみ、アクセス可能とする重要な情報の利用履歴を残しておく重要な情報を確実に消去・廃棄する等



【対策の例】情報セキュリティに関連する事件や事故等の緊急時に、何をすべきかを把握するウイルス感染や情報漏えい等の発生時、組織内の関係者への報告

、緊急処置の適用基準や実行手順、被害状況の把握、原因の把握と対策の実施、被害者への連絡や外部への周知方法、通常システムへの復旧手順、業務再開手順などを整えておく

（例）ウイルス感染の場合、ウイルス定義ファイルを最新の状態にしたワクチンソフトにより

、コンピュータの検査を実施し、ワクチンソフトのベンダーのWebサイト等の情報を基に、検出されたウイルスの駆除方法などを試すことが必要となる

情報漏えいの場合、事実を確認したら速やかに責任者に報告し、対応体制を取ること、対応についての判断を行うため5W1Hの観点で調査し情報を整理すること、対策本

部で対応方針を決定すること、被害の拡大防止と復旧のための措置を行うことが必要となる。また、漏洩した個人情報の本人、取引先などへの通知、監督官庁等への報告、ホームページやマスコミ等による公表についても検討する必要がある


委託先管理の不十分さ【対策の例】

委託先の安全管理措置が個人情報保護法を満足するかを確認する

外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事項について合意をとる契約書や委託業務の際に取り交わす書面等に、情報の取り扱いに

関する注意事項を含める（例）


関係者のみにデータの取り扱いを制限する外部の組織との間で情報を授受する場合、情報受渡書を持っておこなう契約に基づく作業に遂行することによって新たに発生する情報（例：新たに

作製された、金型・図面・モックアップ等々）の取扱を含める等


委託先管理の不十分さ【対策の例】

重要な情報を保管したり、扱ったりする場所の入退出管理と施錠管理を行う重要な情報を保管したり、扱ったりする区域を定めている重要な情報を保管している部屋（事務室）又はフロアーへの侵入を

防止するための対策を行っている重要な情報を保管している部屋（事務室）又はフロアーに入ることが

できる人を制限し、入退の記録を取得している



個人情報保護法への対応については、所管省庁が公表する個人情報の保護に関するガイドライン等を参考に対策を行う必要がある（例：経済産業省、『個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン』）情報セキュリティ事故の多くは、業務の委託先等において発生しているため、個人情報や営業秘密等を委託先に渡す場合については、何らかの管理が必要になる場合が多い。具体的には『中小企業の情報セキュリティ対策ガイドライン：別冊１委託関係における情報セキュリティ対策ガイドライン』を参照されたい

参考情報個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン (経済産業省) http://www.meti.go.jp/policy/it_policy/privacy/ kaisei-guideline.pdf 中小企業の情報セキュリティ対策ガイドライン：別冊１委託関係における情報セキュリティ対策ガイドライン (IPA) http://www.ipa.go.jp/security/fy20/reports/ sme-guide/documents/sme-itaku.pdf


委託関係


委託関係における情報セキュリティ対策

1. 委託関係における機密情報漏えいの危険性

2. 機密情報の提供

3. 委託関係で取り交わされる書類等

4. 機密情報の取扱いに係る事項


委託関係における機密情報漏えいの危険性

業務委託において、機密情報を提供する際に、提供元から提供先に対して、機密情報の指定またはその保持に必要とされる情報セキュリティ対策の具体的な実施内容が示されない場合がある。そのような状況では、機密情報の漏えいを防止する適切な対策の実施は期待できない


機密情報の提供

委託関係（業務委託）における機密情報の提供は、委託元から委託先に提供される場合の他、委託先から委託元に提供される場合、あるいは相互に提供する場合があるので注意されたい

機密情報


委託関係で取り交わされる書類等

委託関係で取り交わされる約束事には以下のようなものがあるが、そこで機密情報の取扱いに係る事項を明確にすべきである

取引基本契約書、個別契約書、覚書、 NDA（Non-Disclosure Agreement：秘密保持契約）、打合

せや口頭による確認（できれば書面化：議事録等）、売買契約書、代理店契約書等、発注書、仕様書等


機密情報の取扱いに係る事項

機密情報の取り扱いに係る事項を、「業務委託契約に係る機密保持条項（例）」として以下にまとめてあるので参照されたい中小企業の情報セキュリティ対策ガイドライン：別冊

１委託関係における情報セキュリティ対策ガイドライン (IPA)

http://www.ipa.go.jp/security/fy20/reports/ sme-guide/documents/sme-itaku.pdf


付録も参考にしてください

委託関係における情報セキュリティ対策事項機密保持条項(例示案)の件業務委託契約に係わる機密保持条項(例)


まとめ


情報セキュリティ対策の考え方（まとめ）

① 情報資産の洗い出し ② 事故の可能性と影響 ③ 対応方針の決定 ④ 情報セキュリティの波及効果


① 情報資産の洗い出し

重要な情報（資産）とは

その情報が漏えいしたとき、会社の経営に大きな影響があるもの（例:個人情報）

その情報が改ざんされたとき、会社の経営に大きな影響があるもの（例:財務会計情報）

その情報が紛失したり利用できなくなったとき、会社の経営に大きな影響があるもの（例:設計図面）

情報資産は電子データ以外にも紙の情報や、電子データを管理する情報システムも含まれる

情報資産管理台帳等で管理


情報資産管理台帳（項目イメージ）

管理№ 情報資産名対象（媒体）保管・格納場所利用範囲管理部門情報管理責任部門名管理責任者名連絡先

登録（入手）日廃棄日保存期間最終棚卸日重要度（機密度）

入手から廃棄まで管理


② 事故の可能性と影響

情報資産がどのような脅威にさらされているか検討する脅威が起こりうる可能性（発生頻度等）を評価する脅威が起こす影響（被害の大きさ等の影響度）について評価する


影響の大きさを発生する頻度（イメージ）


③ 対応方針の決定

会社としての対応方針を決める（例えば）影響度中でたまに発生する→リスクの低減が必要（セキュリティ対策実施で影響や発生率を下げる）

影響度大で頻発する→リスクの回避が必要（やり方を変える、業務を実施しない等）

影響度大だがめったに発生しない→リスクの移転が必要（他社に委託、保険を掛ける等）

影響度小でめったに発生しない→無視もあり


対応方針（イメージ）


④ 情報セキュリティ対策の波及効果

情報セキュリティ対策を行うために、情報資産の洗い出しから対応方針の決定を行うことで、業務効率化や全体コストの削減につながることもある情報セキュリティ対策を単なるコストとしてみるのではなく、コスト削減の道具とし、企業価値の創造に繋げるものとして捉えることも重要である


関連法規・ガイドライン


不正アクセス禁止法

• 正式には、「不正アクセス行為の禁止等に関する法律」であるが、一般的に不正アクセス禁止法と呼ばれている。サイバー犯罪を取り締まる法令として有名で、以下のサイトが参考になる

警察庁サイバー犯罪対策法令等

http://www.npa.go.jp/cyber/legislation/

• 本法令の目的は、電気通信回線を通じた不正アクセス犯罪の防止であり、平成24年5月1日に改正法が施行された


不正アクセス禁止法（改正） • 平成24年5月1日改正法が施行された • 「ハイテク（サイバー）犯罪の防止・電気通信に関する秩序

の維持」を目的とした「取締対策の強化・防御対策の強化」が改正のポイント不正取得罪（第4条）と不正保管罪（第６条）が新設助長罪（第5条）が禁止・処罰範囲が拡張フィッシング罪（第7条）が新設防御対策（普及・啓発・情報提供）の強化（第9条および第10条）

警察庁不正アクセス行為の禁止等に関する法律の解説http://www.npa.go.jp/cyber/legislation/pdf/1_kaisetsu.pdf

警察庁不正アクセス禁止法改正Ｑ＆Ａhttp://www.npa.go.jp/cyber/legislation/pdf/6_QA.pdf


不正アクセス行為とは

• 不正アクセスする行為 – なりすまし（他人のIDやパスワードを利用等）によるシステムの不正

利用を行う行為

– 不正アクセス（脆弱性を悪用しアクセス制御を迂回、通信を不正に中継しアクセス制御を迂回する等）によるシステムへの侵入を行う行為

３年以下の懲役または100万円以下の罰金 • 識別符号の不正流通の行為

– 他人のパスワードを不正に取得する行為 – 他人のパスワードを不正に保管する行為 – 他人のパスワードを第三者に教える等の行為 – 他人のパスワードを不正に要求する行為（フィッシング等）

１年以下の懲役または50万円以下の罰金


個人情報保護法 • 正式には、「個人情報の保護に関する法律」であるが、一般

的に個人情報保護法と呼ばれている。個人情報の漏えいや不正使用などに対する個人の権利の保護を目的に、平成17年4月1日に施行された。以下のサイトが参考になる消費者庁個人情報保護

http://www.caa.go.jp/seikatsu/kojin/ 首相官邸個人情報の保護に関する法律

http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/ この法令（法律）では、個人情報を取り扱う事業者の遵守すべき義務を規定している。いわゆる個人情報を取り扱う上での安全管理措置や従業員や委託先の監督義務などである。さらに、個人情報の適切な利用のための規制事項なども規定している。この法令（法律）にも罰則規定があり、6ヶ月以下の懲役または30万円以下の罰金となっている


個人情報取扱事業者の主な義務①

個人情報取扱事業者 • 5000件を超える（5001件以上の）個人情報を

個人情報データベース等として所持し事業に用いている事業者

個人情報（生存する個人を特定できる情報） • 利用目的の特定 • 利用目的による制限（本人の同意なくしては扱えない） • 適正な取得（不正な手段で取得してはならない) • 取得に際しての利用目的の通知等（本人への通知） • 個人情報取扱事業者による苦情の処理


個人情報取扱事業者の主な義務②

個人データデータベース（コンピュータシステムあるいは容易に検索できるようにした仕組み）化した個人情報

• データ内容の正確性の確保 • 安全管理措置 • 従業者の監督 • 委託先の監督 • 第三者提供の制限（本人への通知）

業務委託（利用目的の達成に必要な範囲内）、事業の継承（合弁その他の理由による）、共同利用（本人に通知済）の場合を除く


個人情報取扱事業者の主な義務③

保有個人データ個人情報取扱事業者が開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データ

• 公表、開示、訂正等（本人からの要求に対して実施） • 利用停止等（本人からの要求に対して実施）


個人情報保護ガイドライン【省庁】金融庁

• 「金融分野における個人情報の取り扱いについて」経済産業省

• 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」

厚生労働省 • 「雇用管理に関する個人情報の適正な取扱いを確保するために事業者が講ずるべき措置に関する指針」

など【業界団体】全国銀行協会

• 「個人情報の保護と利用に関する自主ルール」全国スーパーマーケット協会ほか

• 「個人情報保護に関する法律の業界ガイドライン」日本医師会

• 「医療機関における個人情報の保護」など

出典：内閣府国民生活局【個人情報に関する法律】 http://www5.cao.go.jp/seikatsu/kojin/


不正競争防止法 • この法令は、いわゆる営業秘密の保護（情報窃盗からの保

護）を目的にしたものであるが、平成21年4月30日に改定された。以下のサイトが参考になる経済産業省知的財産政策／不正競争防止

http://www.meti.go.jp/policy/economy/chizai/chiteki/index.html 不正競争防止法

http://law.e-gov.go.jp/htmldata/H05/H05HO047.html ここで言う営業秘密とは、著作権や商標権で保護されていない企業の重要なノウハウ（例えば技術情報）や営業機密などのことであり、次に示すような条件を満たしている場合には保護されるという法律である


営業秘密が保護されるための条件（営業秘密管理指針）

秘密として管理されている（秘密管理性）事業活動に有用な情報である（有用性）公然と知られていない（非公知性）

企業内でいい加減に扱われている情報は営業秘密にはあたらないことになり、保護されないので注意が必要どのように保護されるかと言うと、営業秘密の不正取得（例えば不正アクセス）あるいは不正使用に対しては、3年以下の懲役または300万円以下の罰金が科せられる。また、営業秘密を侵害する不正競争行為に対しては、差止請求や損害賠償請求などが認められている情報セキュリティ対策なしに漏えいしてしまったノウハウなどの企業情報については、前述の条件を満たさないので、漏えいした情報が引き起こす損害の賠償については原則として請求できないことになる。注意しなければならない!!


営業秘密管理指針（改訂版：平成22年4月9日）

「営業秘密管理指針（改訂版）」の公表～事業者の価値ある情報の管理方法等を解説！～ http://www.meti.go.jp/press/20100409006/20100409006.html

営業秘密管理チェックシート各種契約書等の参考例営業秘密を適切に管理するための導入手順について～はじめて営業秘密を管理する事業者のために～営業秘密管理指針


参考：価値ある情報の戦略的な活用イメージ

技術・ノウハウ等を保護するには

各企業においてベストミックスを追求

「営業秘密管理指針（改訂版）」の公表資料から引用

特許権営業秘密 ○発明を保護

○原則出願から20年 ○保護期間に制限なし

公開（オープン化）して権利取得非公開に（ブラックボックス化）して保護


より高度な対策をとりたいときは・・・

情報セキュリティ対策ベンチマークの活用


情報セキュリティ対策ベンチマーク

http://www.ipa.go.jp/security/benchmark/index.html


情報セキュリティ対策ベンチマークとは

自社の情報セキュリティ対策レベルを自己診断できるWebサービス

Webページ上の質問に答えると診断結果が自動表示されるスコア（点数）による評価とレーダーチャートや散布図による他社

との比較ができる他社との比較の基礎データは診断を行った企業の実データ散布図で自社の相対的位置を確認し、レーダチャートで自社の強

み弱みが平均値や望まれる水準との比較で把握できる定期的診断で、自社の対策レベルの変化が把握できる

経済産業省の「企業における情報セキュリティガバナンスのあり方に関する研究会報告書」の中で提言された施策ツールをIPAがWebベースの自己診断システムとして開発し，2005年8月より提供


情報セキュリティ対策ベンチマークの活用

http://www.ipa.go.jp/security/benchmark/benchmark-katsuyou.html

1.情報セキュリティ評価について 2.情報セキュリティ対策ベンチマーク活用例

3.情報セキュリティ対策ベンチマークからISMS認証取得へ

4.情報セキュリティ対策ベンチマークから情報セキュリティ監査へ


情報セキュリティ白書(2012)

2011年度の1年間に情報セキュリティ分野で起きた注目すべき10の出来事

国内外における情報セキュリティインシデントの状況や、攻撃手口や脆弱（ぜいじゃく）性の動向、これらに対する企業や政府等における情報セキュリティ対策の状況

情報セキュリティを支える政策や制度の動向として、国内外における情報セキュリティ政策や関連法の整備状況、国際標準化動向、組織の情報セキュリティ対策状況

今年度の注目するテーマとして、スマートフォンや自動車、クラウドコンピューティング等における情報セキュリティや、内部者の不正行為の課題

2012年3月22日に公開した「2012年版 10大脅威変化・増大する脅威！」も収録


【参考】情報セキュリティ教本・読本

第1章はじめに第2章情報セキュリティの組織第3章情報セキュリティポリシーのつくり方第4章情報の分類と管理第5章リスクマネジメント第6章技術的対策の基本第7章セキュリティ製品とセキュリティサービス第8章導入と運用第9章セキュリティ監視と侵入検知第10章セキュリティ評価第11章見直しと改善第12章法令順守【付録】年表政府機関統一基準の構成と本書の関係

『情報セキュリティ教本 - 組織の情報セキュリティ対策実践の手引き -』

http://www.ipa.go.jp/security/publications/kyohon2/

姉妹本情報セキュリティ読本


情報セキュリティ対策の啓発ビデオ

情報セキュリティ普及啓発映像コンテンツ http://www.ipa.go.jp/security/keihatsu/videos/

YouTube : IPAチャンネル

http://www.youtube.com/ipajp/


ここからセキュリティ！


情報セキュリティ対策支援サイト

http://www.ipa.go.jp/security/isec-portal/


情報セキュリティ安心相談窓口

電話 03-5978-7509 (オペレータ対応は、平日の10:00～12:00 および 13:30～17:00)

E-mail [email protected] ※このメールアドレスに特定電子メールを送信しないでください。

ＦＡＸ 03-5978-7518

郵送

〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコートセンターオフィス16階 IPAセキュリティセンター安心相談窓口


https://www3.jitec.ipa.go.jp/JitesCbt/


質問･問い合わせは・・・

[email protected] までで連絡ください。

ご相談に応じます!!


独立行政法人情報処理推進機構技術本部セキュリティセンター（IPA/ISEC）

〒113-6591 東京都文京区本駒込２－２８－８文京グリーンコートセンターオフィス１６階ＴＥＬ０３（５９７８）７５０８ＦＡＸ０３（５９７８）７５１８電子メール [email protected] ＵＲＬ http://www.ipa.go.jp/security/

ご清聴ありがとうございました

付録マネジメントコース実践編参考資料

-付 1 -

「中小企業の情報セキュリティ対策ガイドライン」

－「委託関係における情報セキュリティ対策ガイドライン」より

委託先における情報セキュリティ対策事項

本紙は、委託元が委託先に確認する情報セキュリティ対策事項で、「情報セキュリティ対

策は別途定める～による。」というような契約時において示される別紙の例である。

注）機密保持条項（例示案）との整合性は取っていない

委託元から委託先に開示する機密情報（以下「機密情報」という）の管理に関し、委託先が実施する

情報セキュリティ対策の事例を示す。なお、具体的に多くの事例を示すため事例相互の整合性は保証さ

れていないので、適宜選択すること。

委託契約では、機密情報の取扱に関して、必要かつ適切な安全管理措置について、委託者、受託者双

方が同意した内容を事前に具体的にする必要がある。具体的な実施策がなく、委託元が委託先に対して、

事故が発生した場合の損害賠償のことについてだけしか契約に盛り込まないということは望ましくな

い。

これらの事例を参考に、機密情報の種類、業務委託関係などの諸条件を考慮して、委託元は、委託先

と協議のうえ、委託先が実施する適切な情報セキュリティ対策を指示すべきである。

1. 情報セキュリティに対する組織的な取組み

１.１機密情報の利用、保管、持ち出し、消去、破棄における取り扱い手順を定める

機密情報は、他の情報と区別して保管すること。

機密情報の管理者を定めること。

機密情報にアクセスできる人の範囲を定めること。

最新の従事者（管理責任者を含む）を「従事者台帳」で管理すること。

機密情報を受領した場合には、「機密情報管理台帳」に記録すること。

機密情報の利用記録を残しておくこと。

機密情報を複製または電子メールで送信する場合には、事前に委託元の承認を得ること。

機密情報を複製または電子メールで送信した場合には、「機密情報管理台帳」に所在地

およびその管理者を記録すること。機密情報および機密情報を取り扱う機器の保安区分

外への持ち出しは禁止すること。

機密情報を持ち出す場合、事前に委託元の承認を得ること。

機密情報を持ち出す場合、事前に機密情報の管理者の承認を得ること。

機密情報を持ち出す場合、ファイルの暗号化を行うこと。

機密情報を格納する記憶媒体は、セキュリティロック機能を有すること。

持ち出しの利用を終えた機密情報は、正しく消去されているか確認すること。

機密情報を扱う業務の担当を外れた従業者（管理責任者を含む）が保有していた機密情

報の廃棄・消去を確認すること。

機密情報および機密情報が化体された物（試作品等）の廃棄手順を定めること。


-付 2 -

委託業務の終了時、機密情報が安全に廃棄、消去されたことを示す記録を整備すること。

また、委託元に報告すること。

機密情報を格納していたサーバを廃棄、売却またはリース返却する時は、データ消去ツ

ールなどでデータの完全消去を行うこと。

バックアップのルールを定め、定期的に実施すること。機密情報を扱う情報システムの

全てのバックアップ媒体は、機密区分に応じた管理を行うこと。

機密情報を含む裏紙は利用しないこと。

機密情報が記された FAX、プリントアウトその他の書類が長時間放置されたままにな

らないようなルールの運用をすること。

情報セキュリティが適正に維持、運用されていることを確認するため、定期的に確認す

ること。

定期的に機密情報取り扱い業務の内部点検を実施すること。

1.2 機密情報に係る業務の再委託に関する事項を定める

業務の再委託を行う場合は、実施理由・必要性、内容、再委託先についての書面を事前

に委託元に提出し承認を得ること。

再委託先と機密保持に関する契約を締結すること。委託元から委託先に求める情報セキ

ュリティ要求事項と同等の内容を含めること。

項目例：

＊守秘義務

＊機密保持の対象となる情報の範囲

＊守秘義務期限

＊使用目的の制限

＊アクセス者は必要最小限に限定

＊機密情報の管理方法

＊機密情報の複製の制限

＊委託契約終了後の機密情報の返却または廃棄の規定

＊委託元からの機密保持に関する確認措置の規定

＊契約違反時の措置

＊無断での再委託の禁止

＊私用 PC の業務使用禁止

機密情報に係る再委託先との業務について手順を文書化すること。

再委託先における情報セキュリティ対策が適切に維持・運営されていることを定期的に

確認すること。

機密情報を再委託先に開示する場合には、機密情報であることを明示すること。


-付 3 -

再委託先への機密情報の受け渡しに関する記録を行うこと。

再委託先への機密情報の受け渡しに際し、暗号化を行うこと。

再委託先に開示した機密情報の廃棄・消去に関する記録を再委託先から取得すること。

1.3 機密情報を扱う従事者に対して遵守事項の周知と、情報セキュリティに関わる知識習得の機

会を与える

機密保持に関する遵守事項を従事者に周知させること。

機密保持を実践するために必要な教育を定期的に行い、受講記録を作成すること。

機密情報を公衆の場（居酒屋や電車の中など）で公言しないこと。

2 物理的セキュリティ

2.1 機密情報を保管および扱う場所の入退管理と施錠管理を行う

機密情報を保管および扱う区域を定めていること。

機密情報を保管している部屋（事務室）又はフロアーへの侵入を防止するための対策を

行っていること。

機密情報を保管している部屋（事務室）又はフロアーに入ることができる人を制限し、

入退の記録を取得していること。

機密情報が格納された記憶媒体、紙資料、ノート PC 等は施錠管理すること。

機密情報を取り扱う情報システムを格納するサーバルームへの入退館の記録やサーバへ

の作業記録を保存し、事故が発生した際、後からトレースできるようにすること。

鍵または ID カードなどの保管や所有について定期的に確認すること。

入退出記録（カメラ画像を含む）を定期的に確認すること。

2.2 機密情報を保管および扱う場所への個人所有物の持込み・利用を禁止する

個人所有の PC・記憶媒体等（※）の持込みを禁止すること

個人所有の PC・記憶媒体等（※）の業務利用を禁止すること。

個人所有の PC の社内ネットワーク接続を禁止すること。

記憶媒体等（※）の利用は会社貸与品のみとし、個人所有の記憶媒体等（※）の利用を禁

止すること。

※記憶媒体（SD カード、USB メモリ等）、カメラ付き携帯電話、携帯情報端末（PDA）、

音楽プレーヤーなど

3 機密情報が格納される情報システムの運用管理

3.1 ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う


-付 4 -

ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行っていること。

ウイルス対策ソフトが持っている機能（ファイアーウォール機能、スパムメール対策機能、

有害サイト対策機能）を活用すること。

サーバやクライアント PC について、定期的なウイルス検査を行っていること。

ノート PC には、BIOS パスワード、HDD パスワードの設定および暗号化ソフトの導入を

すること。

Winny 等、組織で許可されていないソフトウェアのインストールを禁止していること。禁

止ソフトがインストールされていないか定期的に確認すること。

機密情報をコピーして持ち出さないよう、記憶媒体が接続できない設定とすること。

情報システムの時刻は定期的に同期をとること。

業務に不要な web サイトへのアクセスを制限すること。

3.2 情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う

脆弱性の解消（修正プログラムの適用、Windows update 等）を行っていること。

不要なサービスの停止など、セキュリティを考慮した設定を実施するなどの対策が施され

ているかを確認すること。

Web ブラウザや電子メールソフトのセキュリティ設定を行うこと。

4 機密情報へのアクセス制御の状況

4.1 機密情報へのアクセスを制限するために、利用者 ID の管理（パスワードの管理など）を行う

機密情報が扱える利用者毎に ID とパスワードを割当て、その ID とパスワードによる識別

と認証を確実に行うこと。

利用者 ID の登録や削除に関する規程を整備すること。

パスワードは有効期限を設け、定期的に変更すること。また、空白のパスワードや単純な

文字列のパスワードを設定しないよう利用者に求めること。

離席する際は、パスワードで保護されたスクリーンセーバーでパソコンを保護すること。

PC やサーバ、ネットワーク機器を社内ネットワークに接続する場合は、機密情報管理者

の承認を得ること。

従業者への機密情報アクセス権の付与状況を定期的に見直し、必要のないアクセス権を削

除すること。

遠隔診断ポートの利用は、保守サポートなどの必要な場合のみに限定すること。

遠隔診断ポートを利用した接続は、認証機能やコールバック機能等を備えるなど、適切な

セキュリティ対策を施すこと。


-付 5 -

5 情報セキュリティ上の事故対応

5.1 機密情報漏えいが判明した時に、状況を把握し委託元にすみやかに報告する

機密情報漏えい発生時の体制および連絡網を整備し、すべての従事者に周知すること。

機密情報漏えいが発生した場合、漏えいの発生が疑われる場合、または漏えいに至る可能

性のある問題が発見された場合には、すみやかに機密情報管理者に報告すること。

機密情報について上記の問題が発生した場合、すみやかに委託元に報告すること。

機密情報漏えいが発生した場合には、委託元と再発防止策を協議し、従事者に周知するこ

と。


-付 6 -

「中小企業の情報セキュリティ対策ガイドライン」

－「委託関係における情報セキュリティ対策ガイドライン」より

―機密保持条項（例示案）の件―

本書は、業務委託をおこなうにあたり取引基本契約書、個別契約書、覚書、NDA、打合せや口頭に

よる確認、また売買契約書、代理店契約書等、あるいは発注書、仕様書等を通じておこなわれる機密情

報の取扱いに係る事項を、「業務委託契約に係る機密保持条項（例）」としてまとめたものである。

実務的には、業務委託の内容、取扱われる情報の性質等によって、条項および条項の内容を取捨選択

し、また運用上の工夫などにより、過不足の無い実効性ある機密情報管理をおこなわなければならない。

また、業務委託先が海外の場合は、法律、商習慣、社会的習慣等が異なるので（日本の取引習慣は通用

しないことが多いので）、誤解が生じないよう明確に記述する必要がある。

尚、SaaS や ASP などのサービスを利用する場合であっても、業務委託契約書や SLA（サービスレ

ベルアグリメント）で、機密保持に係る事項を保証させる必要がある。

本書で言うところの機密情報とは、文書、図面、写真、図書、電磁的記録媒体、製品、部品、材料あ

るいは特定の設備等の「機密を化体している物理的対象物上（内）の情報」を言い、通信途中の情報、

頭の中にある記憶、身につけた技能等、物理的所在を明らかにすることが困難な情報を含まない。従っ

て、これらを機密保持の対象とする必要がある場合は、これらを扱うにふさわしい別途の法律等の根拠

に基づいた取決め（契約）をおこなう必要がある。


- 付 7 -

第○条（機密保持）

１．乙は、本契約の履行にあたり、甲が機密である旨指定して開示する情報および本契約の履行によ

り生じる情報注（以下「機密情報」という）を機密として取扱い、甲の事前の書面による承諾なく

第三者に開示してはならない。ただし、次の各号のいずれかに該当する情報については、この限り

ではない。

① 開示を受けたときに既に公知であったもの

② 開示を受けたときに既に乙が所有していたもの

③ 開示を受けた後に乙の責によらない事由により公知となったもの

④ 開示を受けた後に第三者から守秘義務を負うことなく適法に取得したもの

⑤ 開示の前後を問わず乙が独自に開発したことを証明し得るもの

２．甲が乙に機密である旨指定して開示する情報は、表 1（本案では、特に例示しない）の通りであ

る。

なお、表１は甲乙協力し常に最新の状態を保つべく適切に更新するものとする。

３．乙は、甲より開示された機密情報の管理につき、乙が保有する他の情報、物品等と明確に区別し

て管理するとともに、以下の事項を遵守する。

(1) 機密情報の管理責任者及び保管場所を定め、善良なる管理責任者の注意をもって保管管理す

る。

(2) 機密情報を取り扱う従業員を必要最小限にとどめ、上記保管場所以外へ持ち出さない。

(3) 機密情報の管理責任者名、機密情報を取り扱う従業員名及び機密情報の保管場所を、○年○

月○日までに甲に報告する。また、報告内容に変更が生じた場合には、変更が生じた月に提

出する以下の(8)の具体的管理状況の報告において、当該変更内容を甲に報告する。

(4) (3)にて報告した機密情報を取り扱う従業員に対して本契約の内容を周知徹底させ、機密情報

の漏洩、紛失、破壊、改ざん等を未然に防止するための措置を取る。

(5) 甲の書面による承諾を得た場合を除き、機密情報を複写、複製せず、また、機密情報を開示、

漏洩しない。但し、政府機関又は裁判所の命令により要求された場合、その範囲で開示するこ

とが出来る。なお、その場合には、甲にその旨をすみやかに通知すること。

(6) 機密情報は本契約の目的の範囲でのみ使用する。

(7) 事故発生時には直ちに甲に対して通知し、事故再発防止策の協議には甲の参加を認める。

(8) 委託期間満了時または本契約の解除時、機密情報（(5)に基づく複写、複製を含む）を甲に返

却、または自己で廃棄の上廃棄の証拠を甲に報告する。

(9) (8)にかかわらず、甲から返却また廃棄を求められたときは、機密情報（(5)に基づく複写、

複製を含む）を甲に返却、または自己で廃棄の上廃棄の証拠を甲に報告する。

「業務委託契約に係る機密保持条項（例）」甲：委託元

乙：委託先

注：「本契約の履行により生じる情報」の取扱いについては、別の条項で規定する

こと。尚、本契約の履行に伴って乙から甲へ開示等がなされる乙が保有する機

密情報がある場合の当該情報の取扱については、別の条項で規定することが望

ましい


- 付 8 -

(10) 乙は、甲に対して、機密情報の以下の具体的管理状況を毎月月末に報告する。乙は、甲が乙

の事務所における機密情報の管理状況を確認するために乙の事務所への立入検査を希望する

場合には、当該検査に協力する。また、甲は乙に対して是正措置を求めることができ、乙はこ

れを実施するものとする。

①委託契約範囲外の加工、利用の禁止の遵守

②委託契約範囲外の複写、複製の禁止の遵守

③安全管理措置状況

第○条（再委託）

１．乙は、本業務（の全部、または一部）を第三者へ再委託する場合、甲の事前の書面による同意を得

ずに、再委託してはならない。

２．前項の規定に基づき本業務を再委託する場合、乙は自己が負う義務と同等の義務を再委託先に対し

て書面にて課すとともに、甲に対して再委託先に当該義務を課した旨を書面により報告し、かつ乙は

当該機密情報開示に伴う全責任を負うものとする。また、乙は次項第 3 号の再委託先からの報告を、

第○条（機密保持）第３項の具体的管理状況の報告時にあわせて甲に報告する。

３．前項に加え、乙は再委託先から次の各号の同意を得なければならない。また、乙は、当該同意を得

た旨を甲に書面で報告する。

①事故発生時には直ちに甲に対しても通知すること

②事故再発防止策を協議する際には甲の参加も認めること

③再委託先における機密情報の具体的管理状況の報告は、甲の閲覧も可とすること

【コメント】

以下に示すような「機密保持条項に関連する他の条項」については、業務委託期間終了

又は本契約の解除後も、合理的な期間に渡り存続させることがのぞましい。

第○条（権利義務の譲渡）

第○条（成果の帰属）

第○条（損害賠償）

第○条（法令等の遵守義務）

第○条（協議事項）

第○条（紛争の解決）

また、第○条（守秘義務）の規定は、「業務委託期間終了又は本契約の解除後○年間有

効とする」の如く有効期間を示すことがのぞましい。

マネジメントコース実践編 -...

Documents