政府機関等の対策基準策定のためのガイドライン

機関等は、機関等における情報セキュリティに関する事務を統括する最高情報セキュリティ責任者１人を置くこと。

機関等は、最高情報セキュリティ責任者を助けて機関等における情報セキュリティに関する事務を整理し、最高情報セキュリティ責任者の命を受けて機関等の情報セキュリティに関する事務を統括する最高情報セキュリティ副責任者１人を必要に応じて置くこと。

最高情報セキュリティ責任者は、対策基準等の審議を行う機能を持つ組織として、情報セキュリティ対策推進体制及びその他業務を実施する部局の代表者を構成員とする情報セキュリティ委員会を置くこと。

最高情報セキュリティ責任者は、その指示に基づき実施する監査に関する事務を統括する者として、情報セキュリティ監査責任者１人を置くこと。

最高情報セキュリティ責任者は、業務の特性等から同質の情報セキュリティ対策の運用が可能な組織のまとまりごとに、情報セキュリティ対策に関する事務を統括する者として、情報セキュリティ責任者１人を置くこと。そのうち、情報セキュリティ責任者を統括し、最高情報セキュリティ責任者及び最高情報セキュリティ副責任者を補佐する者として、統括情報セキュリティ責任者１人を選任すること。

情報セキュリティ責任者は、遵守事項3.2.1(2)(a)で定める区域ごとに、当該区域における情報セキュリティ対策の事務を統括する区域情報セキュリティ責任者1人を置くこと。

情報セキュリティ責任者は、課室ごとに情報セキュリティ対策に関する事務を統括する課室情報セキュリティ責任者1人を置くこと。

情報セキュリティ責任者は、所管する情報システムに対する情報セキュリティ対策に関する事務の責任者として、情報システムセキュリティ責任者を、当該情報システムの企画に着手するまでに選任すること。

最高情報セキュリティ責任者は、情報セキュリティについて専門的な知識及び経験を有する者を最高情報セキュリティアドバイザーとして置き、自らへの助言を含む最高情報セキュリティアドバイザーの業務内容を定めること。

最高情報セキュリティ責任者は、機関等の情報セキュリティ対策推進体制を整備し、その役割を規定すること。

最高情報セキュリティ責任者は、情報セキュリティ対策推進体制の責任者を定めること。

最高情報セキュリティ責任者は、CSIRTを整備し、その役割を明確化すること。

最高情報セキュリティ責任者は、職員等のうちからCSIRTに属する職員等として専門的な知識又は適性を有すると認められる者を選任すること。そのうち、機関等における情報セキュリティインシデントに対処するための責任者としてCSIRT責任者を置くこと。また、CSIRT内の業務統括及び外部との連携等を行う職員等を定めること。

最高情報セキュリティ責任者は、情報セキュリティインシデントが発生した際、直ちに自らへの報告が行われる体制を整備すること。

最高情報セキュリティ責任者は、CYMATに属する職員を指名すること。（国の行政機関に限る。

職員等は、情報セキュリティ対策の運用において、以下の役割を兼務しないこと。

職員等は、承認等を申請する場合において、自らが許可権限者であるときその他許可権限者が承認等の可否の判断をすることが不適切と認められるときは、当該許可権限者の上司又は適切な者に承認等を申請し、承認等を得ること。

最高情報セキュリティ責任者は、次に掲げる事務を統括すること。ただし、e) は独立行政法人又は指定法人を所管する国の行政機関に限る。¥na) 情報セキュリティ対策推進のための組織・体制の整備¥nb) 対策基準の決定、見直し¥nc) 対策推進計画の決定、見直し¥nd) 情報セキュリティインシデントに対処するために必要な指示その他の措置¥ne) 所管する独立行政法人及び指定法人の情報セキュリティ対策が適切に推進されるために必要な機関内の体制の整備の指示¥nf) 情報セキュリティ監査の結果を踏まえた改善計画の策定等の必要な措置の指示¥ng) 前各号に掲げるもののほか、情報セキュリティに関する重要事項

情報セキュリティ委員会の委員長及び委員は、最高情報セキュリティ責任者が情報セキュリティ対策推進体制及びその他の業務を実施する部局の代表者から指名すること。

情報セキュリティ委員会は、次に掲げる事項を審議すること。¥na) 対策基準¥nb) 対策推進計画¥nc) 前各号に掲げるもののほか、情報セキュリティに関し必要な事項

情報セキュリティ監査責任者は、命により次の事務を統括すること。¥na) 監査実施計画の策定¥nb) 監査実施体制の整備¥nc) 監査の実施指示及び監査結果の最高情報セキュリティ責任者への報告¥nd) 前各号に掲げるもののほか、情報セキュリティの監査に関する事項

統括情報セキュリティ責任者は、命を受け、次の事務を統括すること。ただし、f) は独立行政法人又は指定法人を所管する国の行政機関に限る。¥na) 要管理対策区域の決定並びに当該区域における施設及び環境に係る対策の決定¥nb) 情報セキュリティ対策に関する運用規程・実施手順の整備及び見直し並びに運用規程・実施手順に関する事務の取りまとめ¥nc)情報セキュリティ対策に係る教育実施計画の策定及び当該実施体制の整備¥nd) 例外措置の適用審査記録の台帳整備等¥ne) 情報セキュリティインシデントに対処するための緊急連絡窓口の整備等¥nf) 独立行政法人及び指定法人の情報セキュリティ対策が適切に推進されるために必要な機関内の体制における連絡や相談等の窓口の整備¥ng) 前各号に掲げるもののほか、情報セキュリティ対策に係る事務

情報セキュリティ責任者は、命を受け、管理を行う組織のまとまりにおける情報セキュリティ対策を推進するため、次の事務を統括すること。¥na) 定められた区域ごとの区域情報セキュリティ責任者の設置¥nb) 課室の課室情報セキュリティ責任者の設置¥nc) 情報システムごとの情報システムセキュリティ責任者の設置¥nd) 情報セキュリティインシデントの原因調査、再発防止策等の実施¥ne) 情報セキュリティに係る自己点検計画の策定及び実施手順の整備¥nf) 前各号に掲げるもののほか、情報セキュリティ対策に係る事務

区域情報セキュリティ責任者は、命を受け、定められた区域における施設及び環境に係る情報セキュリティ対策に関する事務を統括すること。

課室情報セキュリティ責任者は、命を受け、課室における情報の取扱いその他の情報セキュリティ対策に関する事務を統括すること。

情報システムセキュリティ責任者は、命を受け、情報システムにおける情報セキュリティ対策に関する事務を担うこと。

情報システムセキュリティ責任者は、所管する情報システムの管理業務において必要な単位ごとに情報システムセキュリティ管理者を置くこと。

最高情報セキュリティ責任者は、以下を例とする最高情報セキュリティアドバイザーの業務内容を定めること。¥na) 機関等全体の情報セキュリティ対策の推進に係る最高情報セキュリティ責任者及び最高情報セキュリティ副責任者への助言¥nb) 情報セキュリティ関係規程の整備に係る助言¥nc) 対策推進計画の策定に係る助言¥nd) 教育実施計画の立案に係る助言並びに教材開発及び教育実施の支援¥ne) 情報システムに係る技術的事項に係る助言¥nf) 情報システムの設計・開発を外部委託により行う場合に調達仕様に含めて提示する情報セキュリティに係る要求仕様の策定に係る助言¥ng) 職員等に対する日常的な相談対応¥nh) 情報セキュリティインシデントへの対処の支援¥ni) 情報システムの分類に応じた情報セキュリティ対策に係る助言¥nj) 前各号に掲げるもののほか、情報セキュリティ対策への助言又は支援

最高情報セキュリティ責任者は、以下を全て含む情報セキュリティ対策推進体制の役割を規定すること。¥na) 情報セキュリティ関係規程及び対策推進計画の策定に係る事務¥nb) 法セキュリティ関係規程の運用に係る事務¥nc) 例外措置に係る事務¥nd) セキュリティ対策の教育の実施に係る事務¥ne) 情報セキュリティ対策の自己点検に係る事務¥nf) 情報セキュリティ関係規程及び対策推進計画の見直しに係る事務

最高情報セキュリティ責任者は、以下を全て含むCSIRTの役割を規定すること。¥na) 機関等に関わる情報セキュリティインシデント発生時の対処の一元管理¥n• 機関等全体における情報セキュリティインシデント対処の管理¥n• 情報セキュリティインシデントの可能性の報告受付¥n• 機関等における情報セキュリティインシデントに関する情報の集約¥n• 所管する独立行政法人及び指定法人における情報セキュリティインシデントに関する情報の集約（当該法人を所管する国の行政機関に限る。）¥n• 情報セキュリティインシデントの最高情報セキュリティ責任者等への報告¥n• 情報セキュリティインシデントへの対処に関する指示系統の一本化¥nb) 情報セキュリティインシデントへの迅速かつ的確な対処¥n• 情報セキュリティインシデントであるかの評価¥n• 被害の拡大防止を図るための応急措置の指示又は勧告を含む情報セキュリティインシデントへの対処全般に関する指示、勧告又は助言¥n• 内閣官房内閣サイバーセキュリティセンターへの連絡（国の行政機関に限る。）¥n• 法人を所管する国の行政機関への連絡（独立行政法人及び指定法人に限る。）¥n• 外部専門機関等からの情報セキュリティインシデントに係る情報の収集¥n• 他の機関等への情報セキュリティインシデントに係る情報の共有¥n• 情報セキュリティインシデントへの対処に係る専門的知見の提供、対処作業の実施

最高情報セキュリティ責任者は、実務担当者を含めた実効性のあるCSIRT体制を構築すること。

最高情報セキュリティ責任者は、情報セキュリティインシデントが発生した際に、情報セキュリティインシデント対処に関する知見を有する外部の専門家等による必要な支援を速やかに得られる体制を構築しておくこと。

最高情報セキュリティ責任者は、機関等全体における情報セキュリティインシデント対処について、CSIRT、情報セキュリティインシデントの当事者部局及びその他関連部局の役割分担を規定すること。

統括情報セキュリティ責任者は、全ての情報システムに対して、当該情報システムのセキュリティ要件に係る事項について、情報システム台帳に整備すること。

統括情報セキュリティ責任者は、以下の内容を全て含む台帳を整備すること。¥na) 情報システム名¥nb) 管理課室¥nc) 当該情報システムセキュリティ責任者の氏名及び連絡先¥nd) システム構成¥ne) 接続する機関等外通信回線の種別¥nf) 取り扱う情報の格付及び取扱制限に関する事項¥ng) 当該情報システムの設計・開発、運用・保守に関する事項¥nh) 情報システムの利用目的¥ni) 情報システムの分類基準に基づいて実施した情報システムの分類結果¥nj) 連携する情報システム及び連携内容¥nまた、民間事業者等が提供するクラウドサービス等を利用して情報システムを構築する場合は、前述のa)～j)に加え、以下を全て含む内容についても台帳として整備すること。¥nk) クラウドサービス等の名称（クラウドサービスの場合、必要に応じて機能名までを含む）¥nl) クラウドサービス等の提供者の名称¥nm) 利用期間¥nn) クラウドサービス等の概要¥no) ドメイン名¥np) クラウドサービス等で取り扱う情報の格付及び取扱制限に関する事項¥nq) 情報の暗号化に用いる鍵の管理主体（機関等管理かクラウドサービス等の提供者管理か）¥nr) クラウドサービス等で取り扱う情報が保存される国・地域¥ns) サービスレベル

最高情報セキュリティ責任者は、機関等の目的等を踏まえ、自己点検の結果、情報セキュリティ監査の結果、本部監査の結果等を勘案した上で、保有する情報及び利用する情報システムに係る脅威の発生の可能性及び発生時の損失等を分析し、リスクを評価すること。

最高情報セキュリティ責任者は、情報セキュリティ委員会における審議を経て、統一基準に準拠し、これと同等以上の情報セキュリティ対策が可能となるように対策基準を定めること。また、対策基準は、機関等の業務、取り扱う情報、保有する情報システムに関するリスク評価の結果及び対策基準や対策推進計画の見直し結果を踏まえた上で定めること。

最高情報セキュリティ責任者は、情報セキュリティ委員会における審議を経て、統一基準に準拠し、これと同等以上の情報セキュリティ対策が可能となるように対策基準を定めること。また、対策基準は、機関等の業務、取り扱う情報、保有する情報システムに関するリスク評価の結果及び対策基準や対策推進計画の見直し結果を踏まえた上で定めること。

統括情報セキュリティ責任者は、情報セキュリティ対策における雇用の開始、終了及び人事異動時等に関する管理の運用規程を整備すること。

最高情報セキュリティ責任者は、情報セキュリティ委員会における審議を経て、対策推進計画を定めること。

最高情報セキュリティ責任者は、対策推進計画に、機関等の業務、取り扱う情報及び保有する情報システムに関するリスク評価の結果を踏まえた全体方針並びに以下に掲げる取組の方針・重点及びその実施時期を全て含むよう定めること。ただし、e)は独立行政法人又は指定法人を所管する国の行政機関に限る。¥na) 情報セキュリティに関する教育¥nb) 情報セキュリティ対策の自己点検¥nc) 情報セキュリティ監査及び過年度の監査結果（本部監査の結果を含む。）を踏まえた取組¥nd) 情報システムに関する技術的な対策を推進するための取組¥ne) 所管する独立行政法人及び指定法人のセキュリティ対策の評価及びその推進に資するための取組¥nf) 前各号に掲げるもののほか、情報セキュリティ対策に関する重要な取組

情報セキュリティ対策推進体制は、最高情報セキュリティ責任者が規定した当該体制の役割に応じて必要な事務を遂行すること。

情報セキュリティ責任者又は課室情報セキュリティ責任者は、職員等から情報セキュリティ関係規程に係る課題及び問題点の報告を受けた場合は、統括情報セキュリティ責任者に報告すること。

統括情報セキュリティ責任者は、情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じて最高情報セキュリティ責任者にその内容を報告すること。

職員等は、情報セキュリティ関係規程への重大な違反を知った場合は、情報セキュリティ責任者にその旨を報告すること。

情報セキュリティ責任者は、情報セキュリティ関係規程への重大な違反の報告を受けた場合及び自らが重大な違反を知った場合には、違反者及び必要な者に情報セキュリティの維持に必要な措置を講じさせるとともに、統括情報セキュリティ責任者を通じて、最高情報セキュリティ責任者に報告すること。

最高情報セキュリティ責任者は、例外措置の適用の申請を審査し、許可する者（以下本款において「許可権限者」という。）及び審査手続を定めること。

情報セキュリティ責任者又は課室情報セキュリティ責任者は、職員等から情報セキュリティ関係規程に係る課題及び問題点の報告を受けた場合は、統括情報セキュリティ責任者に報告すること。

統括情報セキュリティ責任者は、例外措置の適用審査記録の台帳を整備し、許可権限者に対して、定期的に申請状況の報告を求めること。

職員等は、定められた審査手続に従い、許可権限者に規定の例外措置の適用を申請すること。ただし、業務の遂行に緊急を要し、当該規定の趣旨を十分尊重した扱いを取ることができる場合であって、情報セキュリティ関係規程の規定とは異なる代替の方法を直ちに採用すること又は規定されている方法を実施しないことが不可避のときは、事後速やかに届け出ること。

許可権限者は、職員等による例外措置の適用の申請を、定められた審査手続に従って審査し、許可の可否を決定すること。

許可権限者は、例外措置の申請状況を台帳に記録し、統括情報セキュリティ責任者に報告すること。

統括情報セキュリティ責任者は、例外措置の申請状況を踏まえた情報セキュリティ関係規程の追加又は見直しの検討を行い、最高情報セキュリティ責任者に報告すること。

最高情報セキュリティ責任者は、例外措置について以下を全て含む手順を定めること。¥na) 例外措置の許可権限者¥nb) 事前申請の原則その他の申請方法¥nc) 審査項目その他の審査方法¥n• 申請者の情報（氏名、所属、連絡先）¥n• 例外措置の適用を申請する情報セキュリティ関係規程の該当箇所（規程名と条項等）¥n• 例外措置の適用を申請する期間¥n• 例外措置の適用を申請する措置内容（講ずる代替手段等）¥n• 例外措置により生じる情報セキュリティ上の影響と対処方法¥n• 例外措置の適用を終了した旨の報告方法¥n• 例外措置の適用を申請する理由

許可権限者は、例外措置の適用審査記録に以下の内容を記載し、適用審査記録の台帳として保管するとともに、統括情報セキュリティ責任者へ定期的に報告すること。¥na) 審査した者の情報（氏名、役割名、所属、連絡先）¥nb) 申請内容¥n• 申請者の情報（氏名、所属、連絡先）¥n• 例外措置の適用を申請する情報セキュリティ関係規程の該当箇所（規程名と条項等）¥n• 例外措置の適用を申請する期間¥n• 例外措置の適用を申請する措置内容（講ずる代替手段等）¥n• 例外措置の適用を終了した旨の報告方法¥n• 例外措置の適用を申請する理由¥nc) 審査結果の内容¥n• 許可又は不許可の別¥n• 許可又は不許可の理由¥n• 例外措置の適用を許可した情報セキュリティ関係規程の該当箇所（規程名と条項等）¥n• 例外措置の適用を許可した期間¥n• 許可した措置内容（講ずるべき代替手段等）¥n• 例外措置を終了した旨の報告方法

統括情報セキュリティ責任者は、情報セキュリティ対策に係る教育について、対策推進計画に基づき教育実施計画を策定し、その実施体制を整備すること。

統括情報セキュリティ責任者は、情報セキュリティの状況の変化に応じ職員等に対して新たに教育すべき事項が明らかになった場合は、教育実施計画を見直すこと。

課室情報セキュリティ責任者は、教育実施計画に基づき、職員等に対して、情報セキュリティ関係規程に係る教育を適切に受講させること。

職員等は、教育実施計画に従って、適切な時期に教育を受講すること。

課室情報セキュリティ責任者は、情報セキュリティ対策推進体制及びCSIRTに属する職員等に教育を適切に受講させること。また、国の行政機関における課室情報セキュリティ責任者は、CYMATに属する職員にも教育を適切に受講させること。

課室情報セキュリティ責任者は、教育の実施状況を記録し、情報セキュリティ責任者及び統括情報セキュリティ責任者に報告すること。

統括情報セキュリティ責任者は、教育の実施状況を分析、評価し、最高情報セキュリティ責任者に情報セキュリティ対策に関する教育の実施状況について報告すること。

統括情報セキュリティ責任者は、職員等の役割に応じて教育すべき内容を検討し、教育のための資料を整備すること。

統括情報セキュリティ責任者は、職員等が毎年度最低１回は教育を受講できるように、教育実施計画を立案するとともに、その実施体制を整備すること。

統括情報セキュリティ責任者は、職員等の着任又は異動後に、３か月以内に受講できるように、その実施体制を整備すること。

統括情報セキュリティ責任者は、情報セキュリティインシデントの可能性を認知した際の報告窓口を含む機関等関係者への報告手順を整備し、報告が必要な具体例を含め、職員等に周知すること。

統括情報セキュリティ責任者は、情報セキュリティインシデントの可能性を認知した際の機関等外との情報共有を含む対処手順を整備すること。

統括情報セキュリティ責任者は、情報セキュリティインシデントに備え、業務の遂行のため特に重要と認めた情報システムについて、緊急連絡先、連絡手段、連絡内容を含む緊急連絡網を整備すること。

統括情報セキュリティ責任者は、情報セキュリティインシデントへの対処の訓練の必要性を検討し、業務の遂行のため特に重要と認めた情報システムについて、その訓練の内容及び体制を整備すること。

統括情報セキュリティ責任者は、情報セキュリティインシデントについて機関等外の者から報告を受けるための窓口を整備し、その窓口への連絡手段を機関等外の者に明示すること。

統括情報セキュリティ責任者は、対処手順が適切に機能することを訓練等により確認すること。

職員等は、情報セキュリティインシデントの可能性を認知した場合には、機関等の報告窓口に報告し、指示に従うこと。

CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行うこと。

CSIRT責任者は、情報セキュリティインシデントであると評価した場合、最高情報セキュリティ責任者に速やかに報告すること。

CSIRTは、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示又は勧告を行うこと。また、CSIRTは、同様の情報セキュリティインシデントが別の情報システムにおいても発生している可能性を検討し、必要に応じて当該情報システムを所管する情報システムセキュリティ責任者へ確認を指示すること。

情報システムセキュリティ責任者は、所管する情報システムについて情報セキュリティインシデントを認知した場合には、機関等で定められた対処手順又はCSIRTの指示若しくは勧告に従って、適切に対処すること。

政府共通利用型システム利用機関の情報システムセキュリティ責任者は、認知した情報セキュリティインシデントが政府共通利用型システムに関するものである場合には、当該政府共通利用型システムの情報セキュリティ対策に係る運用管理規程に従い、適切に対処すること。

CSIRTは、認知した情報セキュリティインシデントがサイバー攻撃又はそのおそれのあるものである場合には、警察への通報・連絡等を行うこと。

CSIRTは、情報セキュリティインシデントに関する対処状況を把握し、対処全般に関する指示、勧告又は助言を行うこと。

CSIRTは、情報セキュリティインシデントに関する対処の内容を記録すること。

CSIRTは、CYMATの支援を受ける場合には、支援を受けるに当たって必要な情報提供を行うこと。

国の行政機関におけるCSIRTは、当該機関の情報システムにおいて、情報セキュリティインシデントを認知した場合には、当該事象について速やかに、内閣官房内閣サイバーセキュリティセンターに連絡すること。また、独立行政法人及び指定法人におけるCSIRTは、当該法人の情報システムにおいて、情報セキュリティインシデントを認知した場合には、当該事象について速やかに、当該法人を所管する国の行政機関に連絡すること。この連絡を受けた国の行政機関におけるCSIRTは、当該事象について速やかに、内閣官房内閣サイバーセキュリティセンターに連絡すること。

国の行政機関におけるCSIRTは、認知した情報セキュリティインシデント又は独立行政法人及び指定法人から連絡を受けた情報セキュリティインシデントが、国民の生命、身体、財産若しくは国土に重大な被害が生じ、若しくは生じるおそれのある大規模サイバー攻撃事態又はその可能性がある事態である場合には、「大規模サイバー攻撃事態等への初動対処について（平成22年３月19日内閣危機管理監決裁）」に基づく報告連絡を行うこと。

CSIRTは、情報セキュリティインシデントに関して、機関等を含む関係機関と情報共有を行うこと。

情報セキュリティインシデントにより、個人情報・特定個人情報の漏えい等が発生した場合、必要に応じて個人情報保護委員会へ報告を行うこと。

情報セキュリティ責任者は、CSIRTから応急措置の実施及び復旧に係る指示又は勧告を受けた場合は、当該指示又は勧告を踏まえ、情報セキュリティインシデントの原因を調査するとともに再発防止策を検討し、それを報告書として最高情報セキュリティ責任者に報告すること。

最高情報セキュリティ責任者は、情報セキュリティ責任者から情報セキュリティインシデントについての報告を受けた場合には、その内容を確認し、再発防止策を実施するために必要な措置を指示すること。

CSIRT責任者は、情報セキュリティインシデント対処の結果から得られた教訓を、統括情報セキュリティ責任者、関係する情報セキュリティ責任者等に共有すること。

国の行政機関の統括情報セキュリティ責任者は、所管する独立行政法人及び指定法人における情報セキュリティインシデント発生が報告された際にも、自組織における情報セキュリティインシデントの場合と同様に、最高情報セキュリティ責任者や内閣官房内閣サイバーセキュリティセンターに速やかに報告されるよう手順を定めること。

統括情報セキュリティ責任者は、情報セキュリティインシデント発生時の対処手順のうち、意思決定の判断基準や決定権者、判断に応じた対応内容、緊急時の意思決定方法等をあらかじめ定めておくこと。

国の行政機関の統括情報セキュリティ責任者は、所管する独立行政法人及び指定法人において発生した情報セキュリティインシデントについて、当該法人から報告・連絡を受ける窓口について定めるとともに、各法人にその窓口の連絡先を周知すること。

CSIRT責任者は、認知した情報セキュリティインシデントの種類や規模、影響度合い等を勘案し、情報セキュリティインシデント対処中にあっても、必要に応じて、CSIRT、情報セキュリティインシデントの当事者部局、その他関連部局において事前に定められた役割分担を随時見直すこと。

CSIRTは、情報セキュリティインシデントではないと評価した場合であっても、注意喚起等が必要と考えられるものについては、自機関の関係する者や他の機関等と情報共有を行うこと。

統括情報セキュリティ責任者は、対策推進計画に基づき年度自己点検計画を策定すること。

情報セキュリティ責任者は、年度自己点検計画に基づき、職員等ごとの自己点検票及び自己点検の実施手順を整備すること。

統括情報セキュリティ責任者は、情報セキュリティの状況の変化に応じ、職員等に対して新たに点検すべき事項が明らかになった場合は、年度自己点検計画を見直すこと。

情報セキュリティ責任者は、年度自己点検計画に基づき、職員等に自己点検の実施を指示すること。

職員等は、情報セキュリティ責任者から指示された自己点検票及び自己点検の手順を用いて自己点検を実施すること。

情報セキュリティ責任者は、自己点検結果について、自らが担当する組織のまとまり特有の課題の有無を確認するなどの観点から自己点検結果を分析、評価すること。また、評価結果を統括情報セキュリティ責任者に報告すること。

統括情報セキュリティ責任者は、機関等に共通の課題の有無を確認するなどの観点から自己点検結果を分析、評価すること。また、評価結果を最高情報セキュリティ責任者に報告すること。

最高情報セキュリティ責任者は、自己点検結果を全体として評価し、自己点検の結果により明らかになった問題点について、統括情報セキュリティ責任者及び情報セキュリティ責任者に改善を指示し、改善結果の報告を受けること。

情報セキュリティ監査責任者は、対策推進計画に基づき監査実施計画を定めること。

情報セキュリティ監査責任者は、情報セキュリティの状況の変化に応じ、対策推進計画で計画された以外の監査の実施が必要な場合には、追加の監査実施計画を定めること。

情報セキュリティ監査責任者は、監査実施計画に基づき、監査の実施を監査実施者に指示し、結果を監査報告書として最高情報セキュリティ責任者に報告すること。

最高情報セキュリティ責任者は、監査報告書の内容を踏まえ、指摘事項に対する改善計画の策定等を統括情報セキュリティ責任者及び情報セキュリティ責任者に指示すること。また、措置が完了していない改善計画は、定期的に進捗状況の報告を指示すること。

統括情報セキュリティ責任者は、最高情報セキュリティ責任者からの改善の指示のうち、機関等内で横断的に改善が必要な事項について、必要な措置を行った上で改善計画を策定し、措置結果及び改善計画を最高情報セキュリティ責任者に報告すること。また、措置が完了していない改善計画は、定期的に進捗状況を最高情報セキュリティ責任者に報告すること。

情報セキュリティ責任者は、最高情報セキュリティ責任者からの改善の指示のうち、自らが担当する組織のまとまりに特有な改善が必要な事項について、必要な措置を行った上で改善計画を策定し、措置結果及び改善計画を最高情報セキュリティ責任者に報告すること。また、措置が完了していない改善計画は、定期的に進捗状況を最高情報セキュリティ責任者に報告すること。

情報セキュリティ監査責任者は、対策推進計画に基づき、以下を例とする監査実施計画を策定すること。¥na) 監査の目的（例：情報セキュリティ対策の実際の運用が情報セキュリティ関係規程に準拠していること等）¥nb) 監査の対象（例：監査の対象となる組織、情報システム、業務等）¥nc) 監査の方法（例：情報セキュリティ対策の運用状況を検証するため、査閲、点検、観察、ヒアリング等を行う。監査の基準は、対策基準及び運用規程・実施手順とする）¥nd) 監査の実施体制（例：監査責任者、監査実施者の所属、氏名）¥ne) 監査の実施時期（例：対象ごとの実施時期）

情報セキュリティ監査責任者は、組織内における監査遂行能力が不足している場合等においては、機関等外の者に監査の一部を請け負わせること。

情報セキュリティ監査責任者は、監査業務の実施において必要となる者を、被監査部門から独立した者から選定し、情報セキュリティ監査実施者に指名すること。

情報セキュリティ監査責任者は、以下の事項を全て含む監査の実施を監査実施者に指示すること。¥na) 対策基準に統一基準を満たすための適切な事項が定められていること

最高情報セキュリティ責任者は、リスク評価に変化が生じた場合には、情報セキュリティ委員会による審議を経て、対策基準や対策推進計画の必要な見直しを行うこと。

最高情報セキュリティ責任者は、情報セキュリティの運用及び自己点検、情報セキュリティ監査、本部監査等の結果等を総合的に評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、情報セキュリティ委員会の審議を経て、対策基準について必要な見直しを行うこと。

統括情報セキュリティ責任者は、情報セキュリティの運用及び自己点検、情報セキュリティ監査、本部監査等の結果等を踏まえて情報セキュリティ対策に関する運用規程及び実施手順を見直し、又は整備した者に対して規定の見直しを指示し、見直し結果について最高情報セキュリティ責任者に報告すること。

統括情報セキュリティ責任者は、情報セキュリティの運用及び自己点検、情報セキュリティ監査、本部監査等の結果等を踏まえて機関等内で横断的に改善が必要となる情報セキュリティ対策の運用見直しについて、機関等内の職制及び職務に応じた措置の実施又は指示し、措置の結果について最高情報セキュリティ責任者に報告すること。

最高情報セキュリティ責任者は、情報セキュリティ対策の運用及び自己点検、情報セキュリティ監査、本部監査等を総合的に評価するとともに、情報セキュリティに係る重大な変化等を踏まえ、情報セキュリティ委員会の審議を経て、対策推進計画について定期的な見直しを行うこと。

独立行政法人及び指定法人を所管する国の行政機関に置かれる最高情報セキュリティ責任者は、所管する独立行政法人及び指定法人の情報セキュリティ対策が適切に推進されるために必要な機関内の体制の整備を指示すること。

独立行政法人及び指定法人の最高情報セキュリティ責任者は、情報セキュリティ対策を適切に推進するため、所管省庁と密接な連携を要する事項や専門的知見を要する事項について、当該法人を所管する国の行政機関へ助言を求めること。

独立行政法人及び指定法人を所管する国の行政機関に置かれる統括情報セキュリティ責任者は、所管する独立行政法人及び指定法人の情報セキュリティ対策が適切に推進されるために必要な体制として、当該法人所管部署等の関係部署及び所管する法人等に必要な助言等を行うための窓口を、当該法人所管部署等の関係部署と連携して整備すること。

統括情報セキュリティ責任者は、以下を全て含む情報の取扱いに関する運用規程を整備し、職員等へ周知すること。

職員等は、自らが担当している業務の遂行のために必要な範囲に限って、情報を利用等すること。

職員等は、情報の作成時及び機関等外の者が作成した情報を入手したことに伴う管理の開始時に、格付及び取扱制限の定義に基づき格付及び取扱制限を決定し、明示等すること。

情報の格付及び取扱制限の決定・明示等

職員等は、修正、追加、削除その他の理由により、情報の格付及び取扱制限を見直す必要があると考える場合には、情報の格付及び取扱制限の決定者（決定を引き継いだ者を含む。）又は決定者の上司（以下本款において「決定者等」という。）に確認し、その結果に基づき見直すこと。

職員等は、利用する情報に明示等された格付及び取扱制限に従い、当該情報を適切に取り扱うこと。

職員等は、機密性３情報について要管理対策区域外で情報処理を行う場合は、課室情報セキュリティ責任者の許可を得ること。

職員等は、要保護情報について要管理対策区域外で情報処理を行う場合は、必要な安全管理措置を講ずること。

職員等は、保存する情報にアクセス制限を設定するなど、情報の格付及び取扱制限に従って情報を適切に管理すること。なお、独立行政法人及び指定法人における職員等は、機密性３情報を機器等に保存する際、以下の措置を講ずること。ただし、独立行政法人及び指定法人において、機密性３情報について国の行政機関と同等の取扱いを行っている場合は、国の行政機関と同等の措置を講ずることをもって代えることができる。

職員等は、USBメモリ等の外部電磁的記録媒体を用いて情報を取り扱う際、定められた利用手順に従うこと。

職員等は、情報を公表する場合には、当該情報が機密性１情報に格付されるものであることを確認すること。

職員等は、閲覧制限の範囲外の者に情報を提供する必要が生じた場合は、当該格付及び取扱制限の決定者等に相談し、その決定に従うこと。また、提供先において、当該情報に付された格付及び取扱制限に応じて適切に取り扱われるよう、取扱い上の留意事項を確実に伝達するなどの措置を講ずること。

独立行政法人及び指定法人における職員等は、機密性３情報を閲覧制限の範囲外の者に提供する場合には、課室情報セキュリティ責任者の許可を得ること。

職員等は、電磁的記録を提供又は公表する場合には、当該電磁的記録等からの不用意な情報漏えいを防止するための措置を講ずること。

職員等は、要保護情報が記録又は記載された記録媒体を要管理対策区域外に持ち出す場合には、安全確保に留意して運搬方法を決定し、情報の格付及び取扱制限に応じて、安全確保のための適切な措置を講ずること。独立行政法人及び指定法人における職員等が、機密性３情報を要管理対策区域外に持ち出す場合には、暗号化措置を施した上で、課室情報セキュリティ責任者が指定する方法により運搬すること。ただし、他機関等の要管理対策区域であって、統括情報セキュリティ責任者があらかじめ定めた区域のみに持ち出す場合は、当該区域を要管理対策区域とみなすことができる。

職員等は、要保護情報である電磁的記録を電子メール等で送信する場合には、安全確保に留意して送信の手段を決定し、情報の格付及び取扱制限に応じて、安全確保のための適切な措置を講ずること。独立行政法人及び指定法人における職員等が、機密性３情報を機関等外通信回線（インターネットを除く。）を使用して送信する場合には、暗号化措置を施した上で、課室情報セキュリティ責任者が指定する方法により送信すること。ただし、独立行政法人及び指定法人において、機密性３情報について国の行政機関と同等の取扱いを行っている場合は、国の行政機関と同等の措置を講ずることをもって代えることができる。

職員等は、電磁的記録媒体に保存された情報が職務上不要となった場合は、速やかに情報を消去すること。

職員等は、電磁的記録媒体を廃棄する場合には、当該記録媒体内に情報が残留した状態とならないよう、全ての情報を復元できないように抹消すること。

職員等は、要機密情報である書面を廃棄する場合には、復元が困難な状態にすること。

職員等は、情報の格付に応じて、適切な方法で情報のバックアップを実施すること。

職員等は、取得した情報のバックアップについて、格付及び取扱制限に従って保存場所、保存方法、保存期間等を定め、適切に管理すること。

職員等は、保存期間を過ぎた情報のバックアップについては、前条の規定に従い、適切な方法で消去、抹消又は廃棄すること。

統括情報セキュリティ責任者は、情報の取扱いに関する運用規程として、以下を全て含む手順を整備すること。¥na) 情報のライフサイクル全般にわたり必要な手順（業務の遂行以外の目的での情報の利用等の禁止等）¥nb) 情報の入手・作成時の手順¥nc) 情報の利用・保存時の手順¥nd) 情報の提供・公表時の手順¥ne) 情報の運搬・送信時の手順¥nf) 情報の消去時の手順¥ng) 情報のバックアップ時の手順

統括情報セキュリティ責任者は、情報の格付及び取扱制限の明示の方法について、以下を例とする内容を、情報の取扱いに関する運用規程に含めて整備すること。¥na) 電磁的記録として取り扱われる情報に明示する場合¥n• 電磁的記録の本体である文書ごとにヘッダ部分又は情報の内容へ直接記載¥n• 電磁的ファイル等の取扱単位ごとにファイル名自体へ記載¥n• フォルダ単位等で取り扱う情報は、フォルダ名に記載¥n• 電子メールで取り扱う情報は、電子メール本文又は電子メール件名に記載¥nb) 外部電磁的記録媒体に保存して取り扱う情報に明示する場合¥n• 保存する電磁的ファイル又は文書等の単位ごとに記載¥n• 外部電磁的記録媒体本体に記載¥nc) 書面に印刷されることが想定される場合¥n• 書面のヘッダ部分等に記載¥n• 冊子等の単位で取り扱う場合は、冊子の表紙、裏表紙等に記載¥nd) 既に書面として存在している情報に対して格付や取扱制限を明示する場合¥n• 手書きによる記入¥n• スタンプ等による押印

統括情報セキュリティ責任者は、情報の格付及び取扱制限の明示を省略する必要がある場合には、これらに係る認識が共通となるその他の措置の実施条件や実施方法について、情報の取扱いに関する運用規程に含めて整備すること。

統括情報セキュリティ責任者は、情報の加工時、複製時等における格付及び取扱制限の継承、見直しについて、以下を例とする内容を、情報の取扱いに関する運用規程に含めて整備すること。¥na) 情報を作成する際に、参照した情報又は入手した情報の機密性に係る格付及び取扱制限を継承する。¥nb) 既存の情報に、より機密性の高い情報を追加するときは、格付及び取扱制限を見直す。¥nc) 機密性の高い情報から機密に該当する部分を削除したときは、残りの情報の機密性に応じて格付及び取扱制限を見直す。¥nd) 情報を複製する場合には、元となる情報の機密性に係る格付及び取扱制限を継承する。¥ne) 完全性及び可用性については、作成時又は複製時に適切な格付を決定する。¥nf) 他者が決定した情報の格付及び取扱制限を見直す必要がある場合には、その決定者（決定について引き継いだ者を含む。）又はその上司（以下本款において「決定者等」という。）に確認を求める。

職員等は、情報の格付及び取扱制限に応じて、情報を取り扱う際は、以下を全て含む対策を講ずること。¥na) 要保護情報を放置しない。¥nb) 要機密情報を必要以上に複製しない。¥nc) 電磁的記録媒体に要機密情報を保存する場合には、主体認証情報を用いて保護するか又は情報を暗号化したり、施錠のできる書庫・保管庫に媒体を保存したりするなどの措置を講ずる。¥nd) 電磁的記録媒体に要保全情報を保存する場合には、電子署名の付与を行うなど、改ざん防止のための措置を講ずる。¥ne) 情報の保存方法を変更する場合には、格付、取扱制限及び記録媒体の特性に応じて必要な措置を講ずる。

職員等は、入手した情報の格付及び取扱制限が不明な場合には、情報の作成元又は入手元への確認を行う。

職員等は、電磁的記録媒体を他の者へ提供する場合は、当該電磁的記録媒体に保存された不要な要機密情報を抹消すること。

職員等は、要保護情報が記録又は記載された記録媒体の要管理対策区域外への運搬を第三者へ依頼する場合は、セキュアな運送サービスを提供する運送事業者により運搬すること。

職員等は、要機密情報である電磁的記録を要管理対策区域外に運搬する場合には、以下を例とする情報漏えいを防止するための対策を講ずること。¥na) 運搬する情報を暗号化する。¥nb) 分割後の個別の情報から分割前の情報が容易に復元あるいは推測できないように要機密情報を複数の情報に分割し、それぞれ異なる経路及び手段を用いて運搬する。¥nc) 主体認証機能や暗号化機能等を備えるセキュアな外部電磁的記録媒体を利用する。

職員等は、要機密情報である電磁的記録を機関等外通信回線を使用して送信する場合には、以下を例とする情報漏えいを防止するための対策を講ずること。¥na) 送信する情報を暗号化する。¥nb) 通信経路全般が暗号化されている通信経路を用いて送信する。¥nc) 分割後の個別の情報から分割前の情報が容易に復元あるいは推測できないように要機密情報を複数の情報に分割し、それぞれ異なる経路及び手段を用いて送信する。

職員等は、要保護情報である電磁的記録を送信する場合は、安全確保に留意して、以下を例に当該情報の送信の手段を決定すること。¥na) 機関等管理の通信回線を用いて送信する。¥nb) 信頼できる通信回線を使用して送信する。¥nc) VPNを用いて送信する。¥nd) S/MIME等の暗号化された電子メールを使用して送信する。¥ne) 機関等独自で運用している又は機関等が利用を承認しているなどセキュリティが十分確保されたウェブメールサービス又はオンラインストレージ環境を利用する。

職員等は、端末やサーバ装置等をリース契約で調達する場合は、契約終了に伴う返却時の情報の抹消方法及び履行状況の確認手段について、以下を例とする対策を行うこと。¥na) リース契約の調達仕様書に記載し、契約内容にも含める¥nb) リース契約終了に伴う情報の抹消について、役務提供契約を別途締結する

職員等は、要保全情報又は要安定情報である電磁的記録又は重要な設計書について、バックアップを取得すること。

職員等は、要保全情報若しくは要安定情報である電磁的記録のバックアップ又は重要な設計書のバックアップについて、災害や情報セキュリティインシデント等の危機的事象により生ずる業務上の支障を考慮し、適切な保管場所を選定すること。要保全情報又は要安定情報である電磁的記録のバックアップについて、危機的事象として情報システムや情報が破壊される情報セキュリティインシデントを想定する場合は、必要に応じて、以下を例とする情報システムや情報とバックアップが同時に破壊されない保管場所を選定すること。¥na) バックアップ取得元の情報システムが接続するネットワークから物理的に隔離された保管場所¥nb) バックアップ取得元の情報システムが接続するネットワークから論理的に隔離された保管場所

統括情報セキュリティ責任者は、要管理対策区域の範囲を定めること。

統括情報セキュリティ責任者は、要管理対策区域の特性に応じて、以下の観点を全て含む対策の基準を運用規程として定めること。

情報セキュリティ責任者は、統括情報セキュリティ責任者が定めた対策の基準を踏まえ、施設及び執務環境に係る対策を行う単位ごとの区域を定めること。

区域情報セキュリティ責任者は、管理する区域について、統括情報セキュリティ責任者が定めた対策の基準と、周辺環境や当該区域で行う業務の内容、取り扱う情報等を勘案し、当該区域において実施する対策を決定すること。

区域情報セキュリティ責任者は、管理する区域に対して定めた対策を実施すること。職員等が実施すべき対策については、職員等が認識できる措置を講ずること。

区域情報セキュリティ責任者は、災害から要安定情報を取り扱う情報システムを保護するために物理的な対策を講ずること。

職員等は、利用する区域について区域情報セキュリティ責任者が定めた対策に従って利用すること。また、職員等が機関等外の者を立ち入らせる際には、当該機関等外の者にも当該区域で定められた対策に従って利用させること。

統括情報セキュリティ責任者は、以下を例とする、要管理対策区域の安全性を確保するための段階的な対策の水準（以下「クラス」という。）を運用規程として定めること。

統括情報セキュリティ責任者は、クラス１の区域について、以下を全て含む施設の整備、設備の設置等の物理的な対策及び入退管理対策の基準を運用規程として定めること。¥na) 不特定の者が容易に立ち入らないように、壁、施錠可能な扉、パーティション等で囲むことで、下位のクラスの区域と明確に区分すること。¥nb) 不特定の者が容易に立ち入らないように、立ち入る者の身元、訪問目的等の確認を行うための措置を講ずること。また、出入口が無人になるなどにより立入りの確認ができない時間帯がある場合には、確認ができない時間帯に施錠するための措置を講ずること。¥nc) 要管理対策区域に不正に立ち入った者を容易に判別することができるように、以下を全て含む措置を講ずること。¥n• 職員等は、身分証明書等を着用、明示する。クラス２及びクラス３の区域においても同様とする。¥n• 一時的に立ち入った者に入館カード等を貸与し、着用、明示させる。クラス２及びクラス３の区域においても同様とする。この際、一時的に立ち入った者と継続的に立入りを許可された者に貸与する入館カード等やそれと併せて貸与するストラップ等の色分けを行う。また、悪用防止のために一時的に立ち入った者に貸与したものは、退出時に回収する。

統括情報セキュリティ責任者は、クラス２の区域について、以下を全て含む施設の整備、設備の設置等の物理的な対策及び入退管理対策の基準を運用規程として定めること。¥na) クラス２の区域への立入りを許可されていない者が容易に立ち入らないように、壁、施錠可能な扉、パーティション等で囲むことで、下位のクラスの区域と明確に区分すること。ただし、窓口のある執務室等の明確に区分できない区域については、不特定の者が出入りできる時間帯は職員等が窓口を常に目視できるような措置を講ずること。¥nb) クラス２の区域への立入りを許可されていない者が容易に立ち入らないように、施錠可能な扉を設置し全員不在時に施錠すること。¥nc) クラス２の区域へ許可されていない者が容易に立ち入らないように、立ち入る者が許可された者であることの確認を行うための措置を講ずること。

統括情報セキュリティ責任者は、クラス３の区域について、以下を全て含む施設の整備、設備の設置等の物理的な対策及び入退管理対策の基準を運用規程として定めること。¥na) クラス３の区域への立入りを許可されていない者の立入り等を防止するために、壁、常時施錠された扉、固定式のパーティション等強固な境界で下位のクラスの区域と明確に区分すること。¥nb) クラス３の区域へ許可されていない者が立ち入らないように、立ち入る者が許可された者であることの確認を行うための措置を講ずること。¥nc) クラス３の区域への立入りを許可されていない者に、不必要に情報を与えないために、区域の外側から内部の重要な情報や情報システムが見えないようにすること。¥nd) 一時的に立ち入った者が不正な行為を行うことを防止するために、一時的に立ち入った者を放置しないなどの措置を講ずること。業者が作業を行う場合は立会いや監視カメラ等により監視するための措置を講ずること。

統括情報セキュリティ責任者は、以下を例とする、区域へのクラスの割当ての基準を運用規程として定めること。¥na) クラスの割当ての基準を以下のように定める。¥n• サーバ室や日常的に機密性が高い情報を取り扱う執務室には、一部の限られた者以外の者が立ち入り盗難又は破壊をすること、情報システムを直接操作して情報窃取すること等を防止するために、クラス３を割り当てる。¥n• 一般的な執務室や執務室内の会議室には、職員等以外の者が立ち入り、情報システムを盗難又は破壊すること、情報システムを直接操作して情報窃取すること等を防止するために、クラス２を割り当てる。

区域情報セキュリティ責任者は、管理する区域において、クラスの割当ての基準を参考にして当該区域に割り当てるクラスを決定するとともに、決定したクラスに対して定められた対策の基準と、周辺環境や当該区域で行う業務の内容、取り扱う情報等を勘案し、当該区域において実施する対策を決定すること。この際、決定したクラスで求められる対策のみでは安全性が確保できない場合は、当該区域で実施する個別の対策を含め決定すること。

区域情報セキュリティ責任者は、管理する区域について、以下を例とする利用手順等を整備し、当該区域を利用する職員等に周知すること。¥na) 扉の施錠及び開閉に関する利用手順¥nb) 一時的に立ち入る者が許可された者であることを確認するための手順¥nc) 一時的に立ち入る者を監視するための手順

統括情報セキュリティ責任者は、業務委託に係る以下の内容を全て含む運用規程を整備すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、業務委託の実施までに、以下を全て含む事項を実施すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、業務委託の実施までに、委託の前提条件として、以下を全て含む事項の実施を委託先に求めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、業務委託の実施期間において以下を全て含む対策を実施すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、業務委託の実施期間において以下を全て含む対策の実施を委託先に求めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、業務委託の実施期間において以下を全て含む対策を実施すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、業務委託の実施期間において以下を全て含む対策の実施を委託先に求めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、以下の内容を全て含む情報セキュリティ対策を実施することを委託先の選定条件とし、仕様にも含めること。¥na) 委託先に提供する情報の委託先における目的外利用の禁止¥nb) 委託先における情報の適正な取扱いのための情報セキュリティ対策の実施内容及び管理体制¥nc) 情報セキュリティインシデントへの対処方法¥nd) 情報セキュリティ対策その他の契約の履行状況の確認方法¥ne) 情報セキュリティ対策の履行が不十分な場合の対処方法

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、委託する業務において取り扱う情報の格付等を勘案し、以下の内容の全てを必要に応じて仕様に含めること。¥na) 監査の受入れ¥nb) サービス品質の保証

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、委託先との情報の受渡し方法や委託業務終了時の情報の廃棄方法等を含む情報の取扱手順について委託先と合意し、定められた手順により情報を取り扱うこと。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、委託先がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、基本対策事項4.1.1(2)-1及び2の措置の実施を委託先に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を機関等に提供し、機関等の承認を受けるよう、仕様に含めること。また、委託判断基準及び委託先の選定基準に従って再委託の承認の可否を判断すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、以下の内容を全て含む委託先における情報セキュリティ対策の遵守方法、情報セキュリティ管理体制等に関する確認書等を提出させること。また、変更があった場合は、速やかに再提出させること。¥na) 当該委託業務に携わる者の特定¥nb) 当該委託業務に携わる者が実施する具体的な情報セキュリティ対策の内容

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、委託業務における情報の適正な取扱いを委託先に担保させるため、以下の内容を全て含む情報セキュリティ対策について、あらかじめ委託先との契約に含めた上で、委託期間を通じて、情報の格付等に応じた実施を求めること。¥na) 情報セキュリティインシデント等への対処能力の確立・維持¥nb) 情報へアクセスする主体の識別とアクセスの制御¥nc) ログの取得・監視¥nd) 情報を取り扱う機器等の物理的保護¥ne) 情報を取り扱う要員への周知と統制¥nf) セキュリティ脅威に対処するための資産管理・リスク評価¥ng) 委託先が取り扱う情報及び当該情報を取り扱うシステムの完全性の保護¥nh) セキュリティ対策の検証・評価・見直し

情報システムセキュリティ責任者は、情報システムに関する業務委託の実施までに、委託先の選定条件に情報システムに機関等の意図せざる変更が加えられないための対策に係る選定条件を加え、仕様を策定すること。

情報システムセキュリティ責任者は、情報システムの構築を業務委託する場合は、契約に基づき、以下を全て含む対策の実施を委託先に求めること。

情報システムセキュリティ責任者は、情報システムの運用・保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、契約に基づき、委託先に実施を求めること。

情報システムセキュリティ責任者は、情報システムの運用・保守を業務委託する場合は、委託先が実施する情報システムに対する情報セキュリティ対策を適切に把握するため、当該対策による情報システムの変更内容について、契約に基づき、委託先に速やかな報告を求めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、機関等外の一般の者が機関等向けに要機密情報を取り扱う情報システムの一部の機能を提供するサービス（クラウドサービスを除く。）（以下「業務委託サービス」という。）を利用するため、情報システムに関する業務委託を実施する場合は、委託先の選定条件に業務委託サービスに特有の選定条件を加えること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、業務委託サービスに係るセキュリティ要件を定め、業務委託サービスを選定すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、委託先の信頼性が十分であることを総合的・客観的に評価し判断すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は業務委託サービスを利用する場合には、統括情報セキュリティ責任者又は情報セキュリティ責任者へ当該サービスの利用申請を行うこと。

統括情報セキュリティ責任者又は情報セキュリティ責任者は、業務委託サービスの利用申請を受けた場合は、当該利用申請を審査し、利用の可否を決定すること。

統括情報セキュリティ責任者又は情報セキュリティ責任者は、業務委託サービスの利用申請を承認した場合は、承認済み業務委託サービスとして記録し、業務委託サービス管理者を指名すること。

情報システムセキュリティ責任者は、情報セキュリティの観点に基づく試験の実施について、調達仕様書に記載するなどして、以下を全て含む事項の実施を委託先に求めること。¥na)ソフトウェアの作成及び試験を行う情報システムについては、情報セキュリティの観点から運用中の情報システムに悪影響が及ばないように、運用中の情報システムと分離すること。¥nb) 情報セキュリティの観点から必要な試験がある場合には、試験項目及び試験方法を定め、これに基づいて試験を実施すること。¥nc) 情報セキュリティの観点から実施した試験の実施記録を保存すること。

情報システムセキュリティ責任者は、開発工程における情報セキュリティ対策として、調達仕様書に記載するなどして、以下を全て含む事項の実施を委託先に求めること。¥na) ソースコードが不正に変更・消去されることを防ぐために、以下の事項を含むソースコードの管理を適切に行うこと。¥n• ソースコードの変更管理¥n• ソースコードの閲覧制限のためのアクセス制御¥n• ソースコードの滅失、き損等に備えたバックアップの取得¥nb) 情報システムに関連する脆弱性についての対策要件として定めたセキュリティ実装方針に従うこと。¥nc) セキュリティ機能が適切に実装されていること及びセキュリティ実装方針に従った実装が行われていることを確認するために、設計レビュー及びソースコードレビューの範囲及び方法を定め、これに基づいてレビューを実施すること。

情報システムセキュリティ責任者は、情報システムの運用・保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるために、以下を全て含む要件を調達仕様書に記載するなどして、契約に基づき、委託先に実施を求めること。¥na) 情報システムの運用環境に課せられるべき条件の整備¥nb) 情報システムのセキュリティ監視を行う場合の監視手順や連絡方法¥nc) 情報システムの保守における情報セキュリティ対策¥nd) 運用中の情報システムに脆弱性が存在することが判明した場合の情報セキュリティ対策

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、業務委託サービスの中断や終了時に円滑に業務を移行するための対策として、以下を例とするセキュリティ対策を実施することを委託先の選定条件に加え、仕様にも含めること。¥na) 取り扱う情報の可用性区分の格付に応じた、業務委託サービス中断時の復旧要件¥nb) 取り扱う情報の可用性区分の格付に応じた、業務委託サービス終了又は変更の際の事前告知の方法・期限及びデータ移行方法

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、業務委託サービスの利用を通じて機関等が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価して委託先を選定し、必要に応じて機関等の情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を委託先の選定条件に加え、仕様にも含めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、取り扱う情報の格付及び取扱制限に応じてセキュリティ要件を定め、業務委託サービスを選定すること。また、業務委託サービスのセキュリティ要件としてセキュリティに係る国際規格等と同等以上の水準を求めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、監査による報告書の内容、各種の認定・認証制度の適用状況等から、業務委託先の信頼性が十分であることを総合的・客観的に評価し判断すること。

統括情報セキュリティ責任者は、以下を全て含むクラウドサービス（要機密情報を取り扱う場合）の選定に関する運用規程を整備すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、取り扱う情報の格付及び取扱制限を踏まえ、クラウドサービス利用判断基準に従って業務に係る影響度等を検討した上でクラウドサービスの利用を検討すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、取り扱う情報の格付及び取扱制限並びにクラウドサービス提供者との情報セキュリティに関する役割及び責任の範囲を踏まえて、以下を全て含むセキュリティ要件を定めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、クラウドサービスの選定基準に従い、前項で定めたセキュリティ要件を踏まえて、原則としてISMAP等クラウドサービスリストからクラウドサービスを選定すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、クラウドサービスを調達する場合は、クラウドサービス提供者の選定基準及び選定条件並びにクラウドサービスの選定時に定めたセキュリティ要件を調達仕様に含めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、クラウドサービスを調達する場合は、クラウドサービス提供者及びクラウドサービスが調達仕様を満たすことを契約までに確認し、利用承認を得ること。また、調達仕様の内容は、契約に含めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、クラウドサービスを利用する場合には、利用申請の許可権限者へクラウドサービスの利用申請を行うこと。

利用申請の許可権限者は、前項におけるクラウドサービスの利用申請を審査し、利用の可否を決定すること。

利用申請の許可権限者は、クラウドサービスの利用申請を承認した場合は、承認済みクラウドサービスとして記録し、クラウドサービス管理者を指名すること。

統括情報セキュリティ責任者は、遵守事項4.1.1(1)(a)(ア)で整備を求めている「委託判断基準」と同等の基準とするとともに、クラウドサービス特有の脅威やクラウドサービスで利用する業務等を踏まえた上でクラウドサービス利用判断基準を策定すること。

統括情報セキュリティ責任者は、クラウドサービスの選定基準について、遵守事項4.1.1(1)(a)(イ)で整備を求めている「委託先の選定基準」と同等の基準とするとともに、ISMAPクラウドサービスリスト又はISMAP-LIUクラウドサービスリスト（以下「ISMAP等クラウドサービスリスト」という。）から選定することを策定すること。

統括情報セキュリティ責任者は、機関等において要機密情報を取り扱う場合のクラウドサービスの利用手続を、以下を全て含める内容を定めること。¥na) 利用申請の許可権限者¥nb) 申請内容¥n• ISMAP等クラウドサービスリストの登録番号¥n• クラウドサービスの名称（必要に応じて機能名までを含む）¥n• クラウドサービスリストの種類（ISMAPかISMAP-LIUか）¥n• クラウドサービス提供者の名称¥n• 利用目的（業務内容）¥n• 取り扱う情報の格付¥n• 利用期間¥n• 利用申請者（所属・氏名）¥n• 利用者の範囲（機関等内に限る、部局内に限る など）¥n• 選定時の確認結果

統括情報セキュリティ責任者は、機関等におけるクラウドサービスの利用状況の管理について、以下を例に運用規程を整備すること。¥na) 利用申請の許可権限者は、申請ごとにクラウドサービス管理者を指名すること。¥nb) 利用承認したクラウドサービスは、その内容を遅滞なく記録するよう運用ルールを定め、常に最新のクラウドサービスの利用状況を把握できるようにする。記録する際は、以下を例とする項目を記録し機関等内で共有すること。¥n• ISMAP等クラウドサービスリストの登録番号¥n• クラウドサービスの名称（必要に応じて機能名までを含む）¥n• クラウドサービスリストの種類（ISMAPかISMAP-LIUか）¥n• クラウドサービス提供者の名称¥n• 利用目的（業務内容）¥n• 取り扱う情報の格付¥n• 利用期間¥n• 利用申請者（所属・氏名）¥n• 利用者の範囲（機関等内に限る、部局内に限る など）¥n• クラウドサービス管理者（所属・氏名）

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、クラウドサービスに求めるセキュリティ要件策定に当たっては、ISMAP管理基準の管理策基準が求める対策と同等以上の水準を求めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、業務に特有のリスクを踏まえ、クラウドサービスで取り扱う情報が保存される国・地域及び廃棄の方法、クラウドサービスに求めるサービスレベル等をクラウドサービスに求めるセキュリティ要件に含めること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、クラウドサービスを選定するに当たっては、ISMAP等クラウドサービスリストの詳細情報等を用いて、(2)(b)で定めたセキュリティ要件を満たしていることを確認すること。

情報システムセキュリティ責任者又は課室情報セキュリティ責任者は、調達仕様の内容を契約に含める際、クラウドサービス提供者との情報セキュリティに関する役割及び責任の範囲が明確になっていることを確認すること。

利用申請の許可権限者は、クラウドサービスの利用申請の審査においては、以下を全て含む内容を審査し、利用の可否を決定すること。¥na) クラウドサービス提供者が、業務に特有のリスクを踏まえたクラウドサービス提供者の選定条件を満たしていること。¥nb) 利用するクラウドサービスのセキュリティ要件が、ISMAP管理基準の管理策基準が求める対策と同等以上の水準であること。¥nc) クラウドサービスで取り扱う情報が保存される国・地域及び情報の廃棄方法が、機関等が求めるセキュリティ要件を満たしていること。¥nd) クラウドサービスに求めるサービスレベルが、機関等が求めるセキュリティ要件を満たしていること。

統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方等を踏まえ、クラウドサービスを利用して情報システムを導入・構築する際のセキュリティ対策の基本方針を運用規程として整備すること。

統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、クラウドサービスを利用して情報システムを運用・保守する際のセキュリティ対策の基本方針を運用規程として整備すること。

統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、以下を全て含むクラウドサービスの利用を終了する際のセキュリティ対策の基本方針を運用規程として整備すること。

クラウドサービス管理者は、クラウドサービスを利用する目的、対象とする業務等の業務要件及びクラウドサービスで取り扱われる情報の格付等に基づき、(1)各項で整備した基本方針としての運用規程に従い、クラウドサービスの利用に係る内容を確認すること。

クラウドサービス管理者は、クラウドサービスを利用する目的、対象とする業務等の業務要件及びクラウドサービスで取り扱われる情報の格付等に基づき、(1)各項で整備した基本方針としての運用規程に従い、クラウドサービスの利用に係るセキュリティ要件を策定すること。

クラウドサービス管理者は、(1)(a)で定めた運用規程を踏まえて、(2)(b)において定めるセキュリティ要件に従いクラウドサービス利用における必要な措置を講ずること。また、導入・構築時に実施状況を確認・記録すること。

クラウドサービス管理者は、情報システムにおいてクラウドサービスを利用する際には、情報システム台帳及び関連文書に記録又は記載すること。なお、情報システム台帳に記録又は記載した場合は、統括情報セキュリティ責任者へ報告すること。

クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策を実施するために必要となる文書として、クラウドサービスの運用開始前までに以下の全ての実施手順を整備すること。

クラウドサービス管理者は、(1)(b)で定めた運用規程を踏まえて、クラウドサービスに係る運用・保守を適切に実施すること。また、運用・保守時に実施状況を定期的に確認・記録すること。

クラウドサービス管理者は、クラウドサービスの運用・保守時に情報セキュリティ対策を実施するために必要となる項目等で修正又は変更等が発生した場合、情報システム台帳及び関連文書を更新又は修正すること。なお、情報システム台帳を更新又は修正した場合は、統括情報セキュリティ責任者へ報告すること。

クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講ずること。

クラウドサービス管理者は、(1)(c)で定めた運用規程を踏まえて、更改・廃棄時の必要な措置を講ずること。また、クラウドサービスの利用終了時に実施状況を確認・記録すること。

統括情報セキュリティ責任者は、不正なアクセスを防止するため、以下を全て含む構築時におけるアクセス制御に係る基本方針を運用規程に含めること。¥na) クラウドサービスを利用する際にクラウドサービス提供者が付与又はクラウドサービス利用者が登録する識別コードの作成から廃棄に至るまでのライフサイクルにおける管理¥nb) クラウドサービスを利用する際に使用するネットワークに対するサービスごとのアクセス制御¥nc) クラウドサービスを利用する情報システムの管理者権限を保有するクラウドサービス利用者に対する強固な認証技術の利用¥nd) クラウドサービス提供者が提供する主体認証情報の管理機能が要求事項を満たすことの確認及び要求事項を満たすための措置の実施¥ne) クラウドサービス上に保存する情報やクラウドサービスの機能に対してアクセス制御できることの確認及び適切なアクセス制御の実施¥nf) クラウドサービス利用者によるクラウドサービスに多大な影響を与える操作の特定と誤操作の抑制¥ng) クラウドサービス上で構成される仮想マシンに対する適切なセキュリティ対策の実施¥nh) インターネット等の機関等外通信回線から機関等内通信回線を経由せずにクラウドサービス上に構築した情報システムにログインすることの要否の判断と認める場合の適切なセキュリティ対策の実施¥ni) クラウドサービスが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うための必要なログの管理

統括情報セキュリティ責任者は、取り扱う情報の機密性保護のため、以下を全て含む構築時における暗号化に係る基本方針を運用規程に含めること。¥na) クラウドサービス内及び通信経路全般における暗号化の確認及び適切な実施¥nb) 情報システムで利用する暗号化方式の遵守度合いに係る法令や規則の確認

統括情報セキュリティ責任者は、以下を全て含む構築時における開発時のセキュリティ対策に係る基本方針を運用規程に含めること。¥na) クラウドサービスを利用する場合のクラウドサービス提供者へのセキュリティを保つための開発手順等の情報の要求とその活用¥nb) クラウドサービス上に他ベンダが提供するソフトウェア等を導入する場合のそのソフトウェアのクラウドサービス上におけるライセンス規定

統括情報セキュリティ責任者は、以下を全て含む構築時における設計・設定時の誤り防止に係る基本方針を運用規程に含めること。¥na) クラウドサービスを利用する際のクラウドサービス提供者への設計、設定、構築等における知見等の情報の要求とその活用¥nb) クラウドサービスを利用する際の設定の誤りを見いだすための対策¥nc) クラウドサービス上に構成された情報システムのネットワーク設計におけるセキュリティ要件の異なるネットワーク間の通信の監視¥nd) 利用するクラウドサービス上の情報システムが利用するデータ容量や稼働性能についての監視と将来の予測¥ne) 利用するクラウドサービス上で要安定情報を取り扱う場合の可用性を考慮した設計¥nf) クラウドサービス内における時刻同期の方法の確認

統括情報セキュリティ責任者は、以下を全て含む運用・保守時における利用方針に係る基本方針を運用規程に含めること。¥na) 責任分界点を意識したクラウドサービスの利用¥nb) 利用承認を受けていないクラウドサービスの利用禁止¥nc) クラウドサービス提供者に対する定期的なサービスの提供状態の確認¥nd) 利用するクラウドサービスに係る情報セキュリティインシデント発生時の連絡体制

統括情報セキュリティ責任者は、以下を全て含むクラウドサービス利用に必要な運用・保守時における教育に係る基本方針を運用規程に含めること。¥na) クラウドサービス利用のための規定及び手順について¥nb) クラウドサービス利用に係る情報セキュリティリスクとリスク対応について¥nc) クラウドサービス利用に関する適用法令や関連する規制等について

統括情報セキュリティ責任者は、以下を全て含む運用・保守時におけるクラウドサービスで取り扱う資産の管理に係る基本方針を運用規程に含めること。¥na) クラウドサービス上で利用するIT資産の適切な管理¥nb) クラウドサービス上に保存する情報に対する適切な格付・取扱制限の明示¥nc) クラウドサービスの機能に対する脆弱性対策について、クラウドサービス利用者の責任範囲の明確化と対策の実施

統括情報セキュリティ責任者は、不正アクセスを防止するため、以下を全て含む運用・保守時におけるアクセス制御に係る基本方針を運用規程に含めること。¥na) 管理者権限をクラウドサービス利用者へ割り当てる場合のアクセス管理と操作の確実な記録¥nb) クラウドサービス利用者に割り当てたアクセス権限に対する定期的な確認による見直し¥nc) クラウドサービスのリソース設定を変更するユーティリティプログラムを使用する場合の機能の確認と利用者の制限¥nd) 利用するクラウドサービスの不正利用の監視

統括情報セキュリティ責任者は、クラウドサービスで取り扱う情報の機密性保護のため、以下を全て含む運用・保守時における暗号化に係る基本方針を運用規程に含めること。¥na) 暗号化に用いる鍵の管理者と鍵の保管場所等の鍵管理機能¥nb) 鍵管理機能をクラウドサービス提供者が提供する場合の鍵管理手順と鍵の種類の情報の要求とリスク評価¥nc) 鍵管理機能をクラウドサービス提供者が提供する場合の鍵の生成から廃棄に至るまでのライフサイクルにおける情報の要求とリスク評価

統括情報セキュリティ責任者は、以下を全て含む運用・保守時におけるクラウドサービス内の通信の制御に係る基本方針を運用規程に含めること。¥na) 利用するクラウドサービスのネットワーク基盤が他のネットワークと分離されていることの確認

統括情報セキュリティ責任者は、以下を全て含む運用・保守時における設計・設定時の誤りの防止に係る基本方針を運用規程に含めること。¥na) クラウドサービスの設定を変更する場合の設定の誤りを防止するための対策¥nb) クラウドサービス利用者が行う可能性のある重要操作の手順書の作成と監督者の指導の下での実施

統括情報セキュリティ責任者は、以下を全て含む運用・保守時におけるクラウドサービスを利用した情報システムの事業継続に係る基本方針を運用規程に含めること。¥na) 不測の事態に対してサービスの復旧を行うために必要なバックアップの確実な実施。又は、クラウドサービス提供者が提供する機能を利用する場合は、その実施の確認¥nb) 要安定情報をクラウドサービスで取り扱う場合の十分な可用性の担保、復旧に係る手順の策定と定期的な訓練の実施¥nc) クラウドサービス提供者からの仕様内容の変更通知に関する内容確認と復旧手順の確認¥nd) クラウドサービスで利用しているデータ容量、性能等の監視

統括情報セキュリティ責任者は、以下を全て含む更改・廃棄時における利用終了手順に係る基本方針を運用規程に含めること。¥na) クラウドサービスの利用を終了する場合の移行計画書又は終了計画書の作成¥nb) 移行計画書又は終了計画書のクラウドサービス利用者への事前通知

統括情報セキュリティ責任者は、以下を全て含む更改・廃棄時における情報の廃棄に係る基本方針を運用規程に含めること。¥na) 情報の廃棄方法¥nb) 暗号化消去が実施できない場合の基盤となる物理機器の廃棄方法

統括情報セキュリティ責任者は、以下を全て含む更改・廃棄時におけるアカウントの廃棄に係る基本方針を運用規程に含めること。¥na) 作成されたクラウドサービス利用者アカウントの削除¥nb) 利用したクラウドサービスにおける管理者アカウントの削除又は返却と再利用の確認¥nc) クラウドサービス利用者アカウント以外の特殊なアカウントの削除と関連情報の廃棄

クラウドサービス管理者は、以下を全て含むクラウドサービスの利用に係る内容を確認すること。¥na) クラウドサービス提供者が提供する主体認証情報の管理機能が機関等の要求事項を満たすこと。¥nb) クラウドサービス上に保存する情報やクラウドサービスの機能に対してアクセス制御できること。¥nc) クラウドサービス利用者によるクラウドサービスに多大な影響を与える操作の特定¥nd) クラウドサービス内及び通信経路全般における暗号化¥ne) クラウドサービス上に他ベンダが提供するソフトウェア等を導入する場合のそのソフトウェアのクラウドサービス上におけるライセンス規定¥nf) クラウドサービスのリソース設定を変更するユーティリティプログラムを使用する場合の機能¥ng) 鍵管理機能をクラウドサービス提供者が提供する場合の鍵管理手順と鍵の種類の情報の要求とリスク評価¥nh) 鍵管理機能をクラウドサービス提供者が提供する場合の鍵の生成から廃棄に至るまでのライフサイクルにおける情報の要求とリスク評価¥ni) 利用するクラウドサービスのネットワーク基盤が他のネットワークと分離されていること。¥nj) クラウドサービス提供者が提供するバックアップ機能を利用する場合、求める要求事項が満たされること。

クラウドサービス管理者は、以下を全て含むクラウドサービスで利用するアカウント管理に関するセキュリティ機能要件を策定すること。¥na) クラウドサービス提供者が付与又はクラウドサービス利用者が登録する識別コードの作成から廃棄に至るまでのライフサイクルにおける管理¥nb)クラウドサービスを利用する管理者権限を保有するクラウドサービス利用者に対する強固な認証技術¥nc) クラウドサービス提供者が提供する主体認証情報の管理機能が要求事項を満たすための措置

クラウドサービス管理者は、以下を全て含むクラウドサービスで利用するアクセス制御に関するセキュリティ機能要件を策定すること。¥na) クラウドサービス上に保存する情報やクラウドサービスの機能に対して適切なアクセス制御¥nb) インターネット等の機関等外通信回線から機関等内通信回線を経由せずにクラウドサービス上に構築した情報システムにログインすることを認める場合の適切なセキュリティ対策

クラウドサービス管理者は、以下を全て含むクラウドサービスで利用する権限管理に関するセキュリティ機能要件を策定すること。¥na) クラウドサービス利用者によるクラウドサービスに多大な影響を与える誤操作の抑制¥nb) クラウドサービスのリソース設定を変更するユーティリティプログラムを使用する場合の利用者の制限

クラウドサービス管理者は、以下を全て含むクラウドサービスで利用するログ管理に関するセキュリティ機能要件を策定すること。¥na) クラウドサービスが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために必要なログの管理

クラウドサービス管理者は、以下を全て含むクラウドサービスで利用する暗号化に関するセキュリティ機能要件を策定すること。¥na) クラウドサービス内及び通信経路全般における暗号化の適切な実施¥nb) 情報システムで利用する暗号化方式の遵守度合いに係る法令や規則の確認¥nc) 暗号化に用いる鍵の保管場所等の管理に関する要件¥nd) クラウドサービスで利用する暗号鍵に関する生成から廃棄に至るまでのライフサイクルにおける適切な管理

クラウドサービス管理者は、以下を全て含むクラウドサービスを利用する際の設計・設定時の誤り防止に関するセキュリティ要件を策定すること。¥na) クラウドサービス上で構成される仮想マシンに対する適切なセキュリティ対策¥nb) クラウドサービス提供者へのセキュリティを保つための開発手順等の情報の要求とその活用¥nc) クラウドサービス提供者への設計、設定、構築等における知見等の情報の要求とその活用¥nd) クラウドサービスの設定の誤りを見いだすための対策

クラウドサービス管理者は、以下を全て含むクラウドサービス運用時の監視等の運用管理機能要件を策定すること。¥na) クラウドサービス上に構成された情報システムのネットワーク設計におけるセキュリティ要件の異なるネットワーク間の通信の監視¥nb)利用するクラウドサービス上の情報システムが利用するデータ容量や稼働性能についての監視と将来の予測¥nc) クラウドサービス内における時刻同期の方法¥nd) 利用するクラウドサービスの不正利用の監視

クラウドサービス管理者は、以下を全て含むクラウドサービスの可用性に関するセキュリティ要件を策定すること。¥na) 利用するクラウドサービス上で要安定情報を取り扱う場合の可用性を考慮した設計

クラウドサービス管理者は、以下を全て含む利用するクラウドサービスにおいて情報セキュリティインシデントが発生した際の復旧に関する対策要件を策定すること。¥na) 不測の事態に対してサービスの復旧を行うために必要なバックアップの確実な実施

クラウドサービス管理者は、以下を全て含むクラウドサービスで利用するサービスごとの情報セキュリティ水準の維持に関する手順を実施手順として整備すること。¥na) クラウドサービス利用のための責任分界点を意識したクラウドサービス利用手順¥nb) クラウドサービス利用者が行う可能性のある重要操作の手順

クラウドサービス管理者は、以下を全て含む情報システムの運用・監視中に発生したクラウドサービスの利用に係る情報セキュリティインシデントを認知した際の対処手順を実施手順として整備すること。¥na) クラウドサービス提供者との責任分界点を意識した責任範囲の整理¥nb) 利用するクラウドサービスのサービスごとの情報セキュリティインシデント対処に関する事項¥nc) 利用するクラウドサービスに係る情報セキュリティインシデント発生時の連絡体制

クラウドサービス管理者は、以下を全て含む情報システムの運用・監視中に発生したクラウドサービスの利用に係る情報セキュリティインシデントを認知した際の対処手順を実施手順として整備すること。¥na) クラウドサービス提供者との責任分界点を意識した責任範囲の整理¥nb) 利用するクラウドサービスのサービスごとの情報セキュリティインシデント対処に関する事項¥nc) 利用するクラウドサービスに係る情報セキュリティインシデント発生時の連絡体制

クラウドサービス管理者は、以下を全て含むクラウドサービスの利用に関する情報セキュリティ対策を実施すること。¥na) クラウドサービス提供者に対する定期的なサービスの提供状態の確認¥nb) クラウドサービス上で利用するIT資産の適切な管理

クラウドサービス管理者は、以下を全て含むクラウドサービスで利用するアカウント管理、アクセス制御、管理権限に関する情報セキュリティ対策を実施すること。¥na) 管理者権限をクラウドサービス利用者へ割り当てる場合のアクセス管理と操作の確実な記録¥nb) クラウドサービス利用者に割り当てたアクセス権限に対する定期的な確認による見直し

クラウドサービス管理者は、以下を全て含むクラウドサービスで利用する機能に対する脆弱性対策を実施すること。¥na) クラウドサービスの機能に対する脆弱性対策の実施

クラウドサービス管理者は、以下を全て含むクラウドサービスを運用する際の設定変更に関する情報セキュリティ対策を実施すること。¥na) クラウドサービスのリソース設定を変更するユーティリティプログラムを使用する場合の利用者の制限¥nb) クラウドサービスの設定を変更する場合の設定の誤りを防止するための対策¥nc) クラウドサービス利用者が行う可能性のある重要操作に対する監督者の指導の下での実施

クラウドサービス管理者は、以下を全て含むクラウドサービスを運用する際の監視に関する対策を実施すること。¥na) 利用するクラウドサービスの不正利用の監視¥nb) クラウドサービスで利用しているデータ容量、性能等の監視

クラウドサービス管理者は、以下を全て含むクラウドサービスを運用する際の可用性に関する情報セキュリティ対策を実施すること。¥na) 不測の事態に対してサービスの復旧を行うために必要なバックアップの確実な実施¥nb) 要安定情報をクラウドサービスで取り扱う場合の十分な可用性の担保、復旧に係る定期的な訓練の実施¥nc) クラウドサービス提供者からの仕様内容の変更通知に関する内容確認と復旧手順の確認

クラウドサービス管理者は、以下を全て含むクラウドサービスで利用する暗号鍵に関する情報セキュリティ対策を実施すること。¥na) クラウドサービスで利用する暗号鍵に関する生成から廃棄に至るまでのライフサイクルにおける適切な管理の実施

クラウドサービス管理者は、以下を全て含むクラウドサービスの利用終了に関する情報セキュリティ対策を実施すること。¥na) クラウドサービスで取り扱った情報の廃棄¥nb) 暗号化消去が行えない場合の基盤となる物理機器の廃棄¥nc) 作成されたクラウドサービス利用者アカウントの削除¥nd) 利用したクラウドサービスにおける管理者アカウントの削除又は返却¥ne) クラウドサービス利用者アカウント以外の特殊なアカウントの削除と関連情報の廃棄

統括情報セキュリティ責任者は、以下を全て含むクラウドサービス（要機密情報を取り扱わない場合）の利用に関する運用規程を整備すること。

職員等は、要機密情報を取り扱わないことを前提としたクラウドサービスを利用する場合、利用するサービスの定型約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認した上で利用申請の許可権限者へ要機密情報を取り扱わない場合のクラウドサービスの利用を申請すること。

利用申請の許可権限者は、職員等による利用するクラウドサービスの定型約款、その他の提供条件等から、利用に当たってのリスクが許容できることの確認結果を踏まえて、クラウドサービスの利用申請を審査し、利用の可否を決定すること。

利用申請の許可権限者は、要機密情報を取り扱わないクラウドサービスの利用申請を承認した場合は、クラウドサービス管理者を指名し、承認したクラウドサービスを記録すること。

クラウドサービス管理者は、要機密情報を取り扱わないクラウドサービスを安全に利用するための適切な措置を講ずること。

統括情報セキュリティ責任者は、機関等において要機密情報を取り扱わない前提でクラウドサービスを業務に利用する場合は、以下を例に利用手続を定めること。¥na) 利用申請の許可権限者¥nb) 利用申請時の申請内容¥n• クラウドサービスの名称（必要に応じて機能名までを含む）¥n• クラウドサービス提供者の名称¥n• 利用目的（業務内容）¥n• 取り扱う情報の格付¥n• 利用期間¥n• 利用申請者（所属・氏名）¥n• 利用者の範囲（機関等内に限る、部局内に限る など）¥n• 選定時の確認結果

利用申請の許可権限者は、機関等における要機密情報を取り扱わない場合のクラウドサービスの利用状況について、以下を例に管理すること。¥na) 利用申請の許可権限者は、申請ごとにクラウドサービス管理者を指名すること。¥nb) 利用承認したクラウドサービスは、その内容を遅滞なく記録するよう運用ルールを定め、常に最新のクラウドサービスの利用状況を把握できるようにする。記録する際は、以下を例とする項目を記録し機関等内で共有すること。¥n• クラウドサービスの名称（必要に応じて機能名までを含む）¥n• クラウドサービス提供者の名称¥n• 利用目的（業務内容）¥n• 取り扱う情報の格付¥n• 利用期間¥n• 利用申請者（所属・氏名）¥n• 利用者の範囲（機関等内に限る、部局内に限る など）。¥n• クラウドサービス管理者（所属・氏名）

統括情報セキュリティ責任者は、機関等において要機密情報を取り扱わない前提でクラウドサービスを業務に利用する場合は、以下を全て含む運用規程を整備すること。¥na) サービス利用中の安全管理に係る運用規程¥n• 適切な主体認証、アクセス制御の管理の実施¥n• サービス機能の設定（例えば情報の公開範囲）に関する定期的な内容確認¥n• 情報の滅失、破壊等に備えたバックアップの取得¥n• 利用者への定期的な注意喚起（禁止されている要機密情報の取扱いの有無の確認等）¥nb) 情報セキュリティインシデント発生時の連絡体制

クラウドサービス管理者は、要機密情報を取り扱わないクラウドサービスの利用において以下を全て含む、適切な措置を講ずること。¥na) 要機密情報を取り扱わないクラウドサービスの利用に係る安全管理¥nb) 要機密情報を取り扱わないクラウドサービスで情報セキュリティインシデントが発生した際の連絡体制の整備

統括情報セキュリティ責任者は、機器等の選定基準を運用規程として整備すること。必要に応じて、選定基準の一つとして、機器等の開発等のライフサイクルで不正な変更が加えられない管理がなされ、その管理を機関等が確認できることを加えること。

統括情報セキュリティ責任者は、情報セキュリティ対策の視点を加味して、機器等の納入時の確認・検査手続を整備すること。

統括情報セキュリティ責任者は、機器等の選定基準に、サプライチェーン・リスクを低減するための要件として、以下を全て含めること。¥na) 調達した機器等に不正な変更が見付かったときに、必要に応じて追跡調査や立入検査等、機関等と調達先が連携して原因を調査・排除できる体制を整備していること。¥nb) 「IT 調達に係る国等の物品等又は役務の調達方針及び調達手続に関する申合せ」（平成30年12月10日関係省庁申し合わせ）に基づき、サプライチェーン・リスクに対応する必要があると判断されるものについては、必要な措置を講ずること。

統括情報セキュリティ責任者は、調達する機器等において、設計書の検査によるセキュリティ機能の適切な実装の確認、開発環境の管理体制の検査、脆弱性テスト等、第三者による情報セキュリティ機能の客観的な評価を必要とする場合には、ISO/IEC 15408に基づく認証を取得しているか否かを、調達時の評価項目とすることを機器等の選定基準として定めること。

統括情報セキュリティ責任者は、機器等の納入時の確認・検査手続には以下を全て含む事項を確認できる手続を定めること。¥na) 調達時に指定したセキュリティ要件の実装状況¥nb) 機器等に不正プログラムが混入していないこと。

統括情報セキュリティ責任者は、情報システムの情報セキュリティインシデント発生時の業務影響度等を踏まえ、高度な情報セキュリティ対策が要求される情報システムを判別するための基準である情報システムの分類基準を運用規程として整備すること。

統括情報セキュリティ責任者は、情報システムに求める分類基準に応じた情報システムのセキュリティ要件及び情報システムの構成要素ごとの情報セキュリティ対策の具体的な対策事項を運用規程として整備すること。

統括情報セキュリティ責任者は、情報システムの分類基準に基づいた情報システムの分類を情報システムセキュリティ責任者に実施させ、実施した結果を報告させること。情報システムセキュリティ責任者から報告を受けた情報システムの分類結果については、情報セキュリティインシデント発生時の業務影響度や脅威動向等を踏まえて、上位又は下位の情報システムの分類の適用が望ましい場合には修正の指示を行うこと。

統括情報セキュリティ責任者は、情報システムの分類基準と分類基準に応じた情報セキュリティ対策の具体的な対策事項の運用規程について定期的な確認による見直しをすること。

統括情報セキュリティ責任者は、全ての情報システムが分類基準に基づいて適切に分類が行われていることを定期的に確認すること。

統括情報セキュリティ責任者は、自組織の特性や国内外の情報セキュリティに関連する動向等を踏まえ、セキュリティベースラインとして全ての情報システムに対し対策を求める「基本セキュリティ対策」と、それに加え高度な情報セキュリティ対策を要求する情報システムに対し追加で対策を求める「追加セキュリティ対策」を定めること。

統括情報セキュリティ責任者は、以下の全ての場合、情報システムセキュリティ責任者に対して分類基準に基づいた情報システムの分類を行わせること。¥na) 情報システムの構築又は更改が発生した場合¥nb) 情報システムで取り扱う情報の格付等に変更が発生した場合¥nc) 分類の再実施を指示する場合

統括情報セキュリティ責任者は、自組織で所管する情報システムの分類結果を確認し、以下の例に該当する場合、報告を受けた情報システムの分類結果の上位への修正指示の要否を検討すること。¥na) 業務特性やシステム特性、取り扱う情報等を踏まえると上位の情報システムの分類の適用が望ましいと判断される場合¥nb) 類似する自組織の情報システムで上位の情報システムの分類が適用されていた場合

統括情報セキュリティ責任者は、以下の全ての場合に分類基準に基づいた情報システムの分類が行われていることを確認すること。¥na) 情報システムの構築又は更改を把握した場合¥nb) 対策推進計画の各種施策や情報セキュリティ監査、本部監査、自己点検等の結果を踏まえ、定期評価や評価の再実施が必要と判断した場合

情報システムセキュリティ責任者は、情報システムのライフサイクル全般にわたって情報セキュリティの維持が可能な体制の確保を、最高情報セキュリティ責任者に求めること。

最高情報セキュリティ責任者は、前項で求められる体制の確保に際し、情報システムを統括する責任者（デジタル統括責任者（CIO））の協力を得ることが必要な場合は、当該情報システムを統括する責任者に当該体制の全部又は一部の整備を求めること。

情報システムセキュリティ責任者は、情報システムを新規に構築し、又は更改する際には、情報システムの分類基準に基づいて情報システムの分類を行い、統括情報セキュリティ責任者に報告すること。

情報システムセキュリティ責任者は、情報システムを構築する目的、対象とする業務等の業務要件及び当該情報システムで取り扱われる情報の格付等を勘案し情報システムの分類に基づき、情報システムに求める分類基準に応じた具体的な対策事項を踏まえて、以下の全ての事項を含む情報システムのセキュリティ要件を策定すること。

情報システムセキュリティ責任者は、インターネット回線と接続する情報システムを構築する場合は、接続するインターネット回線を定めた上で、標的型攻撃を始めとするインターネットからの様々なサイバー攻撃による情報の漏えい、改ざん等のリスクを低減するための多重防御のためのセキュリティ要件を策定すること。

情報システムセキュリティ責任者は、機器等を調達する場合には、「IT製品の調達におけるセキュリティ要件リスト」を参照し、利用環境における脅威を分析した上で、当該機器等に存在する情報セキュリティ上の脅威に対抗するためのセキュリティ要件を策定すること。

情報システムセキュリティ責任者は、構築する情報システムが取り扱う情報や情報システムを利用して行う業務の内容等を踏まえ高度な情報セキュリティ対策を要求する情報システムについては、情報システムの分類に応じて策定したセキュリティ要件について、最高情報セキュリティアドバイザー等へ助言を求め、業務の特性や情報システムの特性を踏まえて、上位の情報セキュリティ対策をセキュリティ要件として盛り込む必要が無いかを確認すること。

情報システムセキュリティ責任者は、「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」を活用し、情報システムが提供する業務及び取り扱う情報、利用環境等を考慮した上で、脅威に対抗するために必要となるセキュリティ要件を適切に決定すること。

情報システムセキュリティ責任者は、開発する情報システムが運用される際に想定される脅威の分析結果並びに当該情報システムにおいて取り扱う情報の格付及び取扱制限に応じて、セキュリティ要件を適切に策定し、調達仕様書等に明記すること。

情報システムセキュリティ責任者は、開発する情報システムが対抗すべき脅威について、適切なセキュリティ要件が策定されていることを第三者が客観的に確認する必要がある場合には、セキュリティ設計仕様書（ST：Security Target）を作成し、ST確認を受けること。

情報システムセキュリティ責任者は、情報システム運用時のセキュリティ監視等の運用管理機能要件を明確化し、情報システム運用時に情報セキュリティ確保のために必要となる管理機能や監視のために必要な機能を調達仕様書に明記すること。¥n＜5.2.1(3)(a)(ウ)関連＞¥n5.2.1(3)-5 情報システムセキュリティ責任者は、開発する情報システムに関連する脆弱性への対策が実施されるよう、以下を全て含む対策を調達仕様書等に明記すること。¥na) 既知の脆弱性が存在するソフトウェアや機能モジュールを情報システムの構成要素としないこと。¥nb) 開発時に情報システムに脆弱性が混入されることを防ぐためのセキュリティ実装方針。¥nc) セキュリティ侵害につながる脆弱性が情報システムに存在することが発覚した場合に修正が施されること。¥nd) ソフトウェアのサポート期間又はサポート打ち切り計画に関する機関等への情報提供。

情報システムセキュリティ責任者は、開発する情報システムに機関等の意図せざる不正なプログラム等が組み込まれないよう、以下を全て含む対策を実施すること。¥n情報システムで利用する機器等を調達する場合は、機関等の意図せざる不正なプログラム等が組み込まれていないことを確認すること。¥nアプリケーション・コンテンツの開発時に機関等の意図せざる不正なプログラム等が混入されることを防ぐための対策を講ずること。¥n情報システムの構築を委託する場合は、委託先において機関等の意図せざる変更が加えられないための管理体制を求めること。

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムを構築する場合は、許容される停止時間に応じた以下を全て含むセキュリティ要件について、情報システムを構成する要素ごとに策定し調達仕様書等に明記すること。¥na) 端末、サーバ装置及び通信回線装置等の冗長化に関する要件¥nb) 端末、サーバ装置及び通信回線装置並びに取り扱われる情報に関するバックアップの要件¥nc) 情報システムを中断することのできる時間を含めた復旧に関する要件

情報システムセキュリティ責任者は、開発する情報システムのネットワーク構成に関する要件について、以下を全て含む要件を調達仕様書等に明記すること。¥na) インターネットやインターネットに接点を有する情報システム（クラウドサービスを含む。）から分離することの要否の判断とインターネットから分離するとした場合の要件¥nb) 端末、サーバ装置及び通信回線装置上で利用するソフトウェアを実行するために必要な通信要件¥nc) インターネット上のクラウドサービス等のサービスを利用する場合の通信経路全般のネットワーク構成¥nd) 機関等外通信回線を経由して機器等に対してリモートメンテナンスすることの要否の判断とリモートメンテナンスすることとした場合の要件

情報システムセキュリティ責任者は、構築する情報システムの構成要素のうち、製品として調達する機器等について、当該機器等に存在するセキュリティ上の脅威へ対抗するためのセキュリティ要件を策定するために、以下を全て含む事項を実施すること。¥na) 「IT製品の調達におけるセキュリティ要件リスト」を参照し、リストに掲載されている製品分野の「セキュリティ上の脅威」が自身の運用環境において該当する場合には、「国際標準に基づくセキュリティ要件」と同等以上のセキュリティ要件を調達時のセキュリティ要件とすること。ただし、「IT製品の調達におけるセキュリティ要件リスト」の「セキュリティ上の脅威」に挙げられていない脅威にも対抗する必要がある場合には、必要なセキュリティ要件を策定すること。¥nb) 「IT製品の調達におけるセキュリティ要件リスト」に掲載されていない製品分野においては、調達する機器等の利用環境において対抗すべき脅威を分析し、必要なセキュリティ要件を策定すること。

情報システムセキュリティ責任者は、情報システムの構築において、情報セキュリティの観点から必要な措置を講ずること。

情報システムセキュリティ責任者は、構築した情報システムを運用保守段階へ移行するに当たり、移行手順及び移行環境に関して、情報セキュリティの観点から必要な措置を講ずること。

情報システムセキュリティ責任者は、情報システムを新規に構築し、又は更改する際には、情報システム台帳のセキュリティ要件に係る内容を記録又は記載し、当該内容について統括情報セキュリティ責任者に報告すること。

情報システムセキュリティ責任者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む情報システム関連文書を整備すること。

情報システムセキュリティ責任者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む実施手順を整備すること。

情報システムセキュリティ責任者は、機器等の納入時又は情報システムの受入れ時の確認・検査において、調達仕様書等定められた検査手続に従い、情報セキュリティ対策に係る要件が満たされていることを確認すること。

情報システムセキュリティ責任者は、情報システムが構築段階から運用保守段階へ移行する際に、当該情報システムの開発事業者から運用保守事業者へ引継がれる項目に、情報セキュリティ対策に必要な内容が含まれていることを確認すること。

情報システムセキュリティ責任者は、情報システムの構築において以下を全て含む情報セキュリティ対策を行うこと。¥na) 情報システム構築の工程で扱う要保護情報への不正アクセス、滅失、き損等に対処するために開発環境を整備すること。¥nb) セキュリティ要件が適切に実装されるようにセキュリティ機能を設計すること。¥nc) 情報システムで使用する機器やソフトウェア等においては、設定の誤りを防止するため、当該提供者が提示している推奨設定や業界標準、ベストプラクティス等を参照し、情報システムの各種設定を行うこと。¥nd) 情報システムへの脆弱性の混入を防ぐために定めたセキュリティ実装方針に従うこと。¥ne) セキュリティ機能が適切に実装されていること及びセキュリティ実装方針に従った実装が行われていることを確認するために、設計レビューやソースコードレビュー等を実施すること。¥nf) 脆弱性検査を含む情報セキュリティの観点での試験を実施すること。

情報システムセキュリティ責任者は、情報システムの運用保守段階へ移行するに当たり、以下を全て含む情報セキュリティ対策を行うこと。¥na) 情報セキュリティに関わる運用保守体制の整備¥nb) 運用保守要員へのセキュリティ機能の利用方法等に関わる教育の実施¥nc) 情報セキュリティインシデントを認知した際の対処方法の確立

情報システムセキュリティ責任者は、所管する情報システムを構成するサーバ装置及び端末に関連する情報として、以下を全て含む文書を整備すること。¥nサーバ装置及び端末を管理する職員等及び利用者を特定する情報¥nサーバ装置及び端末の機種並びに利用しているソフトウェアの種類、名称及びバージョン、サポート体制等¥nサーバ装置及び端末で利用するソフトウェアを動作させるために用いられる他のソフトウェアであって、以下を全て含むものの種類、名称及びバージョン、入手先、サポート体制等¥n• 動的リンクライブラリ等、ソフトウェア実行時に読み込まれて使用されるもの¥n• フレームワーク等、ソフトウェアを実行するための実行環境となるもの¥n• プラグイン等、ソフトウェアの機能を拡張するもの¥n• 静的リンクライブラリ等、機関等がソフトウェアを開発する際に当該ソフトウェアに組み込まれるもの¥n• インストーラー作成ソフトウェア等、機関等がソフトウェアを開発する際に開発を支援するために使用するもの¥nサーバ装置及び端末の調達仕様書又は設計書

情報システムセキュリティ責任者は、前項b)及びc)の情報を収集するため、自動でソフトウェアの種類やバージョン等を管理する機能を有するIT資産管理ソフトウェアを導入するなどにより、これら情報を効率的に収集する手法を決定すること。

情報システムセキュリティ責任者は、所管する情報システムを構成する通信回線及び通信回線装置関連情報として、以下を全て含む文書を整備すること。¥na) 通信回線及び通信回線装置を管理する職員等を特定する情報¥nb) 通信回線装置の機種並びに利用しているソフトウェアの種類、名称及びバージョン、サポート体制等¥nc) 通信回線及び通信回線装置の調達仕様書又は設計書¥nd) 通信回線の構成¥ne) 通信回線装置におけるアクセス制御の設定¥nf) 通信回線を利用する機器等の識別コード、サーバ装置及び端末の利用者と当該利用者の識別コードとの対応¥ng) 通信回線の利用部門

情報システムセキュリティ責任者は、所管する情報システムについて、情報システム構成要素ごとのセキュリティ維持に関する以下を全て含む運用手順を実施手順として整備すること。¥na) サーバ装置及び端末のセキュリティの維持に関する手順¥nb) 通信回線を介して提供するサービスのセキュリティの維持に関する手順¥nc) インターネット等の外部ネットワーク経由で利用するサービスのセキュリティの維持に関する手順¥nd) 通信回線及び通信回線装置のセキュリティの維持に関する手順¥ne) 端末、サーバ装置、通信回線装置等において利用するソフトウェアのセキュリティの維持に関する手順

情報システムセキュリティ責任者は、情報システムの受入れ時の確認・検査を行う場合は、以下を全て含む内容を確認すること。¥na) 情報システムの構築時に使用し、運用時に不要となる識別コードが削除されていること。¥nb) 機器等において推測可能な初期値として設定されている主体認証情報等が変更されていること。¥nc) 機器等において公開された脆弱性について対策を実施していること。¥nd) 機器等において不要なポートが開放されていない、不要なサービスが起動していない、利用を認めていないソフトウェアが動作していないこと。

情報システムセキュリティ責任者は、情報システムの運用・保守において、情報システムに実装された監視を含むセキュリティ機能を適切に運用すること。

情報システムセキュリティ責任者は、不正な行為及び意図しない情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守に係る作業についての記録を管理し、運用・保守によって機器の構成や設定情報等に変更があった場合は、情報セキュリティ対策が適切であるか確認し、必要に応じて見直すこと。

情報システムセキュリティ責任者は、情報システムの運用・保守において、情報システム台帳及び関連文書の内容に変更が生じた場合、情報システム台帳及び関連文書を更新又は修正すること。なお、情報システム台帳を更新又は修正した場合は、統括情報セキュリティ責任者へ報告すること。

情報システムセキュリティ責任者は、情報システムの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講ずること。

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムについて、危機的事象発生時に適切な対処が行えるよう運用をすること。

情報システムセキュリティ責任者は、情報システムのセキュリティ監視について、以下の内容を全て含む監視手順を定め、適切に監視運用すること。¥na) 監視するイベントの種類や重要度¥nb) 監視体制¥nc) 監視状況の報告手順や重要度に応じた報告手段¥nd) 情報セキュリティインシデントの可能性を認知した場合の報告手順¥ne) 監視運用における情報の取扱い（機密性の確保）

情報システムセキュリティ責任者は、情報システムに実装されたセキュリティ機能が適切に運用されていることを確認すること。

情報システムセキュリティ責任者は、情報システムにおいて取り扱う情報について、当該情報の格付及び取扱制限が適切に守られていることを確認すること。

情報システムセキュリティ責任者は、情報システムで不要となった識別コードや過剰なアクセス権限等の付与がないか適時見直すこと。

情報システムセキュリティ責任者は、運用中の情報システムにおいて定期的に脆弱性対策の状況を確認すること。

情報システムセキュリティ責任者は、運用中の情報システムの脆弱性の存在が明らかになった場合には、情報セキュリティを確保するための措置を講ずること。

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムについて、以下を全て含む運用をすること。¥na) 情報システムの各構成要素及び取り扱われる情報に関する適切なバックアップの取得及びバックアップ要件の確認による見直し¥nb) 情報システムの構成や設定の変更等が行われた際及び定期的に、情報システムが停止した際の復旧手順の確認による見直し

情報システムセキュリティ責任者は、情報システムの更改又は廃棄を行う場合は、当該情報システムに保存されている情報について、当該情報の格付及び取扱制限を考慮した上で、以下を全て含む措置を適切に講ずること。

情報システムセキュリティ責任者は、対策推進計画に基づき情報システムの情報セキュリティ対策を適切に見直すこと。

情報システムセキュリティ責任者は、機関等内で横断的に改善が必要となる情報セキュリティ対策の見直しによる改善指示に基づき、情報セキュリティ対策を適切に見直すこと。また、措置の結果については、統括情報セキュリティ責任者へ報告すること。

統括情報セキュリティ責任者は、機関等において非常時優先業務を支える情報システムの運用継続計画を整備する場合は、危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順の整備を検討すること。

統括情報セキュリティ責任者は、情報システムの運用継続計画に沿って、危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順が運用可能であるかを定期的に確認すること。

統括情報セキュリティ責任者は、情報システムの運用継続計画に沿って、危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順を定期的に見直すこと。

統括情報セキュリティ責任者は、危機的事象発生時における情報セキュリティに係る対策事項及び運用規程が運用可能であるかを確認するため、以下を例とする訓練の実施を検討すること。¥na) 情報システム復旧訓練¥nb) 情報システム切り替え訓練

統括情報セキュリティ責任者は、危機的事象発生時における情報セキュリティに係る実施手順が運用可能であるかを確認するため、以下を例とする訓練の実施を検討すること。¥na) 手順書確認訓練¥nb) シナリオ非提示型訓練

統括情報セキュリティ責任者は、以下を全て含む事項を踏まえ、危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順を見直すこと。¥na) 危機的事象発生時における情報セキュリティに係る対策事項、運用規程及び実施手順が運用可能であるかの確認結果¥nb) 危機的事象発生時の対処結果¥nc) 情報システムの構成や利用環境、利用方法、取り扱う情報の変化

情報システムセキュリティ責任者は、政府共通利用型システムを構築する場合は、以下の内容を全て含む情報セキュリティ対策に関する運用管理規程を整備し、政府共通利用型システム利用機関と十分な合意形成を行うこと。

政府共通利用型システム管理機関の統括情報セキュリティ責任者は、遵守事項2.1.2(1)(a)で整備する政府共通利用型システムに関する情報システム台帳について、政府共通利用型システム利用機関に関係するセキュリティ要件に係る事項を含めて整備すること。

政府共通利用型システム管理機関の情報システムセキュリティ責任者は、遵守事項5.2.2(1)(d)で整備する政府共通利用型システムに関する情報システム関連文書について、政府共通利用型システム利用機関に関係する情報を含めて整備すること。

情報システムセキュリティ責任者は、政府共通利用型システムを構築する場合は、以下の内容を全て含む情報セキュリティ対策に関する運用管理規程を定めること。¥na) 政府共通利用型システム管理機関と政府共通利用型システム利用機関がそれぞれ責任を追うべき情報セキュリティ対策の責任分界点¥nb) 政府共通利用型システム及び政府共通利用型システム利用機関の情報システムにおける情報セキュリティインシデントを認知した場合の、政府共通利用型システム管理機関と政府共通利用型システム利用機関の間の情報共有や対処の方法を含む対処手順¥nc) 政府共通利用型システム利用機関が確保するべき管理体制や整備するべき運用規程及び実施手順¥nd) 政府共通利用型システムが提供するセキュリティ機能を利用する情報システムが備えるべきセキュリティ要件¥ne) 政府共通利用型システムが提供する機器等を利用する職員等への識別コード及び主体認証情報の付与や管理に関する手順並びにアクセスの権限の設定に関する手順

政府共通利用型システム管理機関の統括情報セキュリティ責任者は、セキュリティ機能を提供する政府共通利用型システムに関する情報システム台帳について、以下の内容を全て含めて整備すること。¥na) 当該政府共通利用型システムが提供するセキュリティ機能を利用する情報システム名¥nb) 上記情報システムの政府共通利用型システム利用機関名及び管理課室¥nc) 上記情報システムの情報システムセキュリティ責任者の氏名及び連絡先¥nd) 上記情報システムの利用目的

政府共通利用型システム管理機関の統括情報セキュリティ責任者は、機器等を提供する政府共通利用型システムに関する情報システム台帳について、以下の内容を全て含めて整備すること。¥na) 当該政府共通利用型システムが提供する機器等を利用する政府共通利用型システム利用機関名¥nb) 上記利用機関における当該政府共通利用型システム利用管理者の氏名及び連絡先¥nc) 上記利用機関において当該政府共通利用型システムで取り扱う情報の格付及び取扱制限に関する事項

政府共通利用型システム管理機関の情報システムセキュリティ責任者は、政府共通利用型システムに関する情報システム関連文書のうち、政府共通利用型システム利用機関に提供した機器等に係る情報については、政府共通利用型システム利用機関の求めに応じ、必要な範囲で提供すること。

情報システムセキュリティ責任者は、政府共通利用型システムが提供するセキュリティ機能を利用して情報システムを構築する場合は、政府共通利用型システム管理機関が定める運用管理規程に応じた体制の確保を、最高情報セキュリティ責任者に求めること。

統括情報セキュリティ責任者は、政府共通利用型システムが提供する機器等の提供を受けこれを自機関等の職員等が利用する場合は、当該利用に係る情報セキュリティ対策に関する事務を統括する管理者として、政府共通利用型システムごとに政府共通利用型システム利用管理者を指名すること。

政府共通利用型システム利用管理者は、当該政府共通利用型システムの利用に際し、当該政府共通利用型システム管理機関が定める運用管理規程に応じた体制の確保を、最高情報セキュリティ責任者に求めること。

情報システムセキュリティ責任者は、政府共通利用型システムが提供するセキュリティ機能を利用する情報システムを構築する場合は、政府共通利用型システム管理機関が定める運用管理規程に基づき、政府共通利用型システムの情報セキュリティ水準を低下させることのないように、適切にセキュリティ要件を策定し、運用すること。

情報システムセキュリティ責任者は、政府共通利用型システム管理機関が定める運用管理規程に基づき、政府共通利用型システムに関する情報セキュリティインシデントに適切に対処すること。

政府共通利用型システム利用管理者は、政府共通利用型システムが提供する機器等の提供を受けてこれを自機関等の職員等が利用する場合は、当該政府共通利用型システムの利用に関する情報セキュリティ対策に係る運用規程及び実施手順を整備すること。

政府共通利用型システム利用管理者は、提供を受けた政府共通利用型システムの機器等を把握するために必要な文書を整備すること。

政府共通利用型システム利用管理者は、政府共通利用型システム管理機関が情報システム台帳や情報システム関連文書を整備するために必要な情報について、政府共通利用型システム管理機関に提供するとともに、当該情報に変更が生じた場合は速やかに通知すること。

政府共通利用型システム利用管理者は、政府共通利用型システム管理機関が定める運用管理規程に基づき、政府共通利用型システムに関する情報セキュリティインシデントに適切に対処すること。

政府共通利用型システム利用管理者は、政府共通利用型システム管理機関が定める運用管理規程を踏まえ、以下の内容を全て含む情報セキュリティ対策に係る運用規程及び実施手順を定めること。¥na) 政府共通利用型システムが提供する機能のうち、自機関で利用を認める機能¥nb) 政府共通利用型システムが提供する端末で利用を認めるソフトウェアや接続を認める機器等¥nc) 政府共通利用型システムにおける情報セキュリティインシデントの可能性を認知した場合の報 告手順及び対処手順¥nd) 政府共通利用型システムにおける業務委託サービスやクラウドサービスの利用申請の手順¥ne) 政府共通利用型システムを利用する職員等への識別コードや主体認証情報の付与、アクセス権限の設定等に関する手順。ただし、政府共通利用型システム利用機関において識別コードや主体認証情報の付与、アクセス権限の設定等を行わない場合は除く。¥nf) 前各号に掲げるもののほか、政府共通利用型システム利用機関における政府共通利用型システムの利用に係る情報セキュリティ対策に関する事項

政府共通利用型システム利用管理者は、自機関の対策基準や取り扱う情報の格付等を踏まえ、政府共通利用型システムに追加のセキュリティ対策が必要であると認める場合は、政府共通利用型システムにおける当該セキュリティ対策の追加的実施その他の措置について協議すること。

政府共通利用型システム利用管理者は、自機関に設置している政府共通利用型システムの機器等を把握するため、以下の内容を全て含む文書を整備すること。¥na) 当該機器等を管理または利用する職員等を特定する情報¥nb) 当該機器等の設置場所並びにその区域のクラス及び当該設置場所の区域情報セキュリティ責任者

情報システムセキュリティ責任者は、要保護情報を取り扱う物理的な端末について、端末の盗難、不正な持ち出し、第三者による不正操作、表示用デバイスの盗み見等の物理的な脅威から保護するための対策を講ずること。

情報システムセキュリティ責任者は、多様なソフトウェアを利用することにより脆弱性が存在する可能性が増大することを防止するため、端末で利用を認めるソフトウェアを定め、それ以外のソフトウェアは利用させないこと。

情報システムセキュリティ責任者は、端末に接続を認める機器等を定め、接続を認めた機器等以外は接続させないこと。

情報システムセキュリティ責任者は、情報システムのセキュリティ要件として策定した内容に従い、端末に対して適切なセキュリティ対策を実施すること。

情報システムセキュリティ責任者は、端末において利用するソフトウェアに関連する公開された脆弱性について対策を実施すること。

情報システムセキュリティ責任者は、利用を認めるソフトウェアについて、定期的な確認による見直しを行うこと。

情報システムセキュリティ責任者は、所管する範囲の端末で利用されている全てのソフトウェアの状態を定期的に調査し、不適切な状態にある端末を検出等した場合には、改善を図ること。

情報システムセキュリティ責任者は、端末の運用を終了する際に、端末の電磁的記録媒体の全ての情報を抹消すること。

情報システムセキュリティ責任者は、モバイル端末を除く物理的な端末について、原則としてクラス２以上の要管理対策区域に設置すること。

情報システムセキュリティ責任者は、物理的な端末の盗難及び不正な持ち出しを防止するために、以下を例とする対策を講ずること。¥na) モバイル端末を除く端末を、容易に切断できないセキュリティワイヤを用いて固定物又は搬出が困難な物体に固定する。¥nb) モバイル端末を保管するための設備（利用者が施錠できる袖机やキャビネット等）を用意する。

情報システムセキュリティ責任者は、第三者による不正操作及び表示用デバイスの盗み見を防止するために、以下を全て含む対策を講ずること。¥na) 一定時間操作が無いと自動的にスクリーンロックするよう設定する。¥nb) 不特定多数の人が出入りする場所で使用するモバイル端末に対して、盗み見されるおそれがある場合にのぞき見防止フィルタを取り付ける。

情報システムセキュリティ責任者は、以下の全てを考慮した上で、端末で利用を認めるソフトウェアをバージョンも含め定めること。なお、特定の業務や端末のみに利用を認めるなどの条件を付す場合は、その旨を含めること。¥na) ソフトウェアベンダ等のサポート状況¥nb) ソフトウェアと外部との通信の有無及び通信する場合は、プロトコル（バージョンを含む）、使用するポート、暗号化の有無¥nc) インストール時に同時にインストールされる他のソフトウェア¥nd) その他、ソフトウェアの利用に伴う情報セキュリティリスク

情報システムセキュリティ責任者は、端末に対して、利用を認めるソフトウェア以外のソフトウェアを利用者が自由にインストールできない技術的な措置を講じること。

情報システムセキュリティ責任者は、利用を認めるソフトウェアの定期的な確認においては、引き続き利用を認めるか否かを判断し、利用を認めない場合は利用を認めるソフトウェアから削除すること。

情報システムセキュリティ責任者は、利用を認めるソフトウェア以外のソフトウェアについて職員等から利用申請があった場合には、当該ソフトウェアの利用を認める否かを判断し、利用を認める場合は利用を認めるソフトウェアに追加すること。

統括情報セキュリティ責任者は、職員等が機関等が支給する物理的な端末（要管理対策区域外で使用する場合に限る）を用いて要保護情報を取り扱う場合について、これらの端末や利用した通信回線から情報が漏えいするなどのリスクを踏まえた利用手順及び許可手続を実施手順として定めること。

統括情報セキュリティ責任者は、要機密情報を取り扱う機関等が支給する物理的な端末（要管理対策区域外で使用する場合に限る）について、盗難、紛失、不正プログラムの感染等により情報窃取されることを防止するための技術的な措置に関する運用規程を整備すること。

統括情報セキュリティ責任者は、要管理対策区域外において機関等外通信回線に接続した機関等が支給する物理的な端末を機関等内通信回線に接続することについての可否を判断した上で、可と判断する場合は、当該端末から機関等内通信回線を経由して情報システムが不正プログラムに感染するリスクを踏まえた技術的な措置に関する運用規程を定めること。

情報システムセキュリティ責任者は、職員等が機関等が支給する物理的な端末（要管理対策区域外で使用する場合に限る）を用いて要機密情報を取り扱う場合は、当該端末について前条(b)の技術的な措置を講ずること。

情報システムセキュリティ責任者は、要管理対策区域外において機関等外通信回線に接続した機関等が支給する物理的な端末を機関等内通信回線に接続させる際、当該端末について前条(c)の技術的な措置を講ずること。

統括情報セキュリティ責任者は、職員等が機関等が支給する物理的な端末（要管理対策区域外で使用する場合に限る）を用いて要保護情報を取り扱う場合の利用手順を実施手順として、以下を例として定めること。¥na)端末で利用する電磁的記録媒体に保存されている要機密情報の暗号化¥nb)盗み見に対する対策（のぞき見防止フィルタの利用等）¥nc)盗難・紛失に対する対策（不要な情報を端末に保存しない、端末の放置の禁止、利用時以外のシャットダウン及びネットワークの切断、モバイル端末を常時携帯する、常に身近に置き目を離さないなど）¥nd利用する場所や時間の限定¥ne)端末の盗難・紛失が発生した際の緊急対応手順

統括情報セキュリティ責任者は、職員等が機関等が支給する物理的な端末（要管理対策区域外で使用する場合に限る）を用いて要保護情報を取り扱う場合について、以下を全て含む許可手続を実施手順として定めること。¥na)利用時の許可申請手続¥nb)手続内容（利用者、利用期間、主たる利用場所、目的、利用する情報、端末、通信回線への接続形態等）¥nc)利用期間満了時の手続¥nd)許可権限者（課室情報セキュリティ責任者）による手続内容の記録

統括情報セキュリティ責任者は、要機密情報を取り扱う機関等が支給する物理的な端末（要管理対策区域外で使用する場合に限る）について、以下を例に、利用者が端末に情報を保存できないようにするための機能又は端末に保存される情報を暗号化するための機能を検討し、要管理対策区域外で使用する物理的な端末に求める技術的な措置に関する運用規程を設けること。¥na)シンクライアント等の仮想デスクトップ技術を活用した、端末に情報を保存させないリモートアクセス環境を構築する。利用者は専用のシンクライアントアプリケーションを利用端末にインストールし、業務用システムへリモートアクセスする。¥nb)セキュアブラウザ等を活用した、端末に情報を保存させないリモートアクセス環境を構築する。利用者はセキュアブラウザを利用端末にインストールし、業務用システムへリモートアクセスする。¥nc)ファイル暗号化等のセキュリティ機能を持つアプリケーションを導入する。¥nd)端末に、ハードディスク等の電磁的記録媒体全体を自動的に暗号化する機能を設ける。¥ne)上記の各号のいずれの機能も使用できない場合は、端末にファイルを暗号化する機能を設ける。¥nf)ハードディスク等の電磁的記録媒体に保存されている情報を遠隔からの命令等により暗号化消去する機能を設ける。¥ng)高度なセキュリティ機能を備えた OS を搭載するスマートフォンやタブレット端末等を使用する。

統括情報セキュリティ責任者は、要管理対策区域外において機関等外通信回線に接続した機関等が支給する物理的な端末について、機関等内通信回線に接続するする場合は、当該端末から機関等内通信回線を経由して情報システムが不正プログラムに感染するリスクを踏まえ、以下を例とする技術的な措置について運用規程として定めること。¥na)機関等内通信回線に接続する前に当該端末に対し、不正プログラム対策ソフトウェアを用いてスキャンを行う。¥nb)機関等内通信回線に接続した当該端末が、不正な通信を行っていないか、不要なアプリケーション、サービスやポートを使用していないか確認する。¥nc)技術的な措置において不適切な状態を検知した場合は、機関等内通信回線に接続させない措置を講じることや、機関等内通信回線から直ちに切断するなどの措置を講ずる。

最高情報セキュリティ責任者は、機関等支給以外の端末の利用について、取り扱うこととなる情報の格付及び取扱制限、機関等が講じる安全管理措置、当該端末の管理は機関等ではなくその所有者が行うこと等を踏まえ、求められる情報セキュリティの水準の達成の見込みを勘案し、機関等における機関等支給以外の端末の利用の可否を判断すること。

統括情報セキュリティ責任者は、職員等が機関等支給以外の端末を用いて機関等の業務に係る情報処理を行う場合の許可等の手続を実施手順として定めること。

統括情報セキュリティ責任者は、職員等が機関等支給以外の端末を用いて要保護情報を取り扱う場合について、盗難、紛失、不正プログラムの感染等により情報窃取されるなどのリスクを踏まえた利用手順及び許可手続を実施手順として定めること。

統括情報セキュリティ責任者は、要機密情報を取り扱う機関等支給以外の端末について、盗難、紛失、不正プログラムの感染等により情報窃取されることを防止するための技術的な措置を含めた安全管理措置に関する運用規程を整備すること。

統括情報セキュリティ責任者は、要管理対策区域外において機関等外通信回線に接続した機関等支給以外の端末を機関等内通信回線に接続することについての可否を判断した上で、可と判断する場合は、当該端末から機関等内通信回線を経由して情報システムが不正プログラムに感染するリスクを踏まえた安全管理措置に関する運用規程及び許可手続に関する実施手順を定めること。

情報セキュリティ責任者は、機関等支給以外の端末を用いた機関等の業務に係る情報処理に関する安全管理措置の実施状況を管理する責任者（以下「端末管理責任者」という。）を定めること。

職員等は、機関等支給以外の端末を用いて機関等の業務に係る情報処理を行う場合には、端末管理責任者の許可を得ること。

職員等は、機関等支給以外の端末を用いて要保護情報を取り扱う場合は、(2)(b)で定める利用手順に従うこと。

端末管理責任者等は、要機密情報を取り扱う機関等支給以外の端末について、(2)(c)に定める安全管理措置を講じる又は職員等に講じさせること。

職員等は、情報処理の目的を完了した場合は、要保護情報を機関等支給以外の端末から消去すること。

統括情報セキュリティ責任者は、機関等支給以外の端末を利用する際に、以下を全て含む許可等の手続を実施手順として整備し、職員等に周知すること。¥na)以下を全て含む機関等支給以外の端末利用時の申請内容¥n• 申請者の氏名、所属、連絡先¥n• 利用する端末の契約者の名義（スマートフォン等の通信事業者と契約を行う端末の場合）¥n• 利用する端末の製造企業名、機種名、OS の種類及びバージョン¥n• 利用目的及び利用を許可する業務、取り扱う情報の概要、要機密情報の利用の有無等¥n• 主要な利用場所¥n• 利用する主要な通信回線サービス¥n• 利用する期間¥nb)利用許諾条件¥nc)申請手順¥nd)利用期間中の不具合、盗難・紛失、修理、機種変更等の際の届出の手順¥ne)利用期間満了時の利用終了又は利用期間更新の手続方法¥nf)許可権限者（端末管理責任者）

統括情報セキュリティ責任者は、職員等が機関等支給以外の端末を用いて要保護情報を取り扱う場合の利用手順を、以下を例とし実施手順として定めること。¥na)端末で利用する電磁的記録媒体に保存されている要機密情報の暗号化¥nb)盗み見に対する対策（のぞき見防止フィルタの利用等）¥nc)盗難・紛失に対する対策（不要な情報を端末に保存しない、端末の放置の禁止、利用時以外のシャットダウン及びネットワークの切断、モバイル端末を常時携帯する、常に身近に置き目を離さないなど）¥nd)利用する場所や時間の限定¥ne)端末の盗難・紛失が発生した際の緊急対応手順

統括情報セキュリティ責任者は、要機密情報を取り扱う機関等支給以外の端末について、以下を例とする利用時の措置を利用手順に加え、実施手順として定めること。¥na)パスワード等による端末ロックの常時設定¥nb)OS やアプリケーションの最新化¥nc)不正プログラム対策ソフトウェアの導入及び定期的な不正プログラム検査の実施（機関等として不正プログラム対策ソフトウェアを指定する場合は当該ソフトウェアの導入も含める）¥nd)機関等提供の業務専用アプリケーションの利用（専用アプリケーションを提供する場合のみ）

統括情報セキュリティ責任者は、要機密情報を取り扱う機関等支給以外の端末について、以下を全て含む禁止事項を利用手順に加え、実施手順として定めること。¥na)端末、OS、アプリケーション等の改造行為¥nb)安全性が確認できないアプリケーションのインストール及び利用¥nc)利用が禁止されているソフトウェアのインストール及び利用（利用を禁止するソフトウェアを定める場合）¥nd)許可されない通信回線サービスの利用（利用する回線を限定する場合）¥ne)第三者への端末の貸与¥nf)利用承認を得ていないクラウドサービス等への端末内の要機密情報のバックアップ

統括情報セキュリティ責任者は、職員等が機関等支給以外の端末を用いて要保護情報を取り扱う場合について、以下を全て含む許可手続を実施手順として定めること。¥na)利用時の許可申請手続¥nb)手続内容（利用者、利用期間、主たる利用場所、目的、利用する情報、端末、通信回線への接続形態等）¥nc)利用期間満了時の手続¥nd)許可権限者（課室情報セキュリティ責任者）による手続内容の記録

統括情報セキュリティ責任者は、要機密情報を取り扱う機関等支給以外の端末について、以下を例に、利用者が端末に情報を保存できないようにするための機能又は端末に保存される情報を暗号化するための対策を検討し、要機密情報を取り扱う機関等支給以外の端末に求める安全管理措置に関する運用規程のうちの技術的な措置として加えること。¥nなお、可能な限り端末に情報を保存させない機能を設けることも運用規程に含めること。¥na)シンクライアント等の仮想デスクトップ技術を活用した、端末に情報を保存させないリモートアクセス環境を構築する。利用者は専用のシンクライアントアプリケーションを利用端末にインストールし、業務用システムへリモートアクセスする。¥nb)セキュアブラウザ等を活用した、端末に情報を保存させないリモートアクセス環境を構築する。利用者はセキュアブラウザを利用端末にインストールし、業務用システムへリモートアクセスする。¥nc)ファイル暗号化等のセキュリティ機能を持つアプリケーションを導入する。¥nd)端末に、ハードディスク等の電磁的記録媒体全体を自動的に暗号化する機能を設ける。¥ne)上記の各号のいずれの機能も使用できない場合は、端末にファイルを暗号化する機能を設ける。¥nf)ハードディスク等の電磁的記録媒体に保存されている情報を遠隔からの命令等により暗号化消去する機能を設ける。¥ng)高度なセキュリティ機能を備えた OS を搭載するスマートフォンやタブレット端末等を使用する。

統括情報セキュリティ責任者は、要管理対策区域外において機関等外通信回線に接続した機関等支給以外の端末を要管理対策区域で機関等内通信回線に接続することの許可手続として、以下を全て含む手続を実施手順として整備し、職員等に遵守させること。¥na)利用時の許可申請手続¥nb)手続内容（利用者、目的、利用する情報、端末等）¥nc)利用期間満了時の手続¥nd)機関等内通信回線への接続時の手続（端末の事前検疫等）¥ne)許可権限者（課室情報セキュリティ責任者）による手続内容の記録

情報システムセキュリティ責任者は、要保護情報を取り扱う物理的なサーバ装置について、サーバ装置の盗難、不正な持ち出し、不正な操作、表示用デバイスの盗み見等の物理的な脅威から保護するための対策を講ずること。

情報システムセキュリティ責任者は、障害や過度のアクセス等によりサービスが提供できない事態となることを防ぐため、要安定情報を取り扱う情報システムについて、サービス提供に必要なサーバ装置を冗長構成にするなどにより可用性を確保すること。

情報システムセキュリティ責任者は、多様なソフトウェアを利用することにより脆弱性が存在する可能性が増大することを防止するため、サーバ装置で利用を認めるソフトウェアを定め、それ以外のソフトウェアは利用させないこと。

情報システムセキュリティ責任者は、サーバ装置に接続を認めた機器等を定め、接続を認めた機器等以外は接続させないこと。

情報システムセキュリティ責任者は、情報システムのセキュリティ要件として策定した内容に従い、サーバ装置に対して適切なセキュリティ対策を実施すること。

情報システムセキュリティ責任者は、サーバ装置において利用するソフトウェアに関連する公開された脆弱性について対策を実施すること。

情報システムセキュリティ責任者は、要安定情報を取り扱うサーバ装置については、適切な方法でサーバ装置のバックアップを取得すること。

情報システムセキュリティ責任者は、利用を認めるソフトウェアについて、定期的な確認による見直しを行うこと。

情報システムセキュリティ責任者は、所管する範囲のサーバ装置の構成やソフトウェアの状態を定期的に確認し、不適切な状態にあるサーバ装置を検出等した場合には改善を図ること。

情報システムセキュリティ責任者は、サーバ装置上での情報セキュリティインシデントの発生を監視するため、当該サーバ装置を監視するための措置を講ずること。

情報システムセキュリティ責任者は、要安定情報を取り扱うサーバ装置について、危機的事象発生時に適切な対処が行えるよう運用をすること。

情報システムセキュリティ責任者は、サーバ装置の運用を終了する際に、サーバ装置の電磁的記録媒体の全ての情報を抹消すること。

情報システムセキュリティ責任者は、要保護情報を取り扱う物理的なサーバ装置については、クラス２以上の要管理対策区域に設置すること。

情報システムセキュリティ責任者は、物理的なサーバ装置の盗難及び不正な持ち出しを防止するために、以下を例とする対策を講ずること。¥na) 施錠可能なサーバラックに設置して施錠する。¥nb) 容易に切断できないセキュリティワイヤを用いて、固定物又は搬出が困難な物体に固定する。

情報システムセキュリティ責任者は、第三者による不正操作及び表示用デバイスの盗み見を防止するために、以下を例とする対策を講ずること。¥na) 一定時間操作が無いと自動的にスクリーンロックするよう設定する。

情報システムセキュリティ責任者は、障害や過度のアクセス等によりサービスが提供できない事態となることを防ぐため要安定情報を取り扱う情報システムについては、将来の見通しも考慮し、以下を例とする対策を講ずること。¥na) 負荷分散装置、DNSラウンドロビン方式等による負荷分散¥nb) 同一システムを２系統で構成することによる冗長化

情報システムセキュリティ責任者は、以下を全て考慮した上で、利用を認めるソフトウェアをバージョンも含め定めること。¥na) ソフトウェアベンダ等のサポート状況¥nb) ソフトウェアと外部との通信の有無及び通信する場合は、プロトコル（バージョンを含む）、使用するポート、暗号化の有無¥nc) インストール時に同時にインストールされる他のソフトウェア¥nd) その他、ソフトウェアの利用に伴う情報セキュリティリスク

情報システムセキュリティ責任者は、所管する範囲のサーバ装置の構成やソフトウェアの状態を定期的に確認し、改善を図る場合は、作業日、作業を行ったサーバ装置名、具体的な作業内容（サーバ装置の構成等の変更、脆弱性管理、ソフトウェアのインストール等）及び作業者、正常動作を確認した者などを含む変更事項等を記録し、管理すること。

情報システムセキュリティ責任者は、サーバ装置への不正アクセス等の情報セキュリティインシデントの発生を監視するために、以下を例とする対策を講ずること。¥na) アクセスログ等を定期的に確認する。¥nb) IDS/IPS、WAF（Web Application Firewall）等を設置する。¥nc) 不正プログラム対策ソフトウェアを利用する。¥nd) ファイル完全性チェックツールを利用する。¥ne) CPU、メモリ、ディスクI/O等のシステム状態を確認する。¥nf) ホスト型のIDS/IPSを利用する。¥ng) ユーザ、グループ、システム管理者の追加、変更の有無を確認する。¥nh) 管理者、ユーザのパスワード漏洩の有無、大量のログオン失敗や、通常とは異なる時間帯やアクセス元IPアドレスからのログインがないか確認する。

情報システムセキュリティ責任者は、要安定情報を取り扱うサーバ装置について、以下を全て含む運用をすること。¥na) サーバ装置全体の適切なバックアップの取得及びバックアップ要件の確認による見直し¥nb) サーバ装置の構成やソフトウェア等の設定の変更が行われた際及び定期的に、サーバ装置が停止した際の復旧手順の確認による見直し

情報システムセキュリティ責任者は、電子メールサーバが電子メールの不正な中継を行わないように設定すること。

情報システムセキュリティ責任者は、電子メールクライアントから電子メールサーバへの電子メールの受信時及び送信時に主体認証を行う機能を備えること。

情報システムセキュリティ責任者は、電子メールのなりすましの防止策を講ずること。

情報システムセキュリティ責任者は、インターネットを介して通信する電子メールの盗聴及び改ざんの防止のため、電子メールのサーバ間通信の暗号化の対策を講ずること。

情報システムセキュリティ責任者は、電子メールクライアントから電子メールサーバへの電子メールの受信時及び送信時に、以下を例とする職員等の主体認証を行う機能を備えること。¥na) 電子メールの受信時に限らず、送信時においても不正な利用を排除するためにSMTP認証等の主体認証機能を導入する。

情報システムセキュリティ責任者は、以下を全て含む送信ドメイン認証技術による電子メールのなりすましの防止策を講ずること。¥na) DMARCによる送信側の対策を行う。DMARCによる送信側の対策を行うためには、SPF、DKIMのいずれか又は両方による対策を行う必要がある。¥nb) DMARCによる受信側の対策を行う。DMARCによる受信側の対策を行うためには、SPF、DKIMの両方による対策を行う必要がある。

情報システムセキュリティ責任者は、必要に応じて、S/MIME等の電子メールにおける電子署名の技術による電子メールのなりすましの防止策を講ずること。

情報システムセキュリティ責任者は、職員等が機関等外の者と電子メールを送受信する場合には、政府ドメイン名を取得できない場合を除き、政府ドメイン名を使用した電子メールアドレスが利用される機能を備えること。

情報システムセキュリティ責任者は、以下を例とする電子メールの盗聴及び改ざんの防止策を講ずること。¥nSMTPによるサーバ間通信をTLSにより保護する。¥nS/MIME等の電子メールにおける暗号化及び電子署名の技術を利用する。

情報システムセキュリティ責任者は、脆弱性が存在する可能性が増大することを防止するため、ウェブサーバが備える機能のうち、必要な機能のみを利用すること。

情報システムセキュリティ責任者は、ウェブサーバからの不用意な情報漏えいを防止するための措置を講ずること。

情報システムセキュリティ責任者は、ウェブコンテンツの編集作業を行う主体を限定すること。

情報システムセキュリティ責任者は、インターネットを介して転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化及び電子証明書による認証の対策を講じること。

情報システムセキュリティ責任者は、ウェブサーバが備える機能のうち、必要な機能のみを利用するために、以下を全て含むウェブサーバの管理や設定を行うこと。¥nCGI機能を用いるスクリプト等は必要最低限のものに限定し、CGI機能を必要としない場合は設定でCGI機能を使用不可とする。¥nディレクトリインデックスの表示を禁止する。¥nウェブコンテンツ作成ツールやコンテンツ・マネジメント・システム（CMS）等における不要な機能を制限する。¥nウェブサーバ上で動作するソフトウェアは、最新のものを利用するなど、既知の脆弱性が解消された状態を維持する。

情報システムセキュリティ責任者は、ウェブサーバからの不用意な情報漏えいを防止するために、以下を全て含むウェブサーバの管理や設定を行うこと。¥n公開を想定していないファイルをウェブ公開用ディレクトリに置かない。¥n初期状態で用意されるサンプルのページ、プログラム等、不要なものは削除する。¥nウェブサーバに保存する情報を特定し、サービスの提供に必要のない情報がウェブサーバに保存されないことを確認する。

情報システムセキュリティ責任者は、ウェブコンテンツの編集作業を担当するアカウントの限定として、以下を全て含むウェブサーバの管理や設定を行うこと。¥na) ウェブサーバ上のウェブコンテンツへのアクセス権限は、ウェブコンテンツの作成や更新に必要な者以外に更新権を与えない。¥nb) OSやアプリケーションのインストール時に標準で作成される識別コードやテスト用に作成した識別コード等、不要なものは削除する。

情報システムセキュリティ責任者は、ウェブコンテンツの編集作業に用いる端末の限定、識別コード及び主体認証情報の適切な管理として、以下を例とするウェブサーバの管理や設定を行うこと。¥na) ウェブコンテンツの更新の際は、専用の端末を使用して行う。¥nb) ウェブコンテンツの更新の際は、ウェブサーバに接続する接続元のIPアドレスを必要最小限に制限する。¥nc) ウェブコンテンツの更新に利用する識別コードや主体認証情報は、情報セキュリティを確保しd) た管理を行う。

情報システムセキュリティ責任者は、通信時の盗聴による第三者への情報の漏えい及び改ざんの防止並びに正当なウェブサーバであることを利用者が確認できるようにするための措置として、以下を全て含むウェブサーバの実装を行うこと。¥nTLS機能を適切に用いる。¥nTLS機能のために必要となるサーバ証明書には、利用者が事前のルート証明書のインストールを必要とすることなく、その正当性を検証できる認証局（証明書発行機関）により発行された電子証明書を用いる。¥n暗号技術検討会及び関連委員会（CRYPTREC）により作成された「TLS暗号設定ガイドライン」に従って、TLSサーバを適切に設定する。

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムの名前解決を提供するコンテンツサーバにおいて、名前解決を停止させないための措置を講ずること。

情報システムセキュリティ責任者は、キャッシュサーバにおいて、名前解決の要求への適切な応答をするための措置を講ずること。

情報システムセキュリティ責任者は、コンテンツサーバにおいて、機関等のみで使用する名前の解決を提供する場合、当該コンテンツサーバで管理する情報が外部に漏えいしないための措置を講ずること。

情報システムセキュリティ責任者は、コンテンツサーバを複数台設置する場合は、管理するドメインに関する情報についてサーバ間で整合性を維持すること。

情報システムセキュリティ責任者は、コンテンツサーバにおいて管理するドメインに関する情報が正確であることを定期的に確認すること。

情報システムセキュリティ責任者は、キャッシュサーバにおいて、名前解決の要求への適切な応答を維持するための措置を講ずること。

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムの名前解決を提供するコンテンツサーバにおいて、以下を例とする名前解決を停止させないための措置を講ずること。¥na) コンテンツサーバを冗長化する。¥nb) 通信回線装置等で、コンテンツサーバへのサービス不能攻撃に備えたアクセス制御を行う。¥nc) ISP等が提供するマネージドDNSサービスやDDoS（Distributed Denial of Service）対策サービスを利用する。¥nd) UDP及びTCPの両方でサービスを提供する。

情報システムセキュリティ責任者は、機関等外からの名前解決の要求に応じる必要性があるかについて検討し、必要性がないと判断される場合は必要であれば機関等内からの名前解決の要求のみに応答をするよう、以下を例とする措置を講ずること。¥na) キャッシュサーバの設定でアクセス制御を行う。¥nb) ファイアウォール等でアクセス制御を行う。

情報システムセキュリティ責任者は、DNSキャッシュポイズニング攻撃から保護するため、以下を例とする措置を講ずること。¥na) ソースポートランダマイゼーション機能を導入する。¥nb) DNSSECを利用する。

情報システムセキュリティ責任者は、機関等内のみで使用する名前の解決を提供するコンテンツサーバにおいて、以下を例とする当該コンテンツサーバで管理する情報の漏えいを防止するための措置を講ずること。¥na) 外部向けのコンテンツサーバと別々に設置する。¥nb) ファイアウォール等でアクセス制御を行う。

情報システムセキュリティ責任者は、キャッシュサーバにおいて、ルートヒントファイル（DNSルートサーバの情報が登録されたファイル）の更新の有無を定期的（３か月に一度程度）に確認し、最新のDNSルートサーバの情報を維持すること。

情報システムセキュリティ責任者は、キャッシュサーバにおいてDNSSECを利用する場合、電子署名を検証する起点となるDNSSECトラストアンカーを最新の状態に保つため、自動更新機能を有効にする又は更新の有無を定期的（３か月に一度程度）に確認すること。

情報システムセキュリティ責任者は、データベースに対する内部不正を防止するため、管理者アカウントの適正な権限管理を行うこと。

情報システムセキュリティ責任者は、データベースに格納されているデータにアクセスした利用者を特定できるよう、措置を講ずること。

情報システムセキュリティ責任者は、データベースに格納されているデータに対するアクセス権を有する利用者によるデータの不正な操作を検知できるよう、対策を講ずること。

情報システムセキュリティ責任者は、データベース及びデータベースへアクセスする機器等の脆弱性を悪用した、データの不正な操作を防止するための対策を講ずること。

情報システムセキュリティ責任者は、データの窃取、電磁的記録媒体の盗難等による情報の漏えいを防止する必要がある場合は、適切に暗号化をすること。

情報システムセキュリティ責任者は、必要に応じて情報システムの管理者とデータベースの管理者を別にすること。

情報システムセキュリティ責任者は、データベースに格納されているデータにアクセスする必要のない管理者に対して、データへのアクセス権を付与しないこと。

情報システムセキュリティ責任者は、データベースの管理に関する権限の不適切な付与を検知できるよう、措置を講ずること。

情報システムセキュリティ責任者は、業務を遂行するに当たって不必要なデータの操作を検知できるよう、以下を例とする措置を講ずること。¥na) 一定数以上のデータの取得に関するログを記録し、警告を発する。¥nb) データを取得した時刻が不自然であるなど、通常の業務によるデータベースの操作から逸脱した操作に関するログを記録し、警告を発する。

情報システムセキュリティ責任者は、データベースにアクセスする機器上で動作するプログラムに対して、SQLインジェクションの脆弱性を排除すること。

情報システムセキュリティ責任者は、データベースにアクセスする機器上で動作するプログラムに対してSQLインジェクションの脆弱性の排除が不十分であると判断した場合、以下を例とする対策の実施を検討すること。¥na) ウェブアプリケーションファイアウォールの導入¥nb) データベースファイアウォールの導入

情報システムセキュリティ責任者は、データベースに格納されているデータに対して暗号化を実施する場合には、バックアップデータやトランザクションデータ等についても暗号化を実施すること。

情報システムセキュリティ責任者は、複合機を調達する際には、当該複合機が備える機能、設置環境並びに取り扱う情報の格付及び取扱制限に応じ、適切なセキュリティ要件を策定すること。

情報システムセキュリティ責任者は、複合機が備える機能について適切な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講ずること。

情報システムセキュリティ責任者は、複合機の運用を終了する際に、複合機の電磁的記録媒体の全ての情報を抹消すること。

情報システムセキュリティ責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により脅威が存在する場合には、当該機器の特性に応じた対策を講ずること。

情報システムセキュリティ責任者は、「IT製品の調達におけるセキュリティ要件リスト」を参照するなどし、複合機が備える機能、設置環境並びに取り扱う情報の格付及び取扱制限に応じ、当該複合機に対して想定される脅威を分析した上で、脅威へ対抗するためのセキュリティ要件を調達仕様書に明記すること。

情報システムセキュリティ責任者は、以下を例とする運用中の複合機に対する、情報セキュリティインシデントへの対策を講ずること。¥na) 複合機について、利用環境に応じた適切なセキュリティ設定を実施する。¥nb) 複合機が備える機能のうち利用しない機能を停止する。¥nc) 印刷された書面からの情報の漏えいが想定される場合には、複合機が備える操作パネルで利用d) 者認証が成功した者のみ印刷が許可される機能等を活用する。¥nd)複合機をインターネットに直接接続しない。¥ne) リモートメンテナンス等の目的で複合機がインターネットを介して外部と通信する場合は、ファイアウォール等の利用により適切に通信制御を行う。¥nf) 利用者ごとに許可される操作を適切に設定する。

情報システムセキュリティ責任者は、内蔵電磁的記録媒体の全領域完全消去機能（上書き消去機能）を備える複合機については、当該機能を活用することにより複合機内部の情報を抹消すること。当該機能を備えていない複合機については、委託先との契約時に委託先に複合機内部に保存されている情報の漏えいが生じないための対策を講じさせることを、契約内容に含むようにするなどの別の手段で対策を講ずること。

情報システムセキュリティ責任者は、特定用途機器の特性に応じて、以下を全て含む対策を講ずること。ただし、使用している特定用途機器の機能上の制約により講ずることができない対策を除く。¥na) 特定用途機器について、主体認証情報を初期設定から変更した上で、適切に管理する。¥nb) 特定用途機器にアクセスする主体に応じて必要な権限を割り当て、管理する。¥nc) 特定用途機器が備える機能のうち利用しない機能を停止する。¥nd) インターネットと通信を行う必要のない特定用途機器については、当該特定用途機器をインターネットに接続させず、インターネットに接点を有する情報システムに接続する場合は、当該e) 特定用途機器がインターネットに接続されないように適切に通信制御を行う。¥ne) 特定用途機器がインターネットを介して外部と通信する場合は、ファイアウォール等の利用により適切に通信制御を行う。¥nf) 特定用途機器のソフトウェアに関する脆弱性の有無を確認し、脆弱性が存在する場合は、バージョンアップやセキュリティパッチの適用、アクセス制御等の対策を講ずる。¥ng)特定用途機器に対する不正な行為、無許可のアクセス等の意図しない事象の発生を監視する。¥nh) 特定用途機器を使用しない場合は、特定用途機器の電源をオフにする。¥ni) 特定用途機器を廃棄する場合は、特定用途機器の内蔵電磁的記録媒体に保存されている全ての情報を抹消する。

情報システムセキュリティ責任者は、通信回線構築時に、当該通信回線に接続する情報システムにて取り扱う情報の格付及び取扱制限に応じた適切な回線種別を選択し、情報セキュリティインシデントによる影響を回避するために、通信回線に対して必要な対策を講ずること。

情報システムセキュリティ責任者は、通信回線において、サーバ装置及び端末のアクセス制御及び経路制御を行う機能を設けること。

情報システムセキュリティ責任者は、要機密情報を取り扱う情報システムを通信回線に接続する際に、通信内容の秘匿性の確保が必要と考える場合は、通信内容の秘匿性を確保するための措置を講ずること。

情報システムセキュリティ責任者は、職員等が通信回線へ情報システムを接続する際に、当該情報システムが接続を許可されたものであることを確認するための措置を講ずること。機関等内通信回線へ機関等支給以外の端末を接続する際も同様とする。

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムが接続される通信回線について、当該通信回線の継続的な運用を可能とするための措置を講ずること。

情報システムセキュリティ責任者は、機関等内通信回線にインターネット回線、公衆通信回線等の機関等外通信回線を接続する場合には、機関等内通信回線及び当該機関等内通信回線に接続されている情報システムの情報セキュリティを確保するための措置を講ずること。

情報システムセキュリティ責任者は、機関等内通信回線と機関等外通信回線との間及び機関等内通信回線内の不正な通信の有無を監視するための措置を講ずること。

情報システムセキュリティ責任者は、保守又は診断のために、機関等外通信回線から機関等内通信回線に接続された機器等に対して行われるリモートメンテナンスに係る情報セキュリティを確保すること。

情報システムセキュリティ責任者は、電気通信事業者の通信回線サービスを利用する場合には、当該通信回線サービスの情報セキュリティ水準及びサービスレベルを確保するための措置について、情報システムの構築を委託する事業者と契約時に取り決めておくこと。

情報システムセキュリティ責任者は、経路制御及びアクセス制御を適切に運用し、通信回線や通信要件の変更の際及び定期的に、経路制御及びアクセス制御の設定の確認及び見直しを行うこと。

情報システムセキュリティ責任者は、機関等内通信回線と機関等外通信回線との間及び機関等内通信回線内の不正な通信の有無を監視するための監視対象や監視方法等について、定期的な確認による見直しをすること。

情報システムセキュリティ責任者は、保守又は診断のために、機関等外通信回線から機関等内通信回線に接続された機器等に対して行われるリモートメンテナンスに係る情報セキュリティ対策について、定期的な確認による見直しをすること。

情報システムセキュリティ責任者は、情報システムの情報セキュリティの確保が困難な事由が発生した場合には、当該情報システムが他の情報システムと共有している通信回線について、共有先の他の情報システムを保護するため、当該通信回線とは別に独立した閉鎖的な通信回線に構成を変更すること。

情報システムセキュリティ責任者は、通信回線を経由した情報セキュリティインシデントの影響範囲を限定的にするため、通信回線の構成、当該通信回線に接続する情報システムにて取り扱う情報の格付及び取扱制限、拠点等の地理的事情に応じて、以下を例とする通信経路の分離を行うこと。¥na) 外部等との通信を行うサーバ装置及び通信回線装置のセグメントをDMZとして構築し、内部のセグメントと通信経路を分離する。¥nb) 通信が必要な単位でセグメントを分割し、セグメント間の通信を必要最小限とするアクセス制御を行う。¥nc) 他の情報システムから独立した専用の通信回線を構築する。

情報システムセキュリティ責任者は、通信経路における盗聴及び情報の改ざん等の脅威への対策として、通信内容の秘匿性を確保するための機能を設けること。通信回線の秘匿性確保の方法として、TLS、IPsec等による暗号化を行うこと。また、その際に使用する暗号アルゴリズム及び鍵長については、「電子政府推奨暗号リスト」を参照し決定すること。

情報システムセキュリティ責任者は、機関等内通信回線への接続を許可された情報システムであることを確認し、無許可の情報システムの接続を拒否するための機能として、以下を例とする対策を講ずること。¥na) 情報システムのMACアドレス等の端末を一意に識別できる情報により接続機器を識別する。¥nb) クライアント証明書により接続機器の認証を行う。

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムが接続される通信回線を構築する場合は、以下を例とする対策を講ずること。¥na) 通信回線の性能低下や異常の有無を確認するため、通信回線の利用率、接続率等の運用状態をb) 定常的に確認、分析する機能を設ける。¥nc) 通信回線及び通信回線装置を冗長構成にする。¥nd) 端末等が情報システムと通信可能な代替手段を整備する。

情報システムセキュリティ責任者は、機関等内通信回線に、インターネット回線や公衆通信回線等の機関等外通信回線を接続する場合には、外部からの不正アクセスによる被害を防止するため、以下を例とする対策を講ずること。¥na) ファイアウォール、WAF、プロキシやリバースプロキシ、次世代ファイアウォール等により通信制御を行う。¥nb) 通信回線装置による特定の通信プロトコルの利用を制限する。¥nc) IDS/IPSにより不正アクセスを検知及び遮断する。¥nd) 不審なメールの受信や不審なウェブサイトへのアクセスを遮断する。¥ne) サンドボックス型の標的型攻撃対策をする。

インターネット回線等の機関等外通信回線を用いたクラウドサービスへのアクセスがある場合、クラウドサービスへのアクセスを可視化し、適切な利用を把握するための対策を検討すること。

情報システムセキュリティ責任者は、機関等内通信回線と機関等外通信回線との間及び機関等内通信回線内の不正な通信の有無を監視するため、以下を例とする監視を行うこと。¥na) 機関等外と通信回線で接続している箇所における外部からの不正アクセスの監視¥nb) 不正プログラム感染や踏み台に利用されること等による機関等外への不正な通信の監視¥nc) 不正プログラム等の感染による拡大防止のため、機関等内通信回線の機器等における不審な通信の監視

情報システムセキュリティ責任者は、特定した監視対象について、監視方法及び監視記録の保存期間を定め、監視記録を保存し、適切に保護、管理すること。

情報システムセキュリティ責任者は、機関等外通信回線からの保守又は診断のための機関等内通信回線に接続された機器等に対して行われるリモートメンテナンスのセキュリティ確保のために、以下を全て含む対策を講ずること。¥na) リモートメンテナンスを行う主体の認証において多要素主体認証を用いる¥nb) リモートメンテナンスを行う端末等を制限するアクセス制御¥nc) 主体認証によるアクセス制御¥nd) 通信内容の暗号化による秘匿性の確保¥ne) ファイアウォール等の通信制御のための機器に例外的な設定を行う場合は、その設定により脆弱性が生じないようにする。

情報システムセキュリティ責任者は、機関等外通信回線から保守又は診断のためのリモートメンテナンスに関する以下を全て含む事項について、定期的な確認による見直しを行うこと。¥na) リモートからのアクセスが必要な主体¥nb) リモートメンテナンスを行う端末¥nc) ファイアウォール等の通信制御のための機器に例外的な設定を行った場合の設定

情報システムセキュリティ責任者は、物理的な通信回線装置を設置する場合、第三者による破壊や不正な操作等が行われないようにすること。

情報システムセキュリティ責任者は、通信回線装置が動作するために必要なソフトウェアに関する事項を含む実施手順を定めること。

情報システムセキュリティ責任者は、情報システムのセキュリティ要件として策定した情報システムのネットワーク構成に関する要件内容に従い、通信回線装置に対して適切なセキュリティ対策を実施すること。

情報システムセキュリティ責任者は、通信回線装置において利用するソフトウェアに関連する公開された脆弱性について対策を実施すること。

情報システムセキュリティ責任者は、通信回線装置の運用・保守に関わる作業等により通信回線装置の設定変更等を実施する場合は、情報セキュリティインシデント発生時の調査対応のための作業記録を取得し保管すること。

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムを構成する通信回線装置については、運用状態を復元するために必要な設定情報等のバックアップを取得し保管すること。

情報システムセキュリティ責任者は、通信回線装置が動作するために必要なソフトウェアの状態等を調査し、認識した脆弱性等について対策を講ずること。

情報システムセキュリティ責任者は、通信回線装置の運用を終了する場合には、当該通信回線を構成する通信回線装置が運用終了後に再利用された時又は廃棄された後に、運用中に保存していた情報が漏えいすることを防止するため、当該通信回線装置の電磁的記録媒体に記録されている全ての情報を抹消するなど適切な措置を講ずること。

情報システムセキュリティ責任者は、第三者による通信回線及び物理的な通信回線装置の破壊、不正操作等への対策として、以下を例とする措置を講ずること。¥na) 要管理対策区域に設置する。¥nb) 物理的な通信回線装置を施錠可能なラック等に設置する。¥nc) 機関等の施設内に敷設した通信ケーブルを物理的に保護する。¥nd) 物理的な通信回線装置の操作ログを取得する。

情報システムセキュリティ責任者は、通信回線装置が動作するために必要なソフトウェアを定め、ソフトウェアを変更する際の許可申請手順を整備すること。ただし、ソフトウェアを変更することが困難な通信回線装置の場合は、この限りでない。

情報システムセキュリティ責任者は、通信回線装置が動作するために必要なソフトウェアの状態を定期的に調査（脆弱性の確認を含む）し、許可されていないソフトウェアがインストールされているなど、不適切な状態にある通信回線装置を認識した場合には、改善を図ること。

情報システムセキュリティ責任者は、無線 LAN 技術を利用して機関等内通信回線を構築する場合は、通信回線の構築時共通の対策に加えて、通信内容の秘匿性を確保するために通信路の暗号化を行った上で、その他の情報セキュリティ確保のために必要な措置を講ずること。

情報システムセキュリティ責任者は、無線 LAN 技術を利用して機関等内通信回線を構築する場合は、通信回線の構築時共通の対策に加えて、情報システムの分類に基づき、以下の対策を講ずること。¥n【基本セキュリティ対策】以下を全て含む対策を講ずること。¥na)無線 LAN 通信の暗号化¥nb)無線 LAN 回線利用申請手続の整備¥nc)無線 LAN 機器の管理手順の整備¥nd)来訪者等に提供する無線 LAN によるインターネット接続回線と業務で使用する機関等 LAN の分離¥n【追加セキュリティ対策】基本セキュリティ対策の実施に加えて、以下を例とする対策を講ずること。¥ne)IEEE 802.1X による無線 LAN へのアクセス主体の認証

情報システムセキュリティ責任者は、IPv6 技術を利用する通信を行う情報システムを構築する場合は、製品として調達する機器等について、IPv6 Ready LogoProgram に基づく Phase-2 準拠製品を、可能な場合には選択すること。

情報システムセキュリティ責任者は、IPv6 通信の特性等を踏まえ、IPv6 通信を想定して構築する情報システムにおいて、IPv6 通信による情報セキュリティ上の脅威又は脆弱性に対する検討を行い、必要な措置を講ずること。

情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置を、IPv6通信を想定していない通信回線に接続する場合には、自動トンネリング機能で想定外の IPv6 通信パケットが到達する脅威等、当該通信回線から受ける不正な IPv6 通信による情報セキュリティ上の脅威を防止するため、IPv6 通信を抑止するなどの措置を講ずること。

情報システムセキュリティ責任者は、以下を全て含む IPv6 通信による情報セキュリティ上の脅威又は脆弱性に対する検討を行い、必要な措置を講ずること¥na)グローバル IP アドレスによる直接の到達性における脅威¥nb)IPv6 通信環境の設定不備等に起因する不正アクセスの脅威¥nc)IPv4 通信と IPv6 通信を情報システムにおいて共存させる際の処理考慮漏れに起因する脆弱性の発生¥nd)アプリケーションにおける IPv6 アドレスの取扱い考慮漏れに起因する脆弱性の発生

情報システムセキュリティ責任者は、情報セキュリティの観点から情報システムの基盤を管理又は制御するソフトウェアを導入する端末、サーバ装置、通信回線装置等及びソフトウェア自体を保護するための措置を講ずること。

情報システムセキュリティ責任者は、利用するソフトウェアの特性を踏まえ、以下の全ての実施手順を整備すること。

情報システムセキュリティ責任者は、情報システムの基盤を管理又は制御するソフトウェアを運用・保守する場合は、以下の全てのセキュリティ対策を実施すること。

情報システムセキュリティ責任者は、情報システムの基盤を管理又は制御するソフトウェアのセキュリティを維持するため、権限設定やアクセス制御、セキュリティ設定が適切であるか定期的な確認をすること。

情報システムセキュリティ責任者は、情報システムの基盤を管理又は制御するソフトウェアにおいて、脅威や情報セキュリティインシデントを迅速に検知し、対応するため、以下の全ての対策を実施すること。¥na) 情報システムの基盤を管理又は制御するソフトウェアの情報セキュリティ水準の維持に関する手順に基づく教育の実施¥nb) 情報セキュリティインシデントを認知した際の対処手順に基づく訓練

情報システムセキュリティ責任者は、情報システムや情報へのアクセス主体を特定し、それが正当な主体であることを検証する必要がある場合、主体の識別及び主体認証を行う機能を設けること。

情報システムセキュリティ責任者は、国民・企業と機関等との間の申請、届出等のオンライン手続を提供する情報システムを構築する場合は、オンライン手続におけるリスクを評価した上で、主体認証に係る要件を策定すること。

情報システムセキュリティ責任者は、主体認証を行う情報システムにおいて、主体認証情報の漏えい等による不正行為を防止するための措置及び不正な主体認証の試行に対抗するための措置を講ずること。

情報システムセキュリティ責任者は、情報システムにアクセスする全ての主体に対して、識別コード及び主体認証情報を適切に付与し、管理するための措置を講ずること。

情報システムセキュリティ責任者は、主体が情報システムを利用する必要がなくなった場合は、当該主体の識別コード及び主体認証情報の不正な利用を防止するための措置を速やかに講ずること。

情報システムセキュリティ責任者は、利用者が正当であることを検証するための主体認証機能を設けるに当たっては、以下を例とする主体認証方式を決定し、導入すること。¥na) 知識（パスワード等、利用者本人のみが知り得る情報）による認証¥nb) 所有（電子証明書を格納するICカード、ワンタイムパスワード生成器、利用者本人のみが所有する機器等）による認証¥nc) 生体（指紋や静脈等、本人の生体的な特徴）による認証

情報システムセキュリティ責任者は、機関等内通信回線へリモートアクセスを必要とする主体やインターネット等から直接アクセスが可能なクラウドサービス等の管理者権限を有する主体など厳格な主体認証が必要な場合、認証の強度として２つ以上の主体認証方式を組み合わせる多要素主体認証方式等の強固な認証技術を用いること。

情報システムセキュリティ責任者は、主体認証情報としてパスワードを使用し、主体認証情報を付与された主体自らがパスワードを設定することを可能とする場合には、辞書攻撃等によるパスワード解析への耐性を考慮し、強固なパスワードに必要な十分な桁数を備えた第三者に容易に推測できないパスフレーズ等を使用することを利用者に守らせる機能を設けること。

情報システムセキュリティ責任者は、主体認証を行う情報システムにおいて、主体認証情報の漏えい等による不正なアクセスを防止するため、以下を全て含む措置を講ずること。¥na) 原則として、機器等において初期値として設定されている識別コードを使用しない。¥nb) 不要な識別コードを無効にする。

情報システムセキュリティ責任者は、主体認証を行う情報システムにおいて、利用者に主体認証情報の定期的な変更を求める場合には、利用者に対して定期的な変更を促す機能のほか、以下を例とする機能を設けること。¥na) 利用者が定期的に変更しているか否かを確認する機能¥nb) 利用者が定期的に変更しなければ、情報システムの利用を継続させない機能¥nc) 利用者が主体認証情報を変更する際に、以前に設定した主体認証情報の再設定を防止する機能

情報システムセキュリティ責任者は、主体認証を行う情報システムにおいて、主体認証情報が第三者に対して明らかにならないよう、以下を全て含む方法を用いて適切に管理すること。¥na) 主体認証情報を送信又は保存する場合には、その内容を暗号化する。¥nb) 主体認証情報に対するアクセス制限を設ける。¥nc) 主体認証情報に対するアクセスに関するログを保存し、アクセスした主体を確認する。

情報システムセキュリティ責任者は、主体認証を行う情報システムにおいて、主体認証情報を他の主体に不正に利用され、又は利用されるおそれを認識した場合の対策として、以下を例とする機能を設けること。¥na) 当該主体認証情報及び対応する識別コードの利用を停止する機能¥nb) 主体認証情報の再設定を利用者に要求する機能

情報システムセキュリティ責任者は、情報システムを利用する許可を得た主体に対してのみ、識別コード及び主体認証情報を付与（発行、更新及び変更を含む。以下遵守事項7.1.1(2)(a)において同じ。）すること。

情報システムセキュリティ責任者は、識別コードの付与に当たっては、以下を例とする措置を講ずること。¥na) 単一の情報システムにおいて、ある主体に付与した識別コード（共用識別コードを除く。）を別の主体に対して付与することの禁止¥nb) 主体への識別コードの付与に関する記録を消去する場合の情報セキュリティ責任者からの事前の許可

情報システムセキュリティ責任者は、主体以外の者が識別コード又は主体認証情報を設定する場合、主体以外の者が設定する主体認証情報は強固なパスワードに必要な十分な桁数を備えた第三者に容易に推測できないパスフレーズ等を設定し、主体へ安全な方法で主体認証情報を配布するよう、措置を講ずること。

情報システムセキュリティ責任者は、識別コード及び知識による主体認証情報を付与された主体に対し、主体以外の者が設定した主体認証情報（必要に応じて、初期設定の識別コードも）を速やかに変更するよう、促すこと。なお、主体認証情報の変更を確認できる機能がある場合は、変更日時を確認し変更がなされない（使用していない）識別コードについては無効にするなどの措置を講ずること。

情報システムセキュリティ責任者は、知識による主体認証方式を用いる場合には、他の情報システムで利用している主体認証情報を設定しないよう主体に注意を促すこと。

情報システムセキュリティ責任者は、情報システムを利用する主体ごとに識別コードを個別に付与すること。ただし、情報システムセキュリティ責任者の判断の下、やむを得ず共用識別コードを付与する必要がある場合には、利用者を特定できる仕組みを設けた上で、共用識別コードの取扱いに関する実施手順を整備し、その実施手順に従って利用者に付与すること。

情報システムセキュリティ責任者は、主体認証情報の不正な利用を防止するために、主体が情報システムを利用する必要がなくなった場合には、以下を例とする措置を講ずること。¥na) 当該主体の識別コードを無効にする。¥nb) 当該主体に交付した主体認証情報格納装置を返還させる。¥nc) 無効化した識別コードを他の主体に新たに発行することを禁止する。

情報システムセキュリティ責任者は、情報システムの特性、情報システムが取り扱う情報の格付及び取扱制限等に従い、権限を有する者のみがアクセス制御の設定等を行うことができる機能を設けること。

情報システムセキュリティ責任者は、情報システム及び情報へのアクセスを許可する主体が確実に制限されるように、アクセス制御機能を適切に運用すること。

情報システムセキュリティ責任者は、主体の属性、アクセス対象の属性に基づくアクセス制御の要件を定めること。また、情報システムの分類に基づき、以下の対策を実施すること。¥n【基本セキュリティ対策】以下を例とするアクセス制御機能の要件を定めること。¥na) 利用時間や利用時間帯によるアクセス制御¥nb) 同一主体による複数アクセスの制限¥nc) IPアドレスによる端末の制限¥nd)ネットワークセグメントの分割によるアクセス制御¥ne)ファイルに記録された情報へのアクセスを制御するサーバにおいて主体認証を受けたユーザのみが、暗号化されたファイルに記録された情報に対し、与えられた権限の範囲でアクセス可能となる制御¥n【追加セキュリティ対策】基本セキュリティ対策の実施に加えて、以下を例とするアクセス制御機能を用いることを検討すること。¥nf) 認証・認可の統合管理基盤を用いたアクセス制御¥ng) アクセスの要求ごとに、主体等の状況を継続的に認証し認可する仕組みを実現する機能の一部である動的なアクセス制御

情報システムセキュリティ責任者は、主体の属性、アクセス対象の属性に基づくアクセス制御の要件の定期的な確認による見直しをすること。

情報システムセキュリティ責任者は、主体から対象に対するアクセスの権限を必要最小限の範囲で適切に設定するよう、措置を講ずること。

情報システムセキュリティ責任者は、管理者権限の特権を持つ主体の識別コード及び主体認証情報が、悪意ある第三者等によって窃取された際の被害を最小化するための措置及び、内部からの不正操作や誤操作を防止するための措置を講ずること。

情報システムセキュリティ責任者は、主体から対象に対する不要なアクセス権限が付与されていないか定期的に確認すること。

情報システムセキュリティ責任者は、初期値として利用可能な管理者権限を有する識別コードには、管理者権限を付与しない又は無効化にすること。

情報システムセキュリティ責任者は、主体に対して管理者権限を付与する場合、主体の識別コード及び主体認証情報が、第三者等によって窃取された際の被害を最小化するため、以下を例とする措置を講ずること。¥na) 業務上必要な場合に限定する¥nb) 必要最小限の権限のみ付与する¥nc) 管理者権限を行使できる端末をシステム管理者等の専用の端末とする

情報システムセキュリティ責任者は、管理者権限を有する識別コードの利用は権限を必要とする業務に限定し、一般の業務として使用させないこと。

情報システムセキュリティ責任者は、情報システムにおいて、情報システムが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために必要なログを取得すること。

情報システムセキュリティ責任者は、情報システムにおいて、その特性に応じてログを取得する目的を設定した上で、ログを取得する対象の機器等、ログとして取得する情報項目、ログの保存期間、要保護情報の観点でのログ情報の取扱方法等について定め、適切にログを管理すること。

情報システムセキュリティ責任者は、情報システムにおいて、取得したログを定期的に点検又は分析する機能を設け、悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施すること。

情報システムセキュリティ責任者は、情報システムに含まれる構成要素（サーバ装置・端末等）のうち、時刻設定が可能なものについては、情報システムにおいて基準となる時刻に、当該構成要素の時刻を同期させ、ログに時刻情報も記録されるよう、設定すること。

情報システムセキュリティ責任者は、所管する情報システムの特性に応じてログを取得する目的を設定し、以下を例とする、ログとして取得する情報項目を定め、管理すること。¥na) 事象の主体（人物又は機器等）を示す識別コード¥nb) 識別コードの発行等の管理記録¥nc) 情報システムの操作記録¥nd) 事象の種類¥ne) 事象の対象¥nf) 正確な日付及び時刻¥ng) 試みられたアクセスに関わる情報¥nh) 電子メールのヘッダ情報及び送信内容¥ni) 通信パケットの内容¥nj) 操作する者、監視する者、保守する者等への通知の内容

情報システムセキュリティ責任者は、取得したログに対する、不正な消去、改ざん及びアクセスを防止するため、適切なアクセス制御を含む、ログ情報の保全方法を定めること。

情報システムセキュリティ責任者は、取得したログを効率的かつ確実に点検及び分析し、その結果を報告するために、情報システムの分類に応じて以下の対策を実施すること。¥n【基本セキュリティ対策】以下を例とする当該作業を支援する機能を導入すること。¥na) ログ情報をソフトウェア等により集計し、時系列で表示し、報告書を生成するなどの作業の自動化機能¥n【追加セキュリティ対策】基本セキュリティ対策の実施に加えて、以下を例とする当該作業を支援する機能の導入を検討すること。¥nb) リアルタイムでのログの調査・分析を行うための機能

情報システムセキュリティ責任者は、情報システムで取り扱う情報の漏えいや改ざん等を防ぐため、以下の全ての措置を講ずること。

情報システムセキュリティ責任者は、暗号技術検討会及び関連委員会（CRYPTREC）により安全性及び実装性能が確認された「電子政府推奨暗号リスト」に基づき、情報システムで使用する暗号及び電子署名のアルゴリズム及び鍵長並びにそれらを利用した安全なプロトコルを定めること。また、その運用方法について実施手順を定めること。

情報システムセキュリティ責任者は、機関等における暗号化及び電子署名のアルゴリズム、鍵長及び運用方法に、電子署名を行うに当たり、電子署名の目的に合致し、かつ適用可能な公的な公開鍵基盤が存在する場合はそれを使用するなど、目的に応じた適切な公開鍵基盤を使用するように定めること。

情報システムセキュリティ責任者は、暗号及び電子署名を適切な状況で利用するため、以下の全ての措置を講ずること。

情報システムセキュリティ責任者は、暗号化又は電子署名を行う情報システムにおいて、以下を例とする措置を講ずること。¥na) 情報システムのコンポーネント（部品）として、暗号モジュールを交換することが可能な構成とする。¥nb) 複数のアルゴリズム、鍵長及びそれらに基づいた安全なプロトコルを選択することが可能な構成とする。¥nc) 選択したアルゴリズム及び鍵長がソフトウェア及びハードウェアへ適切に実装されており、かつ、暗号化された情報の復号又は電子署名の付与に用いる鍵及びそれに対応する主体認証情報等が安全に保護されることを確実にするため、「暗号モジュール試験及び認証制度」に基づく認証を取得している製品を選択する。¥nd) 暗号化された情報の復号又は電子署名の付与に用いる鍵については、耐タンパ性を有する暗号モジュールへ格納する。¥ne) 機微な情報のやり取りを行う情報システムを新規に構築する場合は、安全性に実績のあるプロトコルを選択し、長期的な秘匿性を保証する観点を考慮する。

情報システムセキュリティ責任者は、職員等が暗号や電子署名を利用する場合、あるいは情報システムの新規構築や更新に伴い、暗号化又は電子署名を導入する場合において、情報システムで使用するアルゴリズム及び鍵長並びにそれらを利用した安全なプロトコルを、「電子政府推奨暗号リスト」に基づき定めること。

情報システムセキュリティ責任者は、基本対策事項7.1.5(1)-2で定めた事項の運用方法について、以下を全て含めて実施手順として定めること。¥na) 暗号化及び電子署名に使用するアルゴリズム又は鍵長が危殆化した場合又はそれらを利用した安全なプロトコルに脆弱性が確認された場合を想定した緊急対応手順を定めること。¥nb) 暗号化された情報の復号又は電子署名の付与に用いる鍵について、管理手順を定めること。

情報システムセキュリティ責任者は、署名検証者が、電子署名の正当性を容易に検証するための情報を入手できるよう、以下を例とする方法により、当該情報の提供を可能とすること。¥na) 信頼できる機関による電子証明書の提供¥nb) 機関等の窓口での電子証明書の提供

情報システムセキュリティ責任者は、情報システム運用時の監視に係る運用管理機能要件を策定し、監視機能を実装すること。

情報システムセキュリティ責任者は、情報システムの運用において、情報システムに実装された監視機能を適切に運用すること。

情報システムセキュリティ責任者は、新たな脅威の出現、運用の状況等を踏まえ、情報システムにおける監視の対象や手法を定期的に見直すこと。

情報システムセキュリティ責任者は、監視のために必要な機能について、以下を例とする機能を調達仕様書等に明記すること。¥na) 機関等外と通信回線で接続している箇所における外部からの不正アクセスやサービス不能攻撃を監視する機能¥nb) 不正プログラム感染や踏み台に利用されること等による機関等外への不正な通信を監視する機能¥nc) 端末等の組織内ネットワークの末端に位置する機器及びサーバ装置において不正プログラムの挙動を監視する機能¥nd) 機関等内通信回線への端末の接続を監視する機能¥ne) 端末への外部電磁的記録媒体の挿入を監視する機能¥nf) サーバ装置等の機器の動作を監視する機能¥ng) ネットワークセグメント間の通信を監視する機能

情報システムセキュリティ責任者は、暗号化された通信データを監視のために復号することの要否を判断し、要すると判断した場合は、当該通信データを復号する機能及び必要な場合はこれを再暗号化する機能を調達仕様書等に明記すること。

情報システムセキュリティ責任者は、情報システムのセキュリティ監視について、以下の内容を全て含む監視手順を定め、適切に監視運用すること。¥na) 監視するイベントの種類や重要度¥nb) 監視体制¥nc) 監視状況の報告手順や重要度に応じた報告手段¥nd) 情報セキュリティインシデントの可能性を認知した場合の報告手順¥ne) 監視運用における情報の取扱い（機密性の確保）

【追加セキュリティ対策】情報システムセキュリティ責任者は、情報システム運用時の監視において、SOCやNOC等のセキュリティ監視を専門の外部事業者に業務委託することを検討すること。

情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置の設置又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開された脆弱性についての対策を実施すること。

情報システムセキュリティ責任者は、公開された脆弱性の情報がない段階において、サーバ装置、端末及び通信回線装置上でとり得る対策がある場合は、当該対策を実施すること。

情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置上で利用するソフトウェアにおける脆弱性対策の状況を定期的及び適時に確認すること。

情報システムセキュリティ責任者は、脆弱性対策の状況の定期的な確認により、脆弱性対策が講じられていない状態が確認された場合並びにサーバ装置、端末及び通信回線装置上で利用するソフトウェアに関連する脆弱性情報を入手した場合には、セキュリティパッチの適用又はソフトウェアのバージョンアップ等による情報システムへの影響を考慮した上で、ソフトウェアに関する脆弱性対策計画を策定し、措置を講ずること。

情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置の設置又は運用開開始時に以下の対策を実施すること。¥n【基本セキュリティ対策】インターネット向けにサービスを公開しているサーバ装置や直接インターネットから到達可能なサーバ装置、端末及び通信回線装置に対し脆弱性診断を実施すること。また、その他のサーバ装置、端末及び通信回線装置については、情報システムの分類や保有する情報、システム特性等を踏まえ、脆弱性診断の実施を検討すること。¥n【追加セキュリティ対策】サーバ装置、端末及び通信回線装置に対し脆弱性診断を実施すること。また、脆弱性診断の実施に当たっては、ペネトレーションテスト、TLPT（脅威ベースのペネトレーションテスト）等の高度な脆弱性診断の実施を検討すること。

情報システムセキュリティ責任者は、対象となるソフトウェアの脆弱性に関して、以下を全て含む情報を適宜入手すること。¥na) 脆弱性の原因¥nb) 影響範囲¥nc) 対策方法¥nd) 脆弱性を悪用する不正プログラムの流通状況

情報システムセキュリティ責任者は、利用するソフトウェアはサポート期間を考慮して選定し、サポートが受けられないソフトウェアは利用しないこと。

情報システムセキュリティ責任者は、構成要素ごとにソフトウェアのバージョン等を把握し、当該ソフトウェアの脆弱性の有無を確認すること。

【追加セキュリティ対策】情報システムセキュリティ責任者は、情報システムを構成する機器へのセキュリティパッチの適時の適用を前提とした運用設計を行うこと。

【追加セキュリティ対策】情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置の運用時に、定期的な脆弱性診断（ペネトレーションテスト、TLPT等の高度な脆弱性診断を含む）の実施を検討すること

情報システムセキュリティ責任者は、脆弱性対策の状況を確認する間隔を、可能な範囲で短くすること。

情報システムセキュリティ責任者は、ネットワーク境界にある通信回線装置や認証サーバ、要機密情報を保有するサーバ等のサイバーセキュリティリスクが高い機器等に対しては、原則、セキュリティパッチの適用又はソフトウェアのバージョンアップ等の措置を講ずること。リスク評価結果を踏まえ措置を講じないと判断した場合には、リスク評価結果の記録を残すこと。

情報システムセキュリティ責任者は、ソフトウェアに関する脆弱性対策計画を策定する場合には、以下の全ての事項について判断すること。¥na) 対策の必要性¥nb) 対策方法。この際、自動でソフトウェアを更新する機能を有するIT資産管理ソフトウェアを導入するなどにより、効率的に脆弱性対策を実施する手法をあらかじめ決定すること¥nc)対策方法が存在しないゼロデイと呼ばれる状態の場合又は対策が完了するまでの期間に対する一c) 時的な回避方法¥nd) 対策方法又は回避方法が情報システムに与える影響¥ne) 対策の実施予定時期¥nf) 対策試験の必要性¥ng) 対策試験の方法¥nh) 対策試験の実施予定時期

情報システムセキュリティ責任者は、脆弱性対策が計画どおり実施されていることについて、実施予定時期の経過後、遅滞なく確認すること。

情報システムセキュリティ責任者は、脆弱性対策を実施する場合には、少なくとも以下の全ての事項を記録し、これらの事項のほかに必要事項があれば適宜記録すること。¥na) 実施日¥nb) 実施内容¥nc) 実施者

情報システムセキュリティ責任者は、セキュリティパッチ、バージョンアップソフトウェア等の脆弱性を解決するために利用されるファイル（以下「対策用ファイル」という。）は、信頼できる方法で入手し、完全性を検証すること。

情報システムセキュリティ責任者は、サーバ装置及び端末に不正プログラム対策ソフトウェア等を導入すること。

情報システムセキュリティ責任者は、想定される不正プログラムの感染経路の全てにおいて、不正プログラム対策ソフトウェア等により対策を講ずること。

情報システムセキュリティ責任者は、不正プログラム対策の状況を適宜把握し、必要な対処を行うこと。

情報システムセキュリティ責任者は、不正プログラム対策ソフトウェア等の導入に当たり、既知及び未知の不正プログラムの検知及びその実行の防止の機能を有するソフトウェアを導入すること。

情報システムセキュリティ責任者は、不正プログラム対策ソフトウェア等が常に最新の状態となるように構成すること。

情報システムセキュリティ責任者は、不正プログラム対策ソフトウェア等に定義ファイルを用いる場合、その定義ファイルが常に最新の状態となるように構成すること。

情報システムセキュリティ責任者は、不正プログラム対策ソフトウェア等の設定変更権限については、システム管理者が一括管理し、システム利用者に当該権限を付与しないこと。

情報システムセキュリティ責任者は、不正プログラム対策ソフトウェア等を定期的に全てのファイルを対象としたスキャンを実施するように構成すること。

情報システムセキュリティ責任者は、想定される全ての感染経路を特定し、不正プログラム対策ソフトウェア等の導入による感染の防止、端末の接続制限及び機能の無効化等による感染拡大の防止等の必要な対策を行うこと。

【追加セキュリティ対策】情報システムセキュリティ責任者は、EDRソフトウェア等を利用し、端末やサーバ装置（エンドポイント）の活動を監視し、感染したおそれのある装置を早期にネットワークから切り離す機能の導入を検討すること。

情報システムセキュリティ責任者は、不正プログラム対策の実施を徹底するため、以下を例とする不正プログラム対策に関する状況を把握し、必要な対処を行うこと。¥na) 不正プログラム対策ソフトウェア等の導入状況¥nb) 不正プログラム対策ソフトウェア等の定義ファイルの更新状況

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システム（インターネットからアクセスを受ける情報システムに限る。以下本条において同じ。）については、サービス提供に必要なサーバ装置、端末及び通信回線装置が装備している機能又は民間事業者等が提供する手段を用いてサービス不能攻撃への対策を行うこと。

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムについては、サービス不能攻撃を受けた場合の影響を最小とする手段を備えた情報システムを構築すること。

情報システムセキュリティ責任者は、要安定情報を取り扱う情報システムについては、サービス不能攻撃を受けるサーバ装置、端末、通信回線装置又は通信回線から監視対象を特定し、監視すること。

情報システムセキュリティ責任者は、サーバ装置、端末及び通信回線装置について、サービス不能攻撃に対抗するための以下の機能を設けている場合は、これらを有効にしてサービス不能攻撃に対処すること。¥na) パケットフィルタリング機能¥nb) 3-way handshake時のタイムアウトの短縮¥nc) 各種Flood攻撃への防御¥nd) アプリケーションゲートウェイ機能

情報システムセキュリティ責任者は、以下を例とするサービス不能攻撃への対策を実施すること。¥n【基本セキュリティ対策】以下を例とする対策を実施すること。¥nサービス不能攻撃の影響を排除又は低減するための専用の対策装置やサービスの導入¥nサーバ装置、端末及び通信回線装置及び通信回線の冗長化¥n【追加セキュリティ対策】基本セキュリティ対策に加え、以下を例とする対策を検討すること。¥nインターネットに接続している通信回線の提供元となる事業者やクラウドサービス提供者が別途提供する、サービス不能攻撃に係る通信の遮断等の対策¥nコンテンツデリバリーネットワーク（CDN）サービスの利用

情報システムセキュリティ責任者は、サービス不能攻撃を受けた場合を想定し、直ちに情報システムを外部ネットワークから遮断する、又は通信回線の通信量を制限するなどの手段を有する情報システムを構築すること。

情報システムセキュリティ責任者は、サービス不能攻撃を受け、サーバ装置、通信回線装置又は通信回線が過負荷状態に陥り利用できない場合を想定し、攻撃への対処を効率的に実施できる手段の確保について検討すること。

情報システムセキュリティ責任者は、特定した監視対象について、監視方針及び監視方法を定めること。

情報システムセキュリティ責任者は、監視対象の監視記録の保存期間を定め、監視記録を保存すること。

情報システムセキュリティ責任者は、監視対象の平常時の負荷の状況を把握し、監視においてこれを著しく逸脱したと判断する目安を定めること。

情報システムセキュリティ責任者は、監視において、前項で定めた目安を超える負荷の状況が確認された場合は、サービス不能攻撃の可能性が排除される場合を除き、速やかに遵守事項2.2.4(1)(a)で定める報告手順に基づきCSIRTに報告すること。

【追加セキュリティ対策】情報システムセキュリティ責任者は、脅威動向等の脅威情報を収集し、サービス不能攻撃を受ける可能性が予見される場合は、必要に応じて、CSIRT等の関係者に通知すること。

情報システムセキュリティ責任者は、情報システムにおいて、標的型攻撃による組織内部への侵入を低減する対策（入口対策）を講ずること。

情報システムセキュリティ責任者は、情報システムにおいて、内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策（内部対策及び出口対策）を講ずること。

情報システムセキュリティ責任者は、サーバ装置及び端末について、組織内部への侵入を低減するため、以下を例とする対策を行うこと。¥na) 不要なサービス機能やアプリケーションを削除又は停止する。¥nb) 不審なプログラムが実行されないよう設定する。¥nc) パーソナルファイアウォール等を用いて、サーバ装置及び端末に入力される通信及び出力される通信を必要最小限に制限する。¥nd) サービスは原則「標準ユーザ」の権限で実行する。

情報システムセキュリティ責任者は、USBメモリ等の外部電磁的記録媒体を利用した、組織内部への侵入を低減するため、以下を例とする対策を行うこと。¥na) 出所不明の外部電磁的記録媒体を組織内ネットワーク上の端末に接続させない。接続する外部電磁的記録媒体を事前に特定しておく。¥nb) 外部電磁的記録媒体をサーバ装置及び端末に接続する際、不正プログラム対策ソフトウェアを用いて検査する。¥nc) サーバ装置及び端末について、自動再生（オートラン）機能や自動実行機能を無効化する。¥nd) サーバ装置及び端末について、使用を想定しないUSBポートを無効化する。¥ne) 組織内ネットワーク上の端末に対する外部電磁的記録媒体の接続を制御及び管理するための製品やサービスを導入する。

情報システムセキュリティ責任者は、情報窃取や破壊等の攻撃対象となる蓋然性が高いと想定される、認証サーバやファイルサーバ等の重要なサーバについて、以下を全て含む対策を行うこと。¥na) 重要サーバについては、組織内ネットワークを複数セグメントに区切った上で、重要サーバ類専用のセグメントに設置し、他のセグメントからのアクセスを必要最小限に限定する。インターネットに接続する必要がある場合は、必要最小限のプロトコルやポートのみに限定し、インターネットに接続する必要がない場合はインターネット分離を行う。¥nb) 認証サーバについては、利用者端末から管理者権限を狙う攻撃（辞書攻撃、ブルートフォース攻撃等）を受けることを想定した対策を講ずる。

情報システムセキュリティ責任者は、端末の管理者権限アカウントについて、以下を全て含む対策を行うこと。¥na) 不要な管理者権限アカウントを削除する。¥nb) 管理者権限アカウントのパスワードは、容易に推測できないものに設定する。

【追加セキュリティ対策】情報システムセキュリティ責任者は、以下を例とする内部対策及び出口対策を行うこと。¥na) プロキシサーバ等により、C&Cサーバ等への不正な通信を監視し、遮断する。¥nb) 情報システムの管理者が利用する情報システム管理用の専用端末を用意し、他のセグメントと分離した運用管理セグメントを構築し、当該セグメントにシステム管理用の専用端末を接続する。¥nc) 認証サーバに管理者権限でログインできる端末をシステム管理用の専用端末に制限する。¥nd) 一般利用者が利用する端末間でのファイル共有機能を停止する又は一般利用者が利用する端末間の直接通信を遮断する。

統括情報セキュリティ責任者は、複数の情報システム間で動的なアクセス制御を実装する場合は、複数の情報システム間で横断的な対策の企画・推進・運用に関する事務の責任者として、情報システムセキュリティ責任者を選任すること。

情報システムセキュリティ責任者は、動的なアクセス制御を導入する場合、動的アクセス制御の対象とする情報システムのリソースを識別し、動的なアクセス制御の導入方針を定めること。

情報システムセキュリティ責任者は、動的なアクセス制御の実装に当たり、リソースの信用情報の変化に応じて動的にアクセス制御を行うためのアクセス制御ポリシー（以下「アクセス制御ポリシー」という。）を作成すること。

情報システムセキュリティ責任者は、アクセス制御ポリシーに基づき、動的なアクセス制御を行うこと。

情報システムセキュリティ責任者は、動的なアクセス制御の対象とする情報システムの範囲や優先度を検討し、動的なアクセス制御の対象とする情報システムを特定すること。

情報システムセキュリティ責任者は、特定した情報システムの利用形態等を基に以下を例とする区分で情報システムのリソースを識別すること。¥na) ユーザアカウント¥nb) 機器¥nc) アプリケーション¥nd) データ

情報システムセキュリティ責任者は、識別したリソースを基にアクセスパターンを整理すること。

情報システムセキュリティ責任者は、整理したアクセスパターンに対するリスク評価を実施し、動的なアクセス制御を実装するアクセスパターンを特定すること。

情報システムセキュリティ責任者は、動的なアクセス制御を実現するための構成について検討すること。

情報システムセキュリティ責任者は、動的なアクセス制御の実装に当たり、動的なアクセス制御に活用する以下を例とするリソースの信用情報を整理すること。¥na) ユーザアカウント¥nb) 機器¥nc) アプリケーション¥nd) データ

情報システムセキュリティ責任者は、リソースの信用情報の変化に応じてアクセス制御ポリシーを作成すること。

情報システムセキュリティ責任者は、リソースの信用情報の変化を踏まえて、リソースの信用情報を収集する頻度・機会について定めること。

情報システムセキュリティ責任者は、リソースの認証・認可において、アクセス制御ポリシーに基づき、セッションが確立してない操作ごとにアクセス制御を行うこと。

情報システムセキュリティ責任者は、動的なアクセス制御の運用に際し、情報セキュリティに係る重大な変化等を踏まえ、アクセス制御ポリシーの見直しをすること。

情報システムセキュリティ責任者は、動的なアクセス制御の運用に際し、リソースの信用情報の収集により検出されたリスクへ対処を行うこと。

情報システムセキュリティ責任者は、動的なアクセス制御の運用に際し、アクセスパターンやアクセス先のリソースの変化があった場合は、変化が影響する箇所に対し再度リスク評価を行い、アクセス制御ポリシーの見直しをすること。

統括情報セキュリティ責任者は、機関等の情報システムの利用のうち、情報セキュリティに関する実施手順を整備すること。

統括情報セキュリティ責任者は、USBメモリ等の外部電磁的記録媒体を用いた情報の取扱いに関する実施手順を定めること。

統括情報セキュリティ責任者は、機密性３情報、要保全情報又は要安定情報が記録されたUSBメモリ等の外部電磁的記録媒体を要管理対策区域外に持ち出す際の許可手続を定めること。

情報システムセキュリティ責任者は、職員等による規定の遵守を支援する機能について情報セキュリティリスクと業務効率化の観点から支援する範囲を検討し、当該機能を持つ情報システムを構築すること。

職員等は、業務の遂行以外の目的で情報システムを利用しないこと。

職員等は、情報システムセキュリティ責任者が接続許可を与えた通信回線以外に機関等の情報システムを接続しないこと。

職員等は、機関等内通信回線に、情報システムセキュリティ責任者の接続許可を受けていない情報システムを接続しないこと。

職員等は、業務の遂行において、利用が認められていないソフトウェアを利用しないこと。また、当該ソフトウェアを職務上の必要により利用する場合は、情報システムセキュリティ責任者の承認を得ること。

職員等は、接続が許可されていない機器等を情報システムに接続しないこと。

職員等は、情報システムの設置場所から離れる場合等、第三者による不正操作のおそれがある場合は、情報システムを不正操作から保護するための措置を講ずること。

職員等は、機密性３情報、要保全情報又は要安定情報が記録されたUSBメモリ等の外部電磁的記録媒体を要管理対策区域外に持ち出す場合には、課室情報セキュリティ責任者の許可を得ること。

職員等は、業務の遂行において、利用承認を得ていないクラウドサービスを利用しないこと。

職員等は、機関等が支給する端末（要管理対策区域外で使用する場合に限る）及び機関等支給以外の端末を用いて要保護情報を取り扱う場合は、定められた利用手順に従うこと。

職員等は、次の各号に掲げる端末を用いて当該各号に定める情報を取り扱う場合は、課室情報セキュリティ責任者の許可を得ること。

職員等は、要管理対策区域外において機関等外通信回線に接続した端末（支給外端末を含む）を要管理対策区域で機関等内通信回線に接続する場合には、定められた措置を講ずること。

職員等は、要機密情報を含む電子メールを送受信する場合には、それぞれの機関等が運営し、又は外部委託した電子メールサーバにより提供される電子メールサービスを利用すること。

職員等は、機関等外の者と電子メールにより情報を送受信する場合は、政府ドメイン名を取得できない場合を除き、当該電子メールのドメイン名に政府ドメイン名を使用すること。

職員等は、不審な電子メールを受信した場合には、あらかじめ定められた手順に従い、対処すること。

職員等は、ウェブクライアントの設定を見直す必要がある場合は、情報セキュリティに影響を及ぼすおそれのある設定変更を行わないこと。

職員等は、ウェブクライアントが動作するサーバ装置又は端末にソフトウェアをダウンロードする場合には、電子署名により当該ソフトウェアの配布元を確認すること。

職員等は、閲覧しているウェブサイトに表示されるフォームに要機密情報を入力して送信する場合には、以下の全ての事項を確認すること。

職員等は、主体認証の際に自己に付与された識別コード以外の識別コードを用いて情報システムを利用しないこと。

職員等は、自己に付与された識別コードを適切に管理すること。

職員等は、管理者権限を持つ識別コードを付与された場合には、管理者としての業務遂行時に限定して、当該識別コードを利用すること。

職員等は、自己の主体認証情報の管理を徹底すること。

職員等は、情報を暗号化する場合及び情報に電子署名を付与する場合には、定められたアルゴリズム、鍵長及び方法に従うこと。

職員等は、暗号化された情報の復号又は電子署名の付与に用いる鍵について、定められた鍵の管理手順等に従い、これを適切に管理すること。

職員等は、暗号化された情報の復号に用いる鍵について、鍵のバックアップ手順に従い、そのバックアップを行うこと。

職員等は、情報システム（支給外端末を含む）が不正プログラムに感染したおそれがあることを認識した場合は、感染した情報システム（支給外端末を含む）の通信回線への接続を速やかに切断するなど、必要な措置を講ずること。

職員等は、定められた利用手順に従い、Web会議の参加者や取り扱う情報に応じた情報セキュリティ対策を実施すること。

職員等は、Web会議を主催する場合、会議に無関係の者が参加できないよう対策を講ずること。

職員等は、機関等外の者と情報の共有を行うことを目的とし、クラウドサービス上に要保護情報を保存する場合は、情報の共有を行う必要のある者のみがクラウドサービス上に保存した要保護情報にアクセスすることが可能となるための措置を講ずること。

職員等は、機関等外の者と情報の共有を行うことを目的とし、クラウドサービス上に要保護情報を保存する場合は、情報の共有が不要になった時点で、クラウドサービス上に保存した要保護情報を速やかに削除すること。

統括情報セキュリティ責任者は、機関等の情報システムの利用のうち、情報セキュリティに関する以下を例とする実施手順を定めること。¥na) 情報システムの基本的な利用のうち、情報セキュリティに関する手順¥nb) 端末（支給外端末を含む）の利用のうち、情報セキュリティに関する手順¥nc) 電子メール及びウェブの利用のうち、情報セキュリティに関する手順¥nd) 識別コードと主体認証情報の取扱手順¥ne) 暗号と電子署名の利用に関する手順¥nf) 不正プログラム感染防止の手順¥ng) アプリケーション・コンテンツの提供時に機関等外の情報セキュリティ水準の低下を招く行為の防止に関する手順¥nh) ドメイン名の使用に関する手順¥ni) Web会議サービス利用時の手順¥nj) クラウドサービスを利用した機関等外の者との情報の共有時の手順

統括情報セキュリティ責任者は、USBメモリ等の外部電磁的記録媒体を用いた情報の取扱いに関する実施手順として以下の事項を全て含めて定めること。¥na) 職員等は、国の行政機関、独立行政法人若しくは指定法人が支給する外部電磁的記録媒体、又は遵守事項8.1.1(b)に規定する実施手順において定められた外部電磁的記録媒体を用いた情報の取扱いの遵守を契約により機関等との間で取り決めた機関等外の組織から受け取った外部電磁的記録媒体を使用する。¥nb) 自組織以外の組織から受け取った外部電磁的記録媒体は、自組織と当該組織との間で情報を運搬する目的に限って使用することとし、当該外部電磁的記録媒体から情報を読み込む場合及びこれに情報を書き出す場合の安全確保のために必要な措置を講ずる。¥nc) 要機密情報が記録された外部電磁的記録媒体を要管理対策区域外に持ち出す場合は、外部電磁的記録媒体に格納する情報を暗号化する、又は主体認証機能や暗号化機能等を備えるセキュアな外部電磁的記録媒体を利用する。¥nd) 要機密情報は保存される必要がなくなった時点で速やかに削除する。¥ne) 外部電磁的記録媒体を使用する際には、事前に不正プログラム対策ソフトウェアによる検疫・駆除を行う。¥nf) 外部電磁的記録媒体の利用者が利用内容を貸出簿等に記録する。

統括情報セキュリティ責任者は、機密性３情報、要保全情報又は要安定情報が記録されたUSBメモリ等の外部電磁的記録媒体を要管理対策区域外に持ち出す際の許可手続として、以下を全て含む手続を規定し、職員等に遵守させること。¥na) 利用時の許可申請手続¥nb) 手続内容（利用者、利用期間、主たる利用場所、目的、記録する情報、機器名）¥nc) 利用期間満了時の手続¥nd) 許可権限者（課室情報セキュリティ責任者）による手続内容の記録

情報システムセキュリティ責任者は、機関等外のウェブサイトについて、職員等が閲覧できる範囲を制限する機能を情報システムに導入すること。具体的には、以下を例とする機能を導入すること。また、当該機能に係る設定や条件について定期的に見直すこと。¥na) ウェブサイトフィルタリング機能¥nb) 事業者が提供するウェブサイトフィルタリングサービスの利用

報システムセキュリティ責任者は、職員等が不審な電子メールを受信することによる被害をシステム的に抑止する機能を情報システムに導入すること。具体的には、以下を例とする機能を導入すること。また、当該機能に係る設定や条件について定期的に見直すこと。¥na) 受信メールに対するフィルタリング機能¥nb) 受信メールをテキスト形式で表示する機能¥nc) スクリプトを含む電子メールを受信した場合において、当該スクリプトが自動的に実行されることがない電子メールクライアントの導入¥nd) 受信メールに添付されている実行プログラム形式のファイルを削除等することで実行させない機能

職員等は、第三者による不正操作のおそれがある場合は、情報システムを不正操作から保護するために、以下を例とする措置を講ずること。¥na) スクリーンロックの設定¥nb) 利用後のログアウト徹底¥nc) 利用後に情報システムを鍵付き保管庫等に格納し施錠

職員等は、要管理対策区域外において機関等外通信回線に接続した機関等が支給する端末を要管理対策区域で機関等内通信回線に接続する場合には、定められた技術的な措置を講ずること。

職員等は、要管理対策区域外において機関等外通信回線に接続した機関等支給以外の端末を要管理対策区域で機関等内通信回線に接続する場合には、以下を全て含む措置を講ずること。¥na) 定められた安全管理措置を講じる。¥nb) 課室情報セキュリティ責任者の許可を得る。

職員等は、自己に付与された識別コードを適切に管理するため、以下を全て含む措置を講ずること。¥na) 知る必要のない者に知られるような状態で放置しない。¥nb) 他者が主体認証に用いるために付与及び貸与しない。¥nc) 識別コードを利用する必要がなくなった場合は、定められた手続に従い、識別コードの利用を停止する。

職員等は、知識による主体認証情報を用いる場合には、以下を全て含む管理を徹底すること。¥na) 自己の主体認証情報を他者に知られないように管理する。¥nb) 自己の主体認証情報を他者に教えない。¥nc) 主体認証情報を忘却しないように努める。¥nd) 主体認証情報を設定するに際しては、推測されないものにする。¥ne) 異なる識別コードに対して、共通の主体認証情報を用いない。¥nf) 異なる情報システムにおいて、識別コード及び主体認証情報についての共通の組合せを用いない。（シングルサインオンの場合を除く。）¥ng) 情報システムセキュリティ責任者から主体認証情報を定期的に変更するように指示されている場合は、その指示に従って定期的に変更する。

職員等は、所有による主体認証情報を用いる場合には、以下を全て含む管理を徹底すること。¥n主体認証情報格納装置を本人が意図せずに使われることのないように安全措置を講じて管理する。¥na) 主体認証情報格納装置を他者に付与及び貸与しない。¥nb) 主体認証情報格納装置を紛失しないように管理する。¥nc)紛失した場合には、定められた報告手続 に従い、直ちにその旨を報告する。¥nd) 主体認証情報格納装置を利用する必要がなくなった場合には、これを情報システムセキュリティ責任者に返還する。

職員等は、不正プログラム対策ソフトウェア等を活用し、不正プログラム感染を回避するための以下の全ての措置に努めること。¥na) 不正プログラム対策ソフトウェア等により不正プログラムとして検知された実行プログラム形式のファイルを実行しない。また、検知されたデータファイルをアプリケーション等で読み込まない。¥nb) 不正プログラム対策ソフトウェア等に係るアプリケーション及び不正プログラム定義ファイル等について、これを常に最新の状態に維持する。¥nc) 不正プログラム対策ソフトウェア等による不正プログラムの自動検査機能を有効にする。¥nd) 不正プログラム対策ソフトウェア等により定期的に全てのファイルに対して、不正プログラムの検査を実施する。

職員等は、外部からデータやソフトウェアをサーバ装置及び端末等に取り込む場合又は外部にデータやソフトウェアを提供する場合には、不正プログラム感染の有無を確認すること。

職員等は、不正プログラムに感染するリスクを低減する情報システム（支給外端末を含む）の利用方法として、以下のうち実施可能な措置を講ずること。¥na) 不審なウェブサイトを閲覧しない。¥nb) アプリケーションの利用において、マクロ等の自動実行機能を無効にする。¥nc) プログラム及びスクリプトの実行機能を無効にする。¥nd) 安全性が確実でないプログラムをダウンロードしたり実行したりしない。

職員等は、Web会議サービスの利用に当たり、以下を全て含む情報セキュリティ対策を実施すること。¥na) 原則として、機関等が支給する端末を利用すること。¥nb) 原則として、機関等が利用を許可したWeb会議サービスを利用すること。¥nc) 利用するWeb会議サービスのソフトウェアが、最新の状態であることを確認すること。¥nd) 要機密情報を取り扱う場合は、可能な限りエンドツーエンド（E2E）の暗号化を行うこと。¥ne) 要機密情報を取り扱う場合は、Web会議サービスの議事録作成機能、自動翻訳機能及び録画機能等、E2Eの暗号化を利用できなくなる機能を可能な限り使用しないこと。

職員等は、会議に無関係な者を会議に参加させないために、以下を例とする対策を行うこと。¥na) 会議室にアクセスするためのパスワード等をかける。¥nb) 会議の参加者に会議室にアクセスするためのパスワード等を通知する際は、第三者に知られないよう安全な方法で通知する。¥nc) 会議を非公開設定にする。¥nd) 待機室を設けて参加者と確認できた者だけを会議室に入室させる。¥ne) Web会議の主催者が事前に登録した者だけを会議室に入室させる。¥nf) なりすましや入れ替わりが疑われるなどの不審な参加者を会議室から退室させる。

統括情報セキュリティ責任者は、機関等が管理するアカウントでソーシャルメディアを利用することを前提として、以下を全て含む情報セキュリティ対策に関する運用規程を定めること。また、当該サービスの利用において要機密情報が取り扱われないよう規定すること。

職員等は、要安定情報の国民への提供にソーシャルメディアを用いる場合は、機関等の自己管理ウェブサイトに当該情報を掲載して参照可能とすること。

統括情報セキュリティ責任者は、ソーシャルメディアの閲覧者の信頼を確保し、その情報セキュリティ水準の低下を招かないよう、以下を全て含む対策を手順として定めること。¥na) アカウント運用ポリシー（ソーシャルメディアポリシー）を策定し、ソーシャルメディアのアカウント設定における自由記述欄又はソーシャルメディアアカウントの運用を行っている旨の表示をしている機関等のウェブサイト上のページに、アカウント運用ポリシーを掲載する。特に、専ら情報発信に用いる場合には、その旨をアカウント運用ポリシーに明示する。¥nb) URL短縮サービスは、利用するソーシャルメディアが自動的にURLを短縮する機能を持つ場合等、その使用が避けられない場合を除き、原則使用しない。

統括情報セキュリティ責任者は、機関等のアカウントによる情報発信が実際の機関等のものであると認識できるようにするためのなりすまし対策として、以下を全て含む対策を手順として定めること。¥na) 機関等からの情報発信であることを明らかにするために、機関等が政府ドメイン名を用いて管理しているウェブサイト内（政府ドメイン名を登録する資格を持たない機関等においては、機関等のウェブサイト内）において、利用するソーシャルメディア名と、そのソーシャルメディアにおけるアカウント名又は当該アカウントページへのハイパーリンクを明記するページを設けること。¥nb) 機関等からの情報発信であることを明らかにするために、アカウント名やアカウント設定の自由記述欄等を利用し、機関等が運用していることを利用者に明示すること。¥nc) 運用しているソーシャルメディアのアカウント設定の自由記述欄において、当該アカウントの運用を行っている旨の表示をしている機関等のウェブサイト上のページのURLを記載すること。¥nd) ソーシャルメディアの提供事業者が、アカウント管理者を確認しそれを表示等する、いわゆる「認証アカウント（公式アカウント）」と呼ばれるアカウントの発行を行っている場合には、可能な限りこれを取得すること。

統括情報セキュリティ責任者は、第三者が何らかの方法で不正にログインを行い、偽の情報を発信するなどの不正行為を行う、いわゆる「アカウント乗っ取り」を防止するために、ソーシャルメディアのログインパスワードや認証方法について、以下を全て含む管理手順を定めること。¥na) パスワードを適切に管理すること。具体的には、ログインパスワードには強固なパスワードに必要な十分な桁数を備えた第三者に容易に推測できないパスフレーズ等を使用した容易に推測されないものを設定するとともに、パスワードを知る担当者を限定し、パスワードの使い回しをしないこと。¥nb) 二段階認証やワンタイムパスワード等、アカウント認証の強化策が提供されている場合は、可能な限り利用すること。¥nc) ソーシャルメディアへのログインに利用する端末を紛失した又は当該端末が盗難に遭った場合は、当該端末を悪用され、アカウント乗っ取りの可能性があるため、当該端末の管理を厳重に行うこと。¥nd) ソーシャルメディアへのログインに利用する端末が不正アクセスされた場合、当該端末が不正に遠隔操作される又は、当該端末に保存されたパスワードが窃取される可能性がある。これらを防止するため、少なくとも端末には最新のセキュリティパッチの適用や不正プログラム対策ソフトウェアを導入するなど、適切なセキュリティ対策を実施すること。

統括情報セキュリティ責任者は、なりすましや不正アクセスを確認した場合の対処として、以下を全て含む対処手順を定めること。¥na) 自己管理ウェブサイトに、なりすましアカウントが存在することや当該ソーシャルメディアを利用していないこと等の周知を行い、また、信用できる機関やメディアを通じて注意喚起を行うこと。¥nb) アカウント乗っ取りを確認した場合には、被害を最小限にするため、ログインパスワードの変更やアカウントの停止を速やかに実施し、自己管理ウェブサイト等で周知を行うとともに、自組織のCSIRTに報告すること。報告を受けたCSIRTは遵守事項2.2.4(2)に従い、内閣官房内閣サイバーセキュリティセンターへの連絡（独立行政法人及び指定法人においては所管する国の行政機関を経由）を含む適切な対処を行うこと。

統括情報セキュリティ責任者は、テレワーク実施時の情報セキュリティ対策に係る運用規程を整備すること。なお、原則としてテレワークは機関等が支給する端末で行うよう定めること。

情報システムセキュリティ責任者は、テレワークの実施により機関等外通信回線を経由して機関等の情報システムへリモートアクセスする形態となる情報システムを構築する場合は、通信経路及びリモートアクセス特有の攻撃に対する情報セキュリティを確保すること。

情報システムセキュリティ責任者は、リモートアクセスに対し多要素主体認証を行うこと。

情報システムセキュリティ責任者は、リモートアクセスする端末を許可された端末に限定する措置を講じること。

情報システムセキュリティ責任者は、リモートアクセスする端末を最新の脆弱性対策や不正プログラム対策が施されている端末に限定すること。

情報システムセキュリティ責任者は、テレワーク実施前及び実施後に職員等が確認するべき項目を定め、職員等に当該項目を確認させること。

職員等は、画面ののぞき見や盗聴を防止できるようテレワークの実施場所を選定すること。また、自宅以外でテレワークを実施する場合には、離席時の盗難に注意すること。

職員等は、原則として情報セキュリティ対策の状況が定かではない又は不十分な機関等外通信回線を利用してテレワークを行わないこと。

統括情報セキュリティ責任者は、以下を例とする項目について、既に機関等において整備されている運用規程に不足があれば、新たに運用規程を整備すること。¥na) テレワークの実施申請及び承認並びにテレワークの実施報告¥nb) テレワークで取り扱うことができる情報の格付¥nc) テレワークで取り扱う情報の保存場所¥nd) 要管理対策区域外での要機密情報の取扱手続¥ne) テレワークに使用する端末に必要な情報セキュリティ対策¥nf) 機関等が支給する端末の持出手続¥ng) 例外的に機関等支給以外の端末の利用を認める場合¥nh) 機関等支給以外の端末の利用許可手続及び安全管理措置¥ni) テレワーク実施可能な場所¥nj) テレワークに利用可能なネットワーク

情報システムセキュリティ責任者は、VPN回線を整備してリモートアクセス環境を構築する場合は、以下を例とする対策を講ずること。¥na) 利用開始及び利用停止時の申請手続の整備¥nb) 通信を行う端末の識別又は認証¥nc) 利用者の認証¥nd) 通信内容の暗号化¥ne) 主体認証ログの取得及び管理¥nf) リモートアクセスにおいて利用可能な公衆通信網の制限¥ng) アクセス可能な情報システムの制限¥nh) リモートアクセス中の他の通信回線との接続禁止¥ni) 不正な通信の有無の監視

情報システムセキュリティ責任者は、リモートアクセスする端末が、許可されたものであるかどうかを確認するために、以下を例とする対策を行うこと。¥na) 証明書による端末確認¥nb) ソフトウェア認証による端末確認

情報システムセキュリティ責任者は、リモートアクセスする端末を最新の脆弱性対策や不正プログラム対策が施されている端末に限定するために、以下を例とする対策を行うこと。¥na) 検疫ネットワークの整備¥nb) IT資産管理の自動化

職員等は、基本対策事項6.1.1(1)-3に示した対策のほか、以下の項目を例とする画面ののぞき見や盗聴から発生する情報漏えい対策を講じること。¥na) 背後に人が立たないよう背後に通路がない場所で壁を背にする位置に座りテレワークを行う。¥nb) Web会議等、音声を扱う場合は、ヘッドホンを使用するなど、内容が周囲に漏れないよう注意する。¥nc) 同居する者に対し知り得た情報を他人に漏らさないよう協力を求める。

職員等は、テレワークに情報セキュリティ対策の状況が不明又は不十分な機関等外通信回線を利用しないために、以下を例とする対策を行うこと。¥na) 公衆無線LANを利用しない。¥nb) 宿泊施設等が提供する無料ネットワークを利用しない。