メタデータ
コントロール
1 方針
ラベル 1 方針会社として、セキュリティに対する基本的な考え方や方針を示し、社内の情報セキュリティ意識を向上させる
自社の情報セキュリティ対応方針を策定し自組織内に周知していること
No.1 自社の情報セキュリティ対応方針(ポリシー)を策定している
No. 1 レベル Lv1自社の情報セキュリティ対応方針を策定し、文書化すること
No.2 自社の情報セキュリティ対応方針(ポリシー)の内容を確認し、必要に応じて見直ししている
No. 2 レベル Lv2社内外の環境変化を踏まえて、内容を確認し、適宜見直ししていること
情報セキュリティ対応方針(ポリシー)の内容を確認、改善
- 1回以上/年
- 別途、重大な変化が発生した場合には迅速に対応すること
No.3 情報セキュリティ対応方針(ポリシー)を社内に周知している
No. 3 レベル Lv1情報セキュリティ対応方針(ポリシー)を容易に確認できる状態にすること
役員、従業員、社外要員(派遣社員等)
定常的に、かつ、情報セキュリティ対応方針の改正時に周知すること
2 機密情報を扱うルール
ラベル 2 機密情報を扱うルール機密情報を扱うルールを定め、社内へ周知することにより、機密漏えいを防止する
機密情報のセキュリティに関する社内ルールを規定していること
No.4 自社の守秘義務のルールを規定し、守らせている
No. 4 レベル Lv1自社の守秘義務を策定し、文書化すること
入社時あるいは社外要員の受け入れ時に守秘義務を説明すること
退職もしくは期間満了時に会社の機密情報を持ち出さないこと
役員、従業員、社外要員(派遣社員等)
No.5 自社の守秘義務のルールを規定し、守らせている
No. 5 レベル Lv2守秘義務の誓約書を提出させること(社外要員除く)
No.6 派遣社員、受入出向社員について、派遣元、出向元の会社と守秘義務を締結している
No. 6 レベル Lv2守秘義務には、業務で知り得た情報を外部に漏えいさせない旨の記述があること
※守秘義務の締結時期
- 業務開始前
No.7 退職や期間満了時には必要な機密情報、情報機器などを回収している
No. 7 レベル Lv2回収物一覧のチェックシートまたは帳票を作成すること
回収漏れが起こらない手順を整備、運用すること
手順に従い回収しているかを確認し、必要に応じて手順の是正を行うこと
[回収物]
-情報(印刷物、記憶媒体)
-情報機器(PC、スマートデバイス)
-アクセス権(ID、鍵)
※上記の他に必要な回収物を各社で判断すること
[回収状況の確認、手順の是正頻度]
-1 回以上/年
No.8 業務で利用する情報機器の利用ルールを規定し、周知している(個人所有機器(BYOD)含む)
No. 8 レベル Lv1情報機器(PC、サーバー、通信機器、記憶媒体、スマートデバイス等)の利用ルールを策定し、このルールには利用開始時、利用終了時の手続き、利用中の遵守・禁止事項、紛失時の手続きを含むこと
情報機器の利用ルールを容易に確認できる状態にすること
役員、従業員、社外要員(派遣社員等)
定常的に、かつ、ルールの改正時に周知すること
3 法令順守
ラベル 3 法令順守会社として、情報セキュリティに関する法令を順守する
情報セキュリティに関する法令を考慮し、社内ルールを策定すること(法令例:個人情報保護法、不正競争防止法)
No.9 情報セキュリティに関する法令を考慮し、ルールを策定、教育・周知している
No. 9 レベル Lv1情報セキュリティに関連する法令を守るための社内ルールを策定すること
策定した社内ルールを教育・周知すること
役員、従業員、社外要員(派遣社員等)
(教育)新規受け入れ時、かつ、1回/年
(周知)定常的に、かつ、ルールの改正時に周知すること
No.10 個人情報をお持ちの会社については、個人情報に特化した社内ルールの規定があること
No. 10 レベル Lv2お客様個人情報の取り扱いにおける社内ルールを策定すること
[明確にする内容]
-個人情報の管理体制を確立
-取得時に利用目的を通知、明示
-本人の同意の範囲内で利用
-本人の同意なしに第三者提供しないこと
-本人による開示・訂正・利用停止・消去などの要望に対応すること
-個人情報の取扱いルールを定めること
-個人情報保護法、GDPR、不正競争防止法等の情報セキュリティに関する法令・規則の情報収集を行うこと
-情報漏洩した時の対応手順
個人情報を取扱う業務担当者
No.11 法令の変更に伴い、ルールを適宜見直ししている
No. 11 レベル Lv11 回/年、もしくは、法令の改正が公布・施行された時
No.12 法令の変更に伴い、ルールを適宜見直ししている
No. 12 レベル Lv2社内ルールの遵守状況を確認し、必要に応じて是正すること
4 体制(平時)
ラベル 4 体制(平時)情報セキュリティに関する体制及び役割を明確化し、保護すべきデータの漏洩・サイバーセキュリティ対策の徹底、強化を図る
平時の情報セキュリティリスクを管理する体制を整備し、事故発生に至らないよう、情報収集と共有を行うこと
No.13 情報セキュリティ責任者を含む、平時の体制と責任と役割を明確化している
No. 13 レベル Lv1情報セキュリティを統括する役員(CISO 等)や情報セキュリティ担当部署の役割・責任を明確化すること
連絡先リストを整備すること
No.14 情報セキュリティ責任者を含む、平時の体制と責任と役割を明確化している
No. 14 レベル Lv2情報セキュリティリスクは、経営に重大な影響を及ぼすことを理解し、組織的に経営判断できる体制を設置していること
No.15 定期的、または必要に応じて、平時の体制を見直ししている
No. 15 レベル Lv11回/年、もしくは、重大な情報セキュリティ事件・事故が発生した場合
または、社内組織改正等にて、お客様情報をはじめとした各種情報の保護・管理部署や責任者に変更が生じた時
No.16 サイバー攻撃や情報漏えいの新たな手口を知り、対策を社内部署へ共有している。サイバー攻撃や予兆を監視・分析をする体制を整備している
No. 16 レベル Lv1平時の体制に則り、情報セキュリティ事件・事故事例やその対応策を社内部署へ共有していること
役員、従業員、社外要員(派遣社員等)
1回/年、もしくは、社内外で重大な情報セキュリティ事件・事故が発生した時
No.17 サイバー攻撃や情報漏えいの新たな手口を知り、対策を社内部署へ共有している。サイバー攻撃や予兆を監視・分析をする体制を整備している
No. 17 レベル Lv2サイバー攻撃や脆弱性に関する公開情報、非公開情報を活用する体制を構築している
相関分析によりサイバー攻撃や予兆の検知を可能とし、その分析結果から適切な対応が導きだせる体制を構築している
※相関分析:
複合的なログなどで分析して情報セキュリティ事件・事故の予兆や痕跡を見つけ出す手法
5 体制(事故時)
ラベル 5 体制(事故時)情報セキュリティに関する体制及び役割を明確化し、事件・事故の発生時に、被害を限定的なものに抑えて最小化し、できるだけ速やかに元の状態へと復旧する
情報セキュリティ事件・事故発生時の対応体制とその責任者を明確にしていること
No.18 情報セキュリティ事件・事故発生時の対応体制と責任と役割を明確化している
No. 18 レベル Lv1情報セキュリティを統括する役員(CISO 等)や情報セキュリティ担当部署の役割・責任が明確化されていること
情報セキュリティ事件・事故の基準や社内外組織との連絡先、ルートが明確化されていること
No.19 発生した情報セキュリティ事件・事故対応が実施され、事故の概要や影響および対応内容の記録がある
No. 19 レベル Lv1情報セキュリティ事件・事故の報告フォーマットが整備されていること
No.20 定期的、または必要に応じて、事故時の体制を見直ししている
No. 20 レベル Lv11回/年、もしくは、重大な情報セキュリティ事件・事故が発生した場合等
6-1 事故時の手順
ラベル 6 事故時の手順情報セキュリティに関する体制及び役割を明確化し、事件・事故の発生時に、被害を限定的なものに抑えて最小化し、できるだけ速やかに元の状態へと復旧する
自社の事業継続計画又は緊急時対応計画の中に情報セキュリティ事件・事故を位置づけること
No.21 情報セキュリティ事件・事故を含めた自社の事業継続計画又は緊急時対応計画を作成している
No. 21 レベル Lv3セキュリティ事件・事故の対応履歴、リスク評価結果に基づき、対策計画を立案すること
対策計画に沿って対策が実行されているか確認すること
[対策計画の内容]
-対策内容(何に対し、どのような対策を行うか)
-スケジュール(開始、終了時期 および 対策の各プロセスに要する期間)
[対策の進捗状況の確認]
-1 回以上/年
No.22 情報セキュリティ事件・事故を含めた自社の事業継続計画又は緊急時対応計画は、定期的に確認され、必要に応じて改定していること
No. 22 レベル Lv31 回以上/年
6-2 事故時の手順
ラベル 6 事故時の手順情報セキュリティに関する体制及び役割を明確化し、事件・事故の発生時に、被害を限定的なものに抑えて最小化し、できるだけ速やかに元の状態へと復旧する
自社の事業継続計画又は緊急時対応計画の中に情報セキュリティ事件・事故を位置づけること
No.23
No. 情報セキュリティ事件・事故として扱う対象範囲を明確にし、周知していること レベル Lv2下記対象範囲が明確になっていること
[明確にする内容]
事件・事故として扱う事象
事件・事故のレベル
役員、従業員、派遣社員、受入出向者への周知
No.24 情報セキュリティ事件・事故時の対応手順(初動、システム復旧等)を定めている
No. 24 レベル Lv1対応手順には組織の必要に応じて下記の手順を含んでいること
①発見報告、 ②初動、③調査・対応、④復旧、⑤最終報告
No.25 情報セキュリティ事件・事故時の対応手順(初動、システム復旧等)は、定期的に確認され、必要に応じて、改定していること
No. 25 レベル Lv31回/年及び、重大な事件・事故が発生した場合
No.26 マルウェア感染時の対応手順を定めている
No. 26 レベル Lv1マルウェア感染時用の対応手順には組織の必要に応じて下記の手順を含んでいること
①発見報告、 ②初動、③調査・対応、④復旧、⑤最終報告
No.27 マルウェア感染時の対応手順は、定期的に確認され、必要に応じて、改定していること
No. 27 レベル Lv2世間動向や攻撃のトレンドなどをふまえ、教育・訓練内容の見直しをすること
1 回/年以上
7-1 日常の教育
ラベル 7 日常の教育マルウェアや機密情報についてリスクや正しい取り扱いを理解させ、情報セキュリティ事件・事故を予防する
従業員として注意することを教育していること
No.28 電子メールのマルウェア感染に関する社内への教育を行っている
No. 28 レベル Lv1電子メールによるマルウェア感染の予防について、教育資料配布・掲示、e ラーニング、集合教育等による教育を実施すること
教育内容を振返り、次回の教育内容を改善すること
役員、従業員、社外要員(派遣社員等)における メール利用者
新規受け入れ時、かつ、1回/年以上
No.29 インターネットへの接続に関する社内への教育を行っている
No. 29 レベル Lv1Web 閲覧によるマルウェア感染の予防について、教育資料配布・掲示、e ラーニング、集合教育等による教育を実施すること
教育内容を振返り、次回の教育内容を改善すること
役員、従業員、社外要員(派遣社員等)における インターネット利用者
新規受け入れ時、かつ、1回/年以上
No.30 機密区分に応じた情報の取り扱いに関する教育を行っている
No. 30 レベル Lv1機密区分の定義と取り扱いについて、教育資料配布・掲示、e ラーニング、集合教育等による教育を実施すること
教育内容を振返り、次回の教育内容を改善すること
役員、従業員、社外要員(派遣社員等)
新規受け入れ時、かつ、1回/年以上
No.31 標的型メール訓練を実施している
No. 31 レベル Lv2標的型メール訓練を実施すること
万が一開封した時の対応も訓練内容に含めること
訓練内容や方法を振返り、次回の訓練を改善すること
電子メールの利用者
1回以上/年
No.32 各部署の情報セキュリティ管理者に対して、組織内での対策とマネジメント手法に関する教育を実施している
No. 32 レベル Lv2組織内での対策とマネジメント手法に関する教育を実施すること
教育内容を振返り、次回の教育内容を改善すること
各部署の情報セキュリティ管理者または推進者
※情報セキュリティ管理者が任命されてない場合は部門長
1 回以上/年
No.33 経営層が情報セキュリティに関する役割と責任を理解するための機会を設けている
No. 33 レベル Lv2経営層が役割と責任を理解するための説明の場を設けている
説明内容を振返り、次回の説明内容を改善すること
経営層や役員
1 回以上/年
No.34 全社で啓発活動を実施している
No. 34 レベル Lv2全社で情報セキュリティの重要性を再認識する機会を設けること
役員、従業員、社外要員(派遣社員等)
1 回以上/年
No.35 各職場で特に重要なリスクやルールについて啓発活動を実施している
No. 35 レベル Lv2各社が定める活動単位(部・室など)で特に重要なルールやリスクについてリマインドすること
啓発内容を振返り、次回の啓発内容を改善すること
職場特有のリスクの理解、ルールの遵守が重要な従業員、社外要員(派遣社員等)
1 回以上/1 年
No.36 教育、啓発の実施状況を数値等で具体的に把握している
No. 36 レベル Lv2教育・啓発の受講状況、理解度を数値等で具体的に把握すること
各社で判断した重要な教育、啓発
1 回以上/年
No.37 情報システムの調達に係る要員に対して、取引先の指導ができるようセキュリティ教育を実施している
No. 37 レベル Lv3取引先の特性に合わせたセキュリティ指導するスキルを得るために、教育資料配布・掲示、e ラーニング、集合教育等による教育を実施すること
情報システムの調達に係る要員
1回/年以上
7-2 日常の教育
ラベル 7 日常の教育情報セキュリティ事件・事故に迅速かつ適切に対応できるように事前に備え、事故発生時の被害拡大の防止・迅速な復旧を図る
自組織内あるいは組織を跨いで影響する情報セキュリティ事件・事故の発生と影響を抑制する教育・訓練を行っていること
No.38 情報セキュリティ事件・事故発生時の対応について教育・訓練を実施している
No. 38 レベル Lv1情報セキュリティ事件・事故発生時の対応について、教育資料配布・掲示、e ラーニング、集合教育等による教育や訓練を実施すること
役員、従業員、社外要員(派遣社員等)
新規受け入れ時、かつ、1回/年以上
組織を跨いだ情報セキュリティ事件・事故発生時の対応について、教育資料配布・掲示、e ラーニング、集合教育等による教育や訓練を実施すること
セキュリティ関連部門
1回/年以上
教育・訓練実施前後、もしくは1回/年以上
8 他社との情報セキュリティ要件
ラベル 8 他社との情報セキュリティ要件サプライチェーンにおける機密情報の漏洩を防止するとともに、事故発生時の対応を迅速に行えるようにする
サプライチェーン上で発生する情報セキュリティ要件が明確になっていること
No.41 サプライヤーとモノ・データの流れを共有できている
No. 41 レベル Lv3重要なサプライヤーを特定できていること
モノ・データの流れを特定できていること
取引の概要を図示して、サプライヤーと共有できていること
取引のあるサプライヤー
No.42 重要な機密情報を取扱うパートナー企業のセキュリティ対策状況を把握している
No. 42 レベル Lv3以下の例を参考にパートナー企業の対策状況を把握すること
・チェックシートを作成しパートナー企業から回答を受領する
・パートナー企業に訪問し点検を実施する
・自社の重要な機密情報を提供・共有する子会社、取引先など
例:"極秘"の機密情報を共有する会社
1 回以上/年
No.43 契約終了時に機密情報やアクセス権などを回収または破棄している
No. 43 レベル Lv3回収すべき機密情報、アクセス権などのチェックシートを作成すること
契約終了時にチェックシートを使用し機密情報、アクセス権などを回収すること
回収、破棄が漏れなく行われていることを確認し、必要に応じて是正すること
機密情報を提供・共有する子会社、取引先など
1 回以上/年
No.44 他社との間で、機密情報の取り扱い方法が明確になっている
No. 44 レベル Lv1業務開始前に機密情報の取り扱いについての取り交わしを行うこと
機密情報を共有する会社
No.45 他社との間で、機密情報の取り扱い方法に課題が無いか定期的に確認され、必要に応じて、改定していること
No. 45 レベル Lv31 回以上/年
No.46 情報セキュリティ事件・事故時の他社との役割と責任が明確になっている
No. 46 レベル Lv1機密情報を共有する際、取り扱いとともに、情報セキュリティ事件・事故発生時の会社ごとの役割と責任を文書化しておくこと
No.47 情報セキュリティ事件・事故時の他社との役割と責任の文章は、定期的に確認され、必要に応じて、改定していること
No. 47 レベル Lv31 回以上/年
No.48 他社から入手した重要機密情報が、自社内でどのように取り扱われているか実状を把握している
No. 48 レベル Lv3他社の重要な機密情報を自社で取扱った履歴を記録、保管すること
適切に記録、保管されていることを確認し、必要に応じて是正すること
1 回以上/年
9 アクセス権
ラベル 9 アクセス権アクセス権設定の不備に起因した、機密エリアやシステムへの不正アクセスを防止する
アクセス権(入室権限やシステムのアクセス権)を適切に管理していること
No.49 人の異動に伴うアクセス権(入室権限やシステムのアクセス権)の管理ルールを定めている
No. 49 レベル Lv1以下の内容等を含む管理ルールを定めること
・アクセス権の発行・変更・削除は申請・承認制であること
・与える入室許可・アクセス権の範囲は必要な範囲に限定すること
・入室権限やアクセス権の棚卸について定めていること
・与えた入室許可・アクセス権の申請書または台帳を管理していること
業務で利用するシステムおよび PC ログオン時のユーザーID
機密上の配慮が必要な場所や部屋
No.50 人の異動に伴うアクセス権(入室権限やシステムのアクセス権)の管理ルールを定めている
No. 50 レベル Lv2重要情報を扱うシステムは、アクセス権を付与するための条件を明確にする
アクセス権の設定は、システム管理者の要件および設定手順を明確にし、厳格な管理下で実施する。
重要情報を扱うシステムは、情報利用者とシステム管理者の権限を分離するなど、個人に権限が集中しない環境とする。
重要情報を扱うシステムは、その運用/利用状況を監視する。
No.51 管理ルールに沿ってアクセス権の発行、変更、無効化、削除を実施している
No. 51 レベル Lv1No49 に定義した管理ルールの順守状況の点検を行っていること
No.52 アクセス権の棚卸を定期的、または必要に応じて実施している
No. 52 レベル Lv1No49 により定めたルールに従い、アクセス権の棚卸を定期的、または必要に応じて実施していること
No.53 アクセスログは、安全に保管しアクセス制御された状態で管理されている
No. 53 レベル Lv2法規制等により要求される事項を満たす事ができるよう、適切な期間のログを保持する。
ログを脅威から保護するため、ログを保存するモノ、システムにアクセス制御等を適用すること
10 情報資産の管理(情報)
ラベル 10 情報資産の管理(情報)情報資産を適切に管理し、機密情報の漏洩を防止する
情報資産の機密区分を設定・把握し、その機密区分に応じて情報を管理していること
No.54 機密区分に応じた情報の管理ルールを定めている
No. 54 レベル Lv1以下の内容等を含む管理ルールを定めること
・機密の特定
・機密区分のレベル判定と表示
・区分に応じた取り扱い方法
・取り扱いエリアの区分及び制限
情報資産(情報)
No.55 機密区分に応じた情報の管理ルールを定期的、または必要に応じて見直ししている
No. 55 レベル Lv2管理ルールの内容を確認し、必要に応じて改善すること
1 回以上 /年
No.56 高い機密区分の情報資産(情報)を一覧化している
No. 56 レベル Lv1一覧には、対象情報、管理者名、部署名、保管場所、保管期限、開示先、連絡先などを含むこと
No.54 で定めた機密区分のうち、高レベルの機密に該当する情報資産
No.57 高い機密区分の情報資産(情報)の一覧化を定期的、または必要に応じて見直ししている
No. 57 レベル Lv2一覧表の内容を確認し、必要に応じて是正すること
1 回以上 /年
No.58 情報資産(情報)は機密区分に応じた管理ルールに沿って管理している
No. 58 レベル Lv1No.54 に定義した管理ルールの順守状況の点検を行い、不備・違反があれば是正を行うこと
1 回/年 以上
11 情報資産の管理(機器)
ラベル 11 情報資産の管理(機器)IT 資産を適切に管理し、情報セキュリティ事件・事故につながるリスクを減ずるとともに、情報セキュリティ事故発生時の対応を迅速化する
会社が保有する情報機器及び機器を構成する OS やソフトウェアの情報(バージョン情報、管理者、管理部門、設置場所等)を適切に管理していること
No.59 重要度に応じた情報機器、OS、ソフトウェアの管理ルールを定めている
No. 59 レベル Lv1導入、設置、ネットワーク接続、セキュリティパッチ適用等のルールを含む管理ルールを定めていること
No.60 情報機器、OS、ソフトウェアの情報(バージョン情報、管理者、管理部門、設置場所等)について、一覧を作成している
No. 60 レベル Lv1バージョン情報、管理者、管理部門、設置場所等の管理項目を含む情報機器、OS、ソフトウェアの一覧を作成すること
No.61 情報機器、OS、ソフトウェアの情報(バージョン情報、管理者、管理部門、設置場所等)の一覧を定期的、または必要に応じて、見直ししている
No. 61 レベル Lv21 回/年 以上
No.62 情報資産(機器)は重要度に応じた管理ルールに沿って管理している
No. 62 レベル Lv1No59 に定義した管理ルールに沿って管理を実施すること。不備・違反があれば是正を行うこと
1 回/年 以上
No.63 情報資産(機器)は重要度に応じた管理ルールに沿って管理している
No. 63 レベル Lv3重要度に応じて、機器と搭載ソフトウェアが正規品である事をシリアル番号やハッシュ値を利用して定期的に確認すること
1 回/年 以上(資産棚卸時等)
No.64 スマートデバイスへのアプリケーションの無断インストールを制限し、定期的にインストール状況を確認している
No. 64 レベル Lv2インストール可能なアプリケーションを定義し、定期的にインストール状況を確認している。
会社支給のスマートデバイス
1 回/年
No.65 廃棄時(リース終了時含む)は、記憶媒体のデータを消去している
No. 65 レベル Lv2情報資産(機器)の廃棄時(リース終了時含む)はデータを復元できないよう消去すること
情報資産(機器)の記憶領域の消去を実施した記録または業者の廃棄証明書を保管すること
※ディスクのフォーマットは、データを復旧される可能性があるため不可
[対象]
-サーバー、会社支給のクライアント PC、スマートデバイス、外部記憶媒体
12 リスク対応
ラベル 12 リスク対応情報資産のセキュリティリスクを特定し、会社として組織的な対策を行うことにより、業務影響を極小化する
自組織内(自組織の業務:業務委託も含めて)の情報セキュリティリスクに対する対策を行っていること
No.66 情報資産において「機密性」「完全性」「可用性」の 3 要素が確保できなくなった場合のリスクを特定できている
No. 66 レベル Lv1対象の情報資産に情報セキュリティ事件・事故が発生した時の業務影響を影響範囲や発生頻度を踏まえ把握すること
No.56 で特定した情報資産
外部の脅威
自社の脆弱性
※必要に応じて、パートナー企業起因の脅威、脆弱性を考慮すること
情報資産の価値
対象の情報、情報システムを定めること
各観点の評価規則、およびそれらを考慮したリスクレベルの規則を定めること
各情報、情報システムについて、各観点の評価からリスクレベルを決定すること
重要な情報資産を見直した時、または、1回/年 以上
No.67 セキュリティの要求事項を記載した開発標準を定め、定期的に見直している
No. 67 レベル Lv3情報システムのセキュリティ開発標準を定めること
開発標準に則って、開発していることをチェックすること
開発標準の内容を定期的に見直すこと
1 回/年
No.68 必要に応じて経営層へ業務影響及び対策を報告し、セキュリティ業務に関与している社内部署と共有している
No. 68 レベル Lv1No.66 で把握した業務影響に対する対策方法及び計画を策定し、報告・共有すること
報告に際し役員からの指示があった場合、これを関係部門へ共有すること
情報セキュリティの総括責任者、関係部門
1 回以上/年
No.69 業務影響への対策は策定された計画に沿って管理している
No. 69 レベル Lv1No.68 で作成された対策及び計画が適切に実施され、業務影響の低減がされていることを確認し、発見された不備の是正などを実施すること
情報資産の業務影響
1 回/年 以上
13-1 取引内容・手段の把握
ラベル 13 取引内容・手段の把握どの取引先とどのような情報資産をどのような手段でやり取りするかを明確にし、取引を通じた情報漏えい等を防止する
取引先毎に、取引で取り交わされる情報資産と、取引に利用している手段を把握していること
No.70 会社毎に取り交わす情報・手段(受発注の手段等、情報のやり取り)を一覧化している
No. 70 レベル Lv1一覧表には取引に伴い授受/使用される情報資産とその取り扱いを記載し、取引先と相互に把握すること
重要な情報資産(№54 で定められた機密レベルが高い情報資産など)を共有する取引先
取引開始時/取り交わす情報・手段の変更時
No.71 会社毎に取り交わす情報・手段(受発注の手段等、情報のやり取り)の一覧を定期的、または必要に応じて、見直ししている
No. 71 レベル Lv31 回/年 以上
13-2 取引内容・手段の把握
ラベル 13 取引内容・手段の把握どの取引先とどのような情報資産をどのような手段でやり取りするかを明確にし、取引を通じた情報漏えい等を防止する
IT 機器調達における情報セキュリティリスクを管理すること
No.72 IT 機器調達に対するセキュリティ要求事項が決められており、社内に周知されていること
No. 72 レベル Lv3機器調達に対するセキュリティ要求事項を一覧化していること
機器調達時に、セキュリティ要求事項を容易に確認できる状態にすること
[機器] 社内ネットワークに接続する IT 機器
[周知] 役員、従業員、社外要員(派遣社員等)
定常的に、かつ、機器調達時のセキュリティ要求事項の改正時に周知すること
No.73 IT 機器調達に対するセキュリティ要求事項を購入先と共有しており、購入時の評価結果を記録し保管している
No. 73 レベル Lv3セキュリティ要求事項が購買契約等に明記されていること
機器調達時に、セキュリティ要求事項の評価を実施し、結果が保管されていること
定期的に確認結果が保管されていることを確認する
社内ネットワークに接続する IT 機器
1 回以上/年
14-1 外部への接続状況の把握
ラベル 14 外部への接続状況の把握外部情報システム利用における安全性と信頼性の確保、および情報セキュリティ事件・事故発生時の迅速な対応を図る
関係組織(サプライヤー等含む)との関係において、自組織の通信ネットワーク構成を把握し、他組織との連携状態やデータの流れを監視すること
No.74 ネットワーク図・データフロー図を作成し、関係組織(サプライヤー等含む)との通信を監視している
No. 74 レベル Lv2ネットワーク図を作成すること
[対象範囲]
-自社の情報機器が存在するネットワーク
[見直し頻度]
-1 回/年以上
データフロー図を作成すること
[対象範囲]
-関係組織間のネットワークでやり取りされる自社内のデータ
関係組織との通信を監視すること
[対象範囲]
-関係組織間のネットワークでやり取りされるデータ
[頻度]
-常時
No.75 ネットワーク図・データフロー図は、定期的、または必要に応じて、見直ししている
No. 75 レベル Lv21 回/年以上
14-2 外部への接続状況の把握
ラベル 14 外部への接続状況の把握外部情報システム利用における安全性と信頼性の確保、および情報セキュリティ事件・事故発生時の迅速な対応を図る
外部情報システム(顧客・子会社・関係会社・外部委託先・クラウドサービス・外部情報サービス等)を明確にし、利用状況を適切に管理していること
No.76 自組織の資産が接続している外部情報システムの利用ルールを定めている
No. 76 レベル Lv1以下の内容を含む利用ルールを定めること
・外部情報システムの接続先と守秘義務契約を締結する
・外部の情報サービスを利用する際のセキュリティ要件を定めている
・外部の情報サービスの利用時にセキュリティ要件を満たしているかサービス内容を確認し、承認した証跡を保管している
No.77 利用している外部情報システムを一覧化している
No. 77 レベル Lv1外部情報システムの一覧を作成していること
No.78 外部情報システムの一覧を定期的、または必要に応じて見直ししている
No. 78 レベル Lv1定期的に棚卸を実施するとともに、新規あるいは利用中止するものを一覧に反映すること
1 回/年以上、かつ、新規開始あるいは利用中止時
15-1 社内接続ルール
ラベル 15 社内接続ルール社内ネットワークの利用を適切に管理することにより、情報漏えいやマルウェア感染などの被害を最小化する
社内ネットワークへの接続時には、情報システム・情報機器の不正利用を抑制する対策を行っていること
No.79 業務で利用する情報機器の自社ネットワークへの接続ルールを定めている
No. 79 レベル Lv1社内ネットワークへの接続に関するルールを定めること
社内でネットワークに直接接続するすべての機器
会社標準機器、社外からの持ち込み機器含む
リモートアクセスを利用する場合のルールを定めること
社外から公衆インターネット経由あるいは専用線経由で社内ネットワークに接続する全ての機器
No.80 許可された機器以外は社内ネットワークに接続できないよう、システムで制限している
No. 80 レベル Lv3許可された機器以外の接続を検知・遮断する仕組みを導入すること
社内ネットワークに接続する機器
No.81 内部情報漏洩対策として、複数ログを組み合わせて、異常行動を自動検知できる仕組みを導入している
No. 81 レベル Lv3情報持ち出しに関するログを分析して不正な持ち出しが検知できること
不正な持ち出しが発生した場合は、アラートが通知できること
15-2 社内接続ルール
ラベル 15 社内接続ルール社内ネットワークの利用を適切に管理することにより、情報漏えいやマルウェア感染などの被害を最小化する
リモートワークの環境において、セキュリティ事故(主に情報漏えい、なりすまし)を抑制する対策を行っていること
No.82 リモートワークで使用する情報機器や機密情報の条件についてのルールを定め、運用している
No. 82 レベル Lv2リモートワークで使用する情報機器や機密情報の条件についてのルールを定め、周知すること
ルールの遵守状況を確認し、必要に応じて是正すること
[周知対象]
-リモートワークを行う全ての従業員、派遣社員、受入出向者
[周知のタイミング]
-リモートワークの開始前
[ルールの内容]
-リモートワークで使用許可する情報機器
※必要に応じて申請、承認の方法を含む
-個人所有端末にダウンロード可能なファイルの機密区分や種類
[ルールの内容、遵守状況の確認頻度]
-1 回以上/年
No.83 リモートワーク遂行上のルールを定め、運用している
No. 83 レベル Lv2リモートワーク遂行上のルールを定め、周知すること
ルールの内容や遵守状況を確認し、必要に応じて是正すること
[周知対象]
-リモートワークを行う全ての従業員、派遣社員、受入出向者
[周知のタイミング]
-リモートワークの開始前
[ルールの内容や遵守状況の確認、是正頻度]
-1 回以上/年
16-1 物理セキュリティ
ラベル 16 物理セキュリティサーバー等の重要機器への不正操作による情報漏洩、改ざん、システム停止を防ぐ
サーバー等の設置エリアには、物理的セキュリティ対策を行っていること
No.84 サーバー等の設置エリアは、入場可能な人を定めている
No. 84 レベル Lv1サーバー等の設置するエリアに入場可能な人を定めること
No.85 サーバー等の設置エリアは、施錠等で入場を制限している
No. 85 レベル Lv1サーバー等の設置エリアを施錠すること
施錠が出来ないエリアにサーバーが設置されている場合、サーバーを専用ラックに入れて施錠すること
管理者を定めて、施錠管理を行うこと
No.86 サーバー等の設置エリアに入場した記録を保管し、定期的にチェックしている
No. 86 レベル Lv2サーバー等の設置エリアの入退場記録を取得し、保管すること
入退場日時
入場者(氏名、所属、連絡先など)
入場目的
承認者
6 ヶ月
No.87 サーバー等の設置エリアに不正侵入や不審行動を監視している
No. 87 レベル Lv2入場時、退場時に持込み・持ち出し物を確認すること
入場者の行動を監視すること
16-2 物理セキュリティ
ラベル 16 物理セキュリティサーバー等の重要機器への不正操作による情報漏洩、改ざん、システム停止を防ぐ
社内への入退場において、セキュリティ事故(主に不正侵入、不正持ち出し、情報漏えい、不審行動)を抑制する対策を行っていること
No.88 入退場に関するルールを定め、周知、運用している
No. 88 レベル Lv2自社の入退場ルールを定めること
入退場ルールを周知すること
入退場ルールの内容や遵守状況を確認し、必要に応じて改定や再周知を行うこと
自社に出入りする全ての人員
入場制限エリアの定義
入退場時の申請、承認
入退場時の身分証明方法(社員証、入場許可証の着用など)
入場許可証,通門証の発行規則
1 回以上/年
No.89 重要なエリア、部屋への入場を制限し、入退場記録を保管している
No. 89 レベル Lv2重要なエリア、部屋の入退場を制限すること
重要なエリア、部屋への入退場記録を取得し、保管すること
入退場日時
入場者(氏名、所属、連絡先など)
入場目的
承認者
6 ケ月以上
No.90 不正侵入や不審行動を監視している
No. 90 レベル Lv2自社の重要な場所において、不正侵入や不審行動を監視すること
監視が正常に機能していることを確認し、必要に応じて是正すること
1 回以上/6 か月
16-3 物理セキュリティ
ラベル 16 物理セキュリティサーバー等の重要機器への不正操作による情報漏洩、改ざん、システム停止を防ぐ
持込み・持出し物の制限を行っていること
No.91 社内への持込みルールを明確にし、運用している
No. 91 レベル Lv2社内への持込みルールを定めること
持込みルールの内容や遵守状況を確認し、必要に応じて是正すること
従業員、派遣社員、受入出向者および社外者
パソコン、タブレット、スマートフォン、カメラ、外部記憶媒体
※上記の他に記録可能な物品があれば各社で判断すること
持込み制限の対象とするエリア、物品
社内への持込み申請、承認方法
持込み記録の保管、管理方法(保管期間:6 か月)
1 回以上/年
No.92 社外への持出しルールを明確にし、運用している
No. 92 レベル Lv2社外への持出しルールを定めること
持出しルールの内容や遵守状況を確認し、必要に応じて是正すること
従業員、派遣社員、受入出向者および社外者
パソコン、タブレット、スマートフォン、カメラ、外部記憶媒体、印刷物(図面などの機密書類)
※上記の他に必要な物品を各社で判断すること
社外への持出し申請、承認方法
持出し記録の保管、管理方法(保管期間:6 か月)
1 回以上/年
No.93 持込み・持出しルールに関する意識を高める対策を講じている
No. 93 レベル Lv2持込み・持出しルールに関する意識を高める対策を講じること
1 回以上/6 か月
16-4 物理セキュリティ
ラベル 16 物理セキュリティサーバー等の重要機器への不正操作による情報漏洩、改ざん、システム停止を防ぐ
社内の撮影・録音において、セキュリティ事故(主に情報漏えい)を抑制する対策を行っていること
No.94 社内における撮影ルールを定め、運用している
No. 94 レベル Lv2社内における撮影ルールを定めること
撮影ルールの内容や遵守状況を確認し、必要に応じて是正すること
撮影を制限する対象またはエリア
※撮影を制限しないエリアを設けることも可能
(例:社外者との打合せエリア)
撮影の申請、承認手順
撮影申請、行為の記録の保管(保管期間:6 か月)
1 回以上/年
No.95 録音に関するルールを定め、運用している
No. 95 レベル Lv3録音に関するルールを定めること
録音ルールの内容や遵守状況を確認し、必要に応じて是正すること
録音を制限する会議(面着、リモート含む)やエリアの定義
録音の申請、承認方法
※会議の種類やエリアによって、申請、承認の要否を区別することも可
1 回以上/年
No.96 盗聴による情報漏えいへの対策を行っている
No. 96 レベル Lv3盗聴による情報漏えい対策を行うこと
1 回以上/年
16-5 物理セキュリティ
ラベル 16 物理セキュリティサーバー等の重要機器への不正操作による情報漏洩、改ざん、システム停止を防ぐ
脆弱性が発見された際の対策対象の把握や外部記憶媒体を用いた情報漏えい等を抑制する対策がおこなえていること
No.97 PC の標準構成・設定ルールを定め、標準構成・設定ルールに変更がある場合は承認を経て変更している
No. 97 レベル Lv2PC の標準構成(ソフトウェアとバージョン)と設定を定めること
構成、設定の変更は承認制にすること
会社支給の PC の OS、オフィスソフト、ブラウザ、ウイルス対策ソフト
No.98 PC で利用を許可または禁止するソフトウェアを定め、ソフトウェアの無断インストールを禁止し、違反がないか定期的に確認している
No. 98 レベル Lv2社内で利用許可または禁止するソフトウェアの一覧を作成し周知すること
・ソフトウェアの無断インストールを制限すること
・定期的にソフトウェアのインストール状況を確認すること
会社支給のクライアント PC
情報漏えいにつながるソフトウェア
深刻な脆弱性があるソフトウェア
マルウェア・スパイウェアの疑惑のあるアプリ
1 回/年
役員、従業員、派遣社員、受入出向者
No.99 PC からのデータ書き出しを仕組みで制限している
No. 99 レベル Lv2データ書き出しを制限する仕組みを導入すること
会社支給のクライアント PC
No.100 マルウェアによる被害(データ暗号化等)を受けた場合に業務に支障をきたす重要データについては、PC 以外へ保管するようルールを定め、周知している
No. 100 レベル Lv2重要データはクライアント PC 以外に保管すること
役員、従業員、派遣社員、受入出向者
16-6 物理セキュリティ
ラベル 16 物理セキュリティサーバー等の重要機器への不正操作による情報漏洩、改ざん、システム停止を防ぐ
重要情報を格納・利用するシステムにおいて、人為的設定ミスによる被害を最小化する対策を実施していること
No.101 サーバーの不要な機能を無効化しているデフォルトユーザ ID の利用の停止をしているデフォルトパスワードの変更をしている
No. 101 レベル Lv2不要サービス、デーモンを無効化すること
デフォルトユーザ ID の利用を停止すること
デフォルトパスワードの変更すること
No.102 管理部署がスマートデバイスに対して、機密管理上必要な設定を行っている
No. 102 レベル Lv2パスワードを設定すること
紛失時のデータ削除機能を設定すること
17 通信制御
ラベル 17 通信制御サーバー等の重要機器への不正操作による情報漏洩、改ざん、システム停止を防ぐ
サイバー攻撃、内部情報漏えいを防止するため、情報システム・情報機器や不正な Web サイトへの通信制御を行っていること
No.103 インターネットと社内ネットワークとの境界にファイアウォールを設置し、通信を制限している
No. 103 レベル Lv2社内と社外のネットワーク通信を制限する仕組みを導入すること
[導入場所]
-社内外ネットワークの境界
[制限する項目]
-接続元および接続先の IP アドレス
-通信ポート
No.104 ファイアウォールのフィルタリング設定(通信の許可・遮断設定)を記録し、不要な設定がないか定期的に確認している
No. 104 レベル Lv2社内外ネットワーク通信のフィルタリング設定を記録すること
定期的に不要なフィルタリング設定がないか確認すること
不要なフィルタリング設定を削除すること
申請者、接続元および接続先の IP アドレス、通信方向、プロトコル、ポート番号、利用用途、登録日、有効期限
1 回/年
No.105 リモートアクセスの ID を管理し、不要な ID がないか定期的に確認している
No. 105 レベル Lv2リモートアクセスの ID の発行・変更・削除は申請・承認制にすること
定期的に不要な ID がないか確認すること
不要な ID を削除すること
1 回/年
No.106 業務およびデータの重要性に応じてネットワークを分離している。
No. 106 レベル Lv2業務内容やデータ重要性でシステムを分類し、専用のネットワークセグメント毎に設置すること
社外公開サーバー設置のネットワーク、PC とサーバーのネットワーク、工場ネットワーク/OA ネットワーク等
No.107 開発やテストを行う際は、本番環境に影響を与えない構成になっている
No. 107 レベル Lv2・開発環境やテスト環境が本番環境と分離されていること
[対象]
-重要な社内サーバー、重要な社外公開サーバー
※対象はリスクに応じて各社で判断
No.108 不正な Web サイトへのアクセスを制限している
No. 108 レベル Lv2不正な Web サイトへのアクセスを制限すること
クライアント PC/Web ゲートウェイ
No.109 インターネットに公開している Web アプリケーションについて WAF(Web Application Firewall)を導入している
No. 109 レベル Lv2WAF(Web Application Firewall)を導入すること
重要な社外公開 Web アプリケーション
No.110 インターネットに公開している Web サイト、システムについて、DDoS 攻撃を受けてもサービスを継続するための対策を実施している
No. 110 レベル Lv2DDoS 攻撃を受けた際にサービスを継続する仕組みを導入すること
重要な社外公開 Web サイト、DNS サーバー
No.111 インターネット経由の通信が盗聴、改ざんされないよう、通信を暗号化している
No. 111 レベル Lv2社内外ネットワーク通信を暗号化すること
社外から社内へのリモートアクセス通信
ユーザーと社外公開サーバーとの間で認証を伴う通信
No.112 端末と無線 LAN アクセスポイントの間の通信を暗号化している
No. 112 レベル Lv2端末とアクセスポイントの間の通信を暗号化すること
政府推奨暗号において危殆化している暗号技術は利用しないこと
社内無線 LAN
18 認証・認可
ラベル 18 認証・認可情報システムの不正利用や、情報システムの不正操作・変更を防ぐことで、情報漏洩、改ざんを防ぐとともに、情報システムを安定稼働させる。さらに、情報漏えい、改ざんや情報システム停止の際の原因調査を可能にする
情報システム・情報機器への認証・認可の対策を行っていること
No.113 ユーザーID を個人毎に割り当てている
No. 113 レベル Lv1ユーザーID を共有しないこと
やむを得ず共有 ID が必要な場合は、共有 ID を利用したユーザーを特定できるようにすること
業務で利用するシステムおよびパソコンログオン時のユーザーID
No.114 ユーザーID とシステム管理者 ID の権限を分離している
No. 114 レベル Lv1システム管理者と責任者を定めること
管理者権限を付与する従業員を限定すること
役割に応じた必要最低限の権限のみ付与すること
システム開発者が本番環境において、管理者権限で操作できないようにすること
管理者パスワードを適切に設定すること
すべてのサーバー、ネットワーク機器
No.115 パスワード設定に関するルールを定め、周知している
No. 115 レベル Lv1桁数・組み合わせ文字・有効期限を定めること
英字や数字の連続など容易に推測されるものを避けること
パスワードの漏えいが判明した場合は、パスワードを変更すること
業務で利用するシステムおよびパソコンログオン時のパスワード
役員、従業員、派遣社員、受入出向者
No.116 外部情報システムのパスワード設定ルールを定め、周知している
No. 116 レベル Lv2対象のパスワードを社外 Web サービスで設定しないこと
※同一の認証基盤(SSO 等)の場合は使いまわしに該当しない
PC ログオン時のパスワード
メールシステムのパスワード(Microsoft 365 など)
役員、従業員、派遣社員、受入出向者
No.117 ユーザーID 及びシステム管理者 ID は定期的、または必要に応じて棚卸しを行い、不要な ID を削除している
No. 117 レベル Lv1実施タイミングを明記した棚卸実施ルールを定め、不要な ID を削除すること
業務で利用するシステムおよびパソコンログオン時のユーザーID、及び、システム管理者の ID
No.118 ユーザーID の発行・変更・削除の手続きを定めている
No. 118 レベル Lv2ユーザーID の発行・変更・削除は申請・承認制にすること
業務で利用するシステムおよびパソコンログオン時のユーザーID
No.119 管理者権限の付与・変更・削除およびサーバーとネットワーク機器の設定内容の変更については、責任者の承認を得ている
No. 119 レベル Lv2管理者権限の付与・変更・削除は申請・承認制にすること
サーバーおよびネットワーク機器の設定変更は申請・承認制にすること
サーバーの管理者権限を管理すること(追加、変更、修正)
ネットワーク機器で管理者権限を利用できる人を管理すること
No.120 インターネットから利用できるシステムには多要素認証を実装している
No. 120 レベル Lv3インターネットを経由した認証において、知識、所持、生体のいずれか 2 つ以上の認証を実装すること
機密レベルが高い情報を取り扱うシステム
特権アカウント
リモートアクセス
No.121 重要システムではセッションタイムアウトを実装している
No. 121 レベル Lv2重要システムではセッションタイムアウトを実装すること
社外公開システム、重要な社内システム
No.122 認証ログのモニタリングを実施している
No. 122 レベル Lv3認証ログのモニタリングを実施し、不審な認証を検知できること
パソコン、サーバーの認証ログ、重要システムのデータベースアクセスログ
1 回/月以上
19-1 パッチやアップデート適用
ラベル 19 パッチやアップデート適用不正アクセスやマルウェア感染のリスクを低減する
サポート期限が切れた機器、OS、ソフトウェアを利用しないようにしていること
No.123 サポート期限が切れた OS、ソフトウェアを利用しないようにしている
No. 123 レベル Lv2サポートのある OS、ソフトウェアを利用すること
やむを得ずサポート切れの OS、ソフトウェアを利用する場合は、できる限り脆弱性悪用のリスクを低減すること
会社支給のパソコンの OS、ブラウザ、Office ソフト
サーバーの OS、ミドルウェア
会社支給のスマートデバイスの OS、アプリ
インターネットとの境界に設置されているネットワーク機器の OS、ファームウェア
19-2 パッチやアップデート適用
ラベル 19 パッチやアップデート適用不正アクセスやマルウェア感染のリスクを低減する
脆弱性を利用した不正アクセスを防止する施策を実施していること
No.124 情報システム・情報機器、ソフトウェアへセキュリティパッチやアップデート適用を適切に行っている
No. 124 レベル Lv1セキュリティパッチやアップデート適用を、規則と期限を定め実施すること
やむを得ず適用できない場合は、適用対象外の理由を記録すること
パソコン、スマホ、タブレット、サーバー、ネットワーク機器、ソフトウェア等
- 会社支給のクライアント PC の OS、ブラウザ、Office ソフト
- サーバーの OS、ミドルウェア
- 会社支給のスマートデバイスの OS、アプリ
- インターネットとの境界に設置されているネットワーク機器の OS、ファームウェア
No.125 脆弱性の管理体制、管理プロセスを定めている
No. 125 レベル Lv2脆弱性情報の収集から対応まで担当部署の役割・責任を明確化すること
脆弱性情報/脅威情報を収集する情報源、ツール、頻度を定めること
収集した情報の対応要否判断基準・対応手順を定めること
対応履歴を記録し、月次でチェックすること
No.126 社外へ公開しているサーバーについて、本番稼働前および稼働後に脆弱性診断を実施し、判明した脆弱性に対して対策を行っている
No. 126 レベル Lv3プラットフォームの脆弱性を診断すること
脆弱性に対する対応の要否判断規則とリードタイムを決めること
診断結果と対応結果を保管すること
社外公開サーバーの OS、ミドルウェア
本番稼働前:1 回以上
本番稼働後:2 回/年およびシステムの大きな変更時
影響の大きな脆弱性が公開された時
No.127 社内サーバーについて、本番稼働前および稼働後に脆弱性診断を実施し、脆弱性に対応している
No. 127 レベル Lv3プラットフォームの脆弱性を診断すること
脆弱性に対する対応の要否判断規則とリードタイムを決めること
診断結果と対応結果を保管すること
重要な社内サーバーの OS、ミドルウェア
本番稼働前:1 回以上
本番稼働後:1 回/年およびシステムの大きな変更時
No.128 インターネットに公開している Web アプリケーションについて、アプリケーション脆弱性診断を実施している
No. 128 レベル Lv3Web アプリケーションの脆弱性を診断すること
脆弱性に対する対応の要否判断規則とリードタイムを決めること
診断結果と対応結果を保管すること
重要な社外公開 Web アプリケーション
本番稼働前:1 回以上
本番稼働後:アプリケーションの大きな変更時
20 データ保護
ラベル 20 データ保護不正アクセスやマルウェア感染のリスクを低減する
情報システム・情報機器のデータ保護を行っていること
No.129 情報機器、情報システムのデータを適切に暗号化している
No. 129 レベル Lv3社外に持ち出すパソコン、記憶媒体のデータを暗号化すること
重要システムのデータベースを暗号化すること
No.130 外部から受け取ったデータが安全であることを確認している
No. 130 レベル Lv2ウイルス対策ソフトのリアルタイムスキャンを実行すること
外部から受け取ったファイルを安全な仮想環境上で安全性を確認するシステムを導入すること
21 オフィスツール関連
ラベル 21 オフィスツール関連不正アクセスやマルウェア感染のリスクを低減する
情報システム・情報機器のデータ保護を行っていること
No.131 メール送信による情報漏えいを防止するための対策を実施している
No. 131 レベル Lv2機密情報をメール送信する場合は、情報漏えい対策を実施すること
No.132 メールの誤送信を防止する対策を実施している
No. 132 レベル Lv2メールの誤送信を防止する対策を実施すること
社外宛ての送信メール
No.133 内部不正対策として社外送付メールの監査を実施し、監査している事をメール利用者に周知している
No. 133 レベル Lv2メール監査を実施し、監査している事を周知すること
社外宛ての送信メール
役員、従業員、派遣社員、受入出向者
No.134 Web サイトや Web アプリケーションの利用における禁止事項および制限事項を明確にし、周知している
No. 134 レベル Lv2下記を明文化し周知すること
- 許可なく会社情報を SNS へ掲載しないこと
- 許可なく業務データを Web サービスにアップロードしないこと
役員、従業員、派遣社員、受入出向者
No.135 関係会社やパートナー企業とファイル共有する場合の利用ルールを定め、周知している(クラウドサービス利用も含む)
No. 135 レベル Lv2下記を明文化し周知すること
- 社外とファイル共有する場合は、信頼できる相手とのみ共有すること
- 送信履歴が残らない方法で、社外へファイル転送することを禁止すること
※ファイル共有:特定の場所にファイルをアップロードし、特定の相手にファイルのアクセスを許可すること
※ファイル転送:特定の相手にファイルを直接送信すること
役員、従業員、派遣社員、受入出向者
22 マルウェア対策
ラベル 22 マルウェア対策マルウェア感染による情報漏洩、改ざん、システム停止を防ぐ
セキュリティ上の異常を素早く検知するマルウェア対策を行っていること
No.136 パソコン、サーバーには、マルウェア感染を検知・通報するソフトウエア(ウイルス対策ソフト)を導入している
No. 136 レベル Lv1パソコン、サーバーごとにウイルス対策ソフトを導入すること
機器に応じた適切なスキャン範囲と頻度を規定し、スキャンを実行すること
ネットワークに接続している全てのパソコン、サーバー
No.137 ウイルス対策ソフトのパターンファイルは常に最新化している
No. 137 レベル Lv1No136 の対象のとおり
起動し利用する日ごとに1回 以上
No.138 エンドポイントでの詳細な履歴取得およびマルウェア感染後の遠隔対応が可能な行動追跡システムを導入している
No. 138 レベル Lv3エンドポイント対策システムを導入すること
会社支給のクライアント PC
サーバー
端末の操作履歴、プログラムの実行履歴、レジストリの変更履歴を取得できること
遠隔から端末の調査ができること
遠隔からネットワークからの切断ができること
感染後の復旧対応ができること
No.139 メールによるマルウェア感染を防止するため、メールゲートウェイでのマルウェアチェックを実施している
No. 139 レベル Lv2メールゲートウェイにマルウェアチェック機能を導入すること
No.140 メールの添付ファイルによるマルウェア侵入を防止するため、システムで拡張子制限を実施している
No. 140 レベル Lv2メールゲートウェイに特定の拡張子を制限する機能を導入すること
No.141 不正な Web サイト閲覧によるマルウェア感染を防止するため、Web ゲートウェイでのマルウェアチェックを実施している
No. 141 レベル Lv2Web ゲートウェイにマルウェアチェック機能を導入すること
23-1 不正アクセスの検知
ラベル 23 不正アクセスの検知不正アクセス・不正侵入による情報漏洩、改ざん、システム停止を防ぐ
ネットワークへの不正アクセスを常時監視する体制を構築すること
No.142 通信内容を常時監視し、不正アクセスや不正侵入をリアルタイムで検知/遮断および通知する仕組みを導入している
No. レベル Lv不正アクセスをリアルタイム検知・遮断する仕組みを導入すること
インターネットから社内への通信
社内から不正なサーバーへの通信
社内外ネットワークの境界
23-2 不正アクセスの検知
ラベル 23 不正アクセスの検知不正アクセス・不正侵入による情報漏洩、改ざん、システム停止を防ぐ
セキュリティ事件・事故が発生した場合に、侵入経路や漏えい経路の調査が行えるよう、ログが取得されていること
No.143 インシデント発生時の調査のために必要なログを取得している
No. 143 レベル Lv2下記ログを取得、保管している
[取得するログ(保管期間)]
-メールの送受信ログ(6 カ月)
取得項目:日時、宛先メールアドレス、送信元メールアドレス
-ファイアウォールのログ(6 カ月)
取得項目;日時、送信元 IP アドレス、送信先 IP アドレス
-プロキシサーバーのログ(6 カ月)
取得項目:日時、リクエスト元 IP アドレス、URL
-リモートアクセスのログ(6 カ月)
取得項目:日時、接続元 IP アドレス、ユーザーID
-認証サーバーのログ(6 カ月)
取得項目:日時、接続元 IP アドレス、ユーザーID、成功/失敗
-エンドポイント(パソコン、サーバー)の操作ログ(6 ヶ月)
取得項目:日時、ホスト名、ユーザーID、IP アドレス、操作内容
※クラウドサービスの利用も対象に含む
※クラウドサービスを利用しており保管期間の規則を満たせない場合はリスクに応じて期間を各社で判断
No.144 重要なシステムについて、アプリケーション操作ログを取得している
No. 144 レベル Lv3ユーザー、管理者の操作ログを取得すること
[対象]
-重要なシステム ※対象はリスクに応じて各社判断
[取得するログの項目]
-ユーザーID、タイムスタンプ、操作内容(ログイン、ログアウト、追加・削除などの操作)
[保管期間]
-6 カ月
※クラウドサービスを利用しており保管期間の基準を満たせない場合はリスクに応じて期間を各社で判断
23-3 不正アクセスの検知
ラベル 23 不正アクセスの検知不正アクセス・不正侵入による情報漏洩、改ざん、システム停止を防ぐ
標的型攻撃など、サイバー攻撃による被害を抑制させるため、サイバー攻撃を速やかに検知、遮断する対策を行っていること
No.145 ログを分析し、サイバー攻撃を検知する仕組みを導入している
No. 145 レベル Lv2・ログを常時分析し、異常発見時に通知する仕組みを導入すること
[分析対象]
-プロキシサーバー、IPS/IDS、ファイアウォール、エンドポイントのいずれか、または組み合わせ
[監視時間]
-24 時間/365 日
[機能要件]
-インシデントアラートが即時発報されること
-インシデントの速報レポートが作成され、通知されること
No.146 社内に侵入したマルウェアと不正なサーバーとの通信を遮断する対策を実施している
No. 146 レベル Lv2社内から不正なサーバーへの通信を遮断する仕組みを導入すること
No.147 インターネットに公開している Web サイトについて、サイトの改ざんを検知する仕組みを導入し、定期的に確認している
No. 147 レベル Lv3Web サイトの改ざんを検知する仕組みを導入すること
重要な社外公開 Web サイト
24-1 バックアップ・復元(リストア)
ラベル 24 バックアップ・復元(リストア)システム停止、データ消失による業務影響を極小化するとともに、早期の業務復旧を実現する
サイバー攻撃に対して重要情報の被害やシステム稼働の影響を最小限に留める対策を行っていること
No.148 適切なタイミングでバックアップを取得している
No. 148 レベル Lv1取得対象、取得頻度を定めてバックアップを取得すること
No.149 復元(リストア)手順を整備している
No. 149 レベル Lv1バックアップ対象ごとにリストア手順書を整備すること
No.150 システムが停止した際も業務が遂行できる代替手段を用意している
No. 150 レベル Lv1システム利用不可能時を想定した、実施可能な代替手法を整備すること
[対象]
-高い可用性が求められる(稼働停止許容時間が短い)システム
※対象はリスクに応じて各社判断
[対策例]
-アナログツールの利用(FAX など)
-クラウドサービスなどの外部情報システムの利用
No.151 重要なデータやシステムについてバックアップの復元(リストア)テストを実施している
No. 151 レベル Lv2定めた復元手順により、復元ができることを確認すること
重要なデータ・システム
システム構築時、変更時、定期的(リスク応じて判断)
No.152 サーバー等の設置エリアには、設備に災害対策、環境対策を実施している
No. 152 レベル Lv2火災、水害、停電に対する対策を行うこと
温湿度管理を行うこと
24-2 バックアップ・復元(リストア)
ラベル 24 バックアップ・復元(リストア)システム停止、データ消失による業務影響を極小化するとともに、早期の業務復旧を実現する
セキュリティインシデントを想定し事業継続の要件に沿う復旧に必要なデータを準備できていること。
No.153 事業継続上重要なシステムについては、重要度に応じて決められた各システムの復旧ポイント、復旧時間を満足するデータと手順が整備されている
No. 153 レベル Lv求められる復旧ポイントへ復帰可能なバックアップ及びトランザクションデータログを保管すること。
求められる復旧時間でリストアできる手順書を整備すること
事業継続上重要なシステム