JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範 | ページ 10

                                                                                             43
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
    ションのホワイトリスト化)
c) 悪意のあるウェブサイトであると知られている又は疑われるウェブサイトの使用を,防止又は検出す
    るための管理策の実施(例えば,ブラックリスト)
d) 外部ネットワークから若しくは外部ネットワーク経由で,又は他の媒体を通じてファイル及びソフト
    ウェアを入手することによるリスクから保護し,どのような保護対策を行うことが望ましいかを示す
    組織の正式な方針の確立
e) マルウェアに付け込まれる可能性のあるぜい弱性を,技術的ぜい弱性管理などを通じて低減させる
    (12.6参照)。
f)  重要な業務プロセスを支えるシステムのソフトウェア及びデータの,定めに従ったレビューの実施。
    未承認のファイル又は認可されていない変更があった場合には,正式に調査する。
g) 予防又は定常作業として,コンピュータ及び媒体を走査(scan)するための,マルウェアの検出・修
    復ソフトウェアの導入及び定めに従った更新。実施する走査には,次を含める。
  1) ネットワーク経由又は何らかの形式の記憶媒体を通じて入手した全てのファイルに対する,マルウ
      ェア検出のための使用前の走査
  2) 電子メールの添付ファイル及びダウンロードしたファイルに対する,マルウェア検出のための使用
      前の走査。この走査は,様々な場所(例えば,電子メールサーバ,デスクトップコンピュータ,組
      織のネットワークの入口)で実施する。
  3) ウェブページに対するマルウェア検出のための走査
h) システムにおけるマルウェアからの保護,保護策の利用方法に関する訓練,マルウェアの攻撃の報告
    及びマルウェアの攻撃からの回復に関する手順及び責任の明確化
i)  マルウェアの攻撃から回復するための適切な事業継続計画の策定。これには,必要な全てのデータ及
    びソフトウェアの,バックアップ及び回復の手順を含める(12.3参照)。
j)  常に情報を収集するための手順の実施(例えば,新種のマルウェアに関する情報を提供するメーリン
    グリストへの登録又はウェブサイトの確認)
k) マルウェアに関する情報を確認し,警告情報が正確かつ役立つことを確実にするための手順の実施。
    管理者は,単なるいたずらと真のマルウェアとを識別するために,適切な情報源(例えば,定評のあ
    る刊行物,信頼できるインターネットサイト,マルウェアの対策ソフトウェア供給者)の利用を確実
    にする。また,単なるいたずらの問題及びそれらを受け取ったときの対応について,全ての利用者に
    認識させる。
l)  壊滅的な影響が及ぶ可能性のある環境の隔離
関連情報
  情報処理の環境全体を通して,異なる業者及び技術による,マルウェアからの対策ソフトウェア製品を
複数利用することによって,マルウェアからの保護の有効性を高めることができる。
  保守及び緊急時手順においては,マルウェアに対する通常の管理策を回避する場合があるため,マルウ
ェアの侵入防止に向けた注意を払うことが望ましい。
  特定の条件下では,マルウェアからの保護策が業務に障害を及ぼす可能性がある。
  通常,マルウェアに対する管理策として,マルウェアの検出及び修復ソフトウェアだけを利用するので
は不十分であり,一般にはマルウェアの侵入を防止するための運用手順を併用する必要がある。

12.3 バックアップ

――――― [JIS Q 27002 pdf 46] ―――――

44
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
目的 データの消失から保護するため。
12.3.1 情報のバックアップ
管理策
  情報,ソフトウェア及びシステムイメージのバックアップは,合意されたバックアップ方針に従って定
期的に取得し,検査することが望ましい。
実施の手引
  バックアップ方針を確立し,情報,ソフトウェア及びシステムイメージのバックアップに関する組織の
要求事項を定めることが望ましい。
  バックアップ方針では,保管及び保護に関する要求事項を定めることが望ましい。
  災害又は媒体故障の発生の後に,全ての重要な情報及びソフトウェアの回復を確実にするために,適切
なバックアップ設備を備えることが望ましい。
  バックアップ計画を策定するときは,次の事項を考慮に入れることが望ましい。
a) バックアップ情報の正確かつ完全な記録及び文書化したデータ復旧手順を作成する。
b) バックアップの範囲(例えば,フルバックアップ,差分バックアップ),及びバックアップの頻度は,
    組織の業務上の要求事項,関連する情報のセキュリティ要求事項,及びその情報の組織の事業継続に
    対しての重要度を考慮して決定する。
c) バックアップ情報は,主事業所の災害による被害から免れるために,十分離れた場所に保管する。
d) バックアップ情報に対して,主事業所に適用されている標準と整合した,適切なレベルの物理的及び
    環境的保護(箇条11参照)を実施する。
e) バックアップに用いる媒体は,必要になった場合の緊急利用について信頼できることを確実にするた
    めに,定めに従って試験する。この試験は,データ復旧手順の試験と併せて行い,必要なデータ復旧
    時間に照らし合わせて確認することが望ましい。バックアップデータを復旧させる能力の試験は,バ
    ックアップ手順又はデータ復旧プロセスに失敗し,データに修復不能な損傷又は損失が発生した場合
    に備えて,原本の媒体に上書きするのではなく,専用の試験媒体を用いて行う。
f)  機密性が重要な場合には,暗号化によってバックアップ情報を保護する。
  運用手順では,バックアップ方針に従って,バックアップの完全性を確保するために,その実行を監視
し,計画されたバックアップの失敗に対処することが望ましい。
  個々のシステム及びサービスに関するバックアップの取決めは,事業継続計画の要求事項を満たすこと
を確実にするために,定めに従って試験することが望ましい。重要なシステム及びサービスに関するバッ
クアップの取決めは,災害に際してシステム全体を復旧させるために必要となる,システム情報,アプリ
ケーション及びデータの全てを対象とすることが望ましい。
  永久保存する複製物に関するあらゆる要求事項を考慮に入れて,不可欠な業務情報の保管期間を決定す
ることが望ましい。

12.4 ログ取得及び監視

目的 イベントを記録し,証拠を作成するため。
12.4.1 イベントログ取得
管理策
  利用者の活動,例外処理,過失及び情報セキュリティ事象を記録したイベントログを取得し,保持し,

――――― [JIS Q 27002 pdf 47] ―――――

                                                                                             45
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
定期的にレビューすることが望ましい。
実施の手引
  関連がある場合は,次の事項をイベントログに含めることが望ましい。
a) 利用者ID
b) システムの動作
c) 主要なイベントの日時及び内容(例えば,ログオン,ログオフ)
d) 装置のID又は所在地(可能な場合),及びシステムの識別子
e) システムへのアクセスの,成功及び失敗した試みの記録
f)  データ及び他の資源へのアクセスの,成功及び失敗した試みの記録
g) システム構成の変更
h) 特権の利用
i)  システムユーティリティ及びアプリケーションの利用
j)  アクセスされたファイル及びアクセスの種類
k) ネットワークアドレス及びプロトコル
l)  アクセス制御システムが発した警報
m) 保護システム(例えば,ウィルス対策システム,侵入検知システム)の作動及び停止
n) アプリケーションにおいて利用者が実行したトランザクションの記録
  イベントログの取得は,システムのセキュリティについて整理統合したレポート及び警告を生成する能
力を備えた自動監視システムの基礎となる。
関連情報
  イベントログには,取扱いに慎重を要するデータ及びPIIが含まれる場合がある。適切なプライバシー
保護対策をとることが望ましい(18.1.4参照)。
  可能な場合には,システムの実務管理者には,管理者自身の活動ログを削除又は停止する許可を与えな
いことが望ましい(12.4.3参照)。
12.4.2 ログ情報の保護
管理策
  ログ機能及びログ情報は,改ざん及び認可されていないアクセスから保護することが望ましい。
実施の手引
  管理策は,次の事項を含むログ取得機能を用いて,ログ情報の認可されていない変更及び運用上の問題
から保護することを目指すことが望ましい。
a) 記録されたメッセージ形式の変更
b) ログファイルの編集又は削除
c) イベント記録の不具合又は過去のイベント記録への上書きを引き起こす,ログファイル媒体の記録容
    量超過
  監査ログの幾つかは,記録の保持に関する方針の一部として,又は証拠の収集及び保全のための要求事
項であることから,保存を要求される場合がある(16.1.7参照)。
関連情報
  多くの場合,システムログは多量の情報を含んでいるが,その多くは情報セキュリティの監視とは無関

――――― [JIS Q 27002 pdf 48] ―――――

46
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
係である。情報セキュリティの監視を目的として,重要イベントの特定を補助するために,適切なメッセ
ージタイプを二次的ログとして自動的に複製すること,又はファイル調査・正当性確認を実施する適切な
システムユーティリティ若しくは監査ツールを用いることを考慮することが望ましい。
  システムログに含まれているデータが改ざん又は削除されると,セキュリティ上の誤った判断をする場
合があるため,システムログを保護する必要がある。ログを保護するために,システムの実務管理者又は
運用担当者の管理外にあるシステムに,ログを逐次複製することがある。
12.4.3 実務管理者及び運用担当者の作業ログ
管理策
  システムの実務管理者及び運用担当者の作業は,記録し,そのログを保護し,定期的にレビューするこ
とが望ましい。
実施の手引
  特権を与えられた利用者のアカウントの保有者は,その直接の管理下で,情報処理施設に関するログを
操作することが可能な場合がある。したがって,特権を与えられた利用者に関する責任追跡性を維持する
ために,ログを保護及びレビューする必要がある。
関連情報
  システム及びネットワークの実務管理者の管理外にある侵入検知システムは,システム及びネットワー
クの管理の活動が規則を順守していることを監視するために利用することができる。
12.4.4 クロックの同期
管理策
  組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックは,単一の参照時刻源と同
期させることが望ましい。
実施の手引
  時刻の表示,同期及び正確さに関する外部及び内部の要求事項は,文書化することが望ましい。このよ
うな要求事項は,法的,規制及び契約上の要求事項,標準類の順守,又は内部監視に関する要求事項であ
り得る。組織内で用いるための基準となる時刻源を定めることが望ましい。
  基準となる時刻源を外部から取得するための組織の取組み及び内部のクロックを確実に同期させる方法
を文書化し,実施することが望ましい。
関連情報
  コンピュータ内のクロックの正しい設定は,監査ログの正確さを確実にするために重要である。監査ロ
グは,調査のために又は法令若しくは懲戒が関わる場合の証拠として必要となる場合がある。不正確な監
査ログは,そのような調査を妨げ,また,証拠の信頼性を損なう場合がある。時刻の国家標準に基づく時
報と同期したクロックは,記録システムのマスタクロックとして利用することができる。時刻同期プロト
コル(Network time protocol: NTP)は,全てのサーバをマスタクロックに同期させておくために利用する
ことができる。

12.5 運用ソフトウェアの管理

目的 運用システムの完全性を確実にするため。
12.5.1 運用システムに関わるソフトウェアの導入
管理策
  運用システムに関わるソフトウェアの導入を管理するための手順を実施することが望ましい。

――――― [JIS Q 27002 pdf 49] ―――――

                                                                                             47
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
実施の手引
  運用システムに関わるソフトウェアの変更を管理するために,次の事項を考慮することが望ましい。
a) 運用ソフトウェア,アプリケーション及びプログラムライブラリの更新は,適切な管理層の認可に基
    づき,訓練された実務管理者だけが実施する(9.4.5参照)。
b) 運用システムは,実行可能なコードだけを保持し,開発用コード又はコンパイラは保持しない。
c) アプリケーション及びオペレーティングシステムソフトウェアは,十分な試験に成功した後に導入す
    る。試験は,使用性,セキュリティ,他システムへの影響及びユーザフレンドリ性を対象とし,別の
    システムで実行する(12.1.4参照)。対応するプログラムソースライブラリが更新済みであることを確
    実にする。
d) 導入したソフトウェアの管理を維持するために,システムに関する文書化と同様に,構成管理システ
    ムを利用する。
e) 変更を実施する前に,ロールバック計画を備える。
f)  運用プログラムライブラリの更新の全てについて,監査ログを維持する。
g) 緊急時対応の手段として,一つ前の版のアプリケーションソフトウェアを保持する。
h) ソフトウェアの旧版は,そのソフトウェアが扱ったデータが保存されている間は,必要とされる情報
    及びパラメータの全て,手順,設定の詳細並びにサポートソフトウェアとともに保管しておく。
  運用システムに利用される業者供給ソフトウェアは,供給者によってサポートされるレベルを維持する
ことが望ましい。徐々に,ソフトウェア業者は,古い版のソフトウェアのサポートを中止する。組織は,
サポートのないソフトウェアに依存することのリスクを考慮することが望ましい。
  新リリースにアップグレードするとの決定には,その変更に対する事業上の要求及びそのリリースのセ
キュリティ(例えば,新しい情報セキュリティ機能の導入,この版が必要になった情報セキュリティ問題
の量及び質)を考慮に入れることが望ましい。情報セキュリティ上の弱点を除去するか,又は低減するた
めに役立つ場合には,ソフトウェアパッチを適用することが望ましい(12.6参照)。
  供給者による物理的又は論理的アクセスは,サポート目的で必要なときに,管理層の承認を得た場合に
だけ許可することが望ましい。供給者の活動を監視することが望ましい(15.2.1参照)。
  コンピュータソフトウェアは,外部から供給されるソフトウェア及びモジュールに依存する場合がある。
セキュリティ上の弱点を招く可能性のある認可されていない変更を回避するために,外部から供給される
ソフトウェア及びモジュールは,監視し,管理することが望ましい。

12.6 技術的ぜい弱性管理

目的 技術的ぜい弱性の悪用を防止するため。
12.6.1 技術的ぜい弱性の管理
管理策
  利用中の情報システムの技術的ぜい弱性に関する情報は,時機を失せずに獲得することが望ましい。ま
た,そのようなぜい弱性に組織がさらされている状況を評価することが望ましい。さらに,それらと関連
するリスクに対処するために,適切な手段をとることが望ましい。
実施の手引
  最新で完全な資産目録(箇条8参照)は,技術的ぜい弱性に対する有効な管理のために不可欠である。
技術的ぜい弱性の管理をサポートするために必要となる具体的な情報には,ソフトウェア業者,版番号,

――――― [JIS Q 27002 pdf 50] ―――――

次のページ PDF 51