JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範 | ページ 11

48
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
配置状況(例えば,どのソフトウェアがどのシステム上に導入されているか),及びそのソフトウェアに責
任のある組織内の担当者が含まれる。
  潜在していた技術的ぜい弱性を特定したときは,適切かつ時機を失しない処置をとることが望ましい。
技術的ぜい弱性に対する有効な管理プロセスを確立するためには,次の事項に従うことが望ましい。
a) 組織は,技術的ぜい弱性の管理に関連する役割及び責任を定め,確立する。技術的ぜい弱性の管理に
    は,ぜい弱性監視,ぜい弱性に関わるリスクアセスメント,パッチの適用,資産移動の追跡,及び要
    求される全ての調整責務が含まれる。
b) 技術的ぜい弱性を特定し,また,それらぜい弱性を継続して認識させるために用いる情報資源(ぜい
    弱性検査ツールなど)を,ソフトウェア及びその他の技術(組織の資産目録リストに基づく。8.1.1参
    照。)に対応させて特定する。これら情報資源は,この目録を変更したとき,又は他の新しい若しくは
    有益な資源を発見したときに更新する。
c) 潜在的に関連がある技術的ぜい弱性の通知に対処するための予定表を定める。
d) ひとたび潜在的な技術的ぜい弱性が特定されたときは,組織は,それと関連するリスク及びとるべき
    処置(例えば,ぜい弱性のあるシステムへのパッチ適用,他の管理策の適用)を特定する。
e) 技術的ぜい弱性の扱いの緊急性に応じて,変更管理に関連する管理策(12.1.2参照)又は情報セキュ
    リティインシデント対応手順(16.1.5参照)に従って,とるべき処置を実行する。
f)  正当な供給元からパッチを入手できる場合は,そのパッチを適用することに関連したリスクを評価す
    る(ぜい弱性が引き起こすリスクと,パッチの適用によるリスクとを比較する。)。
g) パッチの適用前に,それらが有効であること及びそれらが耐えられない副作用をもたらさないことを
    確実にするために,パッチを試験及び評価する。利用可能なパッチがない場合は,次のような他の管
    理策を考慮する。
  1) そのぜい弱性に関係するサービス又は機能を停止する。
  2) ネットワーク境界におけるアクセス制御(例えば,ファイアウォール)を調整又は追加する(13.1
      参照)。
  3) 実際の攻撃を検知するために,監視を強化する。
  4) ぜい弱性に対する認識を高める。
h) 監査ログは,実施した全ての手順について保持する。
i)  技術的ぜい弱性の管理プロセスは,その有効性及び効率を確実にするために,常に監視及び評価する。
j)  リスクの高いシステムには最初に対処する。
k) 技術的ぜい弱性に対する有効な管理プロセスは,インシデント管理活動と整合させる。これは,ぜい
    弱性に関するデータをインシデント対応部署に伝達し,インシデントが発生した場合に実施する技術
    的手順を準備するためである。
l)  ぜい弱性が特定されていながら適切な対応策がない場合には,その状況に対処するための手順を定め
    る。このような状況においては,組織は,既知のぜい弱性に関するリスクを評価し,適切な検知及び
    是正処置を定める。
関連情報
  技術的ぜい弱性の管理は,変更管理の従属機能としてみなすことができ,そう見ることで,変更管理の
プロセス及び手順が利用できることになる(12.1.2及び14.2.2参照)。
  業者には,できるだけ早くパッチを発行しなければならないとの大きな圧力がしばしばかかる。したが
って,パッチがその問題に的確に対処せず,また,好ましくない影響を及ぼす可能性がある。さらに,場

――――― [JIS Q 27002 pdf 51] ―――――

                                                                                             49
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
合によっては,一度パッチを適用すると,そのパッチの除去が容易ではないこともある。
  パッチの適切な試験が可能でない場合(その理由として,例えば,コスト,リソース不足がある。)には,
パッチ適用の遅れは,他のパッチ利用者によって報告された経験に基づいて,関連するリスクを評価する
ことになるとみなせる。ISO/IEC 27031[14]の利用が有用になり得る。
12.6.2 ソフトウェアのインストールの制限
管理策
  利用者によるソフトウェアのインストールを管理する規則を確立し,実施することが望ましい。
実施の手引
  組織は,利用者がインストールしてもよいソフトウェアの種類について,厳密な方針を定め,施行する
ことが望ましい。
  特権の許可は最小限にするという原則を適用することが望ましい。特定の特権を許可された利用者の場
合,ソフトウェアのインストールが可能となることがある。組織は,ソフトウェアのインストールの種類
のうち,許可するもの(例えば,既存のソフトウェアの更新及びセキュリティパッチの適用),及び禁止す
るもの(例えば,個人利用のためのソフトウェア,潜在的な悪意の有無が不明又はその疑いがあるソフト
ウェア)を特定することが望ましい。特権は,関連する利用者の役割を考慮したうえで付与することが望
ましい。
関連情報
  コンピュータ及びその他の機器へのソフトウェアのインストールを管理しなかった場合,ぜい弱性が生
じ,そのために情報の漏えい,完全性の喪失若しくはその他の情報セキュリティインシデント,又は知的
財産権の侵害につながる可能性がある。

12.7 情報システムの監査に対する考慮事項

目的 運用システムに対する監査活動の影響を最小限にするため。
12.7.1 情報システムの監査に対する管理策
管理策
  運用システムの検証を伴う監査要求事項及び監査活動は,業務プロセスの中断を最小限に抑えるために,
慎重に計画し,合意することが望ましい。
実施の手引
  この管理策の実施については,次の事項を守ることが望ましい。
a) システム及びデータへのアクセスに関する監査要求事項は,適切な管理層の同意を得る。
b) 技術監査における試験の範囲を,合意し,管理する。
c) 監査における試験は,ソフトウェア及びデータの読出し専用のアクセスに限定する。
d) 読出し専用以外のアクセスは,システムファイルの隔離された複製に対してだけ許可し,それらの複
    製は,監査が完了した時点で消去するか,又は監査の文書化の要求の下でそのようなファイルを保存
    する義務があるときは,適切に保護する。
e) 特別又は追加の処理に関する要求事項を特定し,合意する。
f)  監査における試験がシステムの可用性に影響する可能性がある場合,こうした試験は営業時間外に実
    施する。
g) 参照用の証跡を残すために,全てのアクセスを監視し,ログをとる。

――――― [JIS Q 27002 pdf 52] ―――――

50
Q 27002 : 2014 (ISO/IEC 27002 : 2013)

13 通信のセキュリティ

13.1 ネットワークセキュリティ管理

目的 ネットワークにおける情報の保護,及びネットワークを支える情報処理施設の保護を確実にするた
め。
13.1.1 ネットワーク管理策
管理策
  システム及びアプリケーション内の情報を保護するために,ネットワークを管理し,制御することが望
ましい。
実施の手引
  ネットワークにおける情報のセキュリティ,及び接続したネットワークサービスの認可されていないア
クセスからの保護を確実にするために,管理策を実施することが望ましい。特に,次の事項を考慮するこ
とが望ましい。
a) ネットワーク設備の管理に関する責任及び手順を確立する。
b) ネットワークの運用責任は,コンピュータの運用から,適切な場合には,分離する(6.1.2参照)。
c) 公衆ネットワーク又は無線ネットワークを通過するデータの機密性及び完全性を保護するため,並び
    にネットワークを介して接続したシステム及びアプリケーションを保護するために,特別な管理策を
    確立する(箇条10及び13.2参照)。ネットワークサービスの可用性及びネットワークを介して接続し
    たコンピュータの可用性を維持するためには,更に特別な管理策が要求される場合もある。
d) 情報セキュリティに影響を及ぼす可能性のある行動,又は情報セキュリティに関連した行動を記録及
    び検知できるように,適切なログ取得及び監視を適用する。
e) 組織に対するサービスを最適にするため,また,管理策を情報処理基盤全体に一貫して適用すること
    を確実にするために,様々な管理作業を綿密に調整する。
f)  ネットワーク上のシステムを認証する。
g) ネットワークへのシステムの接続を制限する。
関連情報
  ネットワークセキュリティについての追加情報が,ISO/IEC 27033規格群[15][19]に示されている。
13.1.2 ネットワークサービスのセキュリティ
管理策
  組織が自ら提供するか外部委託しているかを問わず,全てのネットワークサービスについて,セキュリ
ティ機能,サービスレベル及び管理上の要求事項を特定し,また,ネットワークサービス合意書にもこれ
らを盛り込むことが望ましい。
実施の手引
  合意したサービスをセキュリティを保って管理する,ネットワークサービス提供者の能力を定め,常に
監視し,監査の権利についてネットワークサービス提供者と合意することが望ましい。
  それぞれのサービスに必要なセキュリティについての取決め(例えば,セキュリティ特性,サービスレ
ベル,管理上の要求事項)を,特定することが望ましい。組織は,ネットワークサービス提供者によるこ
れらの対策の実施を確実にすることが望ましい。
関連情報
  ネットワークサービスには,接続,私設ネットワークサービス及び付加価値ネットワークの提供,並び

――――― [JIS Q 27002 pdf 53] ―――――

                                                                                             51
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
にネットワークセキュリティ管理のためのソリューション(例えば,ファイアウォール,侵入検知システ
ム)が含まれる。これらのサービスは,単純で管理を伴わない帯域の提供から複雑な付加価値機能の提供
まで,広い範囲に及ぶことがある。
  ネットワークサービスのセキュリティ特性には,次のものがある。
a) ネットワークサービスのセキュリティに適用する技術(例えば,認証,暗号化,ネットワーク接続管
    理)
b) セキュリティ規則及びネットワーク接続規則に従った,セキュリティの確保されたネットワークサー
    ビスへの接続のために要求される技術的パラメータ
c) 必要な場合,ネットワークサービス又はアプリケーションへのアクセスを制限するための,ネットワ
    ークサービス利用の手順
13.1.3 ネットワークの分離
管理策
  情報サービス,利用者及び情報システムは,ネットワーク上で,グループごとに分離することが望まし
い。
実施の手引
  大規模なネットワークのセキュリティを管理する一つの方法は,そのネットワークを幾つかのネットワ
ーク領域に分離することである。領域は,組織の単位(例えば,人的資源,財務,マーケティング)又は
特定の組合せ(例えば,複数の組織の単位に接続しているサーバ領域)に従い,信頼性のレベル(例えば,
公開されている領域,デスクトップ領域,サーバ領域)に基づいて選択することが可能である。分離は,
物理的に異なるネットワーク又は論理的に異なるネットワーク(例えば,仮想私設網)を用いることによ
って行うことが可能である。
  各領域の境界は,明確に定めることが望ましい。ネットワーク領域間のアクセスは認められるが,境界
にゲートウェイ(例えば,ファイアウォール,フィルタリングルータ)を設けて制御することが望ましい。
ネットワークを領域に分離する際の基準及びゲートウェイを通じて認められるアクセスの基準は,それぞ
れの領域のセキュリティ要求事項のアセスメントに基づくことが望ましい。このアセスメントでは,アク
セス制御方針(9.1.1参照),アクセス要求事項,並びに処理する情報の価値及び分類に従うことが望まし
く,また,適切なゲートウェイ技術を組み込むための費用対効果を考慮することが望ましい。
  無線ネットワークは,ネットワークの境界が十分に定められていないため,特別な取扱いを要する。取
扱いに慎重を要する環境では,全ての無線アクセスは,外部接続として取り扱い,そのアクセスがネット
ワーク管理策の方針(13.1.1参照)に従ってゲートウェイを通過して内部システムへのアクセスが許可さ
れるまでは,内部ネットワークから分離するように配慮することが望ましい。
  認証,暗号化及び利用者レベルでのアクセス制御技術が適切に実施された場合,最新かつ標準に基づく
無線ネットワークは,組織の内部ネットワークへ直接接続するために十分な場合がある。
関連情報
  ビジネスパートナーの関係が,情報処理施設及びネットワーク設備の相互接続又は共有を必要とするも
のになりつつあることから,ネットワークが組織の境界を越えて拡張することも少なくない。このような
拡張は,そのネットワークを利用する組織の情報システムへの認可されていないアクセスのリスクを増加
させる場合もある。これらのネットワークの一部は,取扱いに慎重を要する度合い又は重要性の理由で,
他のネットワーク利用者からの保護が必要である。

13.2 情報の転送

――――― [JIS Q 27002 pdf 54] ―――――

52
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
目的 組織の内部及び外部に転送した情報のセキュリティを維持するため。
13.2.1 情報転送の方針及び手順
管理策
  あらゆる形式の通信設備を利用した情報転送を保護するために,正式な転送方針,手順及び管理策を備
えることが望ましい。
実施の手引
  情報転送のために通信設備を利用するときに従う手順及び管理策は,次の事項を考慮することが望まし
い。
a) 転送する情報を,盗聴,複製,改ざん,誤った経路での通信及び破壊から保護するために設計された
    手順
b) 電子的メッセージ通信を通じて伝送される可能性のあるマルウェアを検出し,これらから保護するた
    めの手順(12.2.1参照)
c) 添付形式として通信される,取扱いに慎重を要する電子情報の保護に関する手順
d) 通信設備の許容できる利用について規定した方針又は指針(8.1.3参照)
e) 要員,外部関係者及びその他の利用者の,組織を危うくするような行為[例えば,名誉き(毀)損,
    嫌がらせ,成りすまし,チェーンメールの転送,架空購入]をしないことの責任
f)  暗号技術の利用(例えば,情報の機密性,完全性及び真正性を保護するための暗号の利用)(箇条10
    参照)
g) 関連する国及び地域の法令及び規制に従った,全ての業務通信文(メッセージを含む。)の保持及び処
    分に関する指針
h) 通信設備の利用(例えば,外部のメールアドレスへの電子メールの自動転送)に関する管理策及び制
    限
i)  秘密情報を漏えいしないように適切な予防策を講じることの,要員への助言
j)  秘密情報を含んだメッセージを留守番電話に残さないこと。留守番電話に残したメッセージは,認可
    されていない者が再生する場合,共有システムに保管される場合,又は誤ダイアルの結果,間違って
    保管される場合があるからである。
k) ファクシミリ又はそのサービスの利用に伴う,次の問題に関わる要員への助言
  1) ファクシミリの受信文の取出し装置への認可されていないアクセス
  2) 特定の番号にメッセージを送る故意又は偶然のプログラミング
  3) 誤ダイアル,又は間違って記憶した番号を用いることによる,誤った番号への文書及びメッセージ
      の送付
  さらに,公共の場所,並びにセキュリティが確保されていない通信経路,出入りが自由なオフィス及び
会議室では,秘密の会話はしないほうがよいことを要員に意識させることが望ましい。
  情報転送サービスは,関連するいかなる法的要求事項についても順守することが望ましい(18.1参照)。
関連情報
  情報転送は,多くの異なる通信設備(電子メール,音声,ファクシミリ及びビデオを含む。)の利用を通
じてなされる場合がある。
  ソフトウェアの転送は,多くの異なる手段(インターネットからのダウンロード及び汎用品の販売業者

――――― [JIS Q 27002 pdf 55] ―――――

次のページ PDF 56