JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範 | ページ 3

8
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
当局との連絡は,組織が実施しなければならない法令又は規制の改正動向を事前に把握し,対応すること
にも役立つ。関係当局としての他の連絡先には,公益事業,緊急時サービス,電気事業,安全衛生などの
事業者[例えば,消防署(事業継続に関連して),通信事業者(回線の経路設定及び可用性に関連して),
水道事業者(装置の冷却用設備に関連して)]がある。
6.1.4  専門組織との連絡
管理策
  情報セキュリティに関する研究会又は会議,及び情報セキュリティの専門家による協会・団体との適切
な連絡体制を維持することが望ましい。
実施の手引
  次の事項を達成する手段として,情報セキュリティに関する研究会又は会議への参加を考慮することが
望ましい。
a) 最適な慣行に関する認識を改善し,関係するセキュリティ情報を最新に保つ。
b) 情報セキュリティ環境の理解が最新かつ完全であることを確実にする。
c) 攻撃及びぜい弱性に関連する早期警戒警報,勧告及びパッチを受理する。
d) 専門家から情報セキュリティの助言を得る。
e) 新しい技術,製品,脅威又はぜい弱性に関する情報を共用し,交換する。
f)  情報セキュリティインシデントを扱う場合の,適切な連絡窓口を提供する(箇条16参照)。
関連情報
  セキュリティの課題に関する協力関係及び連携を向上するために,情報共有に関して合意を確立するこ
ともできる。このような合意では,秘密情報の保護に対する要求事項を特定することが望ましい。
6.1.5  プロジェクトマネジメントにおける情報セキュリティ
管理策
  プロジェクトの種類にかかわらず,プロジェクトマネジメントにおいては,情報セキュリティに取り組
むことが望ましい。
実施の手引
  情報セキュリティリスクがプロジェクトの中で特定及び対処されることを確実にするために,情報セキ
ュリティを組織のプロジェクトマネジメント手法に組み入れることが望ましい。これは,プロジェクトの
特性にかかわらず,一般にあらゆるプロジェクトに適用される(例えば,中核事業プロセス,IT,施設管
理,その他のサポートプロセスのためのプロジェクト)。用いるプロジェクトマネジメント手法では,次の
事項を要求することが望ましい。
a) 情報セキュリティ目的をプロジェクトの目的に含める。
b) 必要な管理策を特定するため,プロジェクトの早い段階で情報セキュリティリスクアセスメントを実
    施する。
c) 適用するプロジェクトマネジメントの方法論の全ての局面において,情報セキュリティを含める。
  全てのプロジェクトにおいて,情報セキュリティの組織への影響を明確にし,これを定期的にレビュー
することが望ましい。プロジェクトマネジメント手法で定められた役割を明確にするため,情報セキュリ
ティに関する責任を定め,割り当てることが望ましい。

6.2 モバイル機器及びテレワーキング

目的 モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。

――――― [JIS Q 27002 pdf 11] ―――――

                                                                                              9
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
6.2.1  モバイル機器の方針
管理策
  モバイル機器を用いることによって生じるリスクを管理するために,方針及びその方針を支援するセキ
ュリティ対策を採用することが望ましい。
実施の手引
  モバイル機器を用いる場合,業務情報が危険にさらされないことを確実にするために,特別な注意を払
うことが望ましい。モバイル機器の方針は,保護されていない環境におけるモバイル機器を用いた作業の
リスクを考慮に入れることが望ましい。
  モバイル機器の方針では,次の事項を考慮することが望ましい。
a) モバイル機器の登録
b) 物理的保護についての要求事項
c) ソフトウェアのインストールの制限
d) モバイル機器のソフトウェアのバージョン及びパッチ適用に対する要求事項
e) 情報サービスへの接続の制限
f)  アクセス制御
g) 暗号技術
h) マルウェアからの保護
i)  遠隔操作による機器の無効化,データの消去又はロック
j)  バックアップ
k) ウェブサービス及びウェブアプリケーションの使用
  公共の場所,会議室,その他保護されていない場所でモバイル機器を用いるときは,注意を払うことが
望ましい。これらの機器に保管され,処理される情報について,認可されていないアクセス又は漏えいを
防止するため,例えば,暗号技術の使用(箇条10参照),秘密認証情報の使用の強制(9.2.4参照)などの
保護を実施することが望ましい。
  モバイル機器は,また,盗難,特にどこか(例えば,自動車,他の輸送機関,ホテルの部屋,会議室,
集会所)に置き忘れたときの盗難から,物理的に保護されることが望ましい。モバイル機器の盗難又は紛
失の場合の対策のために,法規制,保険及び組織の他のセキュリティ要求事項を考慮した特定の手順を確
立することが望ましい。重要度の高い,取扱いに慎重を要する又は影響の大きい業務情報が入っているモ
バイル機器は,無人の状態で放置しないほうがよい。可能な場合には,物理的に施錠するか,又はモバイ
ル機器のセキュリティを確保するために特別な錠を用いることが望ましい。
  この作業形態に起因する追加のリスク及び実施することが望ましい管理策についての意識向上のために,
モバイル機器を用いる要員に対する教育・訓練を計画・準備することが望ましい。
  モバイル機器の方針で,個人所有のモバイル機器の使用が許されている場合は,その方針及び関連する
セキュリティ対策において,次の事項も考慮することが望ましい。
a) 機器の私的な使用と業務上の使用とを区別する。このような区別を可能とし,個人所有の機器に保存
    された業務データを保護するためのソフトウェアの使用も含む。
b) エンドユーザ合意書に利用者が署名した場合にだけ,業務情報にアクセスできるようにする。エンド
    ユーザ合意書には,利用者の義務(物理的な保護,ソフトウェアの更新など)についての確認,業務
    データに対する所有権を主張しないこと,及び機器の盗難若しくは紛失があった場合又はサービス利

――――― [JIS Q 27002 pdf 12] ―――――

10
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
    用の認可が取り消された場合に組織が遠隔操作でデータを消去することへの合意を含む。この方針で
    は,プライバシーに関する法令を考慮する必要がある。
関連情報
  モバイル機器の無線接続は,ネットワーク接続の他のタイプと類似しているが,管理策を特定するとき
に考慮することが望ましい重要な違いがある。典型的な違いは,次のとおりである。
a) 幾つかの無線のセキュリティプロトコルは,完成度が低く弱点が知られている。
b) モバイル機器に蓄積した情報は,ネットワーク帯域が限られているか,計画したバックアップの時間
    にモバイル機器を接続していなかったことから,バックアップされていない場合がある。
  一般に,モバイル機器は,固定機器と共通の機能をもっている(例えば,ネットワーク,インターネッ
ト接続,電子メール,ファイルの取扱い)。また,モバイル機器の情報セキュリティ管理策は一般に,固定
機器で採用される管理策,及び組織の敷地外でモバイル機器を用いることから生じる脅威に対処するため
の管理策から構成される。
6.2.2  テレワーキング
管理策
  テレワーキングの場所でアクセス,処理及び保存される情報を保護するために,方針及びその方針を支
援するセキュリティ対策を実施することが望ましい。
実施の手引
  テレワーキング活動を許可する組織は,テレワーキングを行う場合の条件及び制限を定めた方針を発行
することが望ましい。法令が適用され,これによって認可されるとみなされる場合には,次の事項を考慮
することが望ましい。
a) 建物及び周辺環境の物理的セキュリティを考慮に入れた,テレワーキングの場所の既存の物理的セキ
    ュリティ
b) 提案された物理的なテレワーキングの環境
c) 次を考慮した,通信のセキュリティに関する要求事項
  − 組織の内部システムへの遠隔アクセスの必要性
  − 通信回線からアクセスし,通信回線を通過する情報の取扱いに慎重を要する度合い
  − 内部システムの取扱いに慎重を要する度合い
d) 個人所有の装置で情報を処理及び保管できないようにする仮想デスクトップへのアクセスの提供
e) 住環境を共有する者(例えば,家族,友人)による,情報又は資源への認可されていないアクセスの
    脅威
f)  家庭のネットワークの使用及び無線ネットワークサービスの設定に関する要求事項又は制限
g) 個人所有の装置の上で開発した知的財産の権利に関する論争を防ぐための方針及び手順
h) 個人所有の装置へのアクセス(装置のセキュリティ検証のためのもの,又は調査期間中に行うもの)。
      なお,このアクセスは,法令が禁じている場合がある。
i)  従業員又は外部の利用者が個人的に所有するワークステーション上のクライアントソフトウェアの使
    用許諾について,組織が責任をもつことになる場合の,ソフトウェアの使用許諾契約
j)  マルウェアに対する保護及びファイアウォールの要件
  考慮すべき指針及び取決めには,次の事項を含むことが望ましい。

――――― [JIS Q 27002 pdf 13] ―――――

                                                                                             11
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
a) 組織の管理下にない個人所有の装置の使用を許さない場合には,テレワーキング活動のための適切な
    装置及び保管用具の用意
b) 許可した作業,作業時間,保持してもよい情報の分類,並びにテレワーキングを行う者にアクセスを
    認可する内部システム及びサービスの定義
c) 安全な遠隔アクセス方法を含め,適切な通信装置の用意
d) 物理的セキュリティ
e) 家族及び訪問者による装置及び情報へのアクセスに関する規則及び手引
f)  ハードウェア及びソフトウェアのサポート及び保守の用意
g) 保険の用意
h) バックアップ及び事業継続のための手順
i)  監査及びセキュリティの監視
j)  テレワーキングが終了したときの,権限及びアクセス権の失効並びに装置の返却
関連情報
  テレワーキングとは,オフィス以外で行うあらゆる作業形態をいう。これには,“コンピュータ端末を用
いた在宅勤務(telecommuting)”,“柔軟な作業場(flexible workplace)”,“遠隔作業”及び“仮想的な作業”
の環境のような,従来とは異なる作業環境を含む。

7 人的資源のセキュリティ

7.1 雇用前

目的 従業員及び契約相手がその責任を理解し,求められている役割にふさわしいことを確実にするた
め。
7.1.1  選考
管理策
  全ての従業員候補者についての経歴などの確認は,関連する法令,規制及び倫理に従って行うことが望
ましい。また,この確認は,事業上の要求事項,アクセスされる情報の分類及び認識されたリスクに応じ
て行うことが望ましい。
実施の手引
  この確認は,関連があるプライバシー,PIIの保護及び雇用に関する法令の全てを考慮に入れ,許される
場合には,次の事項を含むことが望ましい。
a) 満足のいく推薦状(例えば,業務についてのもの,人物についてのもの)の入手の可否
b) 応募者の履歴書の確認(完全であるか及び正確であるかの確認)
c) 提示された学術上及び職業上の資格の確認
d) 公的証明書(パスポート又は同種の文書)の確認
e) 信用情報又は犯罪記録のレビューのような,より詳細な確認
  情報セキュリティに関する特定の役割のために雇用する場合,組織は,次の事項を確認することが望ま
しい。
a) 候補者が,情報セキュリティに関するその役割を果たすために必要な力量を備えている。
b) 特に,その役割が組織にとって重要なものである場合は,候補者が,その役割を任せられる信頼でき

――――― [JIS Q 27002 pdf 14] ―――――

12
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
    る人物である。
  最初の発令で就く業務であるか,昇進して就く業務であるかにかかわらず,情報処理施設にアクセスす
ることがその担当者にとって必要になる場合,特にそれらの設備が秘密情報(例えば,財務情報,極秘情
報)を扱っているときには,組織は,より詳細な確認も検討することが望ましい。
  手順には,確認のためのレビューの基準及び制約を定めることが望ましい(例えば,誰が選考するのか。
また,この確認のためのレビューは,いつ,どのように,なぜ行うのか。)。
  選考プロセスは,契約相手に対しても確実に実施することが望ましい。このような場合,組織と契約相
手との間の合意では,選考の実施に関する責任,及びその選考が完了していないとき又はその結果に疑念
若しくは懸念があるときに従う必要がある告知手順を定めることが望ましい。
  組織内である職位に付けることを検討している全ての候補者についての情報は,当該法域での適切な法
令に従って収集し,扱うことが望ましい。適用される法令によっては,選考活動について候補者へ,事前
に通知することが望ましい。
7.1.2  雇用条件
管理策
  従業員及び契約相手との雇用契約書には,情報セキュリティに関する各自の責任及び組織の責任を記載
することが望ましい。
実施の手引
  従業員又は契約相手の契約上の義務には,組織の情報セキュリティのための方針群を反映することが望
ましい。さらに,次の事項を明確にし,言及することが望ましい。
a) 秘密情報へのアクセスが与えられる全ての従業員及び契約相手による,情報処理施設へのアクセスが
    与えられる前の,秘密保持契約書又は守秘義務契約書への署名(13.2.4参照)
b) 従業員又は契約相手の法的な責任及び権利[例えば,著作権法,データ保護に関連して制定された法
    律(18.1.2及び18.1.4参照)に関するもの]
c) 従業員又は契約相手によって扱われる情報,情報処理施設及び情報サービスに関連する,情報の分類
    及び組織の資産の管理に関する責任(箇条8参照)
d) 他社又は外部関係者から受け取った情報の扱いに関する従業員又は契約相手の責任
e) 従業員又は契約相手が組織のセキュリティ要求事項に従わない場合にとる処置(7.2.3参照)
  情報セキュリティに関する役割及び責任は,雇用前のプロセスにおいて候補者に伝えることが望ましい。
  組織は,従業員及び契約相手が情報セキュリティに関する雇用条件に同意することを確実にすることが
望ましい。この雇用条件は,情報システム及びサービスと関連する組織の資産に対する,従業員及び契約
相手によるアクセスの特性及び範囲に応じて,適切であることが望ましい。
  適切であれば,雇用の終了後も,定められた期間は,その雇用条件に含まれている責任を継続させるこ
とが望ましい(7.3参照)。
関連情報
  行動規範は,組織が期待する標準的な行動だけを定めるものではなく,機密性,データ保護,倫理,並
びに組織の装置及び施設の適切な利用に関する,従業員又は契約相手の情報セキュリティの責任を定める
ものとして用いてもよい。契約相手が属している外部組織は,その本人に代わって契約を求められる場合
がある。

――――― [JIS Q 27002 pdf 15] ―――――

次のページ PDF 16