JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範 | ページ 5

18
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
で取り扱われる若しくは保護される情報の分類に従って分類することができる。
  情報資産の管理責任者は,その情報の分類に対して責任を負うことが望ましい。
  分類体系には,分類の規則及びその分類を時間が経ってからレビューするための基準を含めることが望
ましい。分類体系における保護レベルは,対象とする情報についての機密性,完全性,可用性及びその他
の特性を分析することによって評価することが望ましい。分類体系は,アクセス制御方針(9.1.1参照)と
整合していることが望ましい。
  それぞれのレベルには,分類体系の適用において意味をなすような名称を付けることが望ましい。
  分類体系は,組織全体にわたって一貫していることが望ましい。これによって,全員が情報及び関連す
る資産を同じ方法で分類し,保護に関する要求事項について共通した理解をもち,適切な保護を適用でき
るようになる。
  分類は,組織のプロセスに含め,組織全体にわたって一貫した論理的なものであることが望ましい。分
類の結果は,組織にとっての取扱いに慎重を要する度合い及び重要性(例えば,機密性,完全性,可用性)
に応じた資産の価値を示すことが望ましい。分類の結果は,ライフサイクルを通じた,情報の価値,取扱
いに慎重を要する度合い及び重要性の変化に応じて,更新することが望ましい。
関連情報
  情報を分類することで,情報を扱う担当者に対して,その情報をどう取り扱い,どう保護するかが簡潔
に示される。保護の要件が類似した情報をグループにまとめ,それぞれのグループ内の全ての情報に適用
される情報セキュリティ手順を規定することで,これが容易になる。この取組みによって,個別にリスク
アセスメントを行い,管理策を特別に設計する必要性も低減される。
  情報は,ある期間を過ぎると(例えば,情報が一般に公開された後),慎重な取扱いが不要となる又は重
要でなくなることがある。これらの点も考慮して,過度の分類によって不要な管理策の実施による余分な
出費が生じたり,また反対に不十分な分類によって事業目的の達成が脅かされないようにすることが望ま
しい。
  情報の機密性の分類体系は,例えば,次のような四つのレベルに基づくことがある。
a) 開示されても損害が生じない。
b) 開示された場合に,軽微な不具合又は軽微な運用の不都合が生じる。
c) 開示された場合に,運用又は戦術的目的に対して重要な短期的影響が及ぶ。
d) 開示された場合に,長期の戦略的目的に対して深刻な影響が及ぶ,又は組織の存続が危機にさらされ
    る。
8.2.2  情報のラベル付け
管理策
  情報のラベル付けに関する適切な一連の手順は,組織が採用した情報分類体系に従って策定し,実施す
ることが望ましい。
実施の手引
  情報のラベル付けに関する手順は,物理的形式及び電子的形式の情報及び関連する資産に適用できる必
要がある。ラベル付けは,8.2.1で確立した分類体系を反映していることが望ましい。ラベルは,容易に認
識できることが望ましい。手順では,媒体の種類に応じて,情報がどのようにアクセスされるか又は資産
がどのように取り扱われるかを考慮して,ラベルを添付する場所及びその添付方法に関する手引を示すこ
とが望ましい。手順では,作業負荷を減らすために,ラベル付けを省略する場合(例えば,秘密でない情
報のラベル付け)を定めることもできる。従業員及び契約相手に,ラベル付けに関する手順を認識させる

――――― [JIS Q 27002 pdf 21] ―――――

                                                                                             19
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
ことが望ましい。
  取扱いに慎重を要する又は重要と分類される情報を含むシステム出力には,適切な分類ラベルを付ける
ことが望ましい。
関連情報
  分類された情報のラベル付けは,情報共有の取決めにおける主要な要求事項である。物理的ラベル及び
メタデータは,一般的なラベル付けの形式である。
  情報及び関連する資産のラベル付けが,好ましくない影響を及ぼすこともある。分類された資産は,特
定が容易になるため,内部関係者又は外部からの攻撃者による盗難もされやすくなる。
8.2.3  資産の取扱い
管理策
  資産の取扱いに関する手順は,組織が採用した情報分類体系に従って策定し,実施することが望ましい。
実施の手引
  情報を分類(8.2.1参照)に従って取り扱い,処理し,保管し,伝達するための手順を作成することが望
ましい。
  この場合,次の事項を考慮することが望ましい。
a) 各レベルの分類に応じた保護の要求事項に対応するアクセス制限をする。
b) 資産の認可された受領者について,正式な記録を維持する。
c) 情報の一時的又は恒久的な複製は,情報の原本と同等のレベルで保護する。
d)   T資産は,製造業者の仕様に従って保管する。
e) 媒体の全ての複製には,認可された受領者の注意をひくように明確な印を付ける。
  組織で用いる分類体系は,レベルの名称が似ていても,他の組織が用いる分類体系と同等とは限らない。
また,複数の組織間を移動する情報は,分類体系が同一であっても,各組織の状況に応じて分類が異なる
場合がある。
  他組織との情報共有を含む合意には,その情報の分類を特定し,他組織からの分類ラベルを解釈するた
めの手順を含めることが望ましい。

8.3 媒体の取扱い

目的 媒体に保存された情報の認可されていない開示,変更,除去又は破壊を防止するため。
8.3.1  取外し可能な媒体の管理
管理策
  組織が採用した分類体系に従って,取外し可能な媒体の管理のための手順を実施することが望ましい。
実施の手引
  取外し可能な媒体の管理のために,次の事項を考慮することが望ましい。
a) 再利用可能な媒体を組織から移動する場合に,その内容が以後不要であるならば,これを復元不能と
    する。
b) 必要かつ実際的な場合には,組織から移動する媒体について,認可を要求する。また,そのような移
    動について,監査証跡の維持のために記録を保管する。
c) 全ての媒体は,製造業者の仕様に従って,安全でセキュリティが保たれた環境に保管する。
d) データの機密性又は完全性が重要な考慮事項である場合は,取外し可能な媒体上のデータを保護する

――――― [JIS Q 27002 pdf 22] ―――――

20
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
    ために,暗号技術を用いる。
e) 保管されたデータがまだ必要な間に媒体が劣化するリスクを軽減するため,読み出せなくなる前にデ
    ータを新しい媒体に移動する。
f)  価値の高いデータは,一斉に損傷又は消失するリスクをより低減するために,複数の複製を別の媒体
    に保管する。
g) データ消失の危険性を小さくするために,取外し可能な媒体の登録を考慮する。
h) 取外し可能な媒体のドライブは,その利用のための業務上の理由があるときにだけ有効とする。
i)  取外し可能な媒体を用いる必要がある場合,媒体への情報の転送を監視する。
  手順及び認可のレベルは,文書化することが望ましい。
8.3.2  媒体の処分
管理策
  媒体が不要になった場合は,正式な手順を用いて,セキュリティを保って処分することが望ましい。
実施の手引
  認可されていない者に秘密情報が漏えいするリスクを最小化するために,媒体のセキュリティを保った
処分のための正式な手順を確立することが望ましい。秘密情報を格納した媒体の,セキュリティを保った
処分の手順は,その情報の取扱いに慎重を要する度合いに応じたものであることが望ましい。この管理策
の実施については,次の事項を考慮することが望ましい。
a) 秘密情報を格納した媒体は,セキュリティを保って,保管し,処分する(例えば,焼却,シュレッダ
    ーの利用,組織内の他のアプリケーションでの利用のためのデータ消去)。
b) セキュリティを保った処分を必要とする品目を特定するために,手順が備わっている。
c) 取扱いに慎重を要する媒体類を選び出そうとするよりも,全ての媒体類を集めて,セキュリティを保
    ち処分するほうが簡単な場合もある。
d) 多くの業者が,媒体の収集及び処分のサービスを提供している。十分な管理策及び経験をもつ適切な
    外部関係者を選定することに,注意を払う。
e) 監査証跡を維持するために,取扱いに慎重を要する品目の処分を記録しておく。
  処分のために媒体を集める場合,集積することによる影響に配慮することが望ましい。取扱いに慎重を
要する情報ではない情報でも,その量が集まると,取扱いに慎重を要する情報に変わる場合がある。
関連情報
  取扱いに慎重を要するデータを含んだ装置が損傷した場合には,修理又は廃棄に出すよりも物理的に破
壊するほうが望ましいか否かを決定するために,リスクアセスメントが求められる場合がある(11.2.7参
照)。
8.3.3  物理的媒体の輸送
管理策
  情報を格納した媒体は,輸送の途中における,認可されていないアクセス,不正使用又は破損から保護
することが望ましい。
実施の手引
  輸送される情報を格納した媒体を保護するために,次の事項を考慮することが望ましい。
a) 信頼できる輸送機関又は運送業者を用いる。

――――― [JIS Q 27002 pdf 23] ―――――

                                                                                             21
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
b) 認可された運送業者の一覧について,管理者の合意を得る。
c) 運送業者を確認する手順を導入する。
d) 輸送途中に生じるかもしれない物理的損傷から内容を保護(例えば,媒体の復旧効果を低減させる場
    合のある,熱,湿気又は電磁気にさらすといった環境要因からの保護)するために,こん(梱)包を
    十分な強度とし,また,製造業者の仕様にも従う。
e) 媒体の内容,適用された保護,並びに輸送の責任窓口への受渡時刻及び目的地での受取り時刻の記録
    を特定するログを保持する。
関連情報
  情報は,物理的な輸送(例えば,郵便又は運送業者による媒体の送付)の途中で,認可されていないア
クセス,不正使用又は改ざんに対する弱点をさらすことがある。この管理策において,媒体には紙の文書
も含む。
  媒体上の秘密情報が暗号化されていない場合,媒体について,追加の物理的な保護を検討することが望
ましい。

9 アクセス制御

9.1 アクセス制御に対する業務上の要求事項

目的 情報及び情報処理施設へのアクセスを制限するため。
9.1.1  アクセス制御方針
管理策
  アクセス制御方針は,業務及び情報セキュリティの要求事項に基づいて確立し,文書化し,レビューす
ることが望ましい。
実施の手引
  資産の管理責任者は,資産に対する利用者のそれぞれの役割に対して,適切なアクセス制御規則,アク
セス権及び制限を,アクセスに伴う情報セキュリティリスクを反映した制御の詳細さ及び厳密さで,決定
することが望ましい。
  アクセス制御は,論理的かつ物理的(箇条11参照)なものであり,この両面を併せて考慮することが望
ましい。利用者及びサービス提供者には,アクセス制御によって達成する業務上の要求事項を明確に規定
して提供することが望ましい。
  アクセス制御方針では,次の事項を考慮に入れることが望ましい。
a) 業務用アプリケーションのセキュリティ要求事項
b) 情報の伝達及び認可に対する方針[例えば,知る必要性の原則,情報のセキュリティ水準,情報の分
    類(8.2参照)]
c) システム及びネットワークにおける,アクセス権と情報分類の方針との整合性
d) データ又はサービスへのアクセスの制限に関連する法令及び契約上の義務(18.1参照)
e) 利用可能な全ての種類の接続を認識する分散ネットワーク環境におけるアクセス権の管理
f)  アクセス制御における役割の分離(例えば,アクセス要求,アクセス認可,アクセス管理)
g) アクセス要求の正式な認可に対する要求事項(9.2.1及び9.2.2参照)
h) アクセス権の定期的なレビューに対する要求事項(9.2.5参照)
i)  アクセス権の削除(9.2.6参照)

――――― [JIS Q 27002 pdf 24] ―――――

22
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
j)  利用者の識別情報及び秘密認証情報の利用及び管理に関する,全ての重要な事象の記録の保管
k) 特権的アクセスを認められた役割(9.2.3参照)
関連情報
  アクセス制御規則を定めるには,次の事項に注意することが望ましい。
a) “明確に禁止していないことは,原則的に許可する”という前提に基づいた弱い規則よりも,“明確に
    許可していないことは,原則的に禁止する”という前提に基づいた規則の設定
b) 情報処理施設が自動的に初期設定した情報ラベル(8.2.2参照)の変更,及び利用者の裁量で初期設定
    した情報ラベルの変更
c) 情報システムによって自動的に初期設定される利用者のアクセス許可の変更,及び実務管理者によっ
    て初期設定される利用者のアクセス許可の変更
d) 適用する前に個々の承認を必要とする規則とそのような承認を必要としない規則との区別
  アクセス制御規則は,正式な手順(9.29.4参照)及び定められた責任(6.1.1及び9.3参照)によって
支援されることが望ましい。
  役割に基づくアクセス制御は,アクセス権を業務上の役割と結び付けるために多くの組織が利用し,成
功を収めている取組み方法である。
  アクセス制御方針を方向付けるために用いられることが多い二つの原則を,次に示す。
a) 知る必要性(Need to know) 各人は,それぞれの職務を実施するために必要な情報へのアクセスだ
    けが認められる(職務及び/又は役割が異なれば知る必要性も異なるため,アクセスプロファイルも
    異なる。)。
b) 使用する必要性(Need to use) 各人は,それぞれの職務,業務及び/又は役割を実施するために必
    要な情報処理施設(IT機器,アプリケーション,手順,部屋など。)へのアクセスだけが認められる。
9.1.2  ネットワーク及びネットワークサービスへのアクセス
管理策
  利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを,利用者に
提供することが望ましい。
実施の手引
  ネットワーク及びネットワークサービスの利用に関し,方針を設定することが望ましい。この方針は,
次の事項を対象とすることが望ましい。
a) アクセスが許されるネットワーク及びネットワークサービス
b) 誰がどのネットワーク及びネットワークサービスへのアクセスが許されるかを決めるための認可手順
c) ネットワーク接続及びネットワークサービスへのアクセスを保護するための運用管理面からの管理策
    及び管理手順
d) ネットワーク及びネットワークサービスへのアクセスに利用される手段(例えば,VPN,無線ネット
    ワーク)
e) 様々なネットワークサービスへのアクセスに対する利用者認証の要求事項
f)  ネットワークサービスの利用の監視
  ネットワークサービスの利用に関するこの方針は,組織のアクセス制御方針(9.1.1参照)と整合してい
ることが望ましい。

――――― [JIS Q 27002 pdf 25] ―――――

次のページ PDF 26