JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範 | ページ 8

                                                                                             33
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
    ついては外部からの保護を考慮する。
c) 敷地又は建物への物理的アクセスを管理するための有人の受付又はその他の手段を備える。敷地及び
    建物へのアクセスは,認可された要員だけに制限する。
d) 認可されていない物理的アクセス及び周囲への悪影響を防止するために,適用できる場合は,物理的
    な障壁を設置する。
e) セキュリティ境界上にある全ての防火扉は,該当する地域標準,国内標準及び国際標準が要求するレ
    ベルの抵抗力を確立するために,壁と併せて,警報機能を備え,監視し,試験する。防火扉は,その
    地域の消防規則に従って,不具合が発生しても安全側に作動するように運用する。
f)  全ての外部に接する扉及びアクセス可能な窓を保護するために,侵入者を検知する適切なシステムを,
    地域標準,国内標準又は国際標準に沿って導入し,定めに従って試験する。無人の領域では,常に警
    報装置を作動させる。他の領域(例えば,コンピュータ室,通信機器室)にも,このような仕組みを
    設置する。
g) 組織が自ら管理する情報処理施設は,外部関係者が管理する施設から物理的に分離する。
関連情報
  物理的な保護は,組織の施設及び情報処理施設の周囲に一つ以上の物理的障壁を設けることで達成する
ことができる。複数の障壁を利用することは,一つの障壁の故障が直ちにセキュリティを損なうことには
ならないという,更なる保護をもたらす。
  セキュリティを保つべき領域は,施錠できるオフィス,又は連続する内部の物理的セキュリティ障壁に
よって囲まれた部屋であってもよい。セキュリティ境界内のセキュリティ要求事項が異なる領域の間には,
物理的アクセスを管理するための障壁及び境界を追加することが必要な場合がある。複数の組織の資産が
収容されている建物では,物理的なアクセスのセキュリティについて,特別な注意を払うことが望ましい。
  物理的な管理策,特にセキュリティを保つべき領域に関する管理策の適用は,リスクアセスメントによ
って示されるように,組織の技術的及び経済的状況に適合するものであることが望ましい。
11.1.2 物理的入退管理策
管理策
  セキュリティを保つべき領域は,認可された者だけにアクセスを許すことを確実にするために,適切な
入退管理策によって保護することが望ましい。
実施の手引
  この管理策の実施については,次の事項を考慮することが望ましい。
a) 訪問者の入退の日付及び時刻を記録する。また,アクセスが事前に承認されている場合を除いて,全
    ての訪問者を監督する。訪問者には,特定され,認可された目的のためのアクセスだけを許可し,そ
    の領域のセキュリティ要求事項及び緊急時の手順についての指示を与える。適切な手段によって,訪
    問者の識別情報を認証する。
b) 適切なアクセス制御の実施(例えば,アクセスカード及び秘密の個人識別番号のような,二要素認証
    の仕組みの導入)によって,秘密情報を処理又は保管する領域へのアクセスを,認可された者だけに
    制限する。
c) 全てのアクセスについて,物理的な記録日誌又は電子形式の監査証跡を,セキュリティを保って維持
    及び監視する。
d) 全ての従業員,契約相手及び外部関係者に,何らかの形式の,目に見える証明書の着用を要求する。
    関係者が付き添っていない訪問者及び目に見える証明書を着用していない者を見かけた場合は,直ち

――――― [JIS Q 27002 pdf 36] ―――――

34
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
    にセキュリティ要員に知らせる。
e) セキュリティを保つべき領域又は秘密情報処理施設への,外部のサポートサービス要員によるアクセ
    スは,限定的かつ必要なときにだけ許可する。このアクセスは,認可を必要とし,監視する。
f)  セキュリティを保つべき領域へのアクセス権は,定期的にレビューし,更新し,必要なときには無効
    にする(9.2.5及び9.2.6参照)。
11.1.3 オフィス,部屋及び施設のセキュリティ
管理策
  オフィス,部屋及び施設に対する物理的セキュリティを設計し,適用することが望ましい。
実施の手引
  オフィス,部屋及び施設のセキュリティを保つために,次の事項を考慮することが望ましい。
a) 主要な施設は,一般の人のアクセスが避けられる場所に設置する。
b) 適用可能な場合,建物を目立たせず,その目的を示す表示は最小限とし,情報処理活動の存在を示す
    ものは,建物の内外を問わず,一切表示しない。
c) 施設は,秘密の情報又は活動が外部から見えたり聞こえたりしないように構成する。該当する場合,
    電磁遮蔽も考慮する。
d) 秘密情報処理施設の場所を示す案内板及び内線電話帳は,認可されていない者が容易にアクセスでき
    ないようにする。
11.1.4 外部及び環境の脅威からの保護
管理策
  自然災害,悪意のある攻撃又は事故に対する物理的な保護を設計し,適用することが望ましい。
実施の手引
  火災,洪水,地震,爆発,暴力行為,及びその他の自然災害又は人的災害からの損傷を回避する方法に
ついて,専門家の助言を得ることが望ましい。
11.1.5 セキュリティを保つべき領域での作業
管理策
  セキュリティを保つべき領域での作業に関する手順を設計し,適用することが望ましい。
実施の手引
  この管理策の実施については,次の事項を考慮することが望ましい。
a) 要員は,セキュリティを保つべき領域の存在又はその領域内での活動を,知る必要性の原則に基づく
    範囲でだけ認識している。
b) 安全面の理由のため及び悪意ある活動の機会を防止するための両面から,セキュリティを保つべき領
    域での監督されていない作業は,回避する。
c) セキュリティを保つべき領域が無人のときは,物理的に施錠し,定期的に点検する。
d) 画像,映像,音声又はその他の記録装置(例えば,携帯端末に付いたカメラ)は,認可されたもの以
    外は許可しない。
  セキュリティを保つべき領域での作業に関する取決めには,その領域で作業する従業員及び外部の利用
者に対する管理策を含む。また,この取決めは,セキュリティを保つべき領域で行われる全ての活動に適
用される。
11.1.6 受渡場所

――――― [JIS Q 27002 pdf 37] ―――――

                                                                                             35
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
管理策
  荷物の受渡場所などの立寄り場所,及び認可されていない者が施設に立ち入ることもあるその他の場所
は,管理することが望ましい。また,可能な場合には,認可されていないアクセスを避けるために,それ
らの場所を情報処理施設から離すことが望ましい。
実施の手引
  この管理策の実施については,次の事項を考慮することが望ましい。
a) 建物外部からの受渡場所へのアクセスは,識別及び認可された要員に制限する。
b) 受渡場所は,配達要員が建物の他の場所にアクセスすることなく荷積み及び荷降ろしできるように設
    計する。
c) 受渡場所の外部扉は,内部の扉が開いているときにはセキュリティを保つ。
d) 入荷物は,受渡場所から移動する前に,爆発物,化学物質又はその他の危険物がないかを検査する。
e) 入荷物は,事業所へ持ち込むときに資産の管理手順(箇条8参照)に従って登録する。
f)  可能な場合には,入荷と出荷とは,物理的に分離した場所で扱う。
g) 入荷物は,輸送中に開封された痕跡がないかを検査する。開封の痕跡が見つかった場合には,直ちに
    セキュリティ要員に報告する。

11.2 装置

目的 資産の損失,損傷,盗難又は劣化,及び組織の業務に対する妨害を防止するため。
11.2.1 装置の設置及び保護
管理策
  装置は,環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように
設置し,保護することが望ましい。
実施の手引
  装置を保護するために,次の事項を考慮することが望ましい。
a) 装置は,作業領域への不必要なアクセスが最小限になるように設置する。
b) 取扱いに慎重を要するデータを扱う情報処理施設は,施設の使用中に認可されていない者が情報をの
    ぞき見るリスクを低減するために,その位置を慎重に定める。
c) 認可されていないアクセスを回避するため,保管設備のセキュリティを保つ。
d) 特別な保護を必要とする装置は,それ以外の装置と一緒にすると,共通に必要となる保護のレベルを
    増加させてしまうので,その保護のレベルを軽減するために,他と区別して保護する。
e) 潜在的な物理的及び環境的脅威[例えば,盗難,火災,爆発,ばい(煤)煙,水(又は給水の不具合),
    じんあい(塵埃),振動,化学的汚染,電力供給の妨害,通信妨害,電磁波放射,破壊]のリスクを最
    小限に抑えるための管理策を採用する。
f)  情報処理施設の周辺での飲食及び喫煙に関する指針を確立する。
g) 情報処理施設の運用に悪影響を与えることがある環境条件(例えば,温度,湿度)を監視する。
h) 全ての建物に,落雷からの保護を適用する。全ての電力及び通信の引込線に避雷器を装着する。
i)  作業現場などの環境にある装置には,特別な保護方法(例えば,キーボードカバー)の使用を考慮す
    る。
j)  電磁波の放射による情報漏えいのリスクを最小限にするため,秘密情報を処理する装置を保護する。
11.2.2 サポートユーティリティ

――――― [JIS Q 27002 pdf 38] ―――――

36
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
管理策
  装置は,サポートユーティリティの不具合による,停電,その他の故障から保護することが望ましい。
実施の手引
  サポートユーティリティ(例えば,電気,通信サービス,給水,ガス,下水,換気,空調)は,次の条
件を満たすことが望ましい。
a) 装置の製造業者の仕様及び地域の法的要求事項に適合している。
b) 事業の成長及び他のサポートユーティリティとの相互作用に対応する能力を,定期的に評価する。
c) 適切に機能することを確実にするために,定期的に検査及び試験する。
d) 必要であれば,不具合を検知するための警報装置を取り付ける。
e) 必要であれば,物理的な経路が異なる複数の供給元を確保する。
  非常用の照明及び通信手段を備えることが望ましい。非常口又は設備室の近くに,電源,給水,ガス又
はその他のユーティリティを遮断するための緊急スイッチ及び緊急バルブを設置することが望ましい。
関連情報
  ネットワーク接続の追加的な冗長性は,一つ以上のユーティリティ提供者から複数の経路を確保するこ
とで得られる。
11.2.3 ケーブル配線のセキュリティ
管理策
  データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は,傍受,妨
害又は損傷から保護することが望ましい。
実施の手引
  ケーブル配線のセキュリティのために,次の事項を考慮することが望ましい。
a) 情報処理施設に接続する電源ケーブル及び通信回線は,可能な場合には,地下に埋設するか,又はこ
    れに代わる十分な保護手段を施す。
b) 干渉を防止するために,電源ケーブルは,通信ケーブルから隔離する。
c) 取扱いに慎重を要するシステム又は重要なシステムのために,次の追加の管理策を考慮する。
  1) 外装電線管の導入。点検箇所・終端箇所の施錠可能な部屋又は箱への設置
  2) ケーブルを保護するための電磁遮蔽の利用
  3) ケーブルに取り付けられた認可されていない装置の技術的探索及び物理的検査の実施
  4) 配線盤,端子盤及びケーブル室への管理されたアクセス
11.2.4 装置の保守
管理策
  装置は,可用性及び完全性を継続的に維持することを確実にするために,正しく保守することが望まし
い。
実施の手引
  装置の保守のために,次の事項を考慮することが望ましい。
a) 装置は,供給者の推奨する間隔及び仕様に従って保守する。
b) 認可された保守要員だけが,装置の修理及び手入れを実施する。
c) 故障と見られるもの及び実際の故障の全て,並びに予防及び是正のための保守の全てについての記録
    を保持する。

――――― [JIS Q 27002 pdf 39] ―――――

                                                                                             37
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
d) 装置の保守を計画する場合には,この保守を,要員が構内で行うのか,又は組織の外で行うのかを考
    慮して,適切な管理策を実施する。必要な場合には,その装置から秘密情報を消去するか,又は保守
    要員が十分に信頼できる者であることを確かめる。
e) 保険約款で定められた,保守に関する全ての要求事項を順守する。
f)  保守の後,装置を作動させる前に,その装置が改ざんされていないこと及び不具合を起こさないこと
    を確実にするために検査する。
11.2.5 資産の移動
管理策
  装置,情報又はソフトウェアは,事前の認可なしでは,構外に持ち出さないことが望ましい。
実施の手引
  この管理策の実施については,次の事項を考慮することが望ましい。
a) 資産を構外に持ち出すことを許す権限をもつ従業員及び外部の利用者を特定する。
b) 資産の持出し期限を設定し,また,返却がそのとおりであったか検証する。
c) 必要かつ適切な場合は,資産が構外に持ち出されていることを記録し,また,返却時に記録する。
d) 資産を扱う又は利用する者について,その識別情報,役割及び所属を文書化する。この文書は,その
    装置,情報又はソフトウェアとともに返却させる。
関連情報
  認可されていない資産の持出しを見つけるために実施される抜打ち点検は,認可されていないもの(例
えば,記録装置,武器)を検知して,それらが構内へ持ち込まれたり構内から持ち出されたりすることを
防止するために実施する場合もある。このような抜打ち点検は,関連する法令及び規則に従って実施する
ことが望ましい。各人に抜打ち点検の実施を認識させておくことが望ましく,こうした点検は,法的及び
規制の要求事項に対する適切な認可の下でだけ実施することが望ましい。
11.2.6 構外にある装置及び資産のセキュリティ
管理策
  構外にある資産に対しては,構外での作業に伴った,構内での作業とは異なるリスクを考慮に入れて,
セキュリティを適用することが望ましい。
実施の手引
  情報を保管及び処理する装置を組織の構外で用いる場合は,管理層の認可を得ることが望ましい。これ
は,組織が所有する装置,及び個人が所有し組織のために用いる装置に適用される。
  構外にある装置の保護のために,次の事項を考慮することが望ましい。
a) 構外に持ち出した装置及び媒体は,公共の場所に無人状態で放置しない。
b) 装置の保護(例えば,強力な電磁場にさらすことに対する保護)に関する製造業者の指示を常に守る。
c) 在宅勤務,テレワーキング及び一時的サイトのような構外の場所についての管理策を,リスクアセス
    メントに基づいて決定し,状況に応じた管理策(例えば,施錠可能な文書保管庫,クリアデスク方針,
    コンピュータのアクセス制御,セキュリティを保ったオフィスとの通信)を適切に適用する(ISO/IEC
    27033規格群[15][19]も参照)。
d) 構外にある装置を,複数の個人又は外部関係者の間で移動する場合には,その装置の受渡記録を明記
    した記録(少なくとも,その装置に対して責任を負う者の氏名及び組織を含むもの)を維持すること
    が望ましい。

――――― [JIS Q 27002 pdf 40] ―――――

次のページ PDF 41