| (概説)ネットワークの進展に伴い、ネットワークセキュリティーの重要性が増加している。 コンピュータウイルス対策については、マクロウイルスの出現により、最新のウイルスチェック用パターン ファイルに毎月更新していない場合、ウイルスに感染している可能性が高い。 又、ファイアウオールソフトを導入していても、ネットワークの拡大等に伴う適切な設定変更を怠れば、容易 にネットワークに侵入されることも起りうる。 以上のような状況を正しく認識し、セキュリティー責任者を明確にして組織的な対応を行うことが肝要である。 |
(1) セキュリティー全般 監査目標
(1) ネットワークセキュリティーを含むセキュリティー管理者を明確にし、組織的な対応を図ること。 着眼点
a) システム全般に対するセキュリティー管理者(責任者)を明確にすること。 b) セキュリティー管理者は、セキュリティー方針を確立し、最高責任者の承認を得て、全部門に周知徹底す ること。 c) セキュリティー管理者は各システム毎のシステム管理者と連携して、全体としての整合性を保ちながら必 要なセキュリティーレベルを確保すること。 d) セキュリティー管理者及びシステム管理者は2人以上かつ必要最小限にしぼり、定期的に交代すること。 (2) ウイルス対策 監査目標
(1) コンピュータウイルス(以下ウイルス)対策責任部署を明確にし、組織的な対応を図ること。 着眼点
a) ウィルス対策を実施する部門が明確になっているか b) ウィルス対策部門は情報伝達及び情報共有のための適切なツールを利用しているか c) 最新のウィルスチェックソフトを適切なタイミングで更新しているか d) 最新チェックソフトを配布する仕組みが確立しているか e) クライアントだけでなく重要なサーバーについても対策を実施しているか f) 実際にクライアント及びサーバーに最新のソフトが配布されているか g) ウィルス対策教育を実施しているか h) ウィルス発見後の処置が明確になっているか i) インターネット等を利用して最新のウィルス情報を把握しているか j) 被害状況を把握する仕組みを確立しているか k) イントラネット内すべてを対象とした対策を講じているか l) チェックソフトは1社だけでなく出来る限り複数の会社のものを購入しているか m) ウィルス以外によるシステム破壊についても情報を収集しているか n) チェーンメールなど、本当のウイルス以外の情報についても、適切なタイミングでエンドユーザーに対し て情報提供を行っているか。 o) 情報処理振興事業協会(IPA)発行の「パソコン・ユーザのためのウイルス対策7箇条」を活用してい るか 留意事項
・エンドユーザだけで適切なウィルス対策ができる状況ではない。特にマクロウィルスには迅速な対応が要 求されるため、推進部署を明確にすることが重要である。 ・グループウェアやWWWを利用して、全社員に対する情報発信及び全社レベルでの情報共有のための環境を整 備しているか。イントラネット時代にはこれが強力な武器になる。 ・毎月1回程度、ウィルスチェック用のデータを更新しているかチェックを行う。これなくしては適切なタイ ミングでマクロウィルスを発見・駆除できない。 ・情報システム要員がフロッピーを持ってエンドユーザーを回る方法では負荷が大きすぎる場合が多い。グル ープウエアやWWW等を利用して、エンドユーザ自身で容易に最新のウイルスチェック情報(パターンファイル) に更新できるツールの整備が重要である。定期的に自動配布できるツールが望ましい。 ・ファイアーウオールの構築に対応して、メールサーバーやファイルサーバーにウィルスチェックソフトをイ ンストールする等、サーバーレベルでのウィルスチェックを実施することにより、拡大防止を図る。 ・ルールに従ってウィルスチェックが実施されているかを確認する。運用が適切に行なわれているか、現場の サーバーやパソコンをチェックする。 ・情報システム要員はもちろんのこと、一般社員にもウィルス対策教育の実施が望まれる。行動指針で明文化 されていることが望ましい。 ・サポートデスクの連絡先、駆除方法等、エンドユーザーの支援体制が整備されていることを確認する。 ・ウィルスの感染は発見用のチェックソフトの対応が遅れれば遅れるほど被害が拡大する。これを阻止できる のはウィルス担当である。最新のウィルス情報を常に入手し情報発信することが重要である。 ・情報提供をするには全社のウィルス被害状況把握が重要である。グループウェア等を利用した全社的情報収 集体制が整備されているかを確認する。 ・ウィルスはチェックソフトを利用していないパソコンや古いチェックソフトを利用しているパソコンに侵入 する。できる限りイントラネット内の全てのパソコンに対して総合的な対策を実施することが望ましい。その ためには、チェックソフトの費用負担の軽減を含め、海外子会社、関係会社も容易に導入できる体制作りが望 まれる。 ・クライアントで利用しているチェックソフトで新しいウィルスを発見できなかった場合でも、サーバー用の チェックソフトで発見できることもあるので、サーバー用のチェックソフトはクライアント用とは別の会社の 製品にすることが望ましい。 ・ブラウザーソフト等で問題になっているように、セキュリティーホールによるファイル破壊など、ウィルス 以外でのファイル破壊などについても的確な情報収集を行う。 ・チェーンメールなどで、実際には存在しないデマウイルス情報を受け取った一般ユーザーは、本当のウイル スだと信じて友人にその情報を転送するなど、過剰に反応する場合が多い。ユーザーがデマウイルス情報を転 送しないよう、ウイルス情報を一元化して適切に対処できる環境を整備すること。 (3) 不正アクセス防止 監査目標
(1) 不正アクセス防止のための責任部署を明確にし、重要度に応じてファイアーウオールソフト等を導入し、 適切なタイミングで更新を行うこと 着眼点
a) ネットワークからの侵入による漏洩・破壊・改ざんを防止するための対策を講じること。 b) ネットワークの規模・セキュリティーのレベルに応じて、必要とされるファイアーウオールソフト等を導 入すること。 c) 導入に際しては、セキュリティー機能が現在利用しているソフト・ハードとの整合性に問題が無いことを 確認しておくこと。 d) ファイアーウオールソフトをセキュリティーのレベルに応じて適切に設定を行い、必要に応じ更新するこ と。 e) 不正なアクセスからネットーワーク及びシステム全体を守る為、セキュリティーホールについての情報を 常に収集し、対策を講じておくこと。コンピュータ緊急対応センター (JPCERT/CC)からの情報入手を定期的 に行う。 f) システムのセキュリティーについては、情報漏洩しないよう必要最小限に要員を制限し、また緊急時でも 必要な対応が出来るよう対策を講じておくこと。 g) 情報の機密度に応じて部門を区分し、部門間にファイアーウオールを設置し、セキュリティーレベルを確 保すること。 h) ネットワークを介して外部からアクセスできる手段は、セキュリティー方針に沿って、必要な規制を実施 すること。(外部からのTELNET、FTPの制限など) i) セキュリティー方針で決められたセキュリティーレベルを確保した上で、ユーザーが利用しやすい環境を 提供すること。 j) ダイアルアップルータなど、外部から不特定の者が利用可能な設備をネットワーク内に設置する場合は、 セキュリティー責任者の許可を得ることを明文化し、実際にそれが厳守されていることを確認すること。 システム監査の活用が有効である。 k) ダイアルアップルータなど、外部から不特定の者が利用可能な設備の利用に際しては、発信元番号確認や コールバック、又はワンタイムパスワードの利用など、必要に応じ十分な対策を講じること。 (4) 暗号化 監査目標
(1) システムの必要に応じ、ネットーワーク上の情報に対して、盗聴又は漏洩防止対策を実施すること。 着眼点
a) インターネットを利用して重要な情報を伝送するときは、暗号化を図ること。(VPNの利用など) b) 最新の暗号化技術に十分な注意を払い、導入している暗号化のセキュリティーレベルを把握すること。 c) 本人認証については、必要に応じ、確立した手段を利用して確実に実施すること。 (PGPの利用など) d) モバイルコンピュータにダウンロードを行う場合、重要なデータについては盗難対策としてデータを暗号 化しておくこと。 e) セキュリティレベルが継続的に確保されていること担保するために、定期的にネットーワークのシステム 監査を実施すること。
ガイドラインの目次
に戻る。