| (概説)ネットワークの進展により、従来はセンターの管理に重点が置かれていたものが、各サーバの管理にも目をむける必要が生じてきた。これらのサーバについても、出来る限り統一的にコントロールすることが望まれる。 ソフトウエア管理はソフトウエア資産を守るため、不正アクセスコントロール・ウイルス対策・知的財産権等に対して適切なコントロールを実施しているかを、センターだけでなく各サーバの管理についても確認を行う。 |
監査目標
(1) ソフトウェア管理ルールを定め、遵守しているか。
着眼点
1)ソフトウェア管理ルールが存在しているか確認する。*1
2)ソフトウェア管理ルールは、管理者により承認されているかを確認する。*1
3)ソフトウェア管理ルールは、ソフトウェア運用の実態から判断して、保管方法、世代管理、複写、
廃棄等の観点から妥当な内容となっているかを検証する。*1
4)ソフトウェア管理ルールが、周知徹底されているかを確認する。*1
5)ソフトウェア管理ルールは、環境の変化に応じて見直しがなされているかを確認する。*1
監査目標
(2) ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能しているか。
着眼点
1)アクセスコントロールの仕組みを調査し、当該コントロールが有効に機能しているかを確認する。*1
2)アクセス状況のモニタリング機能の稼動状況を確認しているかを検証する。*1
3)無資格者による情報システムの利用を定期的に調査しているかを確認する。また、無資格者による利
用の原因を分析し、然るべき対応がなされているかを確認する。*1
4)業務内容、組織、基本ソフトウェアの変更に伴い、アクセスコントロール機能の見直しがなされてい
るかを確認する。*1
留意事項
・ネットワークの拡大・変更に伴い、アクセスコントロールの設定変更が適切に実施されているかを確認する。*2
・アクセスログを確認し、日常業務として不正アクセスの防止に努めているかを確認する。
・セキュリティーホールについての情報を常に収集し、対策を講じておくこと。
コンピュータ緊急対応センター (JPCERT/CC)のメーリングリストに登録され、常に情報を入手しており、その結果、
必要な対策が実施されていることを確認する。*2
監査目標
(3) ソフトウェアの利用状況を記録し、定期的に分析しているか。
着眼点
1)ソフトウェアの利用状況を記録する機能を設けているかを確認する。*1
2)ソフトウェアの利用状況を定期的に分析しているかを確認する。*1
3)分析結果に基づき、不要ソフトウェアの廃棄を行っているかを確認する。*1
留意事項
以上の3項目に対して
・ システムへのアクセスを許可されたユーザ及び許可されていないユーザを識別、制約し、報告
する自動化されたセキュリティ・システムなどにより、アクセス・コントロールする。
・ パスワードは定期的に変更する。または定期的(3〜6ヶ月ごと)に変更するように要求される
システムとする。必要に応じパスワードは内部的に暗号化する。パスワードはスクリーンに表示
しない。
・ 正規ユーザは最初のアクセスをする際、省略時のパスワードを利用するようになっていなければ
ならない。その後、ユーザは直ちにパスワードを変更するようシステムから求められるようになって
いること。
・ ファイルサーバ等の重要機器について、ゲストアカウントを無効にする。また、ルート(スーパ
バイザーやアドミニストレータ)のIDを変更する。
・ ユ一ザのクライアント機は、3〜6回の連続した不正ログオン時には、自動的に使用不可とする。
・ ユーザのアクセス権は、管理者の承認に基づき、ニード・ツー・ノウ/ニード・ツー・ドウ
(必要な人にしか知らせない、必要な人しか使えない)基準に基づいて与える。
・ ユーザに対するアクセスコントロールと、データ資源、コンピュータ資源に対するアクセス
コントロールを実施する。
・ ユーザアクセス権の権限付与は、数名のシステム管理者に限定する。
・ システム管理者は、自分が担当するコンピュータ上のデータへのアクセス権限者を定期的にレビュー
する。
・ アクセス権の追加、変更、削除は所定の書式により行う。また、退社・異動等により、アクセス権
が失われた者に対しては、速やか(1週間以内)に削除する。
・ システム管理者とセキュリティ管理者の役割を明確に定める。異なる人物が担当するのが望ましい
が、同一人物が担当する場合、役割の相違や工数に配慮する。
・ 不正アクセスのフォローアップは、自動集計し、文書化されたガイドラインに従って実施し、管理者
に報告する。また、ガイドラインは再発を防止するのに十分なものであること。
・ ログオン・セッションは、暫くの間(5〜10分程度)使用していなければログオフする。
・ 外部と接続する場合は、管理者に連絡し承認を得た後、外部との接続を安全にするためのセキュリティ
システムの導入(例えば、ファイアウォール)、ダイヤルコールバック機能の導入等のコントロールを
する。
その内容は管理者と相談する。
・ 端末を直接またはダイヤルインアクセスを持つ顧客/取引先に設置する場合、機器設置のための同意書
を正規の書面として契約締結を行う。
また、論理的アクセスコントロールが適切に行え、モニターできるようにする。
・ システム全体をネットワーク管理ツールを利用しモニタリングする。
また、ログを採取し、一定期間保存する。
・ システム資源に対して、緊急または一時的なアクセスが必要な場合に備え、その手続きを定める。
また、そのアクセスはシステム管理者及びセキュリティ管理者に報告し承認を得る。一時的なアクセスが
頻繁にある場合は、その理由を確認し対処する。
・ オンライン・データ処理環境へのアクセスを許可する手続きの中には、データの参照、追加、変更、
削除の更新を制限したり、申請されたアクセスの対象データまたはトランザクションのみに制限する。
監査目標
(4) ソフトウェアのバックアップの範囲及び方法は、業務内容及び処理形態を考慮して決定しているか。
着眼点
1)バックアップの範囲、記録媒体、保管方法等は、業務内容及び処理形態に応じて定められているかを
確認する。*1
2)バックアップしたソフトウェアと運用中のソフトウェアとの整合性・同期性について、考慮されてい
るかを確認する。*1
3)バックアップ及びリカバリ方法は、情報システムの変更に伴い、見直しをしているかを確認する。*1
留意事項
・ 主たるハードウェアないしソフトウェアの事故、あるいは一時的もしくは長期間に亘る施設の破壊に
対して、重要なアプケーションプログラムを処理するために文書化された計画を策定し、定期的に
見直す。
・ 災害復旧計画には、担当要員の安全を確保するための緊急の手続き、業務再開・復旧のための手続き
を定め、定期的に訓練を実施する。
・ バックアップファイルの更新及び保守に関する方針を策定する。
・ 災害時の復旧計画のために、アプリケーションは機密度、重要度に従って、優先順位付けし、一覧表
としてまとめておく。
・ バックアップは対象業務の優先度に従い、それぞれの基準に従い行う。
・ 全てのアプリケーションとシステムファイルのバックアップコピーは、それらが最新であることを
保証できるだけの時間間隔で作成する。
・ バックアップ処理を行う担当者を正式な形で任命する。
・ 分散処理ネットワーク自体に対して、文書化され、マメジメントが承認した災害時復旧計画を策定・
保持する。
また、災害時における連絡体制と役割分担を明確にしておく。
・ ネットワークの災害時復旧計画の副本は、安全な場所に保管する。
・ バックアップ・ファイルを用いて、災害時復旧手順を定期的にテストする。
・ バックアップ・ファイルは、安全な所に保管する。
・ ネットワーク・コンピュータ施設は、保険による填補により保全する。
・ 分散処理ネットワーク内の重要な機器は、無停電電源装置で維持する。
・ 障害時に使用するバックアップ機器は、十分に用意しておく。
・ 障害記録、障害対策のデータベース化・情報共有化を行い、すばやい復旧とコストの軽減を図る。
・ バックボーン等重要なネットワークについては、二重化する。
・ ファイルサーバ等の重要機器のハードデスクは、冗長アレイ(RAID5)を採用する。また、
これらの機器について、ホットスタンバイシステムやコールドスタンバイシステムを採用する。
監査目標
(5) ソフトウェアの授受は、ソフトウェア管理ルールに基づいて行っているか。
着眼点
1)ソフトウェア管理ルールにソフトウェアの授受に関する規定が存在するか確認する。*1
2)ソフトウェア管理はルールに定める担当者が行っているかを確認する。*1
3)ソフトウェアの授受、保管、確認、返却、廃棄等はルールに基づいて行われているかを確認する。*1
4)ソフトウェアの授受を記録し、責任者の承認を得ているかを確認する。*1
5)ソフトウェアの授受記録を一定期間保管しているかを確認する。*1
留意事項
・アプリケーション・ソフトウェアの開発・保守に関するガイドラインを定め、その内容は管理者の
承認を得る。
ガイドラインには、以下の項目を含む。
・ユーザ要求の承認手続き
・ユーザ用件の定義とレビュー手続き
・費用対効果の分析
・ソフトウェア変更に対する管理者の承認
・導入に先立つソフトウェア変更の詳細なテストとユーザ、管理者の承認
・ソフトウェアの旧バージョンのバックアップ
・データの移行、バックアップ
・ソフトウェアのすべての変更及び更新の記録
・導入に先立ち影響を受けるユーザへの通知
・アプリケーションとシステム・ソフトウェアを含む全てのソフトウェアを網羅した記録を備える。
監査目標
(6) ソフトウェアの保管及び廃棄は、不正防止及び機密保護の対策を講じているか。
着眼点
1)ソフトウェアの保管及び管理は、記録媒体に応じた不正防止、機密保護の対策が講じられているかを
確認する。*1
2)保管及び廃棄をソフトウェア管理者が承認しているかを確認する。*1
3)重要なソフトウェアの廃棄をソフトウェア管理の責任者が確認しているかを検証する。*1
4)ソフトウェアの世代管理が正確に出来る仕組みとなっているかを確認する。*1
5)ソフトウェアの保管時におけるセキュリティが十分保持されているかを確認する。*1
留意事項
・ 本番のアプリケーションとシステム・ソフトウェアの更新に関し、文書化され、承認された標準的な
手続きを設けなければならない。
・ 本番のアプリケーションとシステム・ソフトウェアの更新は、セキュリティ管理者、システム管理者
または適切に承認された支援要員によって行われなければならない。
・ プログラミングがネットワーク上で実施されている時、ソフトウェア・ライブラリーの更新は、禁止
されていなければならない。
※ 特にEUCの環境においてより重要である。ソフトウェアの配布はプログラムの作成者ではなく、
システム管理者またはライブラリアンが行うことが望ましい。
・ 様々な分散処理環境で使用されているアプリケーションとシステム・ソフトウェアのバージョンが、
全体のネットワーク上で、相互互換かつ一貫性を保っていることを保証する手続きを設けなければなら
ない。
・ アプリケーションとシステム・ソフトウェアの異なったバージョンは、バージョン番号によって適切
に認識できるようにしなければならない。
※ システム・ソフトウェアの中でもネットワーク関連については、特に気をつける必要がある。今では
過去の話となっているが、例えば古いBSD UNIX(ALL 0ブロードキャスト)と、その後のTCP/IP標準
(ALL 1ブロードキャスト)のノード間を接続したとき、ブロードキャスト・ストームが発生した。
この例は極端かもしれないが、バージョンを合わせておくことが重要であること強調する例として
適切である。
・ 更新されたアプリケーションとシステム・ソフトウェアのバージョンは、バックアップ・ファイルに
保存されていなければならない。
・ 全てのプログラム変更は、文書により管理者の承認を受けなければならない。
・ 緊急時のプログラム変更に対し、事後に正しく更新し、承認を得るように規定した手続きがなければ
ならない。
・ 緊急時の更新を含む全てのソフトウェアの更新は、監査証跡を取るように定められていなければなら
ない。
また、監査証跡は、セキュリティ管理者によってレビューされなければならない。
監査目標
(7) ソフトウェアの複写は、不正防止及び機密保護の対策を講じているか。
着眼点
1)ソフトウェアの重要度に応じた区分がなされているかを確認する。*1
2)重要なソフトウェアについては、複写を制限するなど対策がとられているかを確認する。また、ソフ
トウェアの複写は、使用許諾契約に基づいているか確認する。*1
3)重要なソフトウェアの複写については、その履歴を記録しているかを確認する。*1
4)重要なソフトウェアへのアクセスコントロールが適切に機能しているかを確認する。*1
監査目標
(8) ソフトウェアに対するコンピュータウイルス対策を講じているか。
着眼点
1)情報システムの環境に適合したコンピュータウィルス対策を講じているかを確認する。*1
2)コンピュータウィルス対策は、「コンピュータウィルス対策基準」等の基準を考慮して作成されてい
るかを確認する。*1
3)コンピュータウィルス対策は、周知徹底されているかを確認する。*1
4)コンピュータウィルスに感染した場合は、被害状況を関係部門及び情報処理振興事業協会(IPA)
に報告しているかを確認する。*1
5)コンピュータウィルスに感染した場合、今後の対応策が立てられているかを確認する。*1
留意事項
・ コンピュータ・ウイルス、著作権、セキュリティについての教育、啓蒙活動を実施する。
ニューズレター等で新聞記事や社内外の実例を継続的に報知するのも有効である。
監査目標
(9) ソフトウェアの知的財産権を管理しているか。
着眼点
1)知的財産権に関する教育を実施しているかを確認する。*1
2)外部から導入(購入等)したソフトウェアについては、契約で定められた条件に従って使用されてい
るかを確認する。具体的には、複製、改変、使用コンピュータ等が、契約で定められた条件に合致し
ているかを確認する。*1
ガイドラインの目次
に戻る。