ISO9001,14001,27001 コンサルタント タテックス有限会社 - 詳細管理策の解説
ISO27001 > ISO27001-2013 > 4. 組織の状況から10. 改善 > 付属書A.管理目的及び管理策 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO27001 > 製造業 ISO27001サイトマップ

詳細管理策の解説

A.5 情報セキュリティのための方針群

  • A.5.1 情報セキュリティのための経営陣の方向性
    • A.5.1.1 情報セキュリティのための方針群
    • A.5.1.2 情報セキュリティのための方針群のレビュー

解説

2005年版では情報セキュリティ基本方針という呼称でしたが2013年版では情報セキュリティ方針となりました。
詳細管理策の見出しは、”方針群”となっています。方針はひとつではなく、複数を示していることがわかります。

附属書Aの管理策の見出しをみていくと、7つの方針が登場します。
 (1) A. 6.2.1 モバイル機器の方針
 (2) A. 9.1.1 アクセス制御方針
 (3) A.10.1.1 暗号による管理策の利用方針
 (4) A.11.2.9 クリアデスク・クリアスクリーン方針
 (5) A.13.2.1 情報転送の方針
 (6) A.14.2.1 セキュリティに配慮した開発のための方針
 (7) A.15.1.1 供給者関係のための情報セキュリティ方針

経営者は情報セキュリティ方針を作成して周知します。

A.6 情報セキュリティのための組織

  • A.6.1 内部組織
    • A.6.1.1 情報セキュリティの役割及び責任
    • A.6.1.2 職務の分離
    • A.6.1.3 関係当局との連絡
    • A.6.1.4 専門組織との連絡
    • A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ
  • A.6.2 モバイル機器及びテレワーキング
    • A.6.2.1 モバイル機器の方針
    • A.6.2.2 テレワーキング

解説

  • 内部組織の管理策は、組織内の情報セキュリティを管理するため行なうもの。
  • モバイルコンピュ一ティング及びテレワーキングは、モバイルコンピューティング及びテレワーキングの設備を用いる時の情報セキュリティを確実にするため行なう。
  • テレワーキングとは、在宅勤務のこと。電話・ファクスやインターネットを通じて、社員は在宅のまま、調査・執筆・企画・パソコン入力・プログラミング作業などを行う。

A.7 人的資源のセキュリティ

  • A.7.1 雇用前
    • A.7.1.1 選考
    • A.7.1.2 雇用条件
  • A.7.2 雇用期間中
    • A.7.2.1 経営陣の責任
    • A.7.2.2 情報セキュリティの意識向上、教育及び訓練
    • A.7.2.3 懲戒手続
  • A.7.3 雇用の終了及び変更
    • A.7.3.1 雇用の終了又は変更に関する責任

解説

  • A.7.1 雇用前は、従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は設備の不正使用のリスクを低減するために行なう。
  • A.7.2 雇用期間中は、従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中で組織のセキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため行なう。
  • A.7.3 雇用の終了または変更は、従業員、契約相手及び第三者の利用者の組織から離脱又は雇用の変更を所定の方法で行うことを確実にするため行なう。

A.8 資産の管理

  • A.8.1 資産に対する責任
    • A.8.1.1 資産目録
    • A.8.1.2 資産の管理責任
    • A.8.1.3 資産利用の許容範囲
    • A.8.1.4 資産の返却
  • A.8.2 情報の分類
    • A.8.2.1 情報の分類
    • A.8.2.2 情報のラベル付け
    • A.8.2.3 資産の取扱い
  • A.8.3 媒体の取扱い
    • A.8.3.1 取外し可能な媒体の管理
    • A.8.3.2 媒体の処分
    • A.8.3.3 物理的媒体の輸送

解説

A.8.1 資産に対する責任は、組織の資産の適切な保護を達成し、維持するため行なう。~
A.8.2 情報の分類は、情報の適切なレベルでの保護を確実にするため行なう。

A.9 アクセス制御

  • A.9.1 アクセス制御に対する業務上の要求事項
    • A.9.1.1 アクセス制御方針
    • A.9.1.2 ネットワーク及びネットワークサービスへのアクセス
  • A.9.2 利用者アクセスの管理
    • A.9.2.1 利用者登録と登録削除
    • A.9.2.2 利用者アクセスの提供 (provisioning)
    • A.9.2.3 特権的アクセス権の管理
    • A.9.2.4 利用者の秘密認証情報の管理
    • A.9.2.5 利用者アクセス権のレビュー
    • A.9.2.6 アクセス権の削除又は修正
  • A.9.3 利用者の責任
    • A.9.3.1 秘密認証情報の利用
  • A.9.4 システム及びアプリケーションのアクセス制御
    • A.9.4.1 情報へのアクセス制限
    • A.9.4.2 セキュリティに配慮したログオン手順
    • A.9.4.3 パスワード管理システム
    • A.9.4.4 特権的なユーティリティプログラムの使用
    • A.9.4.5 プログラムソースコードへのアクセス制御

解説

  • アクセス制御に対する業務上の要求事項は、情報へのアクセスを制御するため行なう。~
  • プロビジョニング( provisioning )とは
ユーザの需要を予想し、設備やサービスなどのリソースを計画的に調達し、ユーザの必要に応じたサービスを提供できるように備える行為の総称。
複数のサーバやネットワーク、アプリケーション、ストレージなどのリソースを仮想化によって一つのコンピュータリソースとみなし、ユーザから要求があった場合や障害時などに、必要な分だけ、コンピュータリソースを動的に別のシステムに割り当てられるようにすること。
もともとは通信事業者が使っていた用語で、ユーザの申し込み後すぐにサービスを提供できるよう、回線設備などを事前に準備することを意味している。プロビジョニングが必要とされてきた理由としては、インフラ拡張が足かせとなって新規アプリケーションの展開が遅れることで、日々強まるITに対応できなくなることや、インフラ管理に要するコストをできるだけ下げたいという要求などが挙げられる。

A.10 暗号

  • A.10.1 暗号による管理策
    • A.10.1.1 暗号による管理策の利用方針
    • A.10.1.2 鍵管理

解説

暗号は、情報の機密性、真正性及び/又は完全性を保護するために、暗号の適切かつ有効な利用を確実にするため行う。

A.11 物理的及び環境的セキュリティ

  • A.11.1 セキュリティを保つべき領域
    • A.11.1.1 物理的セキュリティ境界
    • A.11.1.2 物理的入退管理策
    • A.11.1.3 オフィス、部屋及び施設のセキュリティ
    • A.11.1.4 外部及び環境の脅威からの保護
    • A.11.1.5 セキュリティを保つべき領域での作業
    • A.11.1.6 受渡場所
  • A.11.2 装置
    • A.11.2.1 装置の設置及び保護
    • A.11.2.2 サポートユーティリティ
    • A.11.2.3 ケーブル配線のセキュリティ
    • A.11.2.4 装置の保守
    • A.11.2.5 資産の移動
    • A.11.2.6 構外にある装置及び資産のセキュリティ
    • A.11.2.7 装置のセキュリティを保った処分又は再利用
    • A.11.2.8 無人状態にある利用者装置
    • A.11.2.9 クリアデスク・クリアスクリーン方針

解説

  • セキュリティを保つべき領域は、組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため行なう。~
  • 装置のセキュリティは、資産の損失、損傷、盗難又は劣化、及び組織の活動に対する妨害を防止するために行なう。

A.12 運用のセキュリティ

  • A.12.1 運用の手順及び責任
    • A.12.1.1 操作手順書
    • A.12.1.2 変更管理
    • A.12.1.3 容量・能力の管理
    • A.12.1.4 開発環境、試験環境及び運用環境の分離
  • A.12.2 マルウェアからの保護
    • A.12.2.1 マルウェアに対する管理策
  • A.12.3 バックアップ
    • A.12.3.1 情報のバックアップ
  • A.12.4 ログ取得及び監視
    • A.12.4.1 イベントログ取得
    • A.12.4.2 ログ情報の保護
    • A.12.4.3 実務管理者及び運用担当者の作業ログ
    • A.12.4.4 クロックの同期
  • A.12.5 運用ソフトウェアの管理
    • A.12.5.1 運用システムに関わるソフトウェアの導入
  • A.12.6 技術的ぜい弱性管理
    • A.12.6.1 技術的ぜい弱性の管理
    • A.12.6.2 ソフトウェアのインストールの制限
  • A.12.7 情報システムの監査に対する考慮事項
    • A.12.7.1 情報システム監査に対する管理策

解説

運用のセキュリティは、情報処理設備の正確かつセキュリティを保った運用を確実にするために行う。

ランサムウェア (身代金要求型ウイルス)とは?


ランサムウェアの「ランサム(ransom)」とは「身代金」という意味です。
感染すると端末の操作やファイルの参照をできなくすることで、これらを人質にとり、元に戻すパスワードが欲しければお金(身代金)を払うようにとの脅迫メッセージを表示します。

直接あなたの金銭を奪おうとするウイルスが問題になっています。
中でも、感染した端末の画面をロックしたり(端末ロック型)、ファイルを勝手に暗号化したり(暗号化型)することによって使用できなくしたのち、元に戻すことと引き換えに「身代金」を要求する「ランサムウェア(身代金要求型ウイルス)」の被害が拡大しています。2017年5月世界中で被害が拡大し大ニュースになっています。

金銭を狙うランサムウェア(身代金要求型ウイルス)が急増感染するとあなたの会社の大事な情報資産(写真や動画、ファイル)が使えなくなります。
トレンドマイクロの調査では、日本国内のランサムウェア検出台数が、2016年1月〜12月で65,400件を超え、2015年1年間の検出台数6,700件に対して、9.8倍と急増してます。

また独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」の第2位に「ランサムウェア」がランクインしています。

どんな場合、ランサムウェアに感染するかというと、Webページを見たり、メールの添付ファイルを開くという一般的な操作で感染するのです。

迷惑(スパム)メールの添付ファイルを開いたことで、ランサムウェアがダウンロードされてしまったり、攻撃者によって用意された不正なURLをうっかりクリックしてランサムウェアを拡散するサイトにアクセスしてしまったりすることで感染するケースが多いようです。
どうすればいいの? ランサムウェアの被害を防ぐための対策ポイント

ランサムウェアの被害を防ぐために、次の5つの対策を心がけましょう。
  1. 不自然なものには“触らない”
  2. OSやソフトの“更新プログラムを速やかに適用”
  3. セキュリティソフトは常に“最新に”
  4. 大切なデータは、複数の場所でこまめに“バックアップ”
  5. 身代金を要求されても“支払わない”

A.13 通信のセキュリティ

  • A.13.1 ネットワークセキュリティ管理
    • A.13.1.1 ネットワーク管理策
    • A.13.1.2 ネットワークサービスのセキュリティ
    • A.13.1.3 ネットワークの分離
  • A.13.2 情報の転送
    • A.13.2.1 情報転送の方針及び手順
    • A.13.2.2 情報転送に関する合意
    • A.13.2.3 電子的メッセージ通信
    • A.13.2.4 秘密保持契約又は守秘義務契約

解説

通信のセキュリティは、ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にするために行う。

シンクライアントとは

  • 【広義のシンクライアント】: シンクライアント (Thin client) とは、ユーザーが使うクライアント端末に必要最小限の処理をさせ、ほとんどの処理をサーバ側に集中させたシステムアーキテクチャ全般のことを言う。
  • 【狭義のシンクライアント】:または、そのようなシステムアーキテクチャで使われるように機能を絞り込んだ専用のクライアント端末のことを言う場合もある。狭義のシンクライアントにおいて、クライアント側に Windows、UNIX、Android などの一般的なGUI OSを使わないケースをゼロクライアント (Zero client) と呼ぶこともある。

シンクライアントの「シン (thin)」とは、すなわち「薄い、少ない」という意味で、クライアント端末がサーバに接続するための最小限のネットワーク機能、およびユーザーが入出力を行うためのGUIを装備していれば良いことを示している。

シンクライアントとは逆の意味を持つ用語としては、「ファット (FAT) クライアント」または「シック (Thick) クライアント」がある。
本来の英語の「thin」の反対語は「thick」であるが、日本ではシンクライアントの反対語としては「ファットクライアント」の用語が用いられることが圧倒的に多い。

A.14 システムの取得、開発及び保守

  • A.14.1 情報システムのセキュリティ要求事項
    • A.14.1.1 情報セキュリティ要求事項の分析及び仕様化
    • A.14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮
    • A.14.1.3 アプリケーションサービスのトランザクションの保護
  • A.14.2 開発及びサポートプロセスにおけるセキュリティ
    • A.14.2.1 セキュリティに配慮した開発のための方針
    • A.14.2.2 システムの変更管理手順
    • A.14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
    • A.14.2.4 パッケージソフトウェアの変更に対する制限
    • A.14.2.5 セキュリティに配慮したシステム構築の原則
    • A.14.2.6 セキュリティに配慮した開発環境
    • A.14.2.7 外部委託による開発
    • A.14.2.8 システムセキュリティの試験
    • A.14.2.9 システムの受入れ試験
  • A.14.3 試験データ
    • A.14.3.1 試験データの保護

解説

システムの取得、開発及び保守における管理策は、ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため行う。
これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含んでいる。
  • トランザクション(transaction)とは
商取引、売買、執行、取扱、議事録などの意味を持つ英単語。ソフトウェアの処理方式の一つで、互いに関連・依存する複数の処理をまとめ、一体不可分の処理単位として扱うことをトランザクション処理と呼び、そのような処理単位をトランザクションという。

データベースシステムや業務用ソフトウェアなどでよく用いられる概念で、金融機関のコンピュータシステムにおける入出金処理のように、一連の作業を全体として一つの処理として管理するために用いる。

トランザクションとして管理された処理は「すべて成功」か「すべて失敗」のいずれかであることが保証される。
例えば、資金移動システムをコンピュータで処理する場合、出金処理と入金処理は「どちらも成功」か「どちらも失敗」のどちらかであることが要求される。「出金に成功して入金に失敗」すると、出金された資金が宙に浮いてしまうからである。
このような場合に、出金と入金をまとめて一つのトランザクションとして管理し、どちらか一方が失敗したらもう片方も取り消し、どちらも成功したときに初めて全体を成功として確定する。

A.15 供給者関係

  • A.15.1 供給者関係における情報セキュリティ
    • A.15.1.1 供給者関係のための情報セキュリティの方針
    • A.15.1.2 供給者との合意におけるセキュリティの取扱い
    • A.15.1.3 ICTサプライチェーン
  • A.15.2 供給者のサービス提供の管理
    • A.15.2.1 供給者のサービス提供の監視及びレビュー
    • A.15.2.2 供給者のサービス提供の変更に対する管理

解説

この項目は、供給者がアクセスできる組織の資産の保護を確実にするため行う管理策である。
  • ICTサプライチェーンとは
企業における調達、製造、物流、販売、サービスといった行程を「供給の鎖」(サプライチェーン)として捉え、それに関わる情報を互いに共有管理して最適化を図る経営手法、または情報システムのことをいう。
サプライチェーンの各工程の個別最適ではなく、全体最適を図っていくことが重要とされている。
リードタイム短縮や在庫抑制によって、顧客満足度の向上を図りながら、コスト削減および収益拡大につなげる。

A.16 情報セキュリティインシデント管理

  • A.16.1 情報セキュリティインシデントの管理及びその改善
    • A.16.1.1 責任及び手順
    • A.16.1.2 情報セキュリティ事象の報告
    • A.16.1.3 情報セキュリティ弱点の報告
    • A.16.1.4 情報セキュリティ事象の評価及び決定
    • A.16.1.5 情報セキュリティインシデントへの対応
    • A.16.1.6 Learn from security incidents and apply your knowledge
    • A.16.1.7 Collect evidence to document incidents and responses

解説

  • 情報セキュリティインシデントの管理及びその改善は、情報セキュリティインシデントの管理に、一貫性のある効果的な取組み方法を用いることを確実にするため行なう。
  • 情報セキュリティの事象及び弱点の報告は、情報システムに関連する情報セキュリティの事象及び弱点を、時機を失しない是正処置を講じることができるやり方で連絡することを確実にするため行なう。~

A.17 事業継続マネジメントにおける情報セキュリティの側面

  • A.17.1 情報セキュリティ継続
    • A.17.1.1 情報セキュリティ継続の計画
    • A.17.1.2 情報セキュリティ継続の実施
    • A.17.1.3 情報セキュリティ継続の検証、レビュー及び評価
  • A.17.2 冗長性
    • A.17.2.1 情報処理施設の可用性

解説

  • 事業継続計画(Business continuity planning、BCP)は「競争的優位性と価値体系の完全性を維持しながら、組織が内外の脅威にさらされる事態を識別し、効果的防止策と組織の回復策を提供するためハードウェア資産とソフトウェア資産を総合する計画」のこと。事業継続と復旧計画(Business Continuity & Resiliency Planning、BCRP)とも呼ばれる。
  • 情報セキュリティの継続が事業継続マネジメント(BCM という。)プロセス又は災害復旧管理(DRM という。)プロセスに織り込まれているか否かを判断することが望ましい。
  • 事業継続及び災害復旧に関する正式な計画が策定されていない場合,通常の業務状況とは異なる困難な状況においても,情報セキュリティ要求事項は変わらず存続することを,情報セキュリティマネジメントの前提とすることが望ましい。
  • 事業継続管理は、情報システムの重大な故障又は災害の影響からの事業活動の中断に対処するとともに、それらから重要な業務プロセスを保護し、さらに、事業活動及び重要な業務プロセスの時機を失しない再開を確実にするため行なう。
  • 情報セキュリティに対して"追加的な"BIA を実施するための時間及び労力を軽減するには,通常の BCM又は DRM における BIA に,情報セキュリティに関する側面を織り込むことが推奨される。すなわち,情報セキュリティ継続に関する要求事項が,BCM プロセス又は DRM プロセスにおいて明確に定められているということである。
  • BCMに関する情報が,JIS Q 22301,ISO 22313 及び ISO/IEC 27031 に示されている。
  • 冗長性とは 余分なもの、余剰がある、重複しているという意味である。IT用語では、主に余裕のある状態、二重化など、ポジティブな意味合いで使われることが多い。 データ圧縮などにおいては、効率性の妨げになる余剰分を排除するという場合に本来の余剰、重複の意味で使われることもある。 コンピュータシステムでは、耐障害性を高めるためにネットワークを含むシステム全体を二重化して予備システムを準備することを冗長化といい、冗長化によって信頼性、安全性を確保した状態を冗長性があるという。
  • 企業は,情報システムの可用性に関する業務上の要求事項を特定することが望ましい。

A.18 順守

  • A.18.1 法的及び契約上の要求事項の順守
    • A.18.1.1 適用法令及び契約上の要求事項の特定
    • A.18.1.2 知的財産権(IPR)
    • A.18.1.3 記録の保護
    • A.18.1.4 プライバシー及び個人を特定できる情報(PII)の保護
  • A.18.2 情報セキュリティのレビュー
    • A.18.2.1 情報セキュリティの独立したレビュー
    • A.18.2.2 情報セキュリティのための方針群及び標準の順守
    • A.18.2.3 技術的順守のレビュー

解説

  • 法的要求事項の順守は、法令、規則又は契約上のあらゆる義務、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため行なう。~
  • 情報セキュリティ方針及び標準の順守、並びに技術的コンプライアンスは、組織のセキュリティ方針及び標準類へのシステムの順守を確実にするため行なう。~
  • 情報システム監査に対する考慮事項は、情報システム監査手続の有効性を最大限にするため、及び情報システム監査手続への/からの干渉を最小限にするため行なう。


情報セキュリティマネジメントシステム コンサルティング


2013年版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。


   お問合せは、ここをクリック→お問合せ

~
~
~
~