官公庁においては近年、セキュリティ重視の傾向はますます向上しており、セキュリティ管理に対する仕様として「情報収集の重要性」を明記する傾向が増えています。特に官公庁などでのシステム運用管理における仕様書には、政府のガイドラインに基づいた文言が含まれています。これらの例をご紹介します。
官公庁などのクリティカルなシステムにおいては、脆弱性情報は迅速に入手を行い、脆弱性のリスクと対策方法を把握し、適宜報告書をまとめて提出することとされています。SIDfmなら、その全ての工程においてフルサポート。セキュリティ運用管理の場面を強力に支援し、また脆弱性情報についてお問合せサポートの体制も完備しています。
例1. 情報セキュリティポリシーに関するガイドライン(内閣官房)
P.25「III. ポリシーのガイドライン」-「2. 策定手続」-「(5) 対策基準の策定」-「⑥技術的セキュリティ」-「(ⅴ) セキュリティ情報の収集」に明記されています。
セキュリティホールは、日々発見される性質のものであることから、積極的に情報収集を行う必要がある。このため、情報収集の体制、分析の手順、情報収集先等を定める。深刻なセキュリティホールが発見された場合、直ちに対応できるよう留意する必要がある。
例2. 政府機関の情報セキュリティ対策のための統一基準(第 4 版)、2009年2月(政府機関統一基準K303-081版ベース)(内閣官房情報セキュリティセンター)
P.55~56「2.1.2 情報セキュリティについての脅威」「2.1.2.1 セキュリティホール対策」に明記。
遵守事項
(1) 情報システムの構築時
【基本遵守事項】
a. 情報システムセキュリティ責任者は、電子計算機及び通信回線装置(公開されたセキュリティホールの情報がない電子計算機及び通信回線装置を除く。以下この項において同じ。)の設置又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開されたセキュリティホールの対策を実施すること。
(2) 情報システムの運用時
【基本遵守事項】
a. 情報システムセキュリティ管理者は、管理対象となる電子計算機及び通信回線装置上で利用しているソフトウェアに関して、公開されたセキュリティホールに関連する情報を適宜入手すること。
b. 情報システムセキュリティ責任者は、管理対象となる電子計算機及び通信回線装置上で利用しているソフトウェアに関して、セキュリティホールに関連する情報を入手した場合には、当該セキュリティホールが情報システムにもたらすリスクを分析した上で、以下の事項について判断し、セキュリティホール対策計画を策定すること。
(ア) 対策の必要性
(イ) 対策方法
(ウ) 対策方法が存在しない場合の一時的な回避方法
(エ) 対策方法又は回避方法が情報システムに与える影響
(オ) 対策の実施予定
(カ) 対策試験の必要性
(キ) 対策試験の方法
(ク) 対策試験の実施予定
c. 情報システムセキュリティ管理者は、セキュリティホール対策計画に基づきセキュリティホール対策を講ずること。
d. 情報システムセキュリティ管理者は、セキュリティホール対策の実施について、実施日、実施内容及び実施者を含む事項を記録すること。
e. 情報システムセキュリティ管理者は、信頼できる方法でパッチ又はバージョンアップソフトウェア等のセキュリティホールを解決するために利用されるファイル(以下、「対策用ファイル」という。)を入手すること。また、当該対策用ファイルの完全性検証方法が用意されている場合は、検証を行うこと。
f. 情報システムセキュリティ管理者は、定期的にセキュリティホール対策及びソフトウェア構成の状況を確認、分析し、不適切な状態にある電子計算機及び通信回線装置が確認された場合の対処を行うこと。
g. 情報システムセキュリティ責任者は、入手したセキュリティホールに関連する情報及び対策方法に関して、必要に応じ、他の情報システムセキュリティ責任者と共有すること。
例3. 独立行政法人A機構における情報セキュリティ対策のための基準(政府機関統一基準K303-052 版ベース)(内閣官房情報セキュリティセンター)
P.71~74「4.2.1 セキュリティホール対策」に明記。
趣旨(必要性)
セキュリティホールは、情報システムを構成する電子計算機及び通信回線装置上で利用しているソフトウェアに存在する可能性があり、そのセキュリティホールを攻撃者に悪用されることにより、サーバ装置への不正侵入、サービス不能攻撃、ウイルス感染等の脅威の発生原因になるなど、情報システム全体のセキュリティの大きな脅威となる。特に、サーバ装置へ不正侵入された場合、踏み台、情報漏えい等の更なるリスクにつながり、独立行政法人A機構の社会的な信用が失われるおそれがある。これらのリスクを回避するため、セキュリティホールへの対応は迅速かつ適切に行わなければならない。これらのことを勘案し、本項では、セキュリティホールに関する対策基準を定める。
(以下、省略しますが、上記の例2の「政府機関の情報セキュリティ対策のための統一基準」を準用する形となっています。)
例4. 予算編成支援システムの維持管理 仕様書(財務省)
P.3 「3.委託目的と委託範囲」-「(6) 情報セキュリティ対策業務」に明記。
予算編成支援システムのセキュリティ確保に向けて、脆弱性情報の収集からセキュリティパッチの精査、最新パターン適用状況の確認及び不正アクセス監視を実施する。
その他は、上記の例2の「政府機関の情報セキュリティ対策のための統一基準」を準用する形となっています。
例5. 地方公共団体に関する情報セキュリティ監査に関するガイドライン(総務省)
P.85 に情報セキュリティ監査項目として明記
(1) セキュリティホールや不正プログラム等の情報収集に関わる基準
統括情報セキュリティ責任者及び情報システム管理者によって、セキュリティホールや不正プログラム等の情報収集に関わる基準が定められ、文書化されている。システム監査では、承認された「セキュリティ情報収集基準」文書の証拠が求められます。
(2) セキュリティホールの情報収集及び共有に関わる基準
統括情報セキュリティ責任者及び情報システム管理者によって、セキュリティホールに関する情報が収集され、関係者間で共有されている。システム監査では、セキュリティホール関連情報の通知記録が求められます。
(3) ソフトウェアの更新に関わる基準
統括情報セキュリティ責任者及び情報システム管理者によって、セキュリティホールの緊急度に応じてパッチが適用され、ソフトウエアが更新されている。システム監査では、パッチ適用情報とパッチ適用記録が求められます。