出題傾向
情報の機密性、完全性、可用性を維持するために情報システムはどのように設置、管理、運用すべきかを示した指針があります。
試験によく出るのは「JIS Q 27002:2014」と経産省の「情報システム安全対策基準」です。
両者で極端に異なることは言っていないので、経産省の安全対策基準のみ取り上げることにします。
情報システム安全対策基準は、設置基準、技術基準、運用基準で構成されています。以下に主な項目を抜粋します。どのようなことが書かれているか確認しておきましょう。
設置基準
立地・配置
- 建物の内外及び室は、情報システム及び記録媒体の所在を明示しないこと。
これがよく出題されます。
開口部
- 出入口は、不特定多数の人が利用する場所を避けて設置すること。
- 出入口は、できるだけ少なくし、入退管理設備を設けること。
誰でも出入りできるようではまずい、ということです。
構造、内装、建築設備、什器・備品
- 建物は、避雷設備を設置すること。
- 建物は、建築基準法に規定する耐火性能を有すること。
- 室内、天井裏等は、水配管を通さないこと。
- 衣服、履き物、什器、備品等は、静電気防止の措置を講ずること。
情報システムを守る「器」は頑丈に作りましょう、ということです。
監視設備
- 情報システム等を設置した建物及び室の人の出入りを遠隔監視する設備を設置すること。
技術基準
災害・障害対策機能
- 情報システムは、代替運転する機能を設けること。
- 回復許容時間に対応したバックアップ機能を設けること。
- データのエラー検出機能を設けること。
もしものための二重化が大切です。
故意・過失対策機能
- 情報システム及びその資源にアクセスするユーザ等の正当性を識別し、認証する機能を設けること。
- 情報システム及びその資源に対するアクセス権限を制御する機能を設けること。
- アクセスを監視する機能を設けること。
情報漏えい防止機能
- コンピュータ、端末機及び通信関係装置からの電波放射による情報漏えいを防止する機能を設けること。
- ファイル、伝送情報等を暗号化する機能を設けること。
運用基準
計画
- 情報システム等の運用に当たっては、責任分担及び責任分界点を明確にすること。
- 情報システムの集中、分散処理の形態に応じた運用に関する管理規程を整備するとともに、管理責任者を定めること。
情報システムの運用
- 構成機器の変更及びソフトウェアの修正、変更等に当たっては、集中、分散処理の形態に応じた、情報システムの正常な動作に影響を与えない措置を講ずること。
- 集中、分散処理の形態に応じて、運転の監視、制御及び記録を行い、毎日の運転状況を分析すること。
- 利用者の情報システムへのアクセス権限は、集中、分散処理の形態に応じて定めること。
- 情報システム利用者のパスワード、識別コード等は、集中、分散処理の形態に応じて管理すること。
データ等及び記録媒体の保管及び使用
- 記録媒体の保管設備の鍵は、特定者が管理すること。
- 記録媒体の保管状況は、特定者が定期的に点検すること。
- データ等及び記録媒体の作成、追加、更新、複写、廃棄等について管理記録を整備すること。
入退館及び入退室
- 情報システムの集中、分散処理の形態に応じ、情報システム等を設置した建物及び室の入退館及び入退室の資格付与細則を定めること。
- 建物及び室の入退者に対しては、資格審査を行い資格識別証を発行し、入退館及び入退室を管理すること。
- 一時的に入退館及び入退室の資格を与えた者は、必要に応じ立会人を付け、立入場所の抑制を行うこと。
- 建物又は室の重要度に応じ、入退の記録をとること。
関連設備、防災設備、防犯設備
- 関連設備、防災設備及び防犯設備の変更、増設等に当たっては、情報システムの正常な動作に影響を与えない措置を講ずること。
- 関連設備、防災設備及び防犯設備の定期点検を実施し、結果を調査及び分析すること。
要員
- 要員の配置、交替等の管理は、集中、分散処理の形態に応じ適正に行うこと。
- 安全対策に係る規程、マニュアル等を習熟させるための教育及び訓練を実施すること。
- 災害時対応計画に沿った教育及び訓練を実施すること。
外部委託
- 情報システム等の運用管理作業を外部に委託する場合は、安全対策に関する項目を盛り込んだ作業契約を締結すること。
- 委託先における安全対策の実施状況を確認すること。
システム監査
- 安全対策に関するシステム監査の報告を受け、必要な措置を講ずること。
- 災害時対応計画に関するシステム監査の報告を受け、必要な措置を講ずること。