こんにちは、saeです。
今回は、前回に続いて情報セキュリティ対策基準の5章の管理基準について解説します。
5.7 外部とのネットワーク接続の管理では、インターネット等の外部ネットワークとの接続ポイントの特定と考え方が重要となります。接続ポイントが多いと対策費用や管理コストが上昇し、リスクも上昇することになります。
5.7 外部とのネットワーク接続の管理
社外の情報基盤とのネットワーク接続に際しては、情報漏洩や不正アクセス・ウィルス侵入などのセキュリティ上のリスクへの対策を行う。具体的には、必要に応じて以下の対策を行う。
・外部ネットワークとの接続制限、接続作業者の制限と接続ポイントの特定
・相互アクセスのID・パスワード管理
・接続状況、アクセス状況などトラフィックの記録(ログ採取・保管)
・接続ポイントへの、ファイアウォール・ウィルス対策機能の実装(不正アクセスおよびウィルス対策の実施)
なお、社内ネットワークに関しては、社内規程に則り管理・運用を行うものとする。
5.8 不正アクセス、ウィルス対策等では、調査や対策にはツールの導入が必要となります。業務への影響や予算等も考慮する必要があります。
5.8 不正アクセス、ウィルス対策等
不正アクセスやコンピュータウィルスから重要な情報資産を保護するため、必要なセキュリティ上の対策を定める。具体的には、必要に応じて以下の対策を行う。
・ライセンス未取得、安全性・信頼性が確認されていなソフトウェアの使用禁止
・ウィルス検知ソフトウェアの導入と常駐化、およびパターンファイルの最新化
・ファイアウォール、不正アクセス監視ルーツの導入
・セキュリティに関するアップデート情報の、最短期間での収集、および評価・適用
・ネットワークログの収集と定期的な分析
なお、社内ネットワークに関しては、社内規程に則り管理・運用を行うものとする。
5.9 インターネット公開環境の管理では、ホームページを公開する上で、公開情報に応じて対策を講じる必要があります。
5.9 インターネット公開環境の管理
情報資産をインターネットに公開する場合は、不特定の相手との間でネットワーク接続するセキュリティ上のリスクへの対策を行う。具体的には、必要に応じて以下の対策を行う。
・「Webサイト利用規約」、「プライバシー保護方針」など、Web環境において利用者が留意すべき事項・禁止される事項、および
当社の免責事項等についての規程と公開
・ID/パスワードの厳重保管・管理、暗号化
・電子商取引Webサイトにおける、電子証明書、SSLなど暗号化技術の利用
・顧客データの暗号化保管
・ファイアウォールの設置など、不正アクセス・改竄への対応策の実施
・モニタリングツールの導入とアクセスログの採取・保管。
