Comments
Description
Transcript
第1版 - IPA 独立行政法人 情報処理推進機構
情報セキュリティセミナー マネジメントコース実践編 IPA 技術本部 セキュリティセンター Copyright © 2013 独立行政法人 情報処理推進機構 本セミナーの対象者 本セミナーは、これから情報セキュリティ対策 を実施していこうと考えている企業・組織の 経営者、管理者の方を対象と想定しています。 本セミナーの内容は、既に理解していると おっしゃる方には、セキュリティ対策の見直し、 委託先や子会社に対するセキュリティ教育の ための情報収集をするための内容であると 理解いただきたいと考えています。 Copyright © 2013 独立行政法人 情報処理推進機構 2 セミナー講演内容 組織的な情報セキュリティ対策 事例に基づく情報セキュリティ対策の 解説 委託関係における 情報セキュリティ対策 情報セキュリティ対策の考え方 (まとめ) Copyright © 2013 独立行政法人 情報処理推進機構 3 組織的な情報セキュリティ対策 1. 2. 3. 4. 情報セキュリティに対する組織的な取り組み 物理的セキュリティ 情報システム及び通信ネットワークの運用管理 情報システムのアクセス制御の状況及び 情報システムの開発、保守における セキュリティ対策 5. 情報セキュリティ上の事故対応 Copyright © 2013 独立行政法人 情報処理推進機構 4 1. 情報セキュリティに対する組織的な取り組み ① 情報セキュリティに関する経営者の意図が従業員に明確に示されてい る ② 情報セキュリティ対策に関わる責任者と担当者を明示する ③ 管理すべき重要な情報資産を区分する ④ 重要な情報については、入手、作成、利用、保管、交換、提供、消去、 破棄における取り扱い手順を定める ⑤ 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意 事項について合意を取る ⑥ 従業者(派遣を含む)に対し、セキュリティに関して就業上何をしなけれ ばいけないかを明示する ⑦ 情報セキュリティに関するルールの周知と、情報セキュリティに関わる 知識習得の機会を与える Copyright © 2013 独立行政法人 情報処理推進機構 5 1. 情報セキュリティに対する組織的な取り組み ① 情報セキュリティに関する経営者の意図が従業員 に明確に示されている 経営者が情報セキュリティポリシーの策定に関与 し、実現に対して責任を持つ 情報セキュリティポリシーを定期的に見直しする Copyright © 2013 独立行政法人 情報処理推進機構 6 1. 情報セキュリティに対する組織的な取り組み ② 情報セキュリティ対策に関わる責任者と担当者を 明示する 責任者として情報セキュリティと経営を理解する立 場の人を任命する 責任者は、各セキュリティ対策について(社内外を 含め)、責任者、担当者それぞれの役割を具体化 し、役割を徹底する Copyright © 2013 独立行政法人 情報処理推進機構 7 1. 情報セキュリティに対する組織的な取り組み ③ 管理すべき重要な情報資産を区分する 管理すべき重要な情報資産を、他の情報資産と分 類する 情報資産の管理者を定める 重要度に応じた情報資産の取り扱い指針を定める 重要な情報資産を利用できる人の 範囲を定める Copyright © 2013 独立行政法人 情報処理推進機構 8 1. 情報セキュリティに対する組織的な取り組み ④ 重要な情報については、入手、作成、利用、保管、 交換、提供、消去、破棄における取り扱い手順を 定める 各プロセスにおける作業手順を明確化し、決めら れた担当者が、手順に基づいて作業を行っている 重要な情報に対して、漏洩や 不正利用を防ぐ保護対策を 行っている Copyright © 2013 独立行政法人 情報処理推進機構 9 例えば・・・ 重要な情報を利用できる人に対してのみ、ア クセス可能とする 重要な情報の利用履歴を残しておく 重要な情報を確実に消去・廃棄する Copyright © 2013 独立行政法人 情報処理推進機構 10 1. 情報セキュリティに対する組織的な取り組み ⑤ 外部の組織と情報をやり取りする際に、情報の取 り扱いに関する注意事項について合意を取る 契約書や委託業務の際に取り交わす書面等に、 情報の取り扱いに関する注意事項を含める Copyright © 2013 独立行政法人 情報処理推進機構 11 例えば・・・ システム開発を委託する際の本番データ利用時の際の情報 管理、例えば管理体制や受託情報の取り扱い・受け渡し・返 却、廃棄等について、注意事項を含める 関係者のみにデータの取り扱いを制限する 外部の組織との間で情報を授受する場合、情報受渡書を持 っておこなう 契約に基づく作業を遂行することによって新たに発生する情 報(例:新たに作製された、金型・図面・モックアップ等々)の 取扱を含める Copyright © 2013 独立行政法人 情報処理推進機構 12 1. 情報セキュリティに対する組織的な取り組み ⑥ 従業者(派遣を含む)に対し、セキュリティに関して就業上 何をしなければいけないかを明示する 従業者を採用する際に、守秘義務契約や誓約書を交わし ている 従業者が順守すべき事項を明確にしている 違反を犯した従業員に対する懲戒手続きが 整備されている 在職中及び退職後の機密保持義務を明確化 するため、プロジェクトへの参加時など、 具体的に企業機密に接する際に、退職後の 機密保持義務も含む誓約書を取る Copyright © 2013 独立行政法人 情報処理推進機構 13 1. 情報セキュリティに対する組織的な取り組み ⑦ 情報セキュリティに関するルールの周知と、情報セ キュリティに関わる知識習得の機会を与える ポリシーや関連規程を従業員に理解させる 実践するために必要な教育を定期的に行っている Copyright © 2013 独立行政法人 情報処理推進機構 14 2. 物理的セキュリティ ① 重要な情報を保管したり、扱ったりする場所の入 退管理と施錠管理を行う ② 重要なコンピュータや配線は地震などの自然災害 や、ケーブルの引っ掛けなどの人的災害が起こら ないように配置・設置する ③ 重要な書類、モバイルPC、記憶媒体などについて 、整理整頓を行うと共に、盗難防止対策や確実な 廃棄を行う Copyright © 2013 独立行政法人 情報処理推進機構 15 2. 物理的セキュリティ ① 重要な情報を保管したり、扱ったりする場所の入退管理と 施錠管理を行う 重要な情報を保管したり、扱ったりする区域を定めている 重要な情報を保管している部屋(事務室)又はフロアーへの 侵入を防止するための対策を行っている 重要な情報を保管している部屋(事務室) 又はフロアーに入ることができる人を 制限し、入退の記録を取得している Copyright © 2013 独立行政法人 情報処理推進機構 16 2. 物理的セキュリティ ② 重要なコンピュータや配線は地震などの自然災害や、ケー ブルの引っ掛けなどの人的災害が起こらないように配置・ 設置する 重要なコンピュータは許可された人だけが入ることができる 安全な場所に設置する 電源や通信ケーブルなどは、他の人が容易に接触できない ようにする 重要なシステムについて、地震などによる 転倒防止、水濡れ防止、停電時の代替電源 の確保などを行っている Copyright © 2013 独立行政法人 情報処理推進機構 17 2. 物理的セキュリティ ③ 重要な書類、モバイルPC、記憶媒体などについて、整理 整頓を行うと共に、盗難防止対策や確実な廃棄を行う (重要な書類について) 不要になった場合、シュレッダーや焼却などして確実に処 分する 重要な書類を保管するキャビネットには、施錠管理を行う 重要な情報が存在する机上、書庫、会議室 などは整理整頓を行う 郵便物、FAX、印刷物などの放置は禁止。 重要な書類の裏面を再利用しない Copyright © 2013 独立行政法人 情報処理推進機構 18 2. 物理的セキュリティ ③ 重要な書類、モバイルPC、記憶媒体などについて、整理 整頓を行うと共に、盗難防止対策や確実な廃棄を行う (モバイルPC、記憶媒体について) 保存した情報が不要になった場合、消去ソフトを用いるな ど、確実に処分している モバイルPC、記憶媒体については、盗難防止の対策を行 う 私有PCを会社に持ち込んだり、私有PCで業務を行ったり しない Copyright © 2013 独立行政法人 情報処理推進機構 19 3. 情報システム及び通信ネットワークの 運用管理 ① 情報システムの運用に関して運用ルールを策定する ② ウイルス対策ソフトをはじめとしたアプリケーションの運用 を適切に行う ③ 導入している情報システムに対して、最新のパッチを適用 するなどの脆弱性対策を行う ④ 通信ネットワークを流れる重要なデータに対して、暗号化な どの保護策を実施する ⑤ モバイルPCやUSBメモリなどの記憶媒体やデータを外部に 持ち出す場合、盗難、紛失などに備えて、適切なパスワー ド設定や暗号化などの対策を実施する Copyright © 2013 独立行政法人 情報処理推進機構 20 3. 情報システム及び通信ネットワークの 運用管理 ① 情報システムの運用に関して運用ルールを策定する システム運用におけるセキュリティ要求事項を明確にして いる 情報システムの運用手順書(マニュアル)を整備している システムの運用状況を点検している システムにおいて実施した操作や障害、 セキュリティ関連イベントについてログ(記録) を取得している 設備(具体例)の使用状況を記録している Copyright © 2013 独立行政法人 情報処理推進機構 21 3. 情報システム及び通信ネットワークの 運用管理 ② ウイルス対策ソフトをはじめとしたアプリケーションの運用 を適切に行う ウイルス対策ソフトを導入し、パターンファイルの更新を定 期的に行っている ウイルス対策ソフトが持っている機能(ファイアウォール 機能、スパムメール対策機能、有害サイト 対策機能)を活用する 各サーバやクライアントPCについて、 定期的なウイルス検査を行っている Winny等、組織で許可されていないソフト ウェアのインストールの禁止、あるいは 使用制限を行っている Copyright © 2013 独立行政法人 情報処理推進機構 22 3. 情報システム及び通信ネットワークの 運用管理 ③ 導入している情報システムに対して、最新のパッチを適用 するなどの脆弱性対策を行う 脆弱性の解消(修正プログラムの適用、Windows update等)を行ってい る 脆弱性情報や脅威に関する情報の入手方法を確認し、定期的に収集す る 情報システム導入の際に、不要なサービスの停止など、セキュリティを 考慮した設定を実施するなどの対策が施されているかを確認する Webサイトの公開にあたっては、不正アクセスや 改ざんなどを受けないような設定・対策を行い、 脆弱性の解消を行う Webブラウザや電子メールソフトのセキュリティ 設定を行う Copyright © 2013 独立行政法人 情報処理推進機構 23 3. 情報システム及び通信ネットワークの 運用管理 ④ 通信ネットワークを流れる重要なデータに対して、暗号化な どの保護策を実施する 必要に応じて、SSL(Secure Socket Layer:暗号通信を行うための プロトコル)等を用いて通信データを暗号化する 外部のネットワークから内部のネットワークや情報システム にアクセスする場合に、VPN(Virtual Private Network)などを用 いて暗号化した通信路を使用している 電子メールをやり取りする際に、重要な 情報についてはファイルにパスワードを 付ける、又は暗号化する Copyright © 2013 独立行政法人 情報処理推進機構 24 3. 情報システム及び通信ネットワークの 運用管理 ⑤ モバイルPCやUSB(Universal Serial Bus)メモリなどの記憶媒体やデータを外部に 持ち出す場合、盗難、紛失などに備えて、適切なパスワード設定や暗号化など の対策を実施する モバイルPCやUSBメモリ等の使用や外部持ち出しについて、規程を定めてい る 外部でモバイルPCやUSBメモリ等を使用する場合の紛失や盗難対策を講じて いる モバイルPCやUSBメモリ等を外部に持出す際は、利用者の認証(ID・パスワー ド設定、USBキーやICカード認証、バイオメトリクス認証等)を行う 保存されているデータを、重要度に応じてHDD暗号化、 BIOS(Basic Input/Output System)パスワード設定などの技術的対策を実施する PCを持出す場合の持出者、持出・返却管理を実施する 盗難、紛失時に情報漏えいの脅威にさらされた情報が 何かを正確に把握するため、持ち出し情報の一覧、 内容管理を行う Copyright © 2013 独立行政法人 情報処理推進機構 25 4. 情報システムのアクセス制御の状況及び 情報システムの開発、保守におけるセキュリティ対策 ① 情報(データ)や情報システムへのアクセスを制限するため に、利用者IDの管理(パスワードの管理など)を行う ② 重要な情報に対するアクセス権限の設定を行う ③ インターネット接続に関わる不正アクセス対策(ファイアウォ ール機能、パケットフィルタリング、ISPサービス 等)を行う ④ 無線LANのセキュリティ対策(WPA2(Wi-Fi Protected Access 2) の導入等)を行う ⑤ ソフトウェアの選定や購入、情報システムの開発や保守に 際して、情報セキュリティを前提とした管理を行う Copyright © 2013 独立行政法人 情報処理推進機構 26 4. 情報システムのアクセス制御の状況及び 情報システムの開発、保守におけるセキュリティ対策 ① 情報(データ)や情報システムへのアクセスを制限するため に、利用者IDの管理(パスワードの管理など)を行う 利用者毎にIDとパスワードを割当て、そのIDとパスワードに よる識別と認証を確実に行う 利用者IDの登録や削除に関する規程を整備する パスワードの定期的な見直しを求める。また、空白のパスワ ードや単純な文字列のパスワードを設定しないよう利用者 に求める 離席する際は、パスワードで保護された スクリーンセーバーでパソコンを保護する 不要になった利用者IDを削除する Copyright © 2013 独立行政法人 情報処理推進機構 27 4. 情報システムのアクセス制御の状況及び 情報システムの開発、保守におけるセキュリティ対策 ② 重要な情報に対するアクセス権限の設定を行う 重要な情報に対するアクセス管理方針を定め、利 用者毎にアクセス可能な情報、情報システム、業務 アプリケーション、サービス等を設定する 職務の変更や異動に際して、利用者のアクセス権 限を見直す Copyright © 2013 独立行政法人 情報処理推進機構 28 4. 情報システムのアクセス制御の状況及び 情報システムの開発、保守におけるセキュリティ対策 ③ インターネット接続に関わる不正アクセス対策(ファイアウォ ール機能、パケットフィルタリング、ISPサービス 等)を行う (外部から内部へのアクセス) 外部から内部のシステムにアクセスする際、利用者認証を実施する 保護すべき重要な情報が保存されるシステムは、それ以外のシステム が接続しているネットワークから物理的に遮断する、もしくはセグメント分 割することによりアクセスできないようにする (内部から外部へのアクセス) 不正なプログラムをダウンロードさせる恐れの あるサイトへのアクセスを遮断するような仕組 み(フィルタリングソフトの導入等)を行っている Copyright © 2013 独立行政法人 情報処理推進機構 29 4. 情報システムのアクセス制御の状況及び 情報システムの開発、保守におけるセキュリティ対策 ④ 無線LANのセキュリティ対策(WPA2の導入等)を 行う 無線LANにおいて重要な情報の通信を行う場合は 、暗号化通信(WPA2等)の設定を行う 無線LANの使用を許可する端末(MAC認証)や利 用者の認証を行う Copyright © 2013 独立行政法人 情報処理推進機構 30 4. 情報システムのアクセス制御の状況及び 情報システムの開発、保守におけるセキュリティ対策 ⑤ ソフトウェアの選定や購入、情報システムの開発や保守に 際して、情報セキュリティを前提とした管理を行う ソフトウェアの導入や変更に関する手順を整備している システム開発において、レビューの実施と記録を残している 外部委託によるソフトウェア開発を行う場合、使用許諾、知 的所有権などについて取り決めている 開発や保守を外部委託する場合に、 セキュリティ管理の実施状況を把握できる Copyright © 2013 独立行政法人 情報処理推進機構 31 5. 情報セキュリティ上の事故対応 ① 情報システムに障害が発生した場合、業務を再開 するために何をすべきかを把握する ② 情報セキュリティに関連する事件や事故等(ウイ ルス感染、情報漏えい等)の緊急時に、何をすべ きかを把握する Copyright © 2013 独立行政法人 情報処理推進機構 32 5. 情報セキュリティ上の事故対応 ① 情報システムに障害が発生した場合、業務を再開するために何をすべ きかを把握する 情報システムに障害が発生した場合の、最低限運用の必要な時間帯と 許容停止時間を明確にしておく 障害対策の仕組みが組織として効果的に機能するよう、よく検討してい る システムの切り離し(即応処理)、必要なサービスを提供できるような機 能(縮退機能)、情報の回復や情報システムの復旧に必要となる機能な どが、障害時に円滑に機能するよう確認しておく 日常のシステム運用の中で、バックアップデータや運用の記録などを確 保しておく 障害発生時に必要な対応として、障害発生時の報告要領(電話連絡先 の認知等)、障害対策の責任者と対応体制、システム切替え・復旧手順 、障害発生時の業務実施要領等の準備を整えておく Copyright © 2013 独立行政法人 情報処理推進機構 33 例えば・・・ 大容量データの復元には時間を要するため、 復元に要する時間の事前見積りの実施 関係者への障害対応要領の周知や、必要な スキルに関する教育や訓練などの実施を行 っている Copyright © 2013 独立行政法人 情報処理推進機構 34 5. 情報セキュリティ上の事故対応 ② 情報セキュリティに関連する事件や事故等(ウイ ルス感染、情報漏えい等)の緊急時に、何をすべ きかを把握する ウイルス感染や情報漏えい等の発生時、組織内 の関係者への報告、緊急処置の適用基準や実行 手順、被害状況の把握、原因の把握と対策の実 施、被害者への連絡や外部へ の周知方法、通常システムへ の復旧手順、業務再開手順 などを整えておく Copyright © 2013 独立行政法人 情報処理推進機構 35 例えば・・・ ウイルス感染の場合 ウイルス定義ファイルを最新の状態にしたウイルス対策ソフトにより、 コンピュータの検査を実施 ウイルス対策ソフトのベンダのWebサイト等の情報を基に、検出され たウイルスの駆除方法などを試す 情報漏えいの場合 事実を確認したら速やかに責任者に報告し、対応体制を取る 対応についての判断を行うため5W1Hの観点で調査し情報を整理す る 対策本部で対応方針を決定する 被害の拡大防止と復旧のための措置を行う 漏洩した個人情報の本人、取引先などへの通知、監督官庁等への 報告、ホームページやマスコミ等による公表についても検討する Copyright © 2013 独立行政法人 情報処理推進機構 36 情報漏えい発生時の対応ポイント集 http://www.ipa.go.jp/security/ awareness/johorouei/ Copyright © 2013 独立行政法人 情報処理推進機構 37 参考情報 中小企業の情報セキュリティ対策ガイドライン (IPA) http://www.ipa.go.jp/security/fy20/reports/ sme-guide/documents/sme-guide.pdf 中小企業の情報セキュリティ対策ガイドライン:別冊1 委託関係におけ る情報セキュリティ対策ガイドライン (IPA) http://www.ipa.go.jp/security/fy20/reports/ sme-guide/documents/sme-itaku.pdf 中小企業の情報セキュリティ対策ガイドライン:別冊2 中小企業におけ る組織的な情報セキュリティ対策ガイドライン (IPA) http://www.ipa.go.jp/security/fy20/reports/ sme-guide/documents/sme-itaku.pdf 営業秘密管理指針 (経済産業省) http://www.meti.go.jp/press/ 20100409006/20100409006-6.pdf Copyright © 2013 独立行政法人 情報処理推進機構 38 参考情報 安全なウェブサイト運営入門 (IPA) http://www.ipa.go.jp/security/vuln/7incidents/ SaaS 向けSLA ガイドライン (経済産業省) http://www.meti.go.jp/committee/materials/downloadfiles/ g80207c05j.pdf クラウドサービス安全利用のすすめ(IPA) http://www.ipa.go.jp/security/cloud/ cloud_tebiki_handbook_V1.pdf 個人情報の保護に関する法律についての経済産業分野を対象とする ガイドライン (経済産業省) http://www.meti.go.jp/policy/it_policy/privacy/ kaisei-guideline.pdf Copyright © 2013 独立行政法人 情報処理推進機構 39 参考情報 事業継続計画策定ガイドライン (経済産業省) http://www.meti.go.jp/report/downloadfiles/g50331d06j.pdf IT サービス継続ガイドライン (経済産業省) http://www.meti.go.jp/policy/netsecurity/downloadfiles/ itsc_gl.pdf 事業継続ガイドライン (内閣府) http://www.bousai.go.jp/MinkanToShijyou/guideline02.pdf 中小企業BCP策定運用指針 (中小企業庁) http://www.chusho.meti.go.jp/bcp/index.html Copyright © 2013 独立行政法人 情報処理推進機構 40 参考情報 情報漏えい発生時の対応ポイント集(IPA) http://www.ipa.go.jp/security/awareness/johorouei/ Winnyによる情報漏えいを防止するために (IPA) http://www.ipa.go.jp/security/topics/20060310_winny.html 無線LANを他人に使われないようにしましょう! (IPA) http://www.ipa.go.jp/security/txt/2011/04outline.html ウイルス対策情報 (IPA) http://www.ipa.go.jp/security/antivirus/antivirus-top.html Copyright © 2013 独立行政法人 情報処理推進機構 41 事例に基づく 情報セキュリティ対策の解説 事例1 ホームページへの不正アクセス 事例2 無許可の外部サービスの利用 事例3 在庫管理システム障害の発生 事例4 無線LANのパスワードのいい加減な管理 事例5 委託した先からの情報漏えい Copyright © 2013 独立行政法人 情報処理推進機構 42 事例1 ホームページへの不正アクセス Copyright © 2013 独立行政法人 情報処理推進機構 43 【状況】 老舗輸入食品販売のA物産は、近年自社ショッピン グサイトを開設し、主に個人を顧客に様々 な食品を直接販売することで、売り上げを伸ばして きている。自社ショッピングサイトの開発は、従来よ りA物産の業務システムを開発してきたBシステム ズに外注した。A物産には情報システムに詳しい人 間がおらず、IT部門などの担当部署もないため、基 本的には仕様の策定から開発・運用まで丸投げし ていた Copyright © 2013 独立行政法人 情報処理推進機構 44 【状況】 ショッピングサイトの顧客DBはインターネットから直 接アクセスできない社内ネットワーク上の業務サー バーに置かれ、インターネットからアクセスされるシ ョッピングサイトのサーバーからの問い合わせを処 理するような構成になっている 近年、百貨店向けの販売不振から、経費節減のた め、Bシステムズとのショッピングサイトシステムの 運用契約を解除し、A物産からの要求があった場合 にのみ対応する形態の契約に変更した Copyright © 2013 独立行政法人 情報処理推進機構 45 【発生した事故】 A物産のショッピングサイト問い合わせ窓口に、外 部機関から、Webサイトにウイルスが埋め込まれて いる、という連絡があった。A物産はBシステムズに 依頼し調査を行ってもらったところ、OSの脆弱性を ついてショッピングサイトのページが書き換えられ ており、ウイルスが埋め込まれていることが確認さ れた。さらに、Webサーバーのログを分析したところ 、SQLインジェクションにより顧客DBに対して不正な アクセスが行われ、顧客の個人情報が約1万件漏 洩したことが判明した Copyright © 2013 独立行政法人 情報処理推進機構 46 【発生した事故】 また、A物産の発表前に、ネット上の掲示板で問題 が公表され、問い合わせが殺到したが、責任者も 不明確で、またどのような対応をとるべきかが分か らなかったことから、マスコミに批判的な記事が出 るなど会社のイメージが大きく低下した その後、A物産では、情報が漏洩した顧客に対する 謝罪を行うとともに、1000円分の割引券を発行した 。またシステムの改修が終わるまでショッピングサ イトを閉鎖したため、その間の売り上げが減少、再 開後も顧客が事件前に戻るのに1年程度を要した Copyright © 2013 独立行政法人 情報処理推進機構 47 なぜ、このような事件が起こったのだろうか? この事例における主な危険要因は以下の通り 開発管理の不備 脆弱な運用体制 不十分な不正アクセス対策 事故対応体制の未整備 Copyright © 2013 独立行政法人 情報処理推進機構 48 開発管理の不備 【対策の例】 ソフトウェアの選定や購入、情報システムの開発や保守に際して 、情報セキュリティを前提とした管理を行う ソフトウェアの導入や変更に関する手順を整備している システム開発において、レビューの実施と記録を残している 外部委託によるソフトウェア開発を行う場合、使用許諾、知的所有権 などについて取り決めている 開発や保守を外部委託する場合に、セキュリティ管理の実施状況を 把握できる Webアプリケーションの脆弱性に関しては、開発時にセキュリティ を考慮した仕様書を示すと共に、公開前に専門家による確認を行 うことが望ましい Copyright © 2013 独立行政法人 情報処理推進機構 49 脆弱な運用体制 【対策の例】 情報セキュリティ対策に関わる責任者と担当者を明示する 責任者として情報セキュリティと経営を理解する立場の人を任命す る 責任者は、各セキュリティ対策について(社内外を含め)、責任者、 担当者それぞれの役割を具体化し、役割を徹底する 情報システムの運用に関して運用ルールを策定する。特に、必要 なログが正確に取得されるようにしておく必要がある システム運用におけるセキュリティ要求事項を明確にしている 情報システムの運用手順書(マニュアル)を整備している システムの運用状況を点検している システムにおいて実施した操作や障害、セキュリティ関連イベントに ついてログ(記録)を取得している 設備(具体例)の使用状況を記録している Copyright © 2013 独立行政法人 情報処理推進機構 50 脆弱な運用体制 【対策の例】 ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切 に行う。 ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行 っている ウイルス対策ソフトが持っている機能(ファイアーウォール機能、ス パムメール対策機能、有害サイト対策機能)を活用する 各サーバーやクライアントPCについて、定期的なウイルス検査を行 っている Winny等、組織で許可されていないソフトウェアのインストールの禁 止、あるいは使用制限を行っている Copyright © 2013 独立行政法人 情報処理推進機構 51 脆弱な運用体制 【対策の例】 導入している情報システムに対して、最新のパッチを適用するな どの脆弱性対策を行う。 脆弱性の解消(修正プログラムの適用、Windows update等)を行って いる 脆弱性情報や脅威に関する情報の入手方法を確認し、定期的に収 集する 情報システム導入の際に、不要なサービスの停止など、セキュリティ を考慮した設定を実施するなどの対策が施されているかを確認する Webサイトの公開にあたっては、不正アクセスや改ざんなどを受けな いような設定・対策を行い、脆弱性の解消を行う Webブラウザや電子メールソフトのセキュリティ設定を行うこと。 Copyright © 2013 独立行政法人 情報処理推進機構 52 不十分な不正アクセス対策 【対策の例】 インターネット接続に関わる不正アクセス対策を行う (外部から内部へのアクセス) 外部から内部のシステムにアクセスする際、利用者認証を実施する 保護すべき重要な情報が保存されるシステムは、それ以外のシステ ムが接続しているネットワークから物理的に遮断する、もしくはセグ メント分割することによりアクセスできないようにする (内部から外部へのアクセス) 不正なプログラムをダウンロードさせる恐れのあるサイトへのアクセ スを遮断するような仕組み(フィルタリングソフトの導入等)を行って いる 特に重要なシステムや、インターネットに直接接続されたシステムにつ いては、IDS(侵入検知システム)やIPS(侵入防御システム)などを導入 する Copyright © 2013 独立行政法人 情報処理推進機構 53 事故対応体制の未整備 【対策の例】 情報セキュリティに関連する事件や事故等の緊急時に、何をすべ きかを把握する ウイルス感染や情報漏えい等の発生時、組織内の関係者への報告 、緊急処置の適用基準や実行手順、被害状況の把握、原因の把握 と対策の実施、被害者への連絡や外部への周知方法、通常システ ムへの復旧手順、業務再開手順などを整えておく (例) ウイルス感染の場合、ウイルス定義ファイルを最新の状態にしたウ イルス対策ソフトにより、コンピュータの検査を実施し、ウイルス対策 ソフトのベンダーのWebサイト等の情報を基に、検出されたウイルス の駆除方法などを試すことが必要となる Copyright © 2013 独立行政法人 情報処理推進機構 54 事故対応体制の未整備 【対策の例】 情報漏えいの場合、事実を確認したら速やかに責任者に報告し、対応 体制を取ること、対応についての判断を行うため5W1Hの観点で調査し 情報を整理すること、対策本部で対応方針を決定すること、被害の拡大 防止と復旧のための措置を行うことが必要となる。また、漏洩した個人 情報の本人、取引先などへの通知、監督官庁等への報告、ホームペー ジやマスコミ等による公表についても検討する必要がある Copyright © 2013 独立行政法人 情報処理推進機構 55 【対策のポイント】 近年発生している不正アクセス事件の多くは、SQLインジェクション等の Webアプリケーションの脆弱性をついたものである。従って、Webアプリ ケーションの開発・運用に際しては、IPAの『安全なウェブサイト運営入 門』等を参考に、既知の脆弱性への対策を行う必要がある 事故対応体制もしくは、事故時に何をすべきかを事前に把握しておくこと が重要である。顧客への対応はもちろんであるが、法令遵守の観点も 重要である。具体的には個人情報保護法などへの対応が重要である 参考情報 安全なウェブサイト運営入門 (IPA) http://www.ipa.go.jp/security/vuln/7incidents/ Copyright © 2013 独立行政法人 情報処理推進機構 56 事例2 無許可の外部サービスの利用 Copyright © 2013 独立行政法人 情報処理推進機構 57 【状況】 市場調査を行っているAマーケティング社のB調査 員は、会社の了解を得ずに、地理情報システムとし て無料のSaaS(Software as a Service)型のサー ビスである、C社のC-Worldを使っている C-Worldがネットワーク上で提供している地図、衛 星写真などの地理情報に、B調査員が調査したマ ーケット調査結果をC-Worldサーバーに送信し、結 果を地図情報と重ね合わせて顧客へのプレゼンテ ーションに利用していた Copyright © 2013 独立行政法人 情報処理推進機構 58 【発生した事故】 ある日、AマーケティングではB調査員の顧客から、前回の 調査結果がインターネット上に公開されており、誰でも見る ことができるようになっている、というクレームを受けた。Aマ ーケティング社で調べたところ、確かにC-Worldサーバーか らマーケット調査結果が誰でも見ることができる状態になっ ていた。これはC-Worldの無料サービスの約款では、ユー ザーが登録した情報はデフォルト状態では一般に公開され ることになっており、B調査員はそれを知らずにそのままの 状態で使っていたためであることがわかった Copyright © 2013 独立行政法人 情報処理推進機構 59 なぜ、このような事件が起こったのだろうか? この事例における主な危険要因は以下の通り 外部サービスの無許可利用 外部サービスのサービス内容につい ての不十分な理解 Copyright © 2013 独立行政法人 情報処理推進機構 60 外部サービスの無許可利用 【対策の例】 SaaS、ASPも含む、新たなソフトウェアや、システムを導入 する場合、セキュリティ上のリスクを把握した上で導入の可 否を決定する 業務上、必要のないツールの利用制限を行う Copyright © 2013 独立行政法人 情報処理推進機構 61 外部サービスのサービス内容についての 不十分な理解 【対策の例】 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事 項について合意をとる 契約書や委託業務の際に取り交わす書面等に、情報の取り扱いに 関する注意事項を含める (例) システム開発を委託する際の本番データ利用時の際の情報管理、 例えば管理体制や受託情報の取り扱い・受け渡し・返却、廃棄等に ついて、注意事項を含める 関係者のみにデータの取り扱いを制限する 外部の組織との間で情報を授受する場合、情報受渡書を持っておこ なう 契約に基づく作業に遂行することによって新たに発生する情報(例: 新たに作製された、金型・図面・モックアップ等々)の取扱を含める等 Copyright © 2013 独立行政法人 情報処理推進機構 62 外部サービスのサービス内容についての 不十分な理解 【対策の例】 サービス約款・SLA(サービス品質保証)等について十分に理解したうえ で、利用の可否を判断する ツール(SaaS、ASPも含む)を使用する場合は、デフォルトの設定を確 認し、セキュアな設定を行うよう注意する 通信ネットワークを流れる重要なデータに対して、暗号化などの保護策 を実施する 必要に応じて、SSL等を用いて通信データを暗号化する 外部のネットワークから内部のネットワークや情報システムにアクセ スする場合に、VPNなどを用いて暗号化した通信路を使用している 電子メールをやり取りする際に、重要な情報についてはファイルにパス ワードを付ける、又は暗号化する Copyright © 2013 独立行政法人 情報処理推進機構 63 【対策のポイント】 SaaS等、外部サービスのセキュリティ水準は、一般事業者のセキュリテ ィ水準よりも高いことが期待される。したがって、リソースの面で十分な セキュリティ対策の実施が困難な中小企業にとって、SaaS等の利用は セキュリティの観点からも望ましい場合が多い 一方で、外部のサービスを利用する場合、事前にサービス提供事業者 に対して、情報セキュリティの観点から確認を行うことが重要である。 詳細については、下記の参考情報を参照されたい 参考情報 SaaS 向けSLA ガイドライン (経済産業省) http://www.meti.go.jp/committee/materials/downloadfiles/g80207c05j.pdf クラウドサービス安全利用のすすめ(IPA) http://www.ipa.go.jp/security/cloud/cloud_tebiki_handbook_V1.pdf Copyright © 2013 独立行政法人 情報処理推進機構 64 事例3 在庫管理システム障害の発生 Copyright © 2013 独立行政法人 情報処理推進機構 65 【状況】 卸売り業を営むA商会は、IT化にも積極的で、5年 前から在庫管理は全てシステム化していた データのバックアップについては、テープバックアッ プ装置は設置されていたものの、使い方が分から ないため、ほとんど使われていない。また、ITが停 止した場合を想定した事業継続計画は策定してい ない Copyright © 2013 独立行政法人 情報処理推進機構 66 【発生した事故】 ある日、震度4の地震が発生し、A商会の在庫管理サーバー の脇に置いてあったパーティションが倒れ、サーバーにぶつ かった。この影響でサーバーのHDDが故障し、サーバーが 正常に起動しなくなった サーバーの予備機はなく、ベンダーに修理を依頼したが、緊 急時を想定した契約を結んでおらず、ベンダーが来て修理 したのは地震発生1週間後であった またデータは半年前にバックアップしただけだったため、業 務には全く役に立たず、在庫を調査して再度データ入力が 終わったのは1ヶ月後であった その間、A商会は、急遽手作業で出荷等の作業を行ってい たが、手作業による出荷管理等のマニュアルが無かったた め、現場は大混乱を来たした Copyright © 2013 独立行政法人 情報処理推進機構 67 なぜ、このような事件が起こったのだろうか? この事例における主な危険要因は以下の通り 事業継続への意識の低さ Copyright © 2013 独立行政法人 情報処理推進機構 68 事業継続への意識の低さ 【対策の例】 情報システムに障害が発生した場合、業務を再開するため に何をすべきかを把握する 情報システムに障害が発生した場合の、最低限運用の必要な時間 帯と許容停止時間を明確にしておく 障害対策の仕組みが組織として効果的に機能するよう、よく検討し ている システムの切り離し(即応処理)、必要なサービスを提供できるような 機能(縮退機能)、情報の回復や情報システムの復旧に必要となる 機能などが、障害時に円滑に機能するよう確認しておく 日常のシステム運用の中で、バックアップデータや運用の記録など を確保しておく 障害発生時に必要な対応として、障害発生時の報告要領(電話連 絡先の認知等)、障害対策の責任者と対応体制、システム切替え・ 復旧手順、障害発生時の業務実施要領等の準備を整えておく Copyright © 2013 独立行政法人 情報処理推進機構 69 事業継続への意識の低さ 【対策の例】 (例) 大容量データの復元には時間を要するため、復元に要する時間の 事前見積りの実施 関係者への障害対応要領の周知や、必要なスキルに関する教育や 訓練などの実施を行っている Copyright © 2013 独立行政法人 情報処理推進機構 70 事業継続への意識の低さ 【対策の例】 重要なコンピュータや配線は地震などの自然災害や、ケー ブルの引っ掛けなどの人的災害が起こらないように配置・設 置する 重要なコンピュータは許可された人だけが入ることができる安全な 場所に設置する 電源や通信ケーブルなどは、他の人が容易に接触できないようにす る 重要なシステムについて、地震などによる転倒防止、水濡れ防止、 停電時の代替電源の確保などを行っている 事業継続計画を策定するなど、事業継続マネジメント体制を 構築する Copyright © 2013 独立行政法人 情報処理推進機構 71 【対策のポイント】 企業の業務がITに依存すればするほど、ITに異常が発生した場合の業 務に対する影響も大きくなる。そのため、災害時やIT障害が発生した際 でも、業務を継続する場合は、事業継続に関する検討が重要である 事業継続に関して具体的に検討を行う際には、経済産業省『事業継続 計画策定ガイドライン』、経済産業省『IT サービス継続ガイドライン』、内 閣府『事業継続ガイドライン』等を参照することが望ましい 参考情報 事業継続計画策定ガイドライン (経済産業省) http://www.meti.go.jp/report/downloadfiles/g50331d06j.pdf IT サービス継続ガイドライン (経済産業省) http://www.meti.go.jp/policy/netsecurity/downloadfiles/itsc_gl.pdf 事業継続ガイドライン (内閣府) http://www.bousai.go.jp/MinkanToShijyou/guideline02.pdf 中小企業BCP策定運用指針 (中小企業庁) http://www.chusho.meti.go.jp/bcp/index.html Copyright © 2013 独立行政法人 情報処理推進機構 72 事例4 無線LANのパスワードのいい加減な管理 Copyright © 2013 独立行政法人 情報処理推進機構 73 【状況】 Webデザイン企業のAメディア株式会社では、会議 室でのプレゼンテーション用に、無線LANを導入し ている。セキュリティを確保するため、無線LANには WEP(Wired Equivalent Privacy)を設定していたが、 WEPキーは、無線LAN機器に最初に設定されてい たものをそのまま用いている Copyright © 2013 独立行政法人 情報処理推進機構 74 【発生した事故】 Aメディア社内のコンピュータから、外部のサイトに不正アク セスが行われている、という通知メールが、ある日ISPから 届いた。Aメディアで社内を調査したところ、不正アクセスは 確かにAメディア社内のネットワークから行われているが、そ れは無線LANを介して行われた不正アクセスで、その時間 帯には社員はだれも在社していなかった 結局犯人は見つからなかったが、隣のビルなど、電波の圏 内からAメディアの無線LANに不正にアクセスし、Aメディア を踏み台として使ったのではないかと推測された。不正アク セスをしていた外部のサイトにはISPを介して謝罪すると共 に、対策がすむまで無線LANを停止するなど、業務にも影 響があった Copyright © 2013 独立行政法人 情報処理推進機構 75 なぜ、このような事件が起こったのだろうか? この事例における主な危険要因は以下の通り 無線LANの危険性に対する認識の 不足 パスワード管理の重要性に対する認 識の不足 Copyright © 2013 独立行政法人 情報処理推進機構 76 無線LANの危険性に対する認識の不足 【対策の例】 無線LANのセキュリティ対策(WPAの導入等)を行う 無線LANにおいて重要な情報の通信を行う場合は、暗号化通信(WPA2等) の設定を行う 無線LANの使用を許可する端末(MAC認証)や利用者の認証を行う インターネット接続に関わる不正アクセス対策を行う (外部から内部へのアクセス) 外部から内部のシステムにアクセスする際、利用者認証を実施する 保護すべき重要な情報が保存されるシステムは、それ以外のシステムが接 続しているネットワークから物理的に遮断する、もしくはセグメント分割する ことによりアクセスできないようにする (内部から外部へのアクセス) 不正なプログラムをダウンロードさせる恐れのあるサイトへのアクセスを遮 断するような仕組み(フィルタリングソフトの導入等)を行っている Copyright © 2013 独立行政法人 情報処理推進機構 77 パスワード管理の重要性に対する認識の 不足 【対策の例】 情報や情報システムへのアクセスを制限するために、利用 者IDの管理を行う 利用者毎にIDとパスワードを割当て、そのIDとパスワードによる識 別と認証を確実に行う 利用者IDの登録や削除に関する規程を整備する パスワードの定期的な見直しを求める。また、空白のパスワードや 単純な文字列のパスワードを設定しないよう利用者に求める 離席する際は、パスワードで保護されたスクリーンセーバーでパソコ ンを保護する 不要になった利用者IDを削除する Copyright © 2013 独立行政法人 情報処理推進機構 78 【対策のポイント】 無線LANは有線LANと異なり、物理的に接続を制御することが出来ない ので、より慎重なセキュリティ対策が求められる。無線LANでよく用いら れているセキュリティ対策のWEPは既に脆弱性が発見されているため、 比較的簡単にWEPキーを破られてしまう。そのため、より強度の高い WPAを用いることが望ましい パスワード(今回の例ではWEPキー)については、システムに当初設定 されていたデフォルトのものを用いたり、容易に推測できるようなものを 用いないことが重要である。また、パスワードの定期的な変更などの対 策も効果的である 参考情報 無線LANを他人に使われないようにしましょう! (IPA) http://www.ipa.go.jp/security/txt/2011/04outline.html Copyright © 2013 独立行政法人 情報処理推進機構 79 事例5 委託した先からの情報漏えい Copyright © 2013 独立行政法人 情報処理推進機構 80 【状況】 市場調査を行っているAマーケティング社のB調査 員は、アンケートを送付するため、C印刷株式会社 に送付先の個人情報リスト(1万人分)を渡して、宛 名ラベルの印刷を委託した。 B調査員は日頃からC印刷と取引があるため、C印 刷における情報管理について確認することなく、個 人情報リストを電子メールでC印刷の担当者に送付 し、後日、注文書を送った。 C印刷では、従業員であれば誰でも入室できる場 所に設置してある、誰でもログインできるPCに個人 情報を格納した。 Copyright © 2013 独立行政法人 情報処理推進機構 81 【発生した事故】 C印刷の担当者から、B調査員から受け取った個人 情報を含む個人情報を、C印刷の従業員が持ち出 して名簿業者に販売していた疑いで、警察に逮捕さ れたとの連絡があった Aマーケティングでは、漏洩した個人に連絡すると 共に、謝罪文の作成・発表、監督官庁への報告等 のため業務遂行に大きな影響があった。また、売り 上げも減少するなど、企業業績にも影響が及んだ Copyright © 2013 独立行政法人 情報処理推進機構 82 なぜ、このような事件が起こったのだろうか? この事例における主な危険要因は以下の通り 法令遵守に対する意識の低さ 委託先管理の不十分さ Copyright © 2013 独立行政法人 情報処理推進機構 83 法令遵守に対する意識の低さ 【対策の例】 個人情報保護法が求める個人情報保護対策を実施する 情報セキュリティ対策に関わる責任者と担当者を明示する 責任者として情報セキュリティと経営を理解する立場の人を任命す る 責任者は、各セキュリティ対策について(社内外を含め)、責任者、 担当者それぞれの役割を具体化し、役割を徹底する 管理すべき重要な情報資産を分類する 管理すべき重要な情報資産を、他の情報資産と分類する 情報資産の管理者を定める 重要度に応じた情報資産の取り扱い指針を定める 重要な情報資産を利用できる人の範囲を定める Copyright © 2013 独立行政法人 情報処理推進機構 84 法令遵守に対する意識の低さ 【対策の例】 重要な情報については、入手、作成、利用、保管、交換、提供、 消去、破棄における取り扱い手順を定める 各プロセスにおける作業手順を明確化し、決められた担当者が、手 順に基づいて作業を行っている 重要な情報に対して、漏洩や不正利用を防ぐ保護対策を行っている (例) 重要な情報を利用できる人に対してのみ、アクセス可能とする 重要な情報の利用履歴を残しておく 重要な情報を確実に消去・廃棄する 等 Copyright © 2013 独立行政法人 情報処理推進機構 85 法令遵守に対する意識の低さ 【対策の例】 情報セキュリティに関連する事件や事故等の緊急時に、何をすべきかを 把握する ウイルス感染や情報漏えい等の発生時、組織内の関係者への報告 、緊急処置の適用基準や実行手順、被害状況の把握、原因の把握 と対策の実施、被害者への連絡や外部への周知方法、通常システ ムへの復旧手順、業務再開手順などを整えておく (例) ウイルス感染の場合、ウイルス定義ファイルを最新の状態にしたワクチンソフトにより 、コンピュータの検査を実施し、ワクチンソフトのベンダーのWebサイト等の情報を基 に、検出されたウイルスの駆除方法などを試すことが必要となる 情報漏えいの場合、事実を確認したら速やかに責任者に報告し、対応体制を取ること 、対応についての判断を行うため5W1Hの観点で調査し情報を整理すること、対策本 部で対応方針を決定すること、被害の拡大防止と復旧のための措置を行うことが必 要となる。また、漏洩した個人情報の本人、取引先などへの通知、監督官庁等への報 告、ホームページやマスコミ等による公表についても検討する必要がある Copyright © 2013 独立行政法人 情報処理推進機構 86 委託先管理の不十分さ 【対策の例】 委託先の安全管理措置が個人情報保護法を満足するかを確認する 外部の組織と情報をやり取りする際に、情報の取り扱いに関する注意事 項について合意をとる 契約書や委託業務の際に取り交わす書面等に、情報の取り扱いに 関する注意事項を含める (例) システム開発を委託する際の本番データ利用時の際の情報管理、例えば 管理体制や受託情報の取り扱い・受け渡し・返却、廃棄等について、注意事 項を含める 関係者のみにデータの取り扱いを制限する 外部の組織との間で情報を授受する場合、情報受渡書を持っておこなう 契約に基づく作業に遂行することによって新たに発生する情報(例:新たに 作製された、金型・図面・モックアップ等々)の取扱を含める 等 Copyright © 2013 独立行政法人 情報処理推進機構 87 委託先管理の不十分さ 【対策の例】 重要な情報を保管したり、扱ったりする場所の入退出管理と施錠 管理を行う 重要な情報を保管したり、扱ったりする区域を定めている 重要な情報を保管している部屋(事務室)又はフロアーへの侵入を 防止するための対策を行っている 重要な情報を保管している部屋(事務室)又はフロアーに入ることが できる人を制限し、入退の記録を取得している Copyright © 2013 独立行政法人 情報処理推進機構 88 【対策のポイント】 個人情報保護法への対応については、所管省庁が公表する個人情報の保護に 関するガイドライン等を参考に対策を行う必要がある(例:経済産業省、『個人情 報の保護に関する法律についての経済産業分野を対象とするガイドライン』) 情報セキュリティ事故の多くは、業務の委託先等において発生しているため、個 人情報や営業秘密等を委託先に渡す場合については、何らかの管理が必要に なる場合が多い。具体的には『中小企業の情報セキュリティ対策ガイドライン:別 冊1 委託関係における情報セキュリティ対策ガイドライン』を参照されたい 参考情報 個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン (経済産業省) http://www.meti.go.jp/policy/it_policy/privacy/ kaisei-guideline.pdf 中小企業の情報セキュリティ対策ガイドライン:別冊1 委託関係における情報セキュリティ 対策ガイドライン (IPA) http://www.ipa.go.jp/security/fy20/reports/ sme-guide/documents/sme-itaku.pdf Copyright © 2013 独立行政法人 情報処理推進機構 89 委託関係 Copyright © 2013 独立行政法人 情報処理推進機構 90 委託関係における情報セキュリティ対策 1. 2. 3. 4. 委託関係における機密情報漏えいの危険性 機密情報の提供 委託関係で取り交わされる書類等 機密情報の取扱いに係る事項 Copyright © 2013 独立行政法人 情報処理推進機構 91 委託関係における機密情報漏えいの危険性 業務委託において、機密情報を提供する際に、提供元から 提供先に対して、機密情報の指定またはその保持に必要と される情報セキュリティ対策の具体的な実施内容が示され ない場合がある。そのような状況では、機密情報の漏えいを 防止する適切な対策の実施は期待できない Copyright © 2013 独立行政法人 情報処理推進機構 92 機密情報の提供 委託関係(業務委託)における機密情報の提供は、委託元 から委託先に提供される場合の他、委託先から委託元に提 供される場合、あるいは相互に提供する場合があるので注 意されたい 機密 情報 Copyright © 2013 独立行政法人 情報処理推進機構 93 委託関係で取り交わされる書類等 委託関係で取り交わされる約束事には以下の ようなものがあるが、そこで機密情報の取扱い に係る事項を明確にすべきである 取引基本契約書、個別契約書、覚書、 NDA(Non-Disclosure Agreement:秘密保持契約)、打合 せや口頭による確認(できれば書面化:議事録等)、 売買契約書、代理店契約書等、発注書、仕様書等 Copyright © 2013 独立行政法人 情報処理推進機構 94 機密情報の取扱いに係る事項 機密情報の取り扱いに係る事項を、「業務委託 契約に係る機密保持条項(例)」として以下にま とめてあるので参照されたい 中小企業の情報セキュリティ対策ガイドライン:別冊 1 委託関係における情報セキュリティ対策ガイドライ ン (IPA) http://www.ipa.go.jp/security/fy20/reports/ sme-guide/documents/sme-itaku.pdf Copyright © 2013 独立行政法人 情報処理推進機構 95 付録も参考にしてください 委託関係における情報セキュリティ対策事項 機密保持条項(例示案)の件 業務委託契約に係わる機密保持条項(例) Copyright © 2013 独立行政法人 情報処理推進機構 96 まとめ Copyright © 2013 独立行政法人 情報処理推進機構 97 情報セキュリティ対策の考え方(まとめ) ① 情報資産の洗い出し ② 事故の可能性と影響 ③ 対応方針の決定 ④ 情報セキュリティの波及効果 Copyright © 2013 独立行政法人 情報処理推進機構 98 ① 情報資産の洗い出し 重要な情報(資産)とは その情報が漏えいしたとき、会社の経営に大きな影響がある もの(例:個人情報) その情報が改ざんされたとき、会社の経営に大きな影響があ るもの(例:財務会計情報) その情報が紛失したり利用できなくなったとき、会社の経営 に大きな影響があるもの(例:設計図面) 情報資産は電子データ以外にも紙の情報や、電子データを 管理する情報システムも含まれる 情報資産管理台帳等で管理 Copyright © 2013 独立行政法人 情報処理推進機構 99 情報資産管理台帳(項目イメージ) 管理№ 情報資産名 対象(媒体) 保管・格納場所 利用範囲 管理部門情報 管理責任部門名 管理責任者名 連絡先 Copyright © 2013 独立行政法人 情報処理推進機構 登録(入手)日 廃棄日 保存期間 最終棚卸日 重要度(機密度) 入手から廃棄まで管理 100 ② 事故の可能性と影響 情報資産がどのような脅威にさらされている か検討する 脅威が起こりうる可能性(発生頻度等)を評 価する 脅威が起こす影響(被害の大きさ等の影響 度)について評価する Copyright © 2013 独立行政法人 情報処理推進機構 101 影響の大きさを発生する頻度(イメージ) Copyright © 2013 独立行政法人 情報処理推進機構 102 ③ 対応方針の決定 会社としての対応方針を決める(例えば) 影響度中でたまに発生する→リスクの低減が必要 (セキュリティ対策実施で影響や発生率を下げる) 影響度大で頻発する→リスクの回避が必要 (やり方を変える、業務を実施しない等) 影響度大だがめったに発生しない→リスクの移転が 必要(他社に委託、保険を掛ける等) 影響度小でめったに発生しない→無視もあり Copyright © 2013 独立行政法人 情報処理推進機構 103 対応方針(イメージ) Copyright © 2013 独立行政法人 情報処理推進機構 104 ④ 情報セキュリティ対策の波及効果 情報セキュリティ対策を行うために、情報資 産の洗い出しから対応方針の決定を行うこと で、業務効率化や全体コストの削減につなが ることもある 情報セキュリティ対策を単なるコストとしてみ るのではなく、コスト削減の道具とし、企業価 値の創造に繋げるものとして捉えることも重 要である Copyright © 2013 独立行政法人 情報処理推進機構 105 関連情報の紹介 Copyright © 2013 独立行政法人 情報処理推進機構 106 関連法規・ガイドライン Copyright © 2013 独立行政法人 情報処理推進機構 107 不正アクセス禁止法 • 正式には、「不正アクセス行為の禁止等に関する法律」であ るが、一般的に不正アクセス禁止法と呼ばれている。サイバ ー犯罪を取り締まる法令として有名で、以下のサイトが参考 になる 警察庁 サイバー犯罪対策 法令等 http://www.npa.go.jp/cyber/legislation/ • 本法令の目的は、電気通信回線を通じた不正アクセス犯罪 の防止であり、平成24年5月1日に改正法が施行された Copyright © 2013 独立行政法人 情報処理推進機構 108 不正アクセス禁止法(改正) • 平成24年5月1日 改正法が施行された • 「ハイテク(サイバー)犯罪の防止・電気通信に関する秩序 の維持」を目的とした「取締対策の強化・防御対策の強化」 が改正のポイント 不正取得罪(第4条)と不正保管罪(第6条)が新設 助長罪(第5条)が禁止・処罰範囲が拡張 フィッシング罪(第7条)が新設 防御対策(普及・啓発・情報提供)の強化(第9条および第10条) 警察庁 不正アクセス行為の禁止等に関する法律の解説 http://www.npa.go.jp/cyber/legislation/pdf/1_kaisetsu.pdf 警察庁 不正アクセス禁止法改正Q&A http://www.npa.go.jp/cyber/legislation/pdf/6_QA.pdf Copyright © 2013 独立行政法人 情報処理推進機構 109 不正アクセス行為とは • 不正アクセスする行為 – なりすまし(他人のIDやパスワードを利用等)によるシステムの不正 利用を行う行為 – 不正アクセス(脆弱性を悪用しアクセス制御を迂回、通信を不正に 中継しアクセス制御を迂回する等)によるシステムへの侵入を行う 行為 3年以下の懲役または100万円以下の罰金 • 識別符号の不正流通の行為 – – – – 他人のパスワードを不正に取得する行為 他人のパスワードを不正に保管する行為 他人のパスワードを第三者に教える等の行為 他人のパスワードを不正に要求する行為(フィッシング等) 1年以下の懲役または50万円以下の罰金 Copyright © 2013 独立行政法人 情報処理推進機構 110 個人情報保護法 • 正式には、「個人情報の保護に関する法律」であるが、一般 的に個人情報保護法と呼ばれている。個人情報の漏えいや 不正使用などに対する個人の権利の保護を目的に、平成 17年4月1日に施行された。以下のサイトが参考になる 消費者庁 個人情報保護 http://www.caa.go.jp/seikatsu/kojin/ 首相官邸 個人情報の保護に関する法律 http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/ この法令(法律)では、個人情報を取り扱う事業者の遵守すべき義務を 規定している。いわゆる個人情報を取り扱う上での安全管理措置や従 業員や委託先の監督義務などである。さらに、個人情報の適切な利用 のための規制事項なども規定している。この法令(法律)にも罰則規定 があり、6ヶ月以下の懲役または30万円以下の罰金となっている Copyright © 2013 独立行政法人 情報処理推進機構 111 個人情報取扱事業者の主な義務① 個人情報取扱事業者 • 5000件を超える(5001件以上の)個人情報を 個人情報データベース等として所持し事業に 用いている事業者 個人情報 (生存する個人を特定できる情報) • 利用目的の特定 • 利用目的による制限(本人の同意なくしては扱えない) • 適正な取得(不正な手段で取得してはならない) • 取得に際しての利用目的の通知等(本人への通知) • 個人情報取扱事業者による苦情の処理 Copyright © 2013 独立行政法人 情報処理推進機構 112 個人情報取扱事業者の主な義務② 個人データ データベース(コンピュータシステムあるいは容易に検索で きるようにした仕組み)化した個人情報 • データ内容の正確性の確保 • 安全管理措置 • 従業者の監督 • 委託先の監督 • 第三者提供の制限(本人への通知) 業務委託(利用目的の達成に必要な範囲内)、事業の継承 (合弁その他の理由による)、共同利用(本人に通知済)の 場合を除く Copyright © 2013 独立行政法人 情報処理推進機構 113 個人情報取扱事業者の主な義務③ 保有個人データ 個人情報取扱事業者が開示、内容の訂正、追加又は削除、 利用の停止、消去及び第三者への提供の停止を行うことの できる権限を有する個人データ • 公表、開示、訂正等(本人からの要求に対して実施) • 利用停止等(本人からの要求に対して実施) Copyright © 2013 独立行政法人 情報処理推進機構 114 個人情報保護ガイドライン 【省庁】 金融庁 • 「金融分野における個人情報の取り扱いについて」 経済産業省 • 「個人情報の保護に関する法律についての経済産業分野を対 象とするガイドライン」 厚生労働省 • 「雇用管理に関する個人情報の適正な取扱いを確保するために 事業者が講ずるべき措置に関する指針」 【業界団体】 全国銀行協会 • 「個人情報の保護と利用に関する自主ルール」 全国スーパーマーケット 協会ほか • 「個人情報保護に関する法律の業界ガイドライン」 日本医師会 • 「医療機関における個人情報の保護」 など など 出典:内閣府国民生活局【個人情報に関する法律】 http://www5.cao.go.jp/seikatsu/kojin/ Copyright © 2013 独立行政法人 情報処理推進機構 115 不正競争防止法 • この法令は、いわゆる営業秘密の保護(情報窃盗からの保 護)を目的にしたものであるが、平成21年4月30日に改定さ れた。以下のサイトが参考になる 経済産業省 知的財産政策/不正競争防止 http://www.meti.go.jp/policy/economy/chizai/chiteki/index.html 不正競争防止法 http://law.e-gov.go.jp/htmldata/H05/H05HO047.html ここで言う営業秘密とは、著作権や商標権で保護されてい ない企業の重要なノウハウ(例えば技術情報)や営業機密 などのことであり、次に示すような条件を満たしている場合 には保護されるという法律である Copyright © 2013 独立行政法人 情報処理推進機構 116 営業秘密が保護されるための条件 (営業秘密管理指針) 秘密として管理されている(秘密管理性) 事業活動に有用な情報である(有用性) 公然と知られていない(非公知性) 企業内でいい加減に扱われている情報は営業秘密にはあたらな いことになり、保護されないので注意が必要 どのように保護されるかと言うと、営業秘密の不正取得(例えば 不正アクセス)あるいは不正使用に対しては、3年以下の懲役ま たは300万円以下の罰金が科せられる。また、営業秘密を侵害す る不正競争行為に対しては、差止請求や損害賠償請求などが認 められている 情報セキュリティ対策なしに漏えいしてしまったノウハウなどの企 業情報については、前述の条件を満たさないので、漏えいした情 報が引き起こす損害の賠償については原則として請求できないこ とになる。注意しなければならない!! Copyright © 2013 独立行政法人 情報処理推進機構 117 営業秘密管理指針(改訂版:平成22年4月9日) 「営業秘密管理指針(改訂版)」の公表 ~事業者の価値ある情報の管理方法等を解説!~ http://www.meti.go.jp/press/20100409006/20100409006.html 営業秘密管理チェックシート 各種契約書等の参考例 営業秘密を適切に管理するための導入手順について ~はじめて営業秘密を管理する事業者のために~ 営業秘密管理指針 Copyright © 2013 独立行政法人 情報処理推進機構 118 参考:価値ある情報の戦略的な活用イメージ 技術・ノウハウ等を保護するには 公開(オープン化)して権利取得 特許権 ○発明を保護 ○原則出願から20年 非公開に(ブラックボックス化)して保護 営業秘密 ○保護期間に制限なし 各企業においてベストミックスを追求 「営業秘密管理指針(改訂版)」の公表資料から引用 Copyright © 2013 独立行政法人 情報処理推進機構 119 より高度な対策をとりたいときは・・・ 情報セキュリティ対策 ベンチマークの活用 Copyright © 2013 独立行政法人 情報処理推進機構 120 情報セキュリティ対策ベンチマーク http://www.ipa.go.jp/security/benchmark/index.html Copyright © 2013 独立行政法人 情報処理推進機構 121 情報セキュリティ対策ベンチマークとは 自社の情報セキュリティ対策レベルを自己診断できるWebサービ ス Webページ上の質問に答えると診断結果が自動表示される スコア(点数)による評価とレーダーチャートや散布図による他社 との比較ができる 他社との比較の基礎データは診断を行った企業の実データ 散布図で自社の相対的位置を確認し、レーダチャートで自社の強 み弱みが平均値や望まれる水準との比較で把握できる 定期的診断で、自社の対策レベルの変化が把握できる 経済産業省の「企業における情報セキュリティガバナンスのあり方 に関する研究会報告書」 の中で提言された施策ツールをIPAが Webベースの自己診断システムとして開発し,2005年8月より提供 Copyright © 2013 独立行政法人 情報処理推進機構 122 情報セキュリティ対策ベンチマークの活用 http://www.ipa.go.jp/security/benchmark/benchmark-katsuyou.html 1.情報セキュリティ評価について 2.情報セキュリティ対策ベンチマーク 活用例 3.情報セキュリティ対策ベンチマーク からISMS認証取得へ 4.情報セキュリティ対策ベンチマーク から情報セキュリティ監査へ Copyright © 2013 独立行政法人 情報処理推進機構 123 情報セキュリティ白書(2012) 2011年度の1年間に情報セキュリティ分野で起きた注目 すべき10の出来事 国内外における情報セキュリティインシデントの状況や、 攻撃手口や脆弱(ぜいじゃく)性の動向、これらに対する 企業や政府等にお ける情報セキュリティ対策の状況 情報セキュリティを支える政策や制度の動向として、国内 外における情報セキュリティ政策や関連法の整備状 況、 国際標準化動向、組織の情報セキュリティ対策状況 今年度の注目するテーマとして、スマートフォンや自動車 、クラウ ドコンピューティング等における情報セキュリティ や、内部者の不正行為の課題 2012年3月22日に公開した「2012年版 10大脅威 変化・ 増大する脅威!」も収録 Copyright © 2013 独立行政法人 情報処理推進機構 124 【参考】 情報セキュリティ教本・読本 『情報セキュリティ教本 - 組織の情報セキュリティ対策実践の手引き -』 http://www.ipa.go.jp/security/publications/kyohon2/ 第1章 はじめに 第2章 情報セキュリティの組織 第3章 情報セキュリティポリシーのつくり方 第4章 情報の分類と管理 第5章 リスクマネジメント 第6章 技術的対策の基本 第7章 セキュリティ製品とセキュリティサービス 第8章 導入と運用 第9章 セキュリティ監視と侵入検知 第10章 セキュリティ評価 第11章 見直しと改善 第12章 法令順守 【付録】 年表 政府機関統一基準の構成と本書の関係 Copyright © 2013 独立行政法人 情報処理推進機構 姉妹本 情報セキュリティ読本 125 情報セキュリティ対策の啓発ビデオ 情報セキュリティ 普及啓発 映像コンテンツ http://www.ipa.go.jp/security/keihatsu/videos/ YouTube : IPAチャンネル http://www.youtube.com/ipajp/ Copyright © 2013 独立行政法人 情報処理推進機構 126 ここからセキュリティ! Copyright © 2013 独立行政法人 情報処理推進機構 127 情報セキュリティ対策支援サイト http://www.ipa.go.jp/security/isec-portal/ Copyright © 2013 独立行政法人 情報処理推進機構 128 情報セキュリティ安心相談窓口 03-5978-7509 (オペレータ対応は、平日の10:00~12:00 および 13:30~17:00) [email protected] E-mail ※このメールアドレスに特定電子メールを送信しないでください。 FAX 03-5978-7518 〒113-6591 東京都文京区本駒込2-28-8 郵 送 文京グリーンコート センターオフィス16階 IPAセキュリティセンター 安心相談窓口 電 話 Copyright © 2013 独立行政法人 情報処理推進機構 129 https://www3.jitec.ipa.go.jp/JitesCbt/ Copyright © 2013 独立行政法人 情報処理推進機構 130 質問・問い合わせは・・・ [email protected] まで で連絡ください。 ご相談に応じます!! Copyright © 2013 独立行政法人 情報処理推進機構 131 ご清聴ありがとうございました 独立行政法人 情報処理推進機構 技術本部セキュリティセンター(IPA/ISEC) 〒113-6591 東京都文京区本駒込2-28-8 文京グリーンコート センターオフィス16階 TEL 03(5978)7508 FAX 03(5978)7518 電子メール [email protected] URL http://www.ipa.go.jp/security/ Copyright © 2013 独立行政法人 情報処理推進機構 132 付録 マネジメントコース実践編 参考資料 「中小企業の情報セキュリティ対策ガイドライン」 -「委託関係における情報セキュリティ対策ガイドライン」より 委託先における情報セキュリティ対策事項 本紙は、委託元が委託先に確認する情報セキュリティ対策事項で、「情報セキュリティ対 策は別途定める~による。 」というような契約時において示される別紙の例である。 注)機密保持条項(例示案)との整合性は取っていない 委託元から委託先に開示する機密情報(以下「機密情報」という)の管理に関し、委託先が実施する 情報セキュリティ対策の事例を示す。なお、具体的に多くの事例を示すため事例相互の整合性は保証さ れていないので、適宜選択すること。 委託契約では、機密情報の取扱に関して、必要かつ適切な安全管理措置について、委託者、受託者双 方が同意した内容を事前に具体的にする必要がある。具体的な実施策がなく、委託元が委託先に対して、 事故が発生した場合の損害賠償のことについてだけしか契約に盛り込まないということは望ましくな い。 これらの事例を参考に、機密情報の種類、業務委託関係などの諸条件を考慮して、委託元は、委託先 と協議のうえ、委託先が実施する適切な情報セキュリティ対策を指示すべきである。 1. 情報セキュリティに対する組織的な取組み 1.1 機密情報の利用、保管、持ち出し、消去、破棄における取り扱い手順を定める 機密情報は、他の情報と区別して保管すること。 機密情報の管理者を定めること。 機密情報にアクセスできる人の範囲を定めること。 最新の従事者(管理責任者を含む)を「従事者台帳」で管理すること。 機密情報を受領した場合には、 「機密情報管理台帳」に記録すること。 機密情報の利用記録を残しておくこと。 機密情報を複製または電子メールで送信する場合には、事前に委託元の承認を得ること。 機密情報を複製または電子メールで送信した場合には、 「機密情報管理台帳」に所在地 およびその管理者を記録すること。機密情報および機密情報を取り扱う機器の保安区分 外への持ち出しは禁止すること。 機密情報を持ち出す場合、事前に委託元の承認を得ること。 機密情報を持ち出す場合、事前に機密情報の管理者の承認を得ること。 機密情報を持ち出す場合、ファイルの暗号化を行うこと。 機密情報を格納する記憶媒体は、セキュリティロック機能を有すること。 持ち出しの利用を終えた機密情報は、正しく消去されているか確認すること。 機密情報を扱う業務の担当を外れた従業者(管理責任者を含む)が保有していた機密情 報の廃棄・消去を確認すること。 機密情報および機密情報が化体された物(試作品等)の廃棄手順を定めること。 -付 1 - 付録 マネジメントコース実践編 参考資料 委託業務の終了時、機密情報が安全に廃棄、消去されたことを示す記録を整備すること。 また、委託元に報告すること。 機密情報を格納していたサーバを廃棄、売却またはリース返却する時は、データ消去ツ ールなどでデータの完全消去を行うこと。 バックアップのルールを定め、定期的に実施すること。機密情報を扱う情報システムの 全てのバックアップ媒体は、機密区分に応じた管理を行うこと。 機密情報を含む裏紙は利用しないこと。 機密情報が記された FAX、プリントアウトその他の書類が長時間放置されたままにな らないようなルールの運用をすること。 情報セキュリティが適正に維持、運用されていることを確認するため、定期的に確認す ること。 定期的に機密情報取り扱い業務の内部点検を実施すること。 1.2 機密情報に係る業務の再委託に関する事項を定める 業務の再委託を行う場合は、実施理由・必要性、内容、再委託先についての書面を事前 に委託元に提出し承認を得ること。 再委託先と機密保持に関する契約を締結すること。委託元から委託先に求める情報セキ ュリティ要求事項と同等の内容を含めること。 項目例: *守秘義務 *機密保持の対象となる情報の範囲 *守秘義務期限 *使用目的の制限 *アクセス者は必要最小限に限定 *機密情報の管理方法 *機密情報の複製の制限 *委託契約終了後の機密情報の返却または廃棄の規定 *委託元からの機密保持に関する確認措置の規定 *契約違反時の措置 *無断での再委託の禁止 *私用 PC の業務使用禁止 機密情報に係る再委託先との業務について手順を文書化すること。 再委託先における情報セキュリティ対策が適切に維持・運営されていることを定期的に 確認すること。 機密情報を再委託先に開示する場合には、機密情報であることを明示すること。 -付 2 - 付録 マネジメントコース実践編 参考資料 再委託先への機密情報の受け渡しに関する記録を行うこと。 再委託先への機密情報の受け渡しに際し、暗号化を行うこと。 再委託先に開示した機密情報の廃棄・消去に関する記録を再委託先から取得すること。 1.3 機密情報を扱う従事者に対して遵守事項の周知と、情報セキュリティに関わる知識習得の機 会を与える 機密保持に関する遵守事項を従事者に周知させること。 機密保持を実践するために必要な教育を定期的に行い、受講記録を作成すること。 機密情報を公衆の場(居酒屋や電車の中など)で公言しないこと。 2 物理的セキュリティ 2.1 機密情報を保管および扱う場所の入退管理と施錠管理を行う 機密情報を保管および扱う区域を定めていること。 機密情報を保管している部屋(事務室)又はフロアーへの侵入を防止するための対策を 行っていること。 機密情報を保管している部屋(事務室)又はフロアーに入ることができる人を制限し、 入退の記録を取得していること。 機密情報が格納された記憶媒体、紙資料、ノート PC 等は施錠管理すること。 機密情報を取り扱う情報システムを格納するサーバルームへの入退館の記録やサーバへ の作業記録を保存し、事故が発生した際、後からトレースできるようにすること。 鍵または ID カードなどの保管や所有について定期的に確認すること。 入退出記録(カメラ画像を含む)を定期的に確認すること。 2.2 機密情報を保管および扱う場所への個人所有物の持込み・利用を禁止する 個人所有の PC・記憶媒体等(※)の持込みを禁止すること 個人所有の PC・記憶媒体等(※)の業務利用を禁止すること。 個人所有の PC の社内ネットワーク接続を禁止すること。 記憶媒体等(※)の利用は会社貸与品のみとし、個人所有の記憶媒体等(※)の利用を禁 止すること。 ※記憶媒体(SD カード、USB メモリ等) 、カメラ付き携帯電話、携帯情報端末(PDA)、 音楽プレーヤーなど 3 機密情報が格納される情報システムの運用管理 3.1 ウイルス対策ソフトをはじめとしたアプリケーションの運用を適切に行う -付 3 - 付録 マネジメントコース実践編 参考資料 ウイルス対策ソフトを導入し、パターンファイルの更新を定期的に行っていること。 ウイルス対策ソフトが持っている機能(ファイアーウォール機能、スパムメール対策機能、 有害サイト対策機能)を活用すること。 サーバやクライアント PC について、定期的なウイルス検査を行っていること。 ノート PC には、BIOS パスワード、HDD パスワードの設定および暗号化ソフトの導入を すること。 Winny 等、組織で許可されていないソフトウェアのインストールを禁止していること。禁 止ソフトがインストールされていないか定期的に確認すること。 機密情報をコピーして持ち出さないよう、記憶媒体が接続できない設定とすること。 情報システムの時刻は定期的に同期をとること。 業務に不要な web サイトへのアクセスを制限すること。 3.2 情報システムに対して、最新のパッチを適用するなどの脆弱性対策を行う 脆弱性の解消(修正プログラムの適用、Windows update 等)を行っていること。 不要なサービスの停止など、セキュリティを考慮した設定を実施するなどの対策が施され ているかを確認すること。 Web ブラウザや電子メールソフトのセキュリティ設定を行うこと。 4 機密情報へのアクセス制御の状況 4.1 機密情報へのアクセスを制限するために、利用者 ID の管理(パスワードの管理など)を行う 機密情報が扱える利用者毎に ID とパスワードを割当て、その ID とパスワードによる識別 と認証を確実に行うこと。 利用者 ID の登録や削除に関する規程を整備すること。 パスワードは有効期限を設け、定期的に変更すること。また、空白のパスワードや単純な 文字列のパスワードを設定しないよう利用者に求めること。 離席する際は、パスワードで保護されたスクリーンセーバーでパソコンを保護すること。 PC やサーバ、ネットワーク機器を社内ネットワークに接続する場合は、機密情報管理者 の承認を得ること。 従業者への機密情報アクセス権の付与状況を定期的に見直し、必要のないアクセス権を削 除すること。 遠隔診断ポートの利用は、保守サポートなどの必要な場合のみに限定すること。 遠隔診断ポートを利用した接続は、認証機能やコールバック機能等を備えるなど、適切な セキュリティ対策を施すこと。 -付 4 - 付録 マネジメントコース実践編 参考資料 5 情報セキュリティ上の事故対応 5.1 機密情報漏えいが判明した時に、状況を把握し委託元にすみやかに報告する 機密情報漏えい発生時の体制および連絡網を整備し、すべての従事者に周知すること。 機密情報漏えいが発生した場合、漏えいの発生が疑われる場合、または漏えいに至る可能 性のある問題が発見された場合には、すみやかに機密情報管理者に報告すること。 機密情報について上記の問題が発生した場合、すみやかに委託元に報告すること。 機密情報漏えいが発生した場合には、委託元と再発防止策を協議し、従事者に周知するこ と。 -付 5 - 付録 マネジメントコース実践編 参考資料 「中小企業の情報セキュリティ対策ガイドライン」 -「委託関係における情報セキュリティ対策ガイドライン」より ―機密保持条項(例示案)の件― 本書は、業務委託をおこなうにあたり取引基本契約書、個別契約書、覚書、NDA、打合せや口頭に よる確認、また売買契約書、代理店契約書等、あるいは発注書、仕様書等を通じておこなわれる機密情 報の取扱いに係る事項を、 「業務委託契約に係る機密保持条項(例)」としてまとめたものである。 実務的には、業務委託の内容、取扱われる情報の性質等によって、条項および条項の内容を取捨選択 し、また運用上の工夫などにより、過不足の無い実効性ある機密情報管理をおこなわなければならない。 また、業務委託先が海外の場合は、法律、商習慣、社会的習慣等が異なるので(日本の取引習慣は通用 しないことが多いので) 、誤解が生じないよう明確に記述する必要がある。 尚、SaaS や ASP などのサービスを利用する場合であっても、業務委託契約書や SLA(サービスレ ベルアグリメント)で、機密保持に係る事項を保証させる必要がある。 本書で言うところの機密情報とは、文書、図面、写真、図書、電磁的記録媒体、製品、部品、材料あ るいは特定の設備等の「機密を化体している物理的対象物上(内)の情報」を言い、通信途中の情報、 頭の中にある記憶、身につけた技能等、物理的所在を明らかにすることが困難な情報を含まない。従っ て、これらを機密保持の対象とする必要がある場合は、これらを扱うにふさわしい別途の法律等の根拠 に基づいた取決め(契約)をおこなう必要がある。 -付 6 - 付録 マネジメントコース実践編 参考資料 「業務委託契約に係る機密保持条項(例)」 甲:委託元 乙:委託先 第○条(機密保持) 1.乙は、本契約の履行にあたり、甲が機密である旨指定して開示する情報および本契約の履行によ り生じる情報注(以下「機密情報」という)を機密として取扱い、甲の事前の書面による承諾なく 第三者に開示してはならない。ただし、次の各号のいずれかに該当する情報については、この限り ではない。 ① 開示を受けたときに既に公知であったもの ② 開示を受けたときに既に乙が所有していたもの ③ 開示を受けた後に乙の責によらない事由により公知となったもの ④ 開示を受けた後に第三者から守秘義務を負うことなく適法に取得したもの ⑤ 開示の前後を問わず乙が独自に開発したことを証明し得るもの 注: 「本契約の履行により生じる情報」の取扱いについては、別の条項で規定する こと。尚、本契約の履行に伴って乙から甲へ開示等がなされる乙が保有する機 密情報がある場合の当該情報の取扱については、別の条項で規定することが望 ましい 2.甲が乙に機密である旨指定して開示する情報は、表 1(本案では、特に例示しない)の通りであ る。 なお、表1は甲乙協力し常に最新の状態を保つべく適切に更新するものとする。 3.乙は、甲より開示された機密情報の管理につき、乙が保有する他の情報、物品等と明確に区別し て管理するとともに、以下の事項を遵守する。 (1) 機密情報の管理責任者及び保管場所を定め、善良なる管理責任者の注意をもって保管管理す る。 (2) 機密情報を取り扱う従業員を必要最小限にとどめ、上記保管場所以外へ持ち出さない。 (3) 機密情報の管理責任者名、機密情報を取り扱う従業員名及び機密情報の保管場所を、○年○ 月○日までに甲に報告 する。また、報告内容に変更が生じた場合には、変更が生じた月に提 出する以下の(8)の具体的管理状況の報告において、当該変更内容を甲に報告する。 (4) (3)にて報告した機密情報を取り扱う従業員に対して本契約の内容を周知徹底させ、機密情報 の漏洩、紛失、破壊、改ざん等を未然に防止するための措置を取る。 (5) 甲の書面による承諾を得た場合を除き、機密情報を複写、複製せず、また、機密情報を開示、 漏洩しない。但し、政府機関又は裁判所の命令により要求された場合、その範囲で開示するこ とが出来る。なお、その場合には、甲にその旨をすみやかに通知すること。 (6) 機密情報は本契約の目的の範囲でのみ使用する。 (7) 事故発生時には直ちに甲に対して通知し、事故再発防止策の協議には甲の参加を認める。 (8) 委託期間満了時または本契約の解除時、機密情報((5)に基づく複写、複製を含む)を甲に返 却、または自己で廃棄の上廃棄の証拠を甲に報告する。 (9) (8)にかかわらず、甲から返却また廃棄を求められたときは、機密情報((5)に基づく複写、 複製を含む)を甲に返却、または自己で廃棄の上廃棄の証拠を甲に報告する。 - 付7- 付録 マネジメントコース実践編 参考資料 (10) 乙は、甲に対して、機密情報の以下の具体的管理状況を毎月月末に報告する。乙は、甲が乙 の事務所における機密情報の管理状況を確認するために乙の事務所への立入検査を希望する 場合には、当該検査に協力する。また、甲は乙に対して是正措置を求めることができ、乙はこ れを実施するものとする。 ①委託契約範囲外の加工、利用の禁止の遵守 ②委託契約範囲外の複写、複製の禁止の遵守 ③安全管理措置状況 第○条(再委託) 1.乙は、本業務(の全部、または一部)を第三者へ再委託する場合、甲の事前の書面による同意を得 ずに、再委託してはならない。 2.前項の規定に基づき本業務を再委託する場合、乙は自己が負う義務と同等の義務を再委託先に対し て書面にて課すとともに、甲に対して再委託先に当該義務を課した旨を書面により報告し、かつ乙は 当該機密情報開示に伴う全責任を負うものとする。また、乙は次項第 3 号の再委託先からの報告を、 第○条(機密保持)第3項の具体的管理状況の報告時にあわせて甲に報告する。 3.前項に加え、乙は再委託先から次の各号の同意を得なければならない。また、乙は、当該同意を得 た旨を甲に書面で報告する。 ①事故発生時には直ちに甲に対しても通知すること ②事故再発防止策を協議する際には甲の参加も認めること ③再委託先における機密情報の具体的管理状況の報告は、甲の閲覧も可とすること 【コメント】 以下に示すような「機密保持条項に関連する他の条項」については、業務委託期間終了 又は本契約の解除後も、合理的な期間に渡り存続させることがのぞましい。 第○条(権利義務の譲渡) 第○条(成果の帰属) 第○条(損害賠償) 第○条(法令等の遵守義務) 第○条(協議事項) 第○条(紛争の解決) また、第○条(守秘義務)の規定は、「業務委託期間終了又は本契約の解除後○年間有 効とする」の如く有効期間を示すことがのぞましい。 - 付8-