Comments
Description
Transcript
後期高齢者医療 広域連合電算処理システム セキュリティ対策書 (参考)
後期高齢者医療 広域連合電算処理システム セキュリティ対策書 (参考) 平成19年1月26日 - 1 - 目次 1 本書の位置付け ................................................................................................................ 3 1.1 本書の目的について............................................................................................... 3 1.2 前提条件 ................................................................................................................ 3 1.3 適用されるセキュリティポリシー.......................................................................... 3 2 標準システムのセキュリティ対策の対象範囲と想定される脅威 ...................................... 4 3 セキュリティ対策方針...................................................................................................... 5 4 標準システムにおけるセキュリティ対策.......................................................................... 6 4.1 システムの冗長化 .................................................................................................. 6 4.2 ネットワークの冗長化 ........................................................................................... 6 4.3 業務システムのセキュリティ機能の実装 ............................................................... 6 4.4 利用者のアクセス制御 ........................................................................................... 6 4.5 通信路のデータ暗号化 ........................................................................................... 7 4.6 ウィルス対策ソフト導入........................................................................................ 7 4.7 稼動ログの取得・確認 ........................................................................................... 7 5 その他のセキュリティ対策の参考例................................................................................. 8 5.1 その他のセキュリティ対策 .................................................................................... 8 5.1.1 ファイアウォールの設置 ............................................................................. 8 5.1.2 ディスクの暗号化........................................................................................ 8 5.2 運用によるセキュリティ対策................................................................................. 8 5.2.1 セキュリティパッチ適用 ............................................................................. 8 5.2.2 不正発生時の運用規定................................................................................. 8 5.2.3 システム保守 ............................................................................................... 9 5.2.4 媒体管理運用 ............................................................................................... 9 5.2.5 入退室管理................................................................................................... 9 5.2.6 機器の物理的対策........................................................................................ 9 5.2.7 建物の物理的対策........................................................................................ 9 5.2.8 機器の破棄時運用...................................................................................... 10 5.2.9 利用者への教育 ......................................................................................... 10 5.3 市町村でのセキュリティ対策............................................................................... 10 - 2 - 1 本書の位置付け 1.1 本書の目的について 「後期高齢者医療制度に係る広域連合電算処理システム(以下「標準システム」とい う)」を導入・運用する上で想定される様々な脅威に対しての標準システムでの対策方針 及び方式を明確にすることを目的とし、本対策書を作成する。 1.2 前提条件 本対策書は標準システムでの現段階でのセキュリティ対策であり、詳細なシステム仕 様書については、別途お示しする予定である。また、市町村と広域連合間のネットワー クに関するセキュリティ対策方針についても現在検討中であるため、別途提供を予定し ている。 尚、本対策書では標準システムにおけるセキュリティ対策に限って示しており、保守・ 運用によるセキュリティ対策については参考として「5.その他のセキュリティ対策の参 考例」として示している。 1.3 適用されるセキュリティポリシー 標準システムは、以下のセキュリティに関する規定が適用される。 (1)「地方公共団体における個人情報保護対策について」(平成15年6月16日総行 情第91号各都道府県知事・各指定都市市長あて総務省政策統括官通知) (2)「地方公共団体における情報セキュリティポリシーに関するガイドライン」(平成 18年9月29日総務省全部改定) (3)○○県後期高齢者医療広域連合個人情報の保護に関する規程 (4)○○県後期高齢者医療広域連合情報セキュリティポリシー 本対策書は、広域連合及び市町村にて、標準システムのセキュリティ対策を講じ るための参考情報として使用してください。 本対策書以外の事項については、上記 1.3 適用されるセキュリティポリシーの (1)及び(2)による対策を講じてください。 なお、本対策書の内容が、広域連合及び市町村におけるセキュリティ仕様を定め るものではありません。 - 3 - 2 標準システムのセキュリティ対策の対象範囲と想定される脅威 標準システムの構成において、セキュリティ対策の対象範囲と想定される脅威を「図 2-1 セキュリティ対策の対象範囲と想定される脅威」に示す。 ○○県 後期高齢者医療広域連合 データセンタ(マシン室) ストレージ 連携サーバ メールサーバ ウイルス感染 APサーバ ウイルス感染 DBサーバ バックアップサーバ ○○市 庁内 マシン室 システム障害 窓口処理サーバ データの盗聴、 漏洩、改竄 データの盗聴、 漏洩、改竄 SSLアクセラレータ 負荷分散装置 WAN 窓口端末 ファイアウォール ネットワーク機器 ネットワーク機器 ネットワーク機器 不正アクセス L3スイッチ ファイアウォール ファイアウォール 入力・操作ミス データの盗聴、 漏洩、改竄 ネットワーク障害 既存システム 盗難、紛失、漏洩 盗難、紛失、漏洩 不正アクセス 運用管理サーバ 広域内連携サーバ 各種ネットワーク 不正アクセス 事務所 データの盗聴、 漏洩、改竄 他システム ウイルス感染 セキュリティ対策の対象範囲: 窓口端末 想定される脅威: 図 2-1 セキュリティ対策の対象範囲と想定される脅威 - 4 - ネットワーク機器 3 セキュリティ対策方針 以下に標準システムにて対応を予定しているセキュリティ対策方針を、想定する脅威別 に、完全性、機密性、可用性の観点から作成し、 「表 3-1 セキュリティ対策方針」に示 す。 表 3-1 セキュリティ対策方針 No. 区 脅威 対象機器 対策方針 システム障害 冗長化については以下 システム障害時の業務サービスの停 のサーバ 止を予防する。(可用性の確保) 分 1 故 対策内容 ・システムの冗長化 ・連携サーバ ・AP サーバ 障 ・DB サーバ (業務システム) 2 ネットワーク 広域連合内における、 ネットワーク障害時の業務サービス (LAN)障害 ネットワーク及びネッ の停止を予防する。(可用性の確保) ・ネットワークの冗長化 入力・操作 ・連携サーバ 利用者の入力・操作ミスによる情報 ・業務システムのセキュリティ機能 ミス ・AP サーバ 漏洩や不正情報の入力を予防すると の実装 ・DB サーバ 共に、データ消失の復旧対策を行う。 トワーク機器 3 過 失 4 5 (業務システム) (完全性の確保) ・全サーバ 第三者及び正当な利用者からの不正 ・利用者のアクセス制御 ・SSL アクセラレータ アクセスを予防する。(機密性の確保) ・稼動ログの取得、確認 データの盗聴、 ・全サーバ 市町村と広域連合間の通信路上のデ ・通信路のデータ暗号化 漏洩、改竄 ータ、広域連合内サーバのデータに ・稼動ログの取得と確認 不正アクセス 不 ・SSL アクセラレータ 正 対しての盗聴、改竄に対しての予防 を行う。(完全性の確保) 6 ウィルス感染 ・全サーバ ウィルスの感染を予防するための予 ・ウィルス対策ソフト導入 ・窓口端末 防と、ウィルスによるセキュリティ ・稼動ログの取得、確認 侵害時の回復措置を行う。(完全性の 確保) 以下「4章 標準システムにおけるセキュリティ対策」 にセキュリティ対策の詳細を示す。 - 5 - 4 標準システムにおけるセキュリティ対策 4.1 システムの冗長化 以下のサーバについては冗長化を行い、システム障害時の業務サービスの停止を防 止する。 (1)連携サーバ及びAPサーバ 連携サーバ及びAPサーバは2台(以上)の構成とし二重化を行うことで、片方 のサーバが障害で停止した場合でも、もう片方のサーバにてサービスを継続して提 供できるようにする。 (2)DBサーバ DBサーバはクラスタ構成とし、片方のサーバが障害で停止した場合でも、サー ビスを継続して提供できるようにする。 4.2 ネットワークの冗長化 広域連合内のLANは、LAN回線及びネットワーク機器を二重化し、一部の設備 が故障してもサービスを継続して提供できるようにする。 4.3 業務システムのセキュリティ機能の実装 利用者の入力、操作ミスによる情報漏洩や不正情報の入力を防ぐと共に、誤って消 失したデータの再登録機能を実装する。また悪意ある第三者からの攻撃から防御する ために、以下のセキュリティ機能に沿って対応する。 ・ パスワードは十分な強度を設ける。 (例、文字数や文字列の制限等) ・ パスワードの定期的な更新を促す。 ・ 一定回数のログイン失敗によるアカウントのロックを行う。 ・ 一定時間の操作が無い場合の自動ログアウトを行う。 ・ ユーザー権限に応じて不適切なデータの参照を抑止する。 ・ 入力情報のチェックを行う。 ・ 登録情報については、登録前に確認画面を表示し、ユーザーによる目視 チェック後に登録操作を行う。 ・ データ消失時の再登録機能等を実装する。 4.4 利用者のアクセス制御 標準システムを使用する利用者、管理者等において以下のアクセス制御を行う。 (1)データベース構成 広域連合内のデータベースを市町村ごとに論理分割し、他市町村の利用者からの アクセスを制御する。 (2)利用者の認証/識別 利用者が標準システムを使用する際、ID・パスワードによる認証/識別を行う。 また、利用者毎の権限に応じ使用可能な機能の制限を行う。 (3)管理者の識別/認証 管理者が保守、監視、運用等を行う際に、ID・パスワードによる識別/認証を 行う。 - 6 - 4.5 通信路のデータ暗号化 標準システムにおいては、各拠点間のネットワーク回線を電送するデータはSSL での暗号化並びに認証を行い、盗聴及び改竄を予防する。 * 4.6 SSL=Secure socket Layer の略称。公開鍵暗号や秘密鍵暗号、デジタル証 明書、ハッシュ関数などのセキュリティ技術を組み合わせ、データの盗聴や改ざ ん、なりすましを防ぐことができるプロトコル。 ハッシュ関数=与えられた原文から固定長の疑似乱数を生成する演算手法。通 信の暗号化の補助やユーザー認証などに応用されている。 ウィルス対策ソフト導入 ネットワークや外部媒体等からのウィルスの感染への対応について以下に示す。 (1)ウィルスの検査 標準システムのサーバ、PCにおいて、ウィルス対策ソフトによりローカルディ スク内を対象として、定期的に自動ウィルス検査を行う。また、ウィルス対策ソフ トの常駐化によりウィルス感染を即時に検知し、駆除、削除などにより感染を防止 する。 (2)パターンファイルの更新 ウィルス対策ソフトのウィルスパターンファイル(ウィルス検知・駆除を行うた めの定義ファイル)は、定期的に最新のウィルスパターンファイルを各サーバ・P Cへ適用する。 4.7 稼動ログの取得・確認 標準システムでの事象を稼動ログとして記録し、セキュリティ侵害時の原因や影響 範囲の特定に利用し、セキュリティ対策を実施する。 (1)稼動ログの取得対象 稼動ログを取得する対象を以下に示す。 ① 業務ログ 業務プログラム起動開始/終了メッセージ、送受信されるデータの内容を取得 し、障害時の復旧及び解析、業務処理の追跡に使用する。 ② ウィルス検査ログ ウィルス検査状況、ウィルスパターンファイル更新状況を取得し、ウィルスに よる侵害状況の追跡、ウィルスの感染経路などの解析に使用する。 ③ システムログ 各サーバの動作状況を取得し、故障の検出及び解析に使用する。 (2)稼動ログ確認運用 不正発生時の影響や原因の分析等を行う場合、稼動ログの情報を参考に、必要に 応じて対応策を検討する。 (3)時刻同期 不正発生時に各サーバの稼動ログの事象発生時間や処理時間等から原因分析等 を行う必要があるため、各サーバは時刻同期を行う。 - 7 - 5 その他のセキュリティ対策の参考例 各広域連合及び市町村のセキュリティポリシーに応じて、セキュリティ対策を講じると 想定される事項を参考として示す。 5.1 その他のセキュリティ対策 5.1.1 ファイアウォールの設置 各拠点間のネットワーク回線にLGWANを使用する場合は、各拠点間の境界に ファイアウォールを設置する。ファイアウォールにより、外部からの不正なアクセス を防止する(パケットフィルタリング)。 また、LGWAN以外のネットワーク回線を使用する場合においても、外部からの 不正なアクセスを防止するためのセキュリティ対策を講じる。 5.1.2 ディスクの暗号化 PC上に記録するデータは暗号化を行い、盗聴、改竄、不正持ち出しの予防を行う。 5.2 運用によるセキュリティ対策 5.2.1 セキュリティパッチ適用 OSやソフトウェアのセキュリティパッチに関する情報を常時収集し、標準システ ムへの必要性、影響を確認し適用可否を判断する。適用が必要となった場合は速やか にパッチを各サーバ、PCへ適用する。 5.2.2 不正発生時の運用規定 セキュリティ侵害やシステム障害等が発生した場合、迅速かつ円滑な対応を行うた めに、緊急時の連絡体制、不正発生時の対応に関して、以下の対応を行う。 (1)緊急連絡体制 不正発生時の各関係者への連絡ルート、連絡先、対応者を明確にし、緊急連絡体 制を整備する。 (2)緊急時の対応方針 不正発生時の対応方針を以下に示す。 ① 事象発生時は、緊急連絡体制に基づき、体制の確保を行う。 ② 稼動ログ等から影響範囲及び原因の特定及び対策案の検討を行う。 ③ 関係者と協議し、被害拡大防止のための暫定対策を実施する。 ④ 関係者と協議し、事象の原因への本対策を実施する。 ⑤ 関係者と協議し、根本原因を究明し、再発止策を実施する。 - 8 - 5.2.3 システム保守 システム保守を行う際のセキュリティの確保について、以下に示す。 (1)ソフトウェア・ハードウェアの保守 OS、ソフトウェア、ハードウェアのセキュリティの脆弱性に関する情報を各ソ フトウェアベンダから収集し、必要に応じて適用する。 ① 収集を行う情報 ・ OS、ソフトウェア、ハードウェアに関する最新のバグ情報、セキュリティ ホール等の情報 ・ コンピュータウイルスに関する情報 ② 保守時の対応 ・ OS、ソフトウェアの変更時は、事前に動作テストを行い、適用に問題ない かを検討を行う。また、必要に応じてSMSサーバの導入も考慮する。 (2)ハード障害時のセキュリティ確保 ハード障害時の機器持ち出し等の運用は、情報の改竄、漏洩に十分配慮する。 5.2.4 媒体管理運用 「○○県後期高齢者医療広域連合個人情報の保護に関する規程」に相当した管理を 行う。 (1)データセンタでの媒体保管 データセンタで保管する媒体は、入退室管理されたスペースの施錠可能な専用 ラックに保管する。 (2)遠隔地媒体保管 システムの復旧に使用するバックアップ媒体は、データセンタの被災を想定し、 遠隔地に保管するものとする。また、外部搬出時、媒体は施錠されたジュラルミン ケースで搬送し、搬送業者の担当者名等搬送内容を明確にし安全に搬送する。 (3)記録媒体の破棄時運用 記録媒体破棄時には、破砕等により破棄する。 5.2.5 入退室管理 各拠点の入退室管理は、各拠点の設備及び、運用規程により、管理者以外の第三者 (清掃業者、警備員等も含む)の不正侵入を防止する。 5.2.6 機器の物理的対策 サーバ等機器は施錠可能な専用ラックに格納し、ケーブル類は床下配線により物理 的な破壊を防止する。 PC等は、セキュリティワイヤにより盗難を防止する。また、ケーブル類は床下配 線により物理的な破壊等を防止する。 5.2.7 建物の物理的対策 データセンタでは、電源の二重化、予備電源、耐震構造、火災報知、消火設備、漏 電検知等の対策を実施する。 - 9 - 5.2.8 機器の破棄時運用 サーバ、PC等の機器の破棄、返却、更改時には、専用のソフトウェア等を用いて 媒体にあるデータを復元不可の状態にする。 5.2.9 利用者への教育 標準システムの利用者に対し、標準システムの情報及びサービスへのアクセスを許 可する前に、正しい使用方法(ログオン手順、業務システムの使用方法等)に関する 訓練を実施する。 5.3 市町村でのセキュリティ対策 窓口処理サーバ、窓口端末を設置する市町村においても、前述の標準システムで講 じるセキュリティ対策と、自市町村のセキュリティポリシーに準拠した対応と運用が 必要となる。 (1)支所、出張所に設置される窓口端末へのセキュリティ対策 上記 4.4.(1)利用者の認証/識別、4.6 ウィルス対策ソフト導入や、5.2.1 セキュ リティパッチ適応などに準じて実施する。 (2)窓口処理サーバ設置に関するセキュリティ対策 上記 5.2.4 媒体管理運用、5.2.5 入退室管理、5.2.6 機器の物理的対策、5.2.7 建物 の物理的対策、5.2.8 機器の破棄時運用などに準じて実施する。 (3)利用者への教育 市町村の利用者に対し、標準システムを使用するための正しい利用方法(ログオ ン手順、業務システムの使用方法等)に関する訓練を実施する。 - 10 -