調査報告書別冊定量的セキュリティ尺度測定ガイドライン

by user

on 28 марта 2017

Category: Documents

>> Downloads: 0

views

Report

Comments

Description

Download 調査報告書別冊定量的セキュリティ尺度測定ガイドライン

Transcript

調査報告書別冊定量的セキュリティ尺度測定ガイドライン

15 情経第 651 号
定量的セキュリティ測定手法および支援ツールの開発
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
2004 年 4 月
1
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
（空白のページ）
i
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
（１）引用文献
本メトリクスを開発するにあたっては、NIST（ National Institute of Standards and
Technology 米国商務省標準技術局）から以下のドキュメントを引用しています。
・NIST SP 800-26：(Security Self-Assessment Guide for IT Systems ‐ Nov. 2001))
・NIST SP 800-55： (Security Metrics Guide for IT Systems ‐ Draft Dec. 2002)
引用にあたっては、米国と事情の異なる部分、例えば法令準拠、その他の規制項目など
は特に断ることなく適宜変更を加えてあります。また、引用箇所においては〔〕を付けて
表記しました。
（２）海外調査
本メトリクスを開発するにあたっては、国内外の有識者からヒアリング調査を実施して
います。特に海外調査における参考意見は、コメントの項に｢｣を付けて追記しました。
ii
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
『NIST SP800-26 における１７のコントロール目標と３６の詳細目標の一覧』
※レベル１：コントロール目標
レベル２：詳細目標
(1) 管理面
1 Risk Management(リスク管理)
1.1. リスク評価
1.2. リスク評価結果の認識
2 Review of Security Controls（セキュリティコントロールのレビュー）
2.1. セキュリティコントロールのレビュー
2.2. 是正措置実施の保証
3 Life Cycle（ライフサイクル管理）
3.1. ライフサイクル方法論の確立
3.2.
試験実施期間における変更管理
4 Authorize Processing (Certification & Accreditation)（プロセスの認証・認定）
4.1. システムのセキュリティに関する認証・承認
4.2. 組織内部の手続きの適正
5 System security plan（システムセキュリティ計画）
5.1. システムセキュリティ計画の文書化
5.2. システムセキュリティ計画のレビュー
(2) 運用面
6 Personnel Security（要員セキュリティ）
6.1.
責任・権限分散の実施
6.2.
要員の経歴調査
7 Physical and Environmental Protection（物理および環境セキュリティ）
7.1. 物理セキュリティの確保
7.2.
データの物理的漏洩の防止
7.3.
モバイルシステムのセキュリティ方策
8 Production, Input/Output Controls（データ生成と入出力）
8.1. セキュリティに関する利用者支援の実施
8.2.
データ媒体の管理
9 Contingency Planning（緊急時対処計画）
9.1.
重要な運用要素と資源の識別
9.2.
コンティンジェンシー計画の策定
9.3.
コンティンジェンシー計画の試験・訓練
10 Hardware and System Software Maintenance（システム保守）
10.1. システムソフトへのアクセス制限
i
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
10.2. システム変更の承認手順の実施
10.3. 脆弱性の軽減策
11 Data Integrity（データ完全性）
11.1. ウィ対策ソフトの運用
11.2. データ完全性保証手段の実施
12 Documentation（文書化）
12.1. 運用文書の完備
12.2. 公式のセキュリティ関連手順の文書化
13 Security Awareness, Training, and Education（教育訓練）
13.1. 従業員の十分なセキュリティ教育
14 Incident Response Capability（事故対応能力）
14.1. セキュリティ事故発生時の対応保証
14.2. 事故情報の適切な共有
(3) 技術面
15 Identification and Authentication（識別と認証）
15.1. 個々の利用者の適切な手段による識別
15.2. アクセスコントロールと責任分離との整合
16 Logical Access Controls（論理アクセスコントロール）
16.1. アクセスコントロールと適切な操作権限との整合
16.2. ネットワーク上での論理的制御
16.3. 公衆アクセスの場合の適切なインタフェースとデータ完全性保証
17 Audit Trails（監査証跡）
17.1. 重要ファイルへのアクセスの監視・記録
ii
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
｢メトリクス一覧｣
M-1.1.2-A
情報資産の定期的なリスクの見直し率
M-1.1.2-B
環境変化が生じた時のリスクの見直し率
M-1.1.6-A
リスク評価で発見された脆弱性の対策立案率
M-1.1-A
リスク評価で計算された年間予想被害額
M-1.2.1
リスク評価について関係者が結果を確認した割合
M-1.2.2-A
ビジネス特性からの情報資産に対する被害（インパクト）分析の検討率
M-2.1.4
セキュリティテストの実施率
M-2.2.1
弱点発見から解決までの平均所要日数
M-3.1.1-A
ライフサイクル計画における機密度設定
M-3.1.2
システムライフサイクルにしたがって開発時にセキュリティ投資が行われている割合
M-3.1.10-A
調達前にセキュリティテストが行われた実施率
M-3.1.10-B
システム管理者のコモンクライテリアの認識率
M-3.2.2-A
変更管理における試験結果の文書化率
M-3.2.5
開発後にセキュリティコントロールが変更された後の再承認率
M-4.1.8
マシン相互接続時に所属長によって正式に承認されている割合
M-4.2.1
正式な認証を受けていないシステムの稼働率
M-5.1.1
システムセキュリティ計画の所属長による承認率
M-5.2.1
システムセキュリティ計画の定期見直し率
M-6.1.3
責任・権限が適切に複数の人に分離されているシステムの割合
M-6.1.8-A
無効アカウントの残存率
M-6.2.1
機密データ操作要員の選考・訓練の実施率
M-6.2.3-A
アクセスコントロールの評価の実施率
M-6.2.3-B
アクセスコントロールが不十分である時に、要員の選別でしっかりと対応している割合
M-7.1.3
記憶媒体の貸し出し管理実施率
M-7.2.1-A
モニタ画面の盗み見対策の実施率
M-7.2.2
通信施設の収容所に対する入退室管理の実施率
M-7.2-A
モニタ画面、机の上が整理されている割合（クリアデスク）
M-7.3.1
モバイル機器の機密データの暗号化率
M-7.3.2-A
モバイル機器の持ち出し管理実施率
M-8.1.1
未解決問題に対するヘルプデスクからのサポート率
M-8.2.5-A
文書、および電子文書における機密度の設定の遵守率
M-8.2.8
記憶媒体を廃棄、再利用する時の完全消去率
iii
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-9.1.1
バックアップの実施率
M-9.2.2-A
コンティンジェンシープランのリカバリー責任者の任命率
M-9.3.2-A
コンティンジェンシープランの訓練実施率
M-9.3.3
コンティンジェンシープランのテスト実施率
M-10.1.1
外部委託によるシステム保守要員の操作制限の実施率
M-10.2.3
システム変更時の再承認率
M-10.3.1-A
不要なシステムプログラムの稼動状況の点検率
M-10.3.2-M
パッチがインストールされていることの追跡調査率
M-11.1.1-A
ウィルス対策ソフトの最新パターンのダウンロード率
M-11.1.2
ウィルス対策ソフトの自動スキャン率
M-11.2.3
パスワード設定におけるパスワードポリシーの遵守率
M-11.2.5-A
侵入検知ツールの導入率
M-12.1.1-A
購入アプリケーションのマニュアルの整備率
M-12.1.3
開発アプリケーションの文書化維持率
M-12.2.4
システム毎のリスク評価の文書化維持率
M-13.1.2
セキュリティ要員へのトレーニング実施率
M-14.1.1
インシデント対応態勢の組織内での保有率
M-14.2.1-A
インシデント情報の組織内の共有化率
M-14.2.3
事故通報義務の遵守率
M-15.1.2-A
デジタル証明書の導入率
M-15.1.3
暫定ユーザＩＤの削除率
M-15.1.6-A
パスワードの定期変更の実施率
M-15.1-A
暗号強度を把握しているシステムの割合
M-15.1-B
バイオメトリクスの認識エラー率を把握している割合
M-15.1-C
不十分なパスワード管理の発見率
M-15.2.1
ユーザ ID を共有している割合
M-16.1.3
セキュリティ対策ソフトウェアが権限者以外でもアクセスできてしまう割合
M-16.2.2
定期的なプロトコルの調査実施率
M-16.2.5-A
ネットワークログの調査分析率
M-16.2-A
ネットワークログの平均保存月数
M-16.3.1
プライバシーポリシーのウェブサイトへの適用率
M-16.3-A
Web サイト構築時のクロスサイトスクリプティングへの対処率
M-17.1.1
操作コマンド、ファイルアクセスログの記録率
iv
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
目次
1.
メトリクス表の説明 ............................................................................................. 1
1.1 番号体系 ................................................................................................................................ 1
2.
メトリクス一覧 ..................................................................................................... 2
M-1.1.2-A 情報資産の定期的なリスクの見直し率..................................................................... 2
M-1.1.2-B 環境変化が生じた時のリスクの見直し率 ................................................................. 4
M-1.1.6-A リスク評価で発見された脆弱性の対策立案率......................................................... 6
M-1.1-A リスク評価で計算された年間予想被害額 ................................................................... 8
M-1.2.1 リスク評価について関係者が結果を確認した割合 .................................................... 10
M-1.2.2-A ビジネス特性からの情報資産に対する被害（インパクト）分析の検討率.............. 12
M-2.1.4 セキュリティテストの実施率 ......................................................................................... 14
M-2.2.1 弱点発見から解決までの平均所要日数..................................................................... 16
M-3.1.1-A ライフサイクル計画における機密度設定 ................................................................ 18
M-3.1.2 システムライフサイクルにしたがって開発時にセキュリティ投資が行われている割
合 .................................................................................................................................................. 20
M-3.1.10-A 調達前にセキュリティテストが行われた実施率 .................................................... 22
M-3.1.10-B システム管理者のコモンクライテリアの認識率 .................................................... 24
M-3.2.2-A 変更管理における試験結果の文書化率 ................................................................ 26
M-3.2.5 開発後にセキュリティコントロールが変更された後の再承認率 ................................ 28
M-4.1.8 マシン相互接続時に所属長によって正式に承認されている割合 ............................. 30
M-4.2.1 正式な認証を受けていないシステムの稼働率........................................................... 32
M-5.1.1 システムセキュリティ計画の所属長による承認率...................................................... 34
M-5.2.1 システムセキュリティ計画の定期見直し率 ................................................................. 36
M-6.1.3 責任・権限が適切に複数の人に分離されているシステムの割合 ............................. 38
M-6.1.8-A 無効アカウントの残存率 .......................................................................................... 40
M-6.2.1 機密データ操作要員の選考・訓練の実施率 .............................................................. 42
M-6.2.3-A アクセスコントロールの評価の実施率 .................................................................... 44
M-6.2.3-B アクセスコントロールが不十分である時に、要員の選別でしっかりと対応してい
る割合 .......................................................................................................................................... 46
M-7.1.3 記憶媒体の貸し出し管理実施率 ................................................................................. 48
M-7.2.1-A モニタ画面の盗み見対策の実施率......................................................................... 50
M-7.2.2 通信施設の収容所に対する入退室管理の実施率 .................................................... 52
i
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-7.2-A モニタ画面、机の上が整理されている割合（クリアデスク）....................................... 54
M-7.3.1 モバイル機器の機密データの暗号化率 ..................................................................... 55
M-7.3.2-A モバイル機器の持ち出し管理実施率...................................................................... 57
M-8.1.1 未解決問題に対するヘルプデスクからのサポート率................................................. 59
M-8.2.5-A 文書、および電子文書における機密度の設定の遵守率....................................... 61
M-8.2.8 記憶媒体を廃棄、再利用する時の完全消去率.......................................................... 63
M-9.1.1 バックアップの実施率................................................................................................... 65
M-9.2.2-A コンティンジェンシープランのリカバリー責任者の任命率 ...................................... 67
M-9.3.2-A コンティンジェンシープランの訓練実施率 ............................................................... 69
M-9.3.3 コンティンジェンシープランのテスト実施率 ................................................................. 71
M-10.1.1 外部委託によるシステム保守要員の操作制限の実施率........................................ 73
M-10.2.3 システム変更時の再承認率 ...................................................................................... 75
M-10.3.1-A 不要なシステムプログラムの稼動状況の点検率 ................................................. 77
M-10.3.2-M パッチがインストールされていることの追跡調査率............................................. 79
M-11.1.1-A ウィルス対策ソフトの最新パターンのダウンロード率........................................... 81
M-11.1.2 ウィルス対策ソフトの自動スキャン率 ........................................................................ 83
M-11.2.3 パスワード設定におけるパスワードポリシーの遵守率 ............................................ 85
M-11.2.5-A 侵入検知ツールの導入率 ...................................................................................... 87
M-12.1.1-A 購入アプリケーションのマニュアルの整備率........................................................ 89
M-12.1.3 開発アプリケーションの文書化維持率...................................................................... 90
M-12.2.4 システム毎のリスク評価の文書化維持率................................................................. 92
M-13.1.2 セキュリティ要員へのトレーニング実施率 ................................................................ 94
M-14.1.1 インシデント対応態勢の組織内での保有率 ............................................................. 96
M-14.2.1-A インシデント情報の組織内の共有化率................................................................. 98
M-14.2.3 事故通報義務の遵守率 ........................................................................................... 100
M-15.1.2-A デジタル証明書の導入率..................................................................................... 102
M-15.1.3 暫定ユーザＩＤの削除率 ........................................................................................... 104
M-15.1.6-A パスワードの定期変更の実施率 ......................................................................... 106
M-15.1-A 暗号強度を把握しているシステムの割合 .............................................................. 108
M-15.1-B バイオメトリクスの認識エラー率を把握している割合............................................ 110
2.1 M-15.1-C 不十分なパスワード管理の発見率 ................................................................. 112
M-15.2.1 ユーザ ID を共有している割合................................................................................ 114
M-16.1.3 セキュリティ対策ソフトウェアが権限者以外でもアクセスできてしまう割合 ........... 116
M-16.2.2 定期的なプロトコルの調査実施率........................................................................... 118
ii
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-16.2.5-A ネットワークログの調査分析率............................................................................ 121
M-16.2-A ネットワークログの平均保存月数........................................................................... 123
M-16.3.1 プライバシーポリシーのウェブサイトへの適用率 ................................................... 125
M-16.3-A Web サイト構築時のクロスサイトスクリプティングへの対処率 .............................. 127
M-17.1.1 操作コマンド、ファイルアクセスログの記録率 ........................................................ 129
iii
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
1. メトリクス表の説明
1.1 番号体系
本メトリクス表においては、以下の規則にて識別番号を付与しました。
１）NIST SP800-55 においてサンプルメトリクスとして例示されているもの。
M-N.C.Q
NIST SP800-26 における“質問番号”
NIST SP800-26 における“重点項目番号”
NIST SP800-26 における“コントロール番号”
２）NIST SP800-26 の質問項目を参考に、メトリクスを追加したもの。
M-N.C.Q -A
NIST SP800-26 における“質問番号”
NIST SP800-26 における“重点項目番号”
NIST SP800-26 における“コントロール番号”
追加したメトリクスについては、“-A”、“-B”、“-C”と英字を付加。
３）NIST SP800-55 においてサンプルメトリクスとして例示されているものに対して、変更を加
えたもの。
M-N.C.Q -M
NIST SP800-26 における“質問番号”
NIST SP800-26 における“重点項目番号”
NIST SP800-26 における“コントロール番号”
“-M”を付加。
４）NIST SP800-26 に対して、“質問項目”を追加した上で新たにメトリクスを追加したもの。
M-N.C -A
質問項目番号には、“-A”、“-B”、“-C”と英字を付加。
NIST SP800-26 における“重点項目番号”
NIST SP800-26 における“コントロール番号”
※ １）、２）
、３）と４）との識別番号との違いは、Q（＝質問項目番号）フィールドが英
字であるか、もしくは数字であるかの違いによる。
1
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
2. メトリクス一覧
M-1.1.2-A 情報資産の定期的なリスクの見直し率
（NIST の SP800-55 の M-1.1.2 のメトリクスを参考に２つのメトリクスに分離）
目標
1.1 リスク評価は、定期的に行われていますか？
詳細目標
1.1.2 リスク評価は、定期的に見直され文書化されていますか？
また、システム、設備、他の条件が変わる場合は常にリスク評価を行ってい
ますか？
定量的尺度
リスク評価の頻度
尺度の目的
リスク評価が適切な頻度で行なわれ文書化されていることを明言すること
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. “はい”と答えた場合、あなたの組織もしくは該当部門において、システ
ムの数はどのくらいありますか？
________
3. これらのシステムにおいて、ドキュメント化されたリスク評価を行いまし
たか？その頻度を答えてください。
（次の選択肢の中から、最も近いものを選びなさい。）
過去 12 か月以内に
________
過去 2 年以内に
________
過去 3 年以内に
________
4. 過去 3 年にリスク評価の見直しをしていないシステムの数を理由別に答え
てください。
________
・ポリシーが無い
・リソース不足
________
・特に見直しを必要とするまでのシステムではない
・見直し期間が定義されていない
・新規のシステムである
・その他
________
________
________
________
5. 情報資産の数は、いくつありますか？
________
6. 定期的にリスク評価の見直しが行われているシステムの数はいくつです
か？
________
頻度
半年ごと、毎年
計算式
定期的にリスク評価が行われているシステムの数／システムの総数
2
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
データの出所
主要システムの資産目録、リスク評価時のリポジトリ
指標
このメトリックスをモニタすることにより、リスク評価の妥当性、適切にリ
スク評価の見直しをしている割合が求まります。
情報セキュリテ 1.1.2.4 技術変更による効果について、日程を定め、定期的に見直しを実施す
ィ監査基準とのること
関連
SSE-CMM の PA03 セキュリティリスクを評価する
プロセス能力と
の関連
コメント:
このメトリクスは、｢M-1.1.2-B 環境変化が生じた時のリスクの見直し率｣と対になっています。
このメトリクスは、リスク評価が現状の実態と合致していることを計測します。その為、リスク
評価は定期的に見直しを図る必要があります。
〔質問 4 は、リスク評価の見直しが行われなかっ
たシステムに対し、その原因を求めています。それらの原因を特定することにより、何故リスク
評価の見直しが必要であるのかを認識することができます。また、リスク評価の見直しに伴って、
セキュリティポリシーを更新したり、既存の作業手順の見直し、あるいはパフォーマンスの改善
などにも行われます。さらにはこれまでに見直しが行われていないシステムに対しては、リスク
評価の見直しを通して、情報資産台帳の更新もされることになります。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
3
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-1.1.2-B 環境変化が生じた時のリスクの見直し率
（NIST の SP800-55 の M-1.1.2 のメトリクスを参考に２つのメトリクスに分離）
目標
1.1 リスク評価は、定期的に行われていますか？
詳細目標
1.1.2 リスク評価は、定期的に見直され文書化されていますか？
また、システム、設備、他の条件が変わる場合は常にリスク評価を行ってい
ますか？
定量的尺度
リスク評価が最新の状態を反映しているその程度。
尺度の目的
リスク評価が環境の変化に応じて、最新の状態が維持され文書化しているこ
とを明言すること。
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. “はい”と答えた場合、あなたの組織もしくは該当部門において、システ
ムの数はどのくらいありますか？
________
3. 環境の変化を受けたシステムの数は、いくつありますか？
________
4. これらのシステムにおいて、環境に変化が生じた時に規定の時間内に速や
かにリスク評価の見直しをおこなっているシステムの数は、いくつあります
か？
________
頻度
レビュー間隔ごと
計算式
環境の変化が生じた時に規定の時間内でリスク評価の見直しが行われている
システムの数／環境の変化を受けたシステムの総数
データの出所
主要システムの資産目録、リスク評価時のリポジトリ
指標
このメトリックスをモニタすることにより、リスク評価の妥当性、および環
境変化に追従して、適切にリスク評価の見直しをしている割合が求まります。
情報セキュリテ 1.1.2.1 見直し手続によって、当初のリスクアセスメントの基礎事項に影響を
ィ監査基準との及ぼす変化(例えば、重大なセキュリティの事件・事故、新しいぜい (脆)弱性、
関連
又は組織基盤若しくは技術基盤の変化)に対応して確実に見直しを実施するこ
と
SSE-CMM の PA03 セキュリティリスクを評価する
プロセス能力と
の関連
4
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント:
このメトリクスは、｢M-1.1.2-A 情報資産の定期的なリスクの見直し率｣と対になっています。リ
スク管理は、常に現状を反映したものでなければなりません。したがってシステムに大きな変化
が生じた時は、リスク評価の見直しを行います。このメトリクスは、その変化が生じた時のリス
ク評価が適切に行われていることを測定します。リスク管理によって、システムの脆弱性および
リスク情報が更新されます。〔質問 4 は、リスクの見直しが行われなかったシステムに対しその
原因を求めています。質問 4 は、リスク評価の見直しが行われなかったシステムに対しその原因
を求めています。それらの原因を特定することにより、何故リスク評価の見直しが必要であるの
かを認識することができます。また、リスク評価の見直しに伴って、セキュリティポリシーを更
新したり、既存の作業手順の見直し、あるいはパフォーマンスの改善などにも行われます。さら
にはこれまでに見直しが行われていないシステムに対しては、リスク評価の見直しを通して、情
報資産台帳の更新もされることになります。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
5
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-1.1.6-A リスク評価で発見された脆弱性の対策立案率
（追加）
目標
1.1 リスク評価は、定期的に行われていますか？
詳細目標
1.1.6 リスク分析結果から脆弱性が十分に抑えられていますか？
定量的尺度
脆弱性分析において対応策の検討手続きが実施されている割合（％）
尺度の目的
脆弱性分析に関する手続きの有効性を決定すること
実装の証拠
1. システムの脆弱性分析を行っていますか？
・はい
・いいえ
2. “はい”と答えた場合、あなたの組織もしくは該当部門において、システ
ムの数はどのくらいありますか？
________
3. 脆弱性分析を行ったシステムの数は、いくつありますか？
________
4. これらの脆弱性分析においていくつの脆弱性が発見されましたか？
________
5. 発見された脆弱について、対応策が検討されているシステムの数はいくつ
ですか？
（脆弱性が０とならなくとも、対応策が検討されていればカウントします。）
________
頻度
半年ごと、毎年
計算式
脆弱性対応策を検討したシステム数／システムの総数
データの出所
システムの目録、リスク評価時のリポジトリ
指標
このメトリックスは、数値が大きくなるように改善します。数値が大きくな
る為には、まず全てのシステムに対して脆弱性分析を行ってください。次に、
脆弱性分析が行われたシステムに対しては、その対応策を検討してください。
なお、脆弱性対策を講じた後の結果に対しては、その脆弱性は小さければ小
さいほど良いのですが、必ずしも０となることは求めません。
情報セキュリテ 1.1.2.2 記録されたセキュリティの事件・事故の性質、回数及び影響によって
ィ監査基準との示される、基本方針の有効性について、日程を定め、定期的に見直しを実施
関連
すること
SSE-CMM の PA03 セキュリティリスクを評価する
プロセス能力と PA05 脆弱性を評価する
の関連
6
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント:
リスク評価には、さまざまな手法や分析方法などがあります。SSE-CMM によりますとリスク評
価のプロセスには、脅威分析、脆弱性分析、被害分析があります。このメトリクスでは、リスク
評価における脆弱性分析に焦点を置いて、認識された脆弱性に対してその対応策が検討されてい
ることを計測します。なお、使用可能なリソースは有限ですから、対応策後の脆弱性が完全に０
となる必要はありません。
海外調査によるヒアリング：
｢このメトリクスは、データの収集が難しいかもしれません。特に脆弱性をカウントする為の方
法を十分に検討する必要があります。｣
7
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-1.1-A
リスク評価で計算された年間予想被害額
（追加）
目標
1.1 リスク評価は、定期的に行われていますか？
詳細目標
1.1.A リスク分析における年間予想被害額を算定していますか？
定量的尺度
組織における年間予想被害額（金額表示）
尺度の目的
組織において１年間あたりの予想される被害額を決定する
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. “はい”と答えた場合、あなたの組織もしくは該当部門において、システ
ムの数はどのくらいありますか？
________
3. システムに対してリスク分析を行っている情報資産の数は、いくつありま
すか？
________
4. 情報資産において、１年間あたりの情報資産の損失金額はいくらですか？
（ここでは情報資産の分類数を、最大２０までとします。
）
※EF、AV、ARO の説明は、コメントを見てください。
・資産１の EF：_______％
AV：_______（金額）
ARO：_______（％）
以下、資産２０まで同じ
頻度
毎年
計算式
質問４における資産１∼資産２０までの年間予想被害額の合計値。
データの出所
主要システムの資産目録、リスク評価時のリポジトリ
指標
このメトリックスは、組織における予想される被害金額を示します。ここで
示される値は小さければ小さい方が良いのですが、許容可能な適切な値につ
いては個別の組織における業務特性や財務状況、その他の要因によって決定
されます。
情報セキュリテ 4.3.4.1 事件・事故及び誤動作の種類、規模並びに費用の定量化及び監視を可
ィ監査基準との能とする仕組みから得られる情報を、事件・事故の再発若しくは影響の大き
関連
い事件・事故又は誤動作を識別するために用いること
SSE-CMM の PA02 被害を評価する
プロセス能力と PA03 セキュリティリスクを評価する
の関連
8
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント:
質問４の年間予想被害額１∼２０は、以下の計算式で求めることができます。
（情報資産の最大分類は、支援ツールによる制限です。）
個別の年間予想被害額を ALE とします。
１）EF (Exposure Factor)
２）AV（Asset Value）
= 特定の脅威によって起こる資産損失のパーセンテージ
= 資産価値
３）SLE ( Single Loss Expectancy) 単一損失予測
= AV ×
４）ARO (Annualized Rate of Occurrence) 年次発生率
EF
=
1 年間に脅威が起こる頻度の推定値
５）ALE ( Annualized Loss Expectancy) 年次損失予測
= SLE ×
ARO
※１）の損失のパーセンテージとは、脅威によってもたらされる被害について、失う価値の割合
を％で評価します。
※２）の資産価値とは、固定資産としての価値ではありません。情報資産としてのビジネス上の
価値を評価します。
9
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-1.2.1 リスク評価について関係者が結果を確認した割合
目標
1.2 職員のシステムリスクに対する理解度や、リスク管理能力に応じて許容可
能なリスク水準を決定していますか？
詳細目標
1.2.1 最終的なリスク水準の決定について、リスク評価とその承認はドキュメ
ント化され維持管理されていますか？
定量的尺度
リスクの程度に応じてリスク管理で検討され、所属長に承認されたシステム
の割合（％）
尺度の目的
所見に対する許容を通じてリスク評価における管理の完成度を測定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
_____
2. どれだけの IT システムがリスク評価されましたか？
_____
3. リスク評価の調査報告期間中にどの程度のリスクが発見できましたか？
4. どれだけのリスクが発見され、所属長に承認されましたか？
5. 承認管理は記録され、トレースできますか？
・はい
・いいえ
頻度
半年ごと、毎年
計算式
リスク管理で処理され所属長に承認されている所見の数／所見の総数
データの出所
アプリケーションやシステムにおける全情報資産、リスク評価のリポジトリ、
アクションプラン、マイルストーン
指標
｢M-1.1.2-A 情報資産の定期的なリスクの見直し率｣、｢M-1.1.2-B 環境変化が
生じた時のリスクの見直し率｣のメトリックスによりリスク評価の頻度をモ
ニタしますが、このメトリックスでは、リスク管理における完結された所見
の数をモニタします。したがって、このメトリックスの目標は、発見された
全リスクに対して 100 パーセントの割合でリスク管理において処置されるべ
きです。情報システムは安全に使えるためのリソースを確保します。
またこれらを管理することにより、リスクを発見した際の対応策の優先順位
付けができ、しかも計画上にマイルストンを設定することもできます。
情報セキュリ 2.1.3.2 管理者の代表を集めた委員会では、情報セキュリティのための個別の
ティ監査基準方法及び手順（例えば、リスクアセスメント、セキュリティの分類体系）へ
との関連
の同意を得ること
SSE-CMM の PA03 セキュリティリスクを評価する
プロセス能力と PA07 セキュリティリスクの調整
の関連
10
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント:
〔質問 1 および 2 はリスク管理の手順について、見直しを行うのに役に立ちます。これらの質問
を通して、複雑で込み入ったリスクマネージメント・プロセスに対して、必要な入力を特定でき
ます。質問 5 は、承認記録を確かめることにより、メトリクスの信頼性が確認できます。正式な
記録として残っていない時は所見から漏れているので、管理者とのレビューの時に説明し、リス
クを決定します。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
海外調査によるヒアリング：
｢このメトリクスを測定する前提として、リスク評価のプロセスとして“承認の手順”が確立し
ていなければなりません。｣
11
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-1.2.2-A ビジネス特性からの情報資産に対する被害（インパクト）分
析の検討率
（追加）
目標
1.2 職員のシステムリスクに対する理解度や、リスク管理能力に応じて許容
可能なリスク水準を決定していますか？
詳細目標
1.2.2 影響(Impcat)分析は、ビジネス特性やミッションに基づいています
か？
定量的尺度
影響分析における検討課題がビジネス特性やミッションに応じて検討され
ている情報資産の割合（％）
尺度の目的
ビジネス特性やミッションに応じて、適切にリスク分析が行われていること
を測定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
________
2. リスク評価の過程で、経営者側から意見の取り込みや、もしくはリスク
評価チームの中に経営者サイドの担当者が含まれていますか？
3. リスク評価において認識された情報資産の数は、いくつですか？
________
4. これらの情報資産に対して、ビジネス特性や組織のミッションをベース
に影響分析が行われた情報資産の数はいくつありますか？
________
頻度
半年ごと、毎年
計算式
インパクト分析の時にビジネス特性やミッションに応じて検討された情報
資産の数／情報資産の総数
データの出所
リスク評価のリポジトリ、経営者サイドからのインタービュー資料
指標
この指標は１００％を目標にします。影響分析はさまざなステークホルダー
の視点から検討を行われねればなりません。また、本メトリクスでは、それ
ら視点の中から業務特性やミッションに応じて、影響分析が行われているこ
とを測定します。
情報セキュリテ 2.1.4 個々の資産の保護に対する責任及び特定のセキュリティ手続の実施に
ィ監査基準との対する責任を、明確に定めること
関連
8.1.1.6 セキュリティ要求事項及び管理策には、関係する情報資産の業務上の
価値が反映されること
SSE-CMM の PA02 被害を評価する
プロセス能力と
12
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
の関連
コメント:
質問４において情報資産として認識すべきファイルの計上単位（カウントの単位）数は、リスク
評価を行う上での資産の区分に準じます。また、可能であればインパクト分析が十分に行われて
いる組織では、以下の計算式を適用すると良い。即ち、資産や影響の程度を金額換算を行いの
金額ベースでインパクト分析が適切に行われている割合を求める。
計算式＝インパクト分析において被害を受ける資産の額／想定される情報資産の総額
この場合の目標値は、値が小さければ小さいほど良いが、現実的には情報資産の総額を金額換算
することは難しい。
海外調査によるヒアリング：
｢米国政府から BIA とういうビジネスインパクト分析が示されています。これを参考にすると良
いでしょう。｣
また、別の計算式として“インパクト分析の時にビジネス特性やミッションに応じて検討された
情報資産の金額／情報資産の金額全体”という計算式を海外の識者に示したところ、｢上記の計
算式よりは、有用である｣とコメントを頂きました。
13
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-2.1.4 セキュリティテストの実施率
目標
2.1 システムおよびシステム間のセキュリティコントロールをレビューしま
したか？
詳細目標
2.1.4 重要なネットワーク機器の試験を行いましたか？例えば、ネットワーク
スキャン、ペネトレーション・テスト、ルータ、スイッチなど
定量的尺度
これまでにセキュリティコントロールがテストされ評価されているシステム
の割合（％）
尺度の目的
システムセキュリティのコントロールテストに対する要求からその遵守度を
測定すること
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. もし、はいである場合、あなたの組織にはどれだけのネットワーク機器が
ありますか？
_________
3. これまでにネットワーク機器のセキュリティのコントロールテストは、ど
の程度行いましたか？
_________
4. これまでにどのようなセキュリティコントロールの評価テストしました
か？
・自動ツール(例えば、パスワード・クラッキング)_____
・ペネトレーション・テスト_____
・セキュリティ評価試験______
・システム監査______
・リスク評価_______
・その他(その内容を記述)_____
5. 質問４において、どれだけの頻度でテストを行っていますか？(各システム
のテスト実施時期について、最も近い期間を選んでください。)
・３ヶ月を経過_____
・６ヶ月を経過_____
・12 ヶ月を経過 _____
6. これらのテストは、全て結果と内容が記録されていますか？
・はい
・いいえ
頻度
毎年
計算式
セキュリティコントロールテストを実施したネットワーク機器の数（質問３）
／ネットワーク機器の総数（質問２）
データの出所
経理部、監査、 C&A データベース、自動ツール。
14
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
指標
値は増加し 100％と等しくなるかもしくはほぼその値に近づけてください。
全体として一度はそれらが提案され、セキュリティコントロールがテストさ
れることは重要です。環境が変わるとセキュリティのコントロール設定も変
える必要があるかもしれません。日常的に試験、評価され、常に現在の環境
に適合するようにコントロールの設定は、維持されなければなりません。
情報セキュリ 8.4.2 試験データを保護し、管理すること
ティ監査基準 8.5.2.2 年間支援計画及び予算には、オペレーティングシステムの変更の結果
との関連
として必要となるレビュー及びシステム試験を必ず含めるようにすること
SSE-CMM の BP.08.04 セキュリティ保護措置を監視する
プロセス能力 PA11 セキュリティを検証し妥当性を確認する
との関連
コメント:
NIST SP-80055 の計算式では、システムの総数に対するセキュリティコントロールの実施率を
計算しています。但し、詳細目標では“ネットワーク機器”を対象にしているので、それに対す
る割合を測定するように変更しました。
〔このメトリクスは、セキュリティ・コントロールが各システムに関してテストされるかどうか
を見極めます。これらのデータは監査証跡、あるいは直接システムから求めることができます。
データの妥当性は、利用できるデータソースにおける記録の信頼性に依存します。質問 6 はテス
トの正式な記録があるかを聞いています。質問 4 は、有効性についての検討します。質問 5 は、
テストを実施してきて、実在するテストの頻度毎にその有効性を決めます。ポリシーとしてのシ
ステムテストのタイプ、およびテストの頻度が正しいかどうかの検証では、組織方針や、結果の
データベースからトレースできるべきです。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
15
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-2.2.1 弱点発見から解決までの平均所要日数
目標
2.2 マネージメントによって確立された是正措置はありますか？また、その
改善活動は効果的ですか？
詳細目標
2.2.1 改善活動が有効に機能する為に、重大な弱みは速やかに報告される仕組
みはありますか？
定量的尺度
脆弱性や弱さを発見してから、対策が取られるまでの平均時間。
尺度の目的
重大なシステム上の弱点を発見し是正措置が取られるまでのプロセスの有効
性を評価します
実装の証拠
1. 弱点の発見および改善策のトラッキングする仕組みがありますか？
・はい
・いいえ
2. 報告期間内にあがってきた全ての弱点の数は、いくつですか？（解決済み、
未解決の両方を数える。
）
・弱点の数：_____件
３. システムの弱点に関わる報告期間はどのくらいですか？（全ての弱点につ
いてそれを発見し、対策を立てて完了させたまのでの日数です）
・所要日数：30 日 _____ 件
・所要日数：60 日 _____ 件
・所要日数：90 日_____ 件
・所要日数：180 日 _____ 件
・所要日数：12 月_____ 件
・未解決：_____件
頻度
四半期ごと、半年ごと、毎年
計算式
Σ （所要日数 × 件数）／
全解決済み・弱点数
もしくは、
全弱点の解決日数の総和
／
解決済みの弱点の数
データの出所
アクションプラン、マイルストーン、トラッキング・システム
指標
改善活動は、この時間を目標に行います。結果はこの目標と比較されるべき
です。弱点に対して、改善措置が取られるまでの時間はより短い時間となる
ように、管理されなければなりません。要員の経験や公式なの改善措置プロ
セスの制度化により、より効果的に対応できるようになります。但し、いく
つかの是正措置は対応が取られるまでには、さらに長い期間を要するかもし
れません。
情報セキュリテ 4.3.1 セキュリティ事件・事故は、適切な連絡経路を通して、できるだけ速や
ィ監査基準とのかに報告すること
関連
16
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.08.06 セキュリティのインシデントへの対応を管理する
プロセス能力と
の関連
コメント:
〔このメトリクスは、弱点の是正措置を決定付けます。このデータは、監査証跡や計画上のマイ
ルストンの中で報告されるリスク評価のリポジトリから集められるに違いありません。そのデー
タの有効性は、弱点の発見や解決時における記録の信頼性に依存します。データソースが無けれ
ば、現実的な期間内で是正措置を実現させることは困難でしょう。ベースラインは、固有の期間
が決定される前にパイロットテストから求められます。さらに新しいインシデントが起きた時に、
それに対する是正措置の解決期間を追加していくべきです。質問 3 はよくある弱点の是正処置期
間を識別するために使用されます。たとえ例外的に是正措置期間が長くなるものがあっても(そ
れは平均に影響を及ぼすだろう)、平均的な弱点に対する是正処置期間を求める為の目安を提供
することができます。さらにこのメトリクスは、弱点のタイプ毎の平均的な是正措置期間から、
それを発展させてそれ以外の弱点に対する是正措置期間が求められるだろう。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
海外調査によるヒアリング：
｢データの収集の鍵は、脆弱性についてきちんと“報告する手順”が確立していてるか否かにかか
っています。｣
17
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-3.1.1-A ライフサイクル計画における機密度設定
（追加）
目標
3.1 システム開発ライフサイクル(SDLC)方法論は確立されていますか。
詳細目標
3.1.1 システム開発ライフサイクルを計画するにあたって、機密度を予め決め
ていますか？
定量的尺度
開発時に機密度を決定しているシステムの割合（％）
尺度の目的
開発を進めるにあたって、機密度を決定しているシステムの割合を決定する
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
_________
2. 文書化された SDLC を持っていますか。
・はい
・いいえ
3. SDLC を計画するにあたって、予め機密度の区分を明確に決めましたか？
・はい
・いいえ
4. 開発時に機密度の割り当てを行っているシステムの数は？
__________
頻度
毎年
計算式
開発時に機密度を割り当てているシステムの数／システムの総数
データの出所
セキュリティプラン
指標
このメトリクスは、値が大きくなるようにします。システムに対する一貫性
を保った機密度を割り当てる為に、ＳＤＬＣの計画から時点から機密度の割
当を決定します。このメトリクスを通して、組織におけるシステム全体で一
貫性の保った密度の割当てが行われているのか否かを測定します。
情報セキュリテ 2.1.4 個々の資産の保護に対する責任及び特定のセキュリティ手続の実施に
ィ監査基準との対する責任を、明確に定めること
関連
3.1.1 情報システムそれぞれに関連づけて重要な資産について目録を作成し、
維持すること
3.2.1 情報の分類及び関連する保護管理策では、情報を共有又は制限する業務
上の必要、及びこのような必要から起こる業務上の影響（例えば、情報への
認可されていないアクセス又は情報の損傷）を考慮に入れること
SSE-CMM の PA02 影響を診断する
プロセス能力と
の関連
コメント:
セキュリティ対策を講じる上で、重要なのが一貫性の確保です。その為には、システム開発ライ
18
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
フサイクルを計画する時点から、機密度区分を決定しておきます。また、システム開発ライフサ
イクルの中で決定すべき“機密度”とは、｢情報資産に対する機密度｣と｢システムの重要度｣の２
つがあります。質問３は、機密度の区分が明確に示されていることを聞いています。もし、機密
度の区分が明確に示されていなければ、直ちに機密度区分を定めなければなりません。また、質
問４ではその機密度の割当ての実施状況について聞いています。
19
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-3.1.2 システムライフサイクルにしたがって開発時にセキュリティ投
資が行われている割合
目標
3.1 システム開発ライフ・サイクル(SDLC)方法論は確立されていますか。
詳細目標
3.1.2 十分にシステムを安全にすることに必要な要件が文書化されています
か？
3.1.3 セキュリティ対策に必要なリソースは、財務面から検討されています
か？
定量的尺度
システム全体のコストに対するセキュリティコントロールに掛かるコストの
比率
尺度の目的
開発予算全体が要求しているセキュリティを組み込む際のコストがシステム
開発ライフサイクルの中に含まれているシステムの割合を測定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
_________
2. 文書化された SDLC を持っていますか。
・はい
・いいえ
3. 上記の質問において、もし“いいえ”であった場合、それは何故？
・必要性を感じていない？
・財源が無い？
・他に優先事項がある？
・その他(指定する)___________________
4. SDLC は、セキュリティコストを追跡できますか?
・はい
・いいえ
5. 必要に応じて SDLC にそって各段階でセキュリティコストを組み込でんい
ますか？
・はい
・いいえ
6. SDLC にしたがってセキュリティ投資を行っているシステムの数は、どの
くらいですか？
_________
頻度
毎年
計算式
SDLC にそってセキュリティ投資を行っているシステムの数／システムの総
数
データの出所
開発予算データ、セキュリティプラン
指標
このメトリック用のゴールは上昇傾向を示すことです。値が大きいというこ
とは、ライフ・サイクル(それはシステム開発のための理想的な状態である)
中に各システムにセキュリティ資源が分配されることを示しています。
20
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
情報セキュリ 2.1.2.1 運営委員会は、適切な責任及び資源配分によって、組織内におけるセ
ティ監査基準キュリティを促進すること
との関連
SSE-CMM の BP.10.07 セキュリティにおいて同意を得る
プロセス能力 PA20 システムエンジニアリング環境を管理する
との関連
コメント:
〔質問 2 で「ない」と答えたことが、組織においての開発工程において SDLC が無いと断言でき
るのかについて、十分な情報提供を答えなければならないだろう。質問 2、4 および 5 で組織が
適合していることは、このメトリクスに対してプラスに作用する。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
海外調査によるヒアリング：
｢ＳＤＬＣにそってセキュリティ投資を行っていることをカウントする為には、それなりのプロ
セスの成熟度が求められます。プロセスの成熟度としては反復可能であり、このメトリクスに対
するデータ収集が出来なければなりません。｣
21
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-3.1.10-A 調達前にセキュリティテストが行われた実施率
（追加）
目標
3.1 システム開発ライフ・サイクル(SDLC)方法論は確立されていますか？
詳細目標
3.1.10 調達する前に評価および試験を実施し、適切なセキュリティコントロ
ールを行っていますか？
定量的尺度
調達する資材において予め評価やテストを実施している割合（％）。
尺度の目的
セキュリティコントロールの一環として、調達前の資材を評価している程度
を決定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
_________
2. ポリシーとして、資材の調達について文書化された規定がありますか？
・はい
・いいえ
3. 評価期間中に、どの程度の資材を調達しましたか？
______________ 件
4. 調達した資材の中で、受け入れ評価試験を実施すべき数はどのくらいあり
ましたか？
______________ 件
5. 調達前に評価テスト手順が確立している数は、どのくらいありますか?
_________ 件
頻度
毎年
計算式
評価テスト手順が確立している数（質問５）／評価試験対象の数（質問４）
データの出所
セキュリティポリシー、購買リスト、受け入れ試験成績書。
指標
このメトリクスのゴールは上昇傾向を示すことです。また、評価内容やテス
ト項目が妥当である場合、このメトリクスの値が大きくなればなるとほ、資
材を導入時のセキュリティリスクが軽減されることを意味します。
情報セキュリテ 2.1.5 新しい情報処理設備に対する経営者による認可手続を確立すること
ィ監査基準との 8.5.4.3 評価された製品を用いること
関連
SSE-CMM の PA11 セキュリティを検証し妥当性を確認する
プロセス能力と
の関連
コメント:
ソフトウェアやハードウエアの導入においては、予め定められた基準にしたがって資材の評価や
テストを行う必要があります。但し、調達基準の中で除外項目として明記されているのであれば、
22
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
その資材に限り評価試験を行う必要はありません。また、資材の調達にあたっては２段階に分け
て評価を行います。まず始めに商品カタログデータを取り寄せ、機能要件や性能要件を見極めま
す。次いで、導入するシステムの環境下で性能や機能の充足度を評価します。
海外調査によるヒアリング：
上記のメトリクスは、コメントを受けて修正済み。
修正前の質問５：それらのうち評価やテストを行ったのは、どのくらいありますか?
修正後の質問５：調達前に評価テスト手順が確立している数は、どのくらいありますか?
23
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-3.1.10-B システム管理者のコモンクライテリアの認識率
（追加）
目標
3.1 システム開発ライフ・サイクル(SDLC)方法論は確立されていますか？
詳細目標
3.1.10 調達する前に評価および試験を実施し、適切なセキュリティコントロ
ールを行っていますか？
定量的尺度
資材の調達において、システム管理者がコモンクライテリア（ISO/IEC15408、
JIS X5070）認証のことを理解し、それをセキュリティ対策に役立てている
システムのる割合（％）
尺度の目的
システム管理者のセキュリティに対しする理解の程度をを決定すること。
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
________
2. システム管理の中で、モンクライテリア（ISO/IEC15408、JIS X5070）
認証のことを理解していない管理者はいますか？
・はい
・いいえ
3. もし、“いいえ”の場合は、それは何故でしょうか？（複数選択可）
・財源不足
・時間が無い。
・勉強する為の適当なコースが受講範囲内（遠くて会場まで通えない）にな
い。
・必要性を感じていない。
・その他(具体的に)______________
4. システム管理者がコモンクライテリア（ISO/IEC15408、JIS X5070）認
証のことを理解しているシステムはいくつありますか？
________
頻度
毎年
計算式
システム管理者がコモンクライテリア（ISO/IEC15408、JIS X5070）認証の
ことを理解しているシステムの数（質問４）／システムの総数
データの出所
セミナー報告書
指標
このメトリクス値は、なるべく大きな値を取るように改善を進めてください。
システム管理にとって、セキュリティに関わる基礎的な知識は必須です。も
し、このメトリクス値が小さい場合はシステム管理者に対する教育プログラ
ムの見直しが必要になるかもしれません。
情報セキュリ 2.1.5 新しい情報処理設備に対する経営者による認可手続を確立すること
ティ監査基準 2.1.7 行政機関、規制機関、情報サービス提供者及び通信事業者との適切な関
との関連
係を維持すること
8.1.1.5 適切であれば、管理者は、独立に評価され、認定された製品の利用を
24
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
考えること
SSE-CMM の PA06 セキュリティの論拠を確立する
プロセス能力 PA11 セキュリティを検証し妥当性を確認する
との関連
コメント：
質問２では、コモンクライテリア（ISO/IEC15408、JIS X5070）認証のことを聞いています。
システムを管理し、運用する立場の要員としてセキュリティについての知識は求められます。こ
のメトリクスの測定により、あまり低い値となった場合は、システム管理者に対する再教育やセ
ミナーへの受講を検討するひつようがあります。
25
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-3.2.2-A 変更管理における試験結果の文書化率
（追加）
目標
3.2 計画が進みテストの最終承認に至るまで、変更は管理されていますか？
詳細目標
3.2.2 試験結果は、ドキュメント化されていますか？
定量的尺度
システム開発において変更が発生した場合のテストの実行結果がドキュメン
ト化されている割合（％）
尺度の目的
システム開発ライフサイクルの全体の視点から変更管理は、文書化され漏れ
なくテストが実施されていることの水準を決定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
_________
2. テストの実施期間に変更が生じた場合は、システム開発ライフサイクルの
手順にしたがって変更手続きがとられていますか？
・はい
・いいえ
3. 上記の質問において、もし“いいえ”であった場合、それは何故？
・必要性を感じていない？
・負担が大きいい？
・他に優先事項がある？
・その他(指定する)___________________
4. 評価期間中に変更が発生したシステムの数は、どれくらいですか？
_________
5. 変更が発生した場合のテストの実施結果が文書されているシステムの数
は、どれくらいですか？
_________
頻度
毎年
計算式
試験結果が文書化されているシステム数（質問５）／評価期間中に変更のあ
ったシステムの総数（質問４）
データの出所
システム開発計画書、テスト実施報告書
指標
この指標は、１００％となるように試験を実施してください。また、このメ
トリクスでは、リグレッションテストの徹底度を計測します。システム開発
における変更作業では、変更の程度やシステムの重要度などから慎重に検討
されます。特にセキュリティに関わる変更では、リグレッションテストを徹
底的に行う必要があります。
情報セキュリテ 8.5.1 情報システムの変更の実施を厳しく管理すること
ィ監査基準との 8.5.2 オペレーティングシステムを変更した場合は、業務用システムをレビュ
関連
ーし、試験すること
26
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.02 セキュリティの構成管理を行う
プロセス能力と
の関連
コメント:
このメトリクスは、試験の実施期間における変更管理の適正性について計測しています。質問２
では、システム開発ライフサイクルの視点から適切に変更管理の手続きがとられていることを聞
いています。特にセキュリティにおいては、この変更管理は大切ですから適切に実施されなけれ
ばなりません。即ち、変更が生じた際は、定められた手順にしたがって関係者への連絡、そして
変更会議の召集、影響の検討、対応方法の協議などを経て、最終ステップとしして試験による動
作確認と進んでいきます。試験結果を文書化することにより、この試験作業が漏れなく適切に行
われていることを検証できます。
27
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-3.2.5 開発後にセキュリティコントロールが変更された後の再承認率
目標
3.2 システムの変更は、最終承認までのテストを通じて進捗計画に基づいて
管理されていますか？
詳細目標
3.2.5
開発終了後にセキュリティコントロールが加えられたならば、そのセ
キュリティコントロールは試験されシステムは再認証されていますか？
定量的尺度
開発後にセキュリティコントロールが追加・変更されたシステムの内、セキ
ュリティコントロールが再認証されたものの割合（％）
尺度の目的
システム開発後にセキュリティコントロールが追加・変更された場合、シス
テムレビューおよび認証への要求に準拠している程度を計測する
実装の証拠
1. システムの変更は構成管理により、文書化されていますか？
・はい
・いいえ
2. システムの開発後セキュリティコントロールが変更されたシステムはいく
つありますか？
3. システム開発後、セキュリティコントロールが変更され認証されたものは
いくつありますか？
頻度
毎年
計算式
開発後にセキュリティコントロールの変更が認証されたシステムの数／開発
後にセキュリティコントロールの変更が行われたシステム
データの出所
認証・認可追跡システム、構成管理トラッキング
指標
このメトリクスの結果は経時的に増大し、100%に近づくべきである。セキュ
リティコントロールの変更は新たな脆弱性によるリスクに基づくものであ
り、他の関連システムとコントロールに影響する可能性がある。特に変更が
重大であるならば、セキュリティコントロールが正しく機能することを確実
するために、セキュリティ評価試験を行う正規の認証手順に則ってチェック
されるべきである。正規の変更チェックの手順を踏まないと、システム自体
あるいはそのシステムに相互接続するシステムに思わぬ影響が出るかも知れ
ない。
情報セキュリテ 8.5.1 情報システムの変更の実施を厳しく管理すること
ィ監査基準との 8.5.2 オペレーティングシステムを変更した場合は、業務用システムをレビュ
関連
ーし、試験すること
SSE-CMM の BP.01.02 セキュリティの構成管理を行う
プロセス能力と
の関連
28
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント:
〔質問 1 は正規の手順により記録追跡されるシステムへの変更が妥当である事の確認を含んで
いる。正規の追跡手順がなければ本メトリクスの妥当性の確認としては疑わしい。〕
NIST SP 800-55 では、｢データの出所｣としてＣ＆Ａ（Certification and Accreditation）追跡シ
ステムをあげています。
ここでは、“Ｃ＆Ａ” を以下のように訳しました。
・Certification：認証
・Accreditation：認可
解説：
Ｃ＆Ａとは、米国政府が目指している行政上の仕組みです。Certification（認証）は、技術的な
面からの評価であり、評価結果にしたがってシステムに対し“認証”が与えられます。その一方
で、Accreditation（認可）は管理責任面からの評価であり、
“認可”を下すということは政府が
責任を負うことを意味します。その為、米国政府から Accreditation（認可）をもらう為には、
極めて厳格な条件をクリアしなければなりません。また、Ｃ＆Ａは米国政府が進めようとしてい
る制度であり、民間レベルでは実施されておりません。
※〔〕の箇所は、NIST SP 800-55 から引用。
29
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-4.1.8 マシン相互接続時に所属長によって正式に承認されている割合
目標
4.1 システムは認証され、組織で承認されていますか？
詳細目標
4.1.8 他のプログラム、部門、組織、あるいは他の契約先により所有または運
用されているシステムを含むすべてのシステムに対する相互接続は所属長に
より、承認されていますか？
定量的尺度
以下で説明する認証および認可の手順に従って認めらたシステムの割合（％）
尺度の目的
認証および認可の手順に従って認められたシステムの割合を特定する
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. あなたの組織には正式な認証・認可の手順がありますか。
・はい
・いいえ
3. 質問 2 ではいと答えた方、その認証・認可の手順では相互接続するすべて
のシステムに対する認可も要求されていますか。
・はい
・いいえ
4. システムへの相互接続について、文書化されていますか。
・はい
・いいえ
5. システムの資産目録にいくつのシステムが登録されていますか。
6. いくつのシステムで認証・認可を受けていますか。
頻度
四半期ごと、半年ごと、毎年
計算式
所属長により認証・認可を受けたシステム数(質問 6)／システムの総数
データの出所
システム資産目録、認証・認可の記録
指標
このメトリクスでは認証・認可の手順が実際にあるかどうかを調べます。こ
のメトリクスは増大する事が望まれます。目標はすべてのシステムが、認証
され認可されることです。認証し認可するということはシステムへのリスク
を評価し、組織の経営陣がシステムのセキュリティに対する全ての責任を負
うことを示します。
情報セキュリテ 2.2.1 組織の情報処理施設への第三者のアクセスに関連づけてリスクを評価
ィ監査基準とのし、適切な管理策を実施すること
関連
2.2.2 組織の情報処理施設への第三者アクセスにかかわる取決めは、正式な契
約に基づくこと
2.3.1 情報システム、ネットワーク及び/又はデスクトップ環境についての、
マネジメント及び統制の全部又は一部を外部委託する組織のセキュリティ要
求事項は、当事者間で合意される契約書に記述すること
30
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.02 セキュリティの構成管理を行う
プロセス能力と PA07 セキュリティリスクの調整
の関連
コメント:
〔本メトリクスが実装されている根拠は、システム資産の記録を管理する者に対して調査するか、
あるいはシステム資産と文書がデータベースに収められているかどうか質問して聞き出さなく
てはならない。質問 3 と 4 は以下の理由で含まれている。もし組織の他のシステムに対して起
こり得るインパクトをすべて視野に入れて評価するとすれば、認証と認可の手順(C&A)の中で
他のシステムとの接続をレビューするということが肝要である。
他のシステムとの相互接続については認証・認可の手順(C&A)によりシステムを評価するために
必要な情報のトレーサビリティと説明責任を確立するために文書化されるべきである。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
31
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-4.2.1 正式な認証を受けていないシステムの稼働率
目標
4.2 正式な手続きを受けていない(受けていても暫定承認)で運用されているシ
ステムはありますか？
詳細目標
4.2.1 未認可の状況を改善するために、迅速な対応を取っていますか？
定量的尺度
暫定承認下で運用されているシステムの割合（％）
尺度の目的
適切なセキュリティレベルで運用するためには変更を必要とする未認可のシ
ステムに起こり得るリスクの程度を定量化する
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. 質問１ではいと答えた場合、組織(あるいは部門)にいくつのシステムがあ
りますか。
3. 未認証のシステムはいくつありますか。
4. 暫定承認下で運用されているシステムは、いくつありますか。
5. 本調査の期間内に暫定承認下で運用されているシステムに対していくつの
是正措置が認識されましたか？
6. 本調査の期間内に暫定承認下で運用されているシステムに対していくつの
是正措置が取られましたか？
7. この６ヶ月以内で是正措置が取られていない暫定承認下で運用されている
システムについて認証の遅れの理由を選んでください。(当てはまるものすべ
て)
・資金不足
・人員不足
・必要なコンポーネントの入荷待ち
・優先順位待ち
・承認権限者のレビュー待ち
・内部承認待ち
・その他(詳細を記す)
頻度
四半期毎、半期毎、毎年
計算式
暫定承認下で運用されているシステム数／システムの総数
データの出所
セキュリティプログラムマネージャ、認証記録、コンピュータセキュリティ
計画、変更管理手順
指標
このメトリクスは減少傾向を取るべきであり、暫定承認下で運用されるシス
テムの割合は０％となる事が目標です。暫定承認されたシステム数が増え未
承認で運用されている期間が長くなるほど、システムが承認を受けることで
解決しなければならない大きなセキュリティリスクに曝されることになりま
32
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
す。
情報セキュリテ 2.1.5 新しい情報処理設備に対する経営者による認可手続を確立すること
ィ監査基準との
関連
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と
の関連
コメント:
〔質問１と質問３は、メトリクスの他の質問に答えるための情報が揃っているか確認するために
含まれています。質問５と質問６によって暫定承認の期間にシステムの不完全さを迅速に是正す
るために,
調整するように管理されていることを確かめます。このことから承認・認可の実施状況を知る事
ができます。質問７では完全な認可を得るために必要な変更が行われる迄の遅れの原因を特定す
るために含まれます。遅れの原因が判明すれば、適切な是正活動を指示することが可能となりま
す。〕
質問７は、定量化指標としては使用されませんが、是正活動には重要な情報です。
※〔〕の箇所は、NIST SP 800-55 から引用。
33
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-5.1.1 システムセキュリティ計画の所属長による承認率
目標
5.1 システムの接続境界でのセキュリティコントロールができない場合、シス
テムとそのシステムが相互接続したシステムについてセキュリティ計画は文
書化されていますか？
詳細目標
5.1.1 システムセキュリティ計画は所属長、ならびに影響を受ける関係者によ
って承認されていますか？
定量的尺度
システムセキュリティ計画が所属長、ならびに影響を受ける関係者により、
承認されたシステムの割合（％）
尺度の目的
システムセキュリティ計画が、達成度や要求に対する準拠性を含めて、どの
程度承認されているかを計測する
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. 質問１ではいと答えた方、組織（あるいは適用する部門）にはいくつのシ
ステムがありますか？
3. システムセキュリティ計画が作成完了しているシステムはいくつあります
か？
4. 所属長により、承認されたセキュリティ計画はいくつありますか。
頻度
毎年
計算式
所属長により認可・承認されたセキュリティ計画の数／セキュリティ計画の
総数
データの出所
セキュリティ計画書
指標
このメトリクスの目標は 100%です。100%に近づくべく増大する事が期待さ
れます。システムセキュリティ計画を完全に明確にし、その中でシステム計
画のためのコントロールを記述すると共に行うべきことのルールを記すべき
です。システムセキュリティ計画が所属長により承認されたということは、
システムセキュリティを達成するために、個々に必要な要件が満たされてい
る事を意味します。
情報セキュリテ 2.1.2 運営委員会は、適切な責任分担及び十分な資源配分によって、セキュリ
ィ監査基準とのティを促進すること
関連
2.1.3 大きな組織では、情報セキュリティの管理策の実施を調整するために、
組織の関連部門からの管理者の代表を集めた委員会を設置すること
34
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.01 セキュリティ責任体制を確立する
プロセス能力と PA16 技術開発計画を作成する
の関連
コメント:
〔質問４はシステムセキュリティ計画が完全に受け容れられていることの確認です。またこの質
問により、承認されているシステムセキュリティ計画の数が米国では NIST SP 800-18 で要求さ
れているシステムセキュリティ計画の数を上回っている場合、トレーニング不足を指摘できま
す。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
35
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-5.2.1 システムセキュリティ計画の定期見直し率
目標
5.2 セキュリティ計画は最新の状況を反映していますか？
詳細目標
5.2.1 セキュリティ計画は一定期間毎にレビューされ、最新の状況やリスク情
報を反映して調整されていますか？
定量的尺度
システムセキュリティ計画が作成されてからの期間の平均
尺度の目的
システムセキュリティ計画が定期的にレビューされ必要に応じてアップデー
トされていることを確認すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
2. システムセキュリティ計画はいくつ作成されましたか。
3. 本報告の期間内に、以下の各期間内でレビューされたシステムセキュリテ
ィ計画はそれぞれいくつありますか。
・過去６ヶ月以内
・６∼１２ヶ月以前
・１∼２年以前
4. 本報告の期間内に、以下の各時間枠内でアップデートされたシステムセキ
ュリティ計画はそれぞれいくつありますか。
・過去６ヶ月以内
・６∼１２ヶ月
・１∼２年
頻度
半年毎、毎年
計算式
一定期間内にアップデートされているシステムセキュリティ計画(質問４) ／
すべてのシステムセキュリティ計画(質問２)
データの出所
すべての主要なアプリケーションと一般的なサポートシステムを含めた IT
システムの資産目録、NIST SP 800-26、SSE-CMM などによる自己評価およ
び日本でのそれに該当する評価手法、システムドキュメント
指標
システムセキュリティ計画のレビューとアップデートを年一回行う、といっ
た目標となる期間の設定が各組織毎に行われるべきです。期間設定されてい
る計画を合計し、システムセキュリティ計画の総数で割って算出し、その結
果は１００％になるべきです。目標が一定の期間枠内に達成されないとして
も、１００％に向けて増大するべきです。メトリクス 5.1.1 の情報を収集すれ
ば、完了しているシステムセキュリティ計画の妥当性は確かめられます。
情報セキュリテ 1.1.2 基本方針には、定められた見直し手続に従って基本方針の維持及び見直
ィ監査基準とのしに責任をもつ者が存在すること
関連
2.1.2 運営委員会は、適切な責任分担及び十分な資源配分によって、セキュリ
ティを促進すること
36
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
2.1.3 大きな組織では、情報セキュリティの管理策の実施を調整するために、
組織の関連部門からの管理者の代表を集めた委員会を設置すること
SSE-CMM の PA01 セキュリティ機構を管理する
プロセス能力と PA18 組織のシステムエンジニアリングプロセスを改善する
の関連
コメント:
〔NIST 800-26 などによる自己評価の回答から、本メトリクスで必要とされる情報は得られます。
自己評価によりあなたとあなたが質問する人の負担を軽減してから、メトリクスデータを得るこ
とが望まれます。しかし、このメトリクスの有効性を最大限にするためには組織において設定し
た期間が(定期的に)何をもたらすかを明確にするという目標を設けるのが一番です。NIST
800-26 などによる自己評価を通じて補足的な調査を行って収集する情報を減らしてもいいでし
ょう。正規の主要なドキュメンテーション追跡記録システムはセキュリティ計画の更新や承認が
行われている状況を判定するのに有用です。そのような(ドキュメンテーション追跡)システムが
また本メトリクスを算出するための一つの手段であり、妥当性を確認するための最新のドキュメ
ントの保存を可能にします。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
37
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-6.1.3 責任・権限が適切に複数の人に分離されているシステムの割合
目標
6.1 職責の権限を最低限にし、各個人の説明責任を明確にするために分離さ
れていますか？
詳細目標
6.1.3 重要な権限は複数の個人に分権されていますか？
定量的尺度
要求される権限が分割されているシステムの割合（％）
尺度の目的
要求される権限が分割されている水準を計測すること
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. 質問１がはいの場合、組織(あるいは適用される部門)にはいくつのシステ
ムがありますか？
3. それらのシステムの内、権限を最低限に制限し、各個人の説明責任を明確
にするために権限が分離されているものはいくつありますか？
4. 本要求を満たすために妥当性が確認されたシステムはいくつありますか。
頻度
毎年
計算式
妥当な権限分離が確認されたシステム数(質問４)／権限分離が要求されてい
るシステム数(質問３)
データの出所
セキュリティ計画
指標
本メトリクスの結果は、すべてのシステムで要求される権限が正しく分離さ
れるために１００％に近くなるべきです。本メトリクスの値が低いというこ
とは権限分離を要求される業務を複数の人が行えるという高いリスクに曝さ
れている事を示しています。
情報セキュリテ 6.1.4 情報若しくはサービスの無認可の変更又は誤用の可能性を小さくする
ィ監査基準とのために、ある種の職務若しくは責任領域の管理又は実行の分離を考慮するこ
関連
と
SSE-CMM の BP.01.01 セキュリティ責任体制を確立する
プロセス能力と
の関連
コメント:
〔質問１と２は本メトリクスを適用する前提となります。組織にあるシステム数が分からなけ
れば権限分離の有無も実施も評価出来ません。メトリクス算出の為の入力値である質問３では
権限分離がセキュリティ計画の中に正しく文書化されているかどうかも判定しています。〕
38
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
※〔〕の箇所は、NIST SP 800-55 から引用。
39
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-6.1.8-A 無効アカウントの残存率
（追加）
目標
6.1 業務の分離は、責任を明確にし、最少の権限となるようにしていますか？
詳細目標
6.1.8 ユーザアカウントの発行、抹消手順は確立していますか？
定量的尺度
無効なユーザアカウントが残っている割合（％）
尺度の目的
アカウントは組織への配属と共に速やかに与え、そして役割を終えたものに
対しては直ちに抹消していることを確認する。
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
_________
2. これらのシステムにおいて、アカウントの付与手順、および抹消手順が明
確にされていますか？
・はい
・いいえ
3. 上記の質問において、もし“いいえ”であった場合、それは何故ですか？
・場当たり的なアカント管理になっているが、これまでに特に問題は起きて
いないからそのままにしている？
・必要性は感じているが、組織としてのアカウント管理手順を確立しようと
いう機運がない？
・その他(指定する)___________________
4. 全システムで割り当てられているユーザアカウントは、いくつあります
か？
_________
5. これらのユーザアカウントについて、現在使用されていない無用なユーザ
アカウントはいくつありますか？
_________
頻度
毎年
計算式
無効なアカウントとして残っている数（質問５）／全ユーザアカウント数（質
問４）
データの出所
システム管理者への質問、ユーザアカントの管理ディレクトリへの問合せ
指標
このメトリクスは目標値は、０％です。各システムのアカウントは、要員の
異動に伴って速やかに生成し、削除しなければなりません。但し、業務の特
性によっては、異動後のアカウントは残しておいた方が良いこともあります。
よって、これらの業務特性を踏まれて役割を終えたアカントについてのみ、
速やかに削除してください。
情報セキュリテ 7.2.1.13 利用者登録手続において、職務を変更した利用者、又は組織から離
ィ監査基準とのれた利用者のアクセス権を直ちに取り消すこと
関連
7.2.1.14 利用者登録手続において、もはや必要のない利用者 ID 及びアカウン
40
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
トがないか定期的に検査し、あれば削除すること
SSE-CMM の BP.01.01 セキュリティ責任体制を確立する
プロセス能力と
の関連
コメント:
ユーザアカウントの発行手順に万が一漏があった場合は、当事者からの連絡ですぐに気が付きま
す。その一方で、ユーザアカウントの抹消手順ではそのまま放置されていたとしても、気が付き
にくいものです。セキュリティ上、必要の無いアカウントを放置したままの状態にしておくこと
は、極めて危険です。このメトリクスの計測を行うことにより、積極的に無効なユーザアカウン
トを抹消してください。
41
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-6.2.1 機密データ操作要員の選考・訓練の実施率
目標
6.2 割り当てる役職に対する適切な選考・訓練は、アクセスを許可する前に完
了していますか？
詳細目標
6.2.1 個々の要員に対して、技術上あるいは運用上のコントロールをバイパス
させる権限を与える時には、それを承認する前及び承認後においても、定期
的に要員の選考を行っていますか？
定量的尺度
システムへの特別なアクセス権を持つ人の内、選考・訓練が行われている人
の割合（％）
尺度の目的
システムのハイレベルなアクセス権限与える要員の中で、アクセス権を与え
る前に選考・訓練が行われている割合を計測すること
実装の証拠
1. システムやネットワーク全般に特別なアクセス権を持つ(例えば重要な技
術上あるいは運用上のコントロールを経ない)人の選考・訓練の状況を確認す
るための記録は保存されていますか。
・はい
・いいえ
2. システムに対して特別なアクセス権を持つ(例えば重要な技術上あるいは
運用上のコントロールがバイパス出来る)人は何人いますか。
3. システムに対して特別なアクセスを行う事ができる人の内、選考・訓練が
行われたのは何人ですか。
頻度
半年ごと、毎年
計算式
選考・訓練が済んでいる要員数／システムに対して特別なアクセス権を持た
せる要員数
データの出所
個人情報データベース
指標
本メトリクスの目標は１００%です。高いレベルのアクセス権限を持っている
が選考・訓練が行われている人の割合が低いと言う事は、最も起こりがちな
内部要員によるセキュリティインシデントリスクが大きい事を示していま
す。
情報セキュリテ 4.1.2 常勤職員を採用するときは、提出された応募資料の内容を検査すること
ィ監査基準との 4.1.3 従業員は、雇用条件の一部として、機密保持契約書又は守秘義務契約書
関連
に署名すること
4.1.4 雇用条件には、情報セキュリティに対する従業員の責任について記述し
てあること
6.1.1 セキュリティ個別方針によって明確化した操作手順は、文書化して維持
していくこと
42
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.01 セキュリティ責任体制を確立する
プロセス能力と PA21 最新のスキル・知識を提供する
の関連
コメント:
〔本メトリクスを求めるための情報の信頼性は、ユーザ権限と素姓調査を保管する信頼性の高
い追跡記録メカニズムの確立に依存しています。本メトリクスの追加的な情報は、最新の情報に
基づいてアクセスレベルを評価されることを保証するために「システム特権所有者」が経歴調査
を受ける頻度を調べることで得られる。〕
注意：日本において要員調査を行う場合は、プライバシー保護の問題等があるので慎重に行うべ
きである。
※〔〕の箇所は、NIST SP 800-55 から引用。
43
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-6.2.3-A アクセスコントロールの評価の実施率
（追加）
目標
6.2 アクセス権限を与える前に、選考・訓練を適切に行って要員割当を完成さ
せていますか？
詳細目標
6.2.3 コントロールが不十分であり、十分に情報資産が保護できない時には、
要員の選考・訓練を行っていますか？
定量的尺度
アクセスコントロールの有効性を適切に把握している割合（％）
尺度の目的
アクセスコントロールの有効性ができている割合を決定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
_________
2. 個々のシステムにおいて、アクセスコントロールの有効性が検証され、ア
クセルコントロールの機能上の制限やその限界を把握していますか？
・はい
・いいえ
3. 上記の質問において、もし“いいえ”であった場合、それは何故？
・必要性を感じていない？
・アクセスコントロールの有効性を評価するだけのスキルが無い？
・他に優先事項がある？
・その他(指定する)___________________
4. アクセスコントロールの有効性が評価されているシステムの数はどれくら
いですか？
_________
頻度
毎年
計算式
アクセスコントロールの有効性が評価されているシステムの数／システムの
総数
データの出所
リスク評価のリポジトリー
指標
この指標は、１００％を目標にします。特にアクセスコントロールの有効性
を把握しておくことは重要です。もし弱みを見つけたならば、情報資産の機
密度に応じて、その対応策を講じます。
情報セキュリテ 7.1.1 アクセス制御についての業務上の要求事項を定義し、文書化すること
ィ監査基準との 7.7.1 例外事項、その他のセキュリティに関連した事象を記録した監査記録を
関連
作成して、将来の調査及びアクセス制御の監視を補うために、合意された期
間保存すること
7.7.3 監視の結果は、定期的に見直すこと
44
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.01 セキュリティ責任体制を確立する
プロセス能力と PA08 セキュリティ体制を監視する
の関連
コメント:
このメトリクスは、
「M-6.2.3-B アクセスコントロールが不十分である時に、要員の選別でしっか
りと対応している割合｣で測定を行う前に、本メトリクスで評価を行います。
45
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-6.2.3-B アクセスコントロールが不十分である時に、要員の選別でし
っかりと対応している割合
（追加）
目標
6.2 アクセス権限を与える前に、選考・訓練を適切に行って要員割当を完成さ
せていますか？
詳細目標
6.2.3 コントロールが不十分であり、十分に情報資産が保護できない時には、
要員の選考・訓練を行っていますか？
定量的尺度
アクセスコントロールが不十分であるシステムに対して、その弱みをカバー
すべく要員に対して、選考・訓練を行っているシステムの割合（％）
尺度の目的
アクセスコントロールと要員の選考の相乗効果により、機密データが保護さ
れている程度を決定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
_________
2. アクセスコントロールの有効性の検証の結果、アクセルコントロールが不
備であるシステムがありましたか？
・はい
・いいえ
3. 上記の質問において、もし“はい”である場合要員の選考により、対応策
を講じているシステムの数はどれくらいですか？
_________
頻度
毎年
計算式
要員の選考を行っているシステムの数／アクセスコントロールが不備である
と判断されるシステムの総数
データの出所
リスク評価のリポジトリー
指標
本来であれば、全てのシステムにおいてアクセスコントロールが十分である
と判断されることが最も良い状態です。もしそのように理想的な状態であれ
ば、この尺度による測定は行いません。しかしながら、少しでもアクセスコ
ントロールに不備があるのであれば、要員の選考・訓練を行います。したが
って、その場合のメトリクスの目標値は１００％となります。
情報セキュリテ 4.1.2 常勤職員を採用するときは、提出された応募資料の内容を検査すること
ィ監査基準との 4.1.3 従業員は、雇用条件の一部として、機密保持契約書又は守秘義務契約書
関連
に署名すること
4.1.4 雇用条件には、情報セキュリティに対する従業員の責任について記述し
てあること
46
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.01 セキュリティ責任体制を確立する
プロセス能力と PA21 最新のスキル・知識を提供する
の関連
コメント:
このメトリクスは、他のメトリクスとは少し様相が異なるます。その理由として、本メトリクス
の測定では「アクセスコントロールが不十分である場合」という条件付きだからです。その為、
アクセスコントロールの完成度が高く、どのような操作に対しても未然にセキュリティ破壊から
守れるというのであれば、このメトリクスの適用は必要ありません。
47
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-7.1.3 記憶媒体の貸し出し管理実施率
目標
7.1 物理的な損害あるいは損害をもたらすアクセスのリスクに応じて、十分
な物理セキュリティのコントロールは行われていますか？
詳細目標
7.1.3 保管されているテープやその他のストレージメディアの貸し出しや返
却は管理者により承認され、記録されていますか？
定量的尺度
承認されたユーザにのみアクセスが制限されており、テープやその他のスト
レージメディアの利用や返却が記録されている情報システムライブラリの割
合（％）
尺度の目的
テープやその他のストレージメディアに蓄積されたデータに対して、組織に
よって行われているコントロールのレベルを決定すること
実装の証拠
1. あなたの組織にはいくつのメディア保管庫が有りますか。
2. 記録の中でストレージメディアの貸し出しや返却の理由の分かるものは何
件有りますか。
3. アクセスコントロール一覧に載っている人に貸し出されたストレージメデ
ィアはどれくらいありますか。
ストレージメディアの貸し出しが記録されている保管庫はいくつあります
か。
頻度
半年毎、毎年
計算式
貸し出しと返却が記録されている保管庫の数／保管庫の総数
データの出所
ストレージメディア保管庫の記録、システム保管庫、セキュリティ管理者
指標
このメトリクスの目標は１００％です。この値が低いという事は、データス
トレージメディアのコントロール不足に起因したデータ損失のセキュリティ
インシデントが発生するリスクが潜在することを示します。
情報セキュリテ 6.6.1 コンピュータの取外し可能な付属媒体(例えば、テープ、ディスク、カ
ィ監査基準とのセット)及び印刷された文書の管理手順があること
関連
（関連する項目として）6.7.2 配送されるコンピュータ媒体を、認可されてい
ないアクセス、誤用又は破損から保護すること
SSE-CMM の PA01 セキュリティ機構を管理する
プロセス能力と PA03 セキュリティリスクを診断する
の関連
PA08 セキュリティ体制を監視する
PA09 セキュリティインプットを提供する
48
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント :
〔利用されるデータストレージメディアの数を確かめる（質問２）、あるいは適切な人のみがメ
ディアの保管庫にアクセス可能とし、かつメディアの所在を記録する（質問３）ことにより、テ
ープやメディアの貸し出しの際のコントロールは機能します。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
49
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-7.2.1-A モニタ画面の盗み見対策の実施率
（追加）
目標
7.2. データの物理的な漏洩から保護されていますか？
詳細目標
7.2.1 部外者からモニタ画面が覗かれないように配置が考慮されています
か？
定量的尺度
モニタ画面からのデータの覗き見が配慮されている割合（％）
尺度の目的
モニタ画面の配置状況を通して、組織におけるデータ漏洩による配慮の程度
を決定すること
実装の証拠
1. あなたの組織（もしくは部門）では,現在使われているモニタ画面は何台あ
りますか？
_________台
2. 入退出管理などにより部外者がモニタ画面が覗けない場所へ設定されてい
る画面は、何台ありますか？
_________台
3. 部外者でも入出可能な場所に設定されているモニタ画面のうち、覗き見対
策が講じられているモニタは何台ありますか？
_________台
頻度
毎年
計算式
モニタ画面に対して覗き見対策の講じられている台数（質問２＋質問３）／
機密情報を表示しているモニタ画面の総数（質問１）
データの出所
固定資産台帳、マシン設備の見取り図、作業場所への査察
指標
この指標は１００％を目標とします。特に部外者による入退出の多い場所で
は、覗き見される可能も高くなりますので注意を要します。
情報セキュリテ 5.3.1 組織は、通常の勤務時間内及び時間外の情報への許可されていないアク
ィ監査基準とのセス、情報の消失及び損傷のリスクを軽減するために、書類及び取外し可能
関連
な記憶媒体に対するクリアデスク方針の適用、並びに情報処理設備に対する
クリアスクリーン方針の適用を考慮すること
7.3.1.9 すべての利用者に、自動ログオン処理にパスワードを含めないように
助言すること
7.3.2 無人運転の装置の利用者は無人運転の装置が適切な保護対策を備えて
いることを確実にすること
7.8.1 ノート型コンピュータ、パームトップコンピュータ、ラップトップコン
ピュータ及び携帯電話のような移動型計算処理の設備を用いるとき、業務情
報のセキュリティが危険にさらされないような防御を確実にするために、特
別な注意を払うこと
50
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
7.8.2.12 遠隔作業の認可の際には、住環境を共有する者（例えば、家族、友
達）からの情報又は資源への認可されていないアクセスの脅威を考慮するこ
と
SSE-CMM の BP.09.06 運用上のセキュリティガイダンスを提供する
プロセス能力と
の関連
コメント:
さまざまな局面において、操作画面が見に入ってことはよくあります。リスク評価でも、モニタ
画面の情報漏洩は検討課題ですが、一般の作業者でも日頃から問題意識を持って積極的に対応し
てください。
海外調査によるヒアリング：
｢メトリクスから得られる情報に対して、データ収集の労力が大き過ぎます。｣
51
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-7.2.2 通信施設の収容所に対する入退室管理の実施率
目標
7.2. データは傍受・妨害から保護されていますか？
詳細目標
7.2.2 データの通信経路に対する物理アクセスはコントロールされています
か？
定量的尺度
施設内にあって、管理者により承認されたユーザだけが物理アクセス出来る
ように制限しているデータ通信装置の割合（％）
尺度の目的
組織でデータ通信装置がどの程度の物理アクセスコントロールで運用されて
いるかを決定すること
実装の証拠
1. 組織にはいくつのデータ通信回線を持つ部屋がありますか。
2. すべての入室ポイントで物理的なアクセス制限を行っている、データ通信
回線を持つ部屋はいくつありますか。
3. 以下にあげた物理的アクセス制限を行っているデータ通信回線を持つ部屋
はそれぞれいくつ有りますか。
・施錠な可能な扉
・キーカード/暗号カードによる制限
・パスワード/キーパッド
・バイオメトリクス
・その他（内容）
4. データ通信回線を持つ部屋へのアクセスを管理者により承認された人の一
覧がありますか。
・はい
・いいえ
5. 保守あるいは社員に同行する未承認者によるアクセスが必要な場合、書面
による届出は必要ですか。
・はい
・いいえ
頻度
半年ごと、毎年
計算式
すべての入室ポイントで物理的アクセス制限を行っているデータ通信施設の
数（質問２）／すべての通信施設の数（質問１）
データの出所
施設セキュリティ管理者
指標
このメトリクスの目標は１００％です。この値が低いという事は、通信施設
のアクセスコントロール欠如に起因するセキュリティインシデントのリスク
が多く潜在する事を意味します。通信施設を正しく保護するために、すべて
の入室ポイントは制限されなくてはなりません。
52
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
情報セキュリテ 5.1.2 認可された者だけにアクセスを許すことを確実にするために、適切な入
ィ監査基準との退管理策によってセキュリティの保たれた領域を保護すること
関連
SSE-CMM の PA01 セキュリティ機構を管理する
プロセス能力と PA03 セキュリティリスクを評価する
の関連
PA08 セキュリティ体制を監視する
PA09 セキュリティインプットを提供する
コメント:
〔質問３は用いられている物理制限の強度を決定するために含まれています。他の質問では、複
数の物理的制限メカニズムを施された通信施設の数を確定します。質問４と５では物理的アクセ
スのためのアクセス制限リスト及びアクセス承認者が伴う未承認者すべてに必要なポリシー/手
続きが存在し、徹底されている事を確認します。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
53
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-7.2-A モニタ画面、机の上が整理されている割合（クリアデスク）
（追加）
目標
7.2. データの物理的な漏洩から保護されていますか？
詳細目標
7.2-A 各従業員の机の上が整理、整頓されていますか？（クリアデスク）
定量的尺度
机の上が整理、整頓されている従業員の割合（％）
尺度の目的
机上、作業場所、モニタ画面に機密データや業務データなどが放置されてい
ない（画面では表示されていない）割合を決定すること
実装の証拠
1. あなたの組織には、いくつの部署がありますか？
_________
2. クリアデスクポリシー（※コメントを参照）が設定されていますか？
・はい
・いいえ
3. 組織内の部署において、クリアデスクポリシーの啓発活動をしているか、
もしくは既に実施している部署の数は、いくつありますか？
_________
頻度
毎年
計算式
クリアデスクポリシーの啓発、実施をしている部署の数（質問３）／部署の
総数（質問１）
データの出所
各部署への質問
指標
この指標はなるべく高い値を目指します。
情報セキュリテ 5.3.1 組織は、通常の勤務時間内及び時間外の情報への許可されていないアク
ィ監査基準とのセス、情報の消失及び損傷のリスクを軽減するために、書類及び取外し可能
関連
な記憶媒体に対するクリアデスク方針の適用、並びに情報処理設備に対する
クリアスクリーン方針の適用を考慮すること
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と BP.09.06 運用上のセキュリティガイダンスを提供する
の関連
PA03 セキュリティリスクを診断する
PA08 セキュリティ体制を監視する
コメント:
クリアデスクポリシーとは、作業中、席を外した時、帰宅した時に机の上、作業場所、モニタ画
面上に、書類、データなどを放置したまま（画面の場合は表示したまま）にしないことを指しま
す。このメトリクスの測定価値は、机の上に何も置かないという結果を評価するよりは、もしろ
各従業員に対するセキュリティの意識の程度を測定しているという価値の方が、大きいといえま
す。
54
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-7.3.1 モバイル機器の機密データの暗号化率
目標
7.3 モバイルあるいは持ち運び可能なシステムのセキュリティは守られてい
ますか。
詳細目標
7.3.1 すべての持ち運び可能なシステム上にある重要なデータファイルは暗
号化されていますか。
定量的尺度
重要なファイルを暗号化する機能を有している携帯機器（ノートパソコン、
リムーバブル記憶装置）の割合（％）
尺度の目的
組織で、持ち運び可能なシステムに保存された重要な情報へのアクセスをコ
ントロールしているレベルを決定すること
実装の証拠
1. 組織内に、ポータブルコンピュータは何台ありますか。
2. 組織内に、リムーバブル記憶装置は何台ありますか。
3. 質問１、質問２において、機密データを扱う携帯機器（ポータブルコンピ
ュータ、リムーバブル記憶装置）の数は何台ありますか？
4. 機密データを扱う携帯機器上で、重要なデータを暗号化する機能を有する
ものは何台ありますか。
5. ポータブルコンピュータ上で重要なデータファイルを暗号化する事をユ
ーザに要求するポリシーはありますか。
・はい
・いいえ
6. 重要なデータは必ず暗号化された形式で保存されることを確実にするた
めにポータブルコンピュータ、リムーバブル記憶装置の利用者へのレビュー
は定期的に行われていますか。
・はい
・いいえ
7. すべてのポータブルコンピュータ、リムーバブル記憶装置の利用者は暗号
化ソフトウェアの使用についてトレーニングを受けていますか。
・はい
・いいえ
8. どの程度の頻度で重要なファイルを暗号化する事をユーザに呼びかけま
すか。
・毎月
・３ヶ月毎
・半年毎
・毎年
・呼びかけない
・その他（詳しく）
55
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
頻度
四半期ごと、半年ごと、毎年
計算式
暗号化機能を持つ携帯機器の台数（質問４）／機密データを扱う携帯機器の
台数（質問３）
データの出所
固定資産の管理者、システムの資産目録、ソフトウェアの資産目録、セキュ
リティ管理者、設定管理用チェックリスト
指標
本メトリクスの目標は１００％です。この値が低いと、ポータブルコンピュ
ータ上で暗号化を行わないことに起因するデータ損失の潜在的なリスクが増
大します。ファイル暗号化のためのシステムのレビュー（質問６）により一
定レベルの暗号化が行われ、ユーザがセキュリティコントロールを行うこと
を確実にするために有益です。重要なファイルを的確に示す事は難しく、正
確な数は指摘できないかも知れません。
情報セキュリテ 7.8.1.2 移動型計算処理設備に対する個別方針には、物理的保護、アクセス制
ィ監査基準との御、暗号技術、バックアップ及びウイルス対策についての要求事項などを含
関連
めること
SSE-CMM の PA01 セキュリティ機構を管理する
プロセス能力と PA03 セキュリティリスクを診断する
の関連
PA08 セキュリティ体制を監視する
PA09 セキュリティインプットを提供する
コメント:
〔質問３ではセキュリティ上重要なファイルの暗号化を要求しているかどうかを決定します。文
書で要求されていなければ、ポータブルコンピュータに暗号化機能を持たせている事は望めませ
ん。加えて、多くの人がポータブルコンピュータ上での暗号化機能の利用方法を理解していない
と思われます。質問５と６では暗号化ソフトウェアを持っているユーザが実際にそれを使用する
見込みを判定します。〕
NIST SP 800-55 では、暗号化すべき機器としてノート型コンピュータを想定していますが、こ
こではディスクトップパソコンなどにも接続可能なリムーバブル記憶装置（携帯型ＨＤＤ、ＭＯ、
ＵＳＢメモリ等）も、その暗号化の対象としました。
※〔〕の箇所は、NIST SP 800-55 から引用。
56
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-7.3.2-A モバイル機器の持ち出し管理実施率
（追加）
目標
7.3 モバイルあるいは持ち運び可能なシステムのセキュリティは守られてい
ますか？
詳細目標
7.3.2 モバイル機器は、安全に保管されていますか？
定量的尺度
モバイル機器が、適切に持ち出し管理されている割合（％）
尺度の目的
モバイル機器が簡単には持ち出されないように管理されている割合を決定す
ること
実装の証拠
1. あなたの組織（もしくは部門）には、何台のもモバイル機器がありますか？
_________ 台
2. ポリシーとして、モバイル機器の管理が示されていますか？
・はい
・いいえ
3. 機密度の程度に応じて、適切な退席時において机の上が整理、整頓されて
いる従業員は何人いますか？
_________人
頻度
毎年
計算式
機密度に応じて、適切に持ち出し管理されているモバイル機器の台数／モバ
イル機器の総数
データの出所
モバイル機器の管理台帳、セキュリティポリシー、リスク評価のリポジトリ
指標
この指標は、１００％を目標にします。なお、持ち出し管理の程度は、ポリ
シーにしたがって、データの機密度、およびモバイル機器自体の資産価値に
応じて、適切に実施してください。
情報セキュリテ 7.8.1 ノート型コンピュータ、パームトップコンピュータ、ラップトップコン
ィ監査基準とのピュータ及び携帯電話のような移動型計算処理の設備を用いるとき、業務情
関連
報のセキュリティが危険にさらされないような防御を確実にするために、特
別な注意を払うこと
SSE-CMM の PA01 セキュリティ機構を管理する
プロセス能力と PA03 セキュリティリスクを診断する
の関連
PA08 セキュリティ体制を監視する
PA09 セキュリティインプットを提供する
コメント:
NIST の SP800-26 では、モバイル機器の対象としてノート型パソコンなどのシステムを指して
いるものと思われますが、ここでは対象範囲を広げました。
57
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
最近のモバイル機器は、ノート型パソコンを始めとし、PDA、リムーバブルハードディスク、各
種記憶媒体等、多岐に渡ります。モバイル機器の管理台帳によって適正に管理している機器につ
いては良いのですが、例えば安易にフロッピーディスクなどにデータをコピーし、机の上に放置
したままだとセキュリティリスクが新たに発生します。
海外調査によるヒアリング：
｢メトリクスから得られる情報に対して、データ収集の労力が大き過ぎます。｣
58
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-8.1.1 未解決問題に対するヘルプデスクからのサポート率
目標
8.1 ユーサザポートがありますか？
詳細目標
8.1.1 アドバイスを申し出るヘルプデスクあるいはヘルプグループがありま
すか？
定量的尺度
解決したユーザーサポートの案件の割合（％）
尺度の目的
ユーザーサポートの水準と解決すべき案件に対するユーザーサポートの有効
性を決定する事
実装の証拠
1. システムの機能とセキュリティコントロールに関する問題を解決するた
めに直接に利用できるユーザーサポートの主要な手段は何ですか？
・ヘルプディスク
・ネットワーク管理者
・セキュリティ管理者
・その他（具体的に）____________
2. 支援を受けられる時間帯はいつですか？
・24 時間対応
・平日の営業時間のみ
・平日の営業時間に加え、週末及び夜間の一部時間帯
3. 問合せを追跡記録していますか？
・はい
・いいえ
4. 現在の報告期間中に組織で決められている報告先へ通知した問題件数お
よび障害件数は何件ですか？____________件
5. 現在の報告期間中にヘルプデスクが解決した問題および障害は何件です
か？
____________件
6. コンピュータのセキュリティ支援を必要としたとき、誰に連絡しますか？
・ヘルプデスク
・システム若しくはネットワーク管理者
・誰もいない
・同僚やマネージャ
頻度
半年ごと、毎年
計算式
ヘルプデスクにより解決した案件数（質問５）／通知された課題の総数（質
問４）
データの出所
利用者のアンケート調査
指標
このメントリックスは、ユーザーサポート要員を必要とし、このグループに
より報告された案件や扱われた案件の追跡記録を必要とします。
解決した案件の割合は１００％へと増大すべきです。その解決率は、サポー
ト要員が案件を解決し、組織内のシステム状態を把握する事で減少したリス
59
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
クの量を反映しています。
ユーザーがヘルプディスクから支援を頻繁に得ているならば、調査により、
どんなタイプの支援が求めらているかを確定し、そしてこの領域でのトレー
ニングを目標にするように導かれるべきです。
支援が他から頻繁に求められる場合、ユーザーサポートならびヘルプディス
クの能力（ユーザーサポートがあるか、あればどの程度十分に機能している
かどうかという事）のレビューは完了すべきです。
情報セキュリテ 1.1.1.10 基本方針文書には、セキュリティ教育の要求事項を含めること
ィ監査基準との 2.1.6 専門家による情報セキュリティの助言を内部又は外部の助言者から求
関連
め、組織全体を調整すること
SSE-CMM の BP.07.03 調整を容易にする
プロセス能力と PA21 最新のスキル・知識を提供する
の関連
コメント:
〔このメトリックスは、どんなタイプの支援が必要とされるのか、ユーザーが支援を求めるとき
に、なぜ他のものから一部のリソースを選ぶのか、などを計測できるように拡張することができ
ます。可能な理由としては、技術的により適格であること、より利用しやすいことによります。
質問２は、ユーザーサポートの有効性を分類します。利用できるサポートを少なくすればするほ
ど、解決できないセキュリティインシデントや誤った設定をより起こりやすくします。
質問６は、実際に使用されるユーザーサポートための主要な方法がどの程度かを評価します。
主要な方法が使用されなければ、その理由が確定されるべきです（例えば、現在の主要なユーザ
ーサポートの方法論の弱さ、提供された情報の信頼性の不足、案件を解決できないこと、手順の
理解不足など）。
案件解決を提供するユーザーサポートの効果や、解決するのに時間のかかり、ユーザーサポート
要員のトレーニングを必要とするかもしれない問題などのタイプを評価するために追加質問を作
成できます。
〕
※〔〕の箇所は、NIST SP 800-55 から引用。
60
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-8.2.5-A 文書、および電子文書における機密度の設定の遵守率
（追加）
目標
8.2 データ媒体の管理がされていますか？
詳細目標
8.2.5 機密度に応じて媒体の外部にラベルを貼ったり、もしくはデータの内部
にも機密度を書き込んでいますか？
定量的尺度
記憶媒体に対して、機密度を設定している割合（％）
尺度の目的
機密管理の実施体制として、各記憶媒体に機密度ラベルが明記されている割
合を決定すること
実装の証拠
1. ポリシーとして記憶媒体に設定すべきデータの機密度区分は明記されてい
ますか？
・はい
・いいえ
2. 組織（もしくは部門）に対して、扱われている記憶媒体はいくつあります
か？
_____個
3. これらの記憶媒体のうち、外側に対して機密度ラベルが貼られている媒体
はいくつありますか？
_____個
4. これらの記憶媒体のうち、データの記録として機密度区分が書き込まれて
いる媒体はいくつありますか？
_____個
5. 質問３と質問４の重複を除いて、機密度の設定をしている記憶媒体はいく
つありますか？
_____個
頻度
毎年
計算式
機密度設定をしている記憶媒体の数（質問５）／記憶媒体の総数（質問２）
データの出所
セキュリティポリシー、保管庫に対する管理帳簿、媒体の調査
指標
このメトリクスは、１００％を目標とします。ポリシーにしたがって、機密
度区分のラベルの貼付を漏れなく実施しているということは、機密管理体制
の評価にもつながります。
情報セキュリテ 6.6.1 コンピュータの取外し可能な付属媒体(例えば、テープ、ディスク、カ
ィ監査基準とのセット)及び印刷された文書の管理手順があること
関連
6.6.2 媒体が不要となった場合は、安全、かつ、確実に処分すること
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と
の関連
61
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント:
このメトリクスではラベルを貼る、もしくはデータの中に機密度区分を書き込むという手続きの
遵守度をみることにより、組織における機密度管理の徹底ぶりを評価します。
海外調査によるヒアリング：
｢メトリクスから得られる情報に対して、データ収集の労力が大き過ぎます。｣
62
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-8.2.8 記憶媒体を廃棄、再利用する時の完全消去率
目標
8.2 データ媒体の管理がされていますか？
詳細目標
8.2.8 データ媒体は再利用の際に消去されていますか？
定量的尺度
破棄前や再利用の前に消去したデータ媒体の割合（％）
尺度の目的
データ媒体の管理が組織全体、組織内の個々の部署で要求されたように実行
されているかどうか、データ媒体の初期化で機密データの復元リスクが減少
させらるかどうかを決める事
実装の証拠
1. データ媒体が破棄されるか再利用される前に消去するためのポリシーがり
ますか？
・はい
・いいえ
2. 破棄、若しくは再利用のために提出されたデータ媒体の数
_____件
3. 破棄若しくは再利用のために提出されたデータ媒体の中で消去されたデー
タ媒体の数
_____件
4. 全てのデータ媒体が破棄若しくは再利用される前に消去されない場合に
は、その理由をすべてチェックして下さい。
・必要性を感じていない
・消去要員がいない
・消去指示がない
頻度
毎年
計算式
完全に消去されたデータ媒体の数／再利用、破棄用に提出されたデータ媒体
の数
データの出所
正式なメトリックスの情報を集めるには、調査によりデータ媒体の消去に責
任のある人々に指導される必要があります。記録はデータ媒体の管理ログか
若しくは周辺機器のログに残っているかもしれません。
指標
目標は、再利用や破棄の前にデータ媒体の消去を 100 パーセントすることで
す。消去なしでは、情報に権限なくアクセスしデータ媒体からその一部を取
り出せるかもしれません。このリスクは消去の手順を通すことで減少させら
れます。
情報セキュリテ 6.6.1 コンピュータの取外し可能な付属媒体(例えば、テープ、ディスク、カ
ィ監査基準とのセット)及び印刷された文書の管理手順があること
関連
6.6.2 媒体が不要となった場合は、安全、かつ、確実に処分すること
63
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と
の関連
コメント:
〔質問１は、要員にデータ媒体を消去する指示するポリシーがあるかどうかを確定することを含
んでいます。データ媒体やハードディスクが再利用や破棄前に消去されなければ、質問２と質問
３の回答から説明が得られます。問４に対する回答により、データ媒体が破棄される前に消去さ
れないのは何故かを確定します。〕
CD-R、DVD-R などに書き込んだデータは、消去できないので媒体を物理的に破壊します。ここ
では、これも消去したこととします。
※〔〕の箇所は、NIST SP 800-55 から引用。
64
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-9.1.1 バックアップの実施率
目標
9.1 最も重要で影響を受けやすい業務やそれらをサポートするためのコンピ
ュータ資源が特定されていますか？
詳細目標
9.1.1 重要なデータファイル、特定された業務、ファイルのバックアップ頻度
が文書化されていますか？
定量的尺度
重要なファイルや操作をバックアップするための頻度を確定したシステムの
割合（％）
尺度の目的
不十分なバックアップが原因でリスクが表面化する程度を評価する事
実装の証拠
1. 重要な情報資産や業務が特定されていますか？
・はい
・いいえ
・重要な情報資産や業務が無い。
2. 質問１の回答が「いいえ」である場合、なぜですか？
・必要性を感じていない。
・リソース不足
3. バックアップが必要な重要な情報資産の数
______件
4. バックアップの頻度が文書化されている重要な情報資産の数はいくつで
すか？
______件
5. バックアップする事が文書化されていますか？
・はい
・いいえ
6. 情報資産は定期的かつ必要に応じてバックアップされていますか？
・はい
・いいえ
7. バックアップファイルは、バックアップの書き込みが終了した時点で、検
証していますか？
・はい
・いいえ
頻度
毎年
計算式
定期的にバックアップしている重要な情報資産の数／バックアップが必要と
される重要な情報資産の総数
データの出所
リスク評価のリポジトリー
指標
このメトリックスの結果は 100％に到達すべきで、バックアップの必要な全
ての情報資産が決められたバックアップ手順に従ってバックアップされてい
る事を示しています。定期的なバックアップは情報の復旧のための要です。
このメトリックスにとって信頼できる結果を達成するには、バックアップを
必要としている重要な情報資産を特定することがまず必要です（質問１）。そ
の上でシステムを追跡するにはバックアップを記録しなければなりません
（質問５）。
65
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
情報セキュリテ 6.4.1 極めて重要な業務情報及びソフトウェアのバックアップは、定期的に取
ィ監査基準との得し、かつ検査すること
関連
9.1.3 事業継続に対する全般的取組のために、適切なリスクアセスメントに基
づいた戦略計画を立てること
SSE-CMM の PA01 セキュリティ機構を管理する
プロセス能力と PA03 セキュリティリスクを診断する
の関連
PA09 セキュリティインプットを提供する
コメント:
〔質問６は必要とされる頻度でバックアップがされるかを決めます。バックアップ時の間違いに
より、オリジナルデータを劣化させる可能性があります。
質問７はバックアップの質を決めるために尋ねられます。もしデータの完全性がバックアップ中
に保持されなければ、バックアップ元から情報を探しだして来る必要があるときに完全な復旧は
あり得ないでしょうし、バックアップが無駄になります。
〕
※〔〕の箇所は、NIST SP 800-55 から引用。
66
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-9.2.2-A コンティンジェンシープランのリカバリー責任者の任命率
（追加）
目標
9.2 包括的なコンティンジェンシープランが策定され文書化されています
か？
詳細目標
9.2.2 リカバリーについての責任が割り当てられていますか？
定量的尺度
コンティンジェンシープランにおいて、リカバリーの責任が割当てられてい
る割合（％）
尺度の目的
コンティンジェンシープランのリカバリー責任体制から、その実効性を確認
すること
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. 「はい」ならば、どのくらいのシステムが組織内にありますか（あるいは
部署に）？
______台
3. 文書化したコンティンジェンシープランを持つ部署の数はどのくらいで
すか？
______台
4. コンティンジェンシープランの復旧責任を割当てている部署の数はどれ
くらいですか？
______台
頻度
毎年
計算式
コンティンジェンシープランにおいて、リカバリー責任が明確に割当てられ
ている部署の数／コンティンジェンシープランで対象とされる部署の数
データの出所
システムの文書化の追跡記録、コンティンジェンシープラン
指標
このメトリクスは、１００％を目標とします。特に、コンティンジェンシー
プランにおいて、リカバリー責任が明確にされているということは重要です。
もし、責任の所在が曖昧なままコンティンジェンシープランが策定されると、
復旧手続きに漏れが生じる恐れがあります。
情報セキュリテ 6.1.3 セキュリティ事件・事故に対して、迅速、効果的、かつ、整然とした対
ィ監査基準との処を確実に行うことができるように、事件・事故管理の責任及び手順を確立
関連
すること
9.1.4 重要な業務手続の中断又は障害の後、事業運営を維持又は要求される時
間内に復旧させるための計画を立てること
67
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の PA01 セキュリティ機構を管理する
プロセス能力と PA03 セキュリティリスクを診断する
の関連
PA09 セキュリティインプットを提供する
コメント:
コンティンジェンシープランにおいて、責任体制を明確にするということは、極めて重要です。
緊急時にはその責任者の指示の下で、素早く復旧手続きが行われます。また、その一方で責任者
不在では、復旧作業に漏れが生じるなどさまざまな弊害が予想されます。したがって、明確な責
任体制を整備しておく必要があります。また、リカバリー処理は技術的にも難易度が高いことが
多いので、各責任者には十分な教育や訓練を実施しておく必要があります。
海外調査によるヒアリング：
コメントによれば“部署”に対する割合を求めるのではなくて、
“回復責任の総数”に対して、
“回
復責任を割り当てている数”とするのも１つの方法であると提案されています。
68
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-9.3.2-A コンティンジェンシープランの訓練実施率
（追加）
目標
9.3 テストした偶発事故・災害の復旧計画は適切ですか？
詳細目標
9.3.2 従業員は、役割と責任にしたがって訓練されていますか？
定量的尺度
コンティンジェンシープランにしたがって訓練されている従業員の割合（％）
尺度の目的
コンティンジェンシープランの実効性を高めることを目的に訓練が行われて
いる程度を決定すること
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. 「はい」ならば、どのくらいのシステムが組織（あるいは部署）にありま
すか？
______件
3. コンティンジェンシープランの中で、役割と責任が明確に記されています
か？
・はい
・いいえ
4. 「はい」ならば、訓練の対象となる従業員はどのくらいいかすか？
______人
5. 訓練を行った従業員はどのくらいいかすか？
______人
頻度
毎年
計算式
訓練をした従業員の数／訓練を必要とする従業員の数
データの出所
コンティンジェンシープラン用リポジトリ。訓練の実施報告書。
指標
このメトリックスは、１００％を目標にします。この値が低いと、緊急の事
態が発生した時に、コンティンジェンシープランの通りに業務が進行できな
くなるリスクが高まります。
情報セキュリテ 9.1.4.5 事業継続計画の作成過程では、危機管理を含め、合意された緊急時手
ィ監査基準との続及び過程についての、職員の適切な教育を行うこと
関連
9.1.5.9 事業継続計画作成の枠組みでは、事業継続手続を理解させ、手続が継
続して有効であることを確保するために計画される認識及び教育活動につい
て考慮すること
SSE-CMM の BP.08.06 セキュリティのインシデントに対応する
プロセス能力と BP.21.05 社員教育をする
の関連
69
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント:
コンティンジェンプランに基づいて訓練を行うことは、要員の対応能力向上にもつながる一方で、
プランの中で定められた役割と責任体制の有効性の検証にも役に立ちます。訓練を行うことは、
コストの負担が強いられるわけですが、コンティンジェンシープランの有効性の向上を図る為に
も実施すべきです。
コンティンジェンシープランのメトリクスには、本メトリクスの他に｢M-9.2.2-A コンティンジェ
ンシープランのリカバリー責任者の任命率｣があります。また、NIST SP 800-55 にも M-9.2.10｢コ
ンティンジェンシープランを関係者に配布していますか？｣がありましたが、こちらのメトリクス
は削除しました。
70
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-9.3.3 コンティンジェンシープランのテスト実施率
目標
9.3 テストした偶発事故・災害の復旧計画は適切ですか？
詳細目標
9.3.3 計画は定期的にテストされ、適切に再調整されていますか？
定量的尺度
過去にコンティンジェンシープランがテストされた全システムの割合（％）
尺度の目的
過去にテストされたコンティンジェンシープランの数と割合を決める事
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2.「はい」ならば、どのくらいのシステムが組織（あるいは部署）にあります
か？
______件
3. 昨年中にテストされたコンティンジェンシープラン（計画）の数何件です
か？
______件
4. テストの結果が記録されていますか？
・はい
・いいえ
5. テスト後に、コンティンジェンシープラン（計画）への変更が必要なのは
何件でしたか？
______件
6. 変更が完了したのは何件ですか？
______件
7. 変更が行われた後に、コンティンジェンシープラン（計画）が再テストさ
れたのは何件ですか？
______件
8. 変更が行われた後に、影響のある関係者によりコンティンジェンシープラ
ンの見直しが済み、所属長により承認されたのは計画の数は何件ですか？
______件
9. 評価期間中にコンティンジェンシープランのテストを行ったシステムの数
は、いくつですか？
______
頻度
毎年
計算式
コンティンジェンシープランをテストしたシステムの数（質問９）／システ
ムの総数
データの出所
コンティンジェンシープラン用リポジトリ。全てのコンティンジェンシープ
ランは、一つのグループか個人、もしくはシステム管理者により保持される
べきです。コンティンジェンシープランには、テスト結果や改訂を含めるべ
きです。
71
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
指標
このメトリックスが低い値を示すならば、フォローアップや再テスト、コン
ティンジェンシープランの策定、もしくはコンティンジェンシープランが必
要があるのに更新されない領域の分析が必要なシステムを識別します。
情報セキュリテ 9.1.4.6 事業継続計画の作成過程では、計画の試験及び更新を行うこと
ィ監査基準との 9.1.6 事業継続計画が最新の情報を取り入れた効果的なものであることを確
関連
実にするために、定期的に試験すること
SSE-CMM の PA01 セキュリティ機構を管理する
プロセス能力と PA03 セキュリティリスクを診断する
の関連
PA09 セキュリティインプットを提供する
コメント:
〔質問４から８では、コンティンジェンシープランのテスト結果が追跡記録され改訂が行われる
必要に応じて妥当性を確認します。変更に伴なうコンティンジェンシープランの最終的な承認は、
新規手続きと権限が理解されるように、影響のある関係者によるレビューが必要です。この手続
きは、コンティンジェンシープランの実施において将来の成功に役立ちます。
このメトリックのデータソースは、組織内にコンティンジェンシープラン用リポジトリがあるこ
とが前提です。リポジトリがあれば、特定の個人に質問を聞く必要がなくなるかもしれません。
リポジトリがなければ、質問をシステム所有者全員に聞く必要があるでしょう。
〕
※〔〕の箇所は、NIST SP 800-55 から引用。
72
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-10.1.1 外部委託によるシステム保守要員の操作制限の実施率
目標
10.1 システムのソフトウェアとハードウェアへのアクセスが制限されてい
ますか？
詳細目標
10.1.1 誰が保守や修繕活動を行うのかという適切な制約がありますか？
定量的尺度
外部委託によるシステム保守要員の操作制限の実施率（％）
尺度の目的
システム上のデータが漏洩するリスクと未認可のシステム変更が起きる可能
性を制限するめにシステムの保守活動を管理している割合を決定する事
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
________
2. システムのソフトウェアとハードウェアの保守と修繕活動を誰が行なう
かを制限しているシステムはどれくらいですか？
________
3. いくつのシステムが保守活動の履歴を残していますか？
________
4. 保守制約の概要を述べているのはどの文書ですか（該当するもの全てを選
んで下さい）？
・システムのセキュリティープラン
・IT セキュリティポリシー
・システム設定と運用手順
・その他（具体的に）______________________________________
5. あなたの組織では、どのような人がシステムの保守と修繕を行なうことを
許可していますか（該当するもの全てを選んで下さい）？
・社内システムエンジニア
・オンサイトよるソフトウェア若しくはハードウェア外部業者
・リモートよるソフトウェア若しくはハードウェア外部業者
・その他（具体的に）________________________________
6. リモートによる調整で診断手続きや保守が実施される時に、リモート保守
サービスを管理するための手続きがありますか？
・はい
・いいえ
頻度
毎年
計算式
保守要員に対し制約のあるシステム数（質問２）/システムの総数
データの出所
保守記録、システムセキュリティと運用の文書
指標
このメトリックスは、全システムにおいてアクセスする保守要員を制限する
のを保証します。その結果は、完全に遵守されて 100％に近づけるべきです。
保守要員は特別なアクセスやシステムへの権限が許可されます。
保守のためにアクセスする要員の人数と要員のタイプを管理しなければ、シ
73
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
ステムは処理され格納されたデータへの未認可アクセスや未認可のコンポー
ネントの導入に対し、より無防備になります。全システムは、これらリスク
の表面化を軽減するために保守用のアクセスの制約を持つようにしなければ
なりません。
情報セキュリテ 2.3.1.4 外部委託契約書には、慎重な取扱いを要する組織の業務情報への認可
ィ監査基準とのされた利用者によるアクセスを制約及び制限するために、どのような物理的
関連
及び論理的管理策を用いるかを取り扱うこと
SSE-CMM の BP.01.01 セキュリティ責任体制を確立する
プロセス能力と PA08 セキュリティ体制を監視する
の関連
コメント:
〔質問３は、明記された制約がシステム保守要員によるアクセスに関係している記録をとおし
確認できるか、という事を決定するために盛込まれます。履歴は、マシンに保守用にアクセス
権を持つ人の数を示し、その人数は最小に保たれていなければなりません。質問５は、保守業
務のためにシステムにアクセスできる要員のタイプを調べます。質問４は制約が文書化されて
いることを確認します。文書化されていなければ、各システム管理者は管理において影響を受
けそうになく、更に組織内の人員移動により継続性が失われ、この管理の価値を著しく制限し
ます。質問６により、保守活動のためにリモートアクセスが正式に得られるために制約の幅を
広げます。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
74
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-10.2.3 システム変更時の再承認率
目標
10.2 新しく改訂されたハードウェアおよびソフトウェアは、すべて実装する
前に認可され、テストされ、関係者により承認されていますか？
詳細目標
10.2.3 ソフトウェアの変更要求は、文書を用いて要求され関係者により承認
されていますか？
定量的尺度
変更要求書に基づき正式に承認手続きが行われたソフトウェアの変更数。
尺度の目的
ソフトウェアの構成変更が、文書により関係者から承認されている程度を決
める事
実装の証拠
1. システム上のソフトウェア変更を要求し追跡記録し、さらに各変更（例え
ば、変更要求書）に適切な承認を得るための正規の手順がありますか？
・はい
・いいえ
2. 「はい」である場合、どのように変更の承認を文書化していますか？
・変更履歴と承認を追跡記録する自動化されたシステム。
・変更要求書。
・その他（具体的に）____________
3. 報告期間中に発生したソフトウェアの変更と更新の数は、いくつですか？
_____
4. ソフトウェア変更書により変更が承認され、記録されているソフトウェア
の変更数
____
頻度
四半期ごと、半年ごと、毎年
計算式
変更要求書による変更要求が関係者から承認されたソフトウェア変更の数
（質問４）／ソフトウェアの変更の総数（質問３）
データの出所
構成管理データベース、若しくは文書化したソフトウェア変更要求書
指標
メトリックスの目標は１００％です。ソフトウェア変更は、コントロールさ
れた構成管理手順の一部として承認され文書化されるべきです。ソフトウェ
ア変更の正規の承認要求の欠如により、システムに適用すべきセキュリティ
更新とバージョン管理の複雑さが増します。他のシステムとの相互接続性と
相互依存性もネットワーク環境にわたって安全になるように考慮されなけれ
ばなりません。相互接続されたシステム間でのセキュリティインシデントを
軽減させるには、変更はすべて、全環境に適用するように考慮され承認され
なければなりません。
情報セキュリテ 6.1.2 情報処理設備及びシステムの変更について管理すること
ィ監査基準との 8.5.1 情報システムの変更の実施を厳しく管理すること
関連
75
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の PA13 構成管理する
プロセス能力と
の関連
コメント:
〔質問１と２は、ソフトウェア変更の要求と、これらを承認する組織的に文書化を必要とする手
順があることを確認します。〕
セキュリティの管理者にとって、変更管理（構成管理）は極めて重要です。変更要求の審議にあ
たっては、セキュリティの専門家の意見に基づいて審議をします。システム全体から変更に伴っ
て新たな脆弱性が発生しないことを慎重に検討し、調査、テストを行わなければなりません。
※〔〕の箇所は、NIST SP 800-55 から引用。
76
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-10.3.1-A 不要なシステムプログラムの稼動状況の点検率
（追加）
目標
10.3 システムは、脆弱性を軽減するように管理されていますか？
詳細目標
10.3.1 不要なサービスを定期的にレビューし、停止させていますか？
定量的尺度
定期的な不要システムプログラムの稼動状況の点検率（％）
尺度の目的
定期的にシステムの稼動状態を監視し、不要なシステムプログラムが動作し
ていないことを確認すること
実装の証拠
1. システムにおいて、業務に必要なサービスの一覧表を作成していますか？
・はい
・いいえ
2. もし「いいえ」の場合、それは何故ですか？
・財源不足
・スタッフ不足
・人材が不十分
・優先度のより高い他の業務があった。（具体的に）
・その他（具体的に）_________________
3. システムのサービスの稼動状態を定期的にチェックし、不要なサービスを
とめているシステムの数はいくつありますか？
_________________
頻度
毎月
計算式
定期的に不要なシステムプログラムを点検し、停止させているシステムの数
（質問３）／システムの総数
データの出
リスク評価のリポジトリー。サービス一覧表。サービスの定期監視実施報告
所
書
指標
このメトリックスは、１００％を目標とします。不要なサーが動作している
ということは、それだけ潜在的なセキュリティ破壊リスクが高くることを意
味しています。したがって業務上必要としないサービスは、全て停止させな
ければなりません。
情報セキュリ直接対応するものは無し
ティ監査基準（関連する項目として）8.4.1 運用システムでのソフトウェアの実行を管理す
との関連
ること
SSE-CMM の PA01 セキュリティ機構を管理する
プロセス能力 PA03 セキュリティリスクを診断する
との関連
PA08 セキュリティ体制を監視する
PA09 セキュリティインプットを提供する
77
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント：
不要なシステムプログラムが稼動しているということは、システムのパフォーマンスが低下する
だけでなく、セキュリティ面からもリスクを増やします。したがいまして必要でないシステムプ
ログラムは、停止させることが重要です。
78
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-10.3.2-M パッチがインストールされていることの追跡調査率
（変更）
目標
10.3 システムは、脆弱性を軽減するように管理されていますか？
詳細目標
10.3.2-M ソフトウェアのパッチがインストールされていることを追跡調査
していますか？
定量的尺度
パッチのインストール状況を追跡・調査しているシステムの割合（％）
尺度の目的
パッチがインストールされる仕組みが正しく機能していることを確認するこ
と
実装の証拠
1. パッチの必要性について全社員が認識していますか？
・はい
・いいえ
2. パッチがインストールしやすいように、手順書やサポート体制が整備され
ています？
3. パッチが確実に当てられていることをどのように確認していますか？
・セキュリティ監査ツールを使用して、パッチの状況を調査している。
・個別のシステム毎に、手動でパッチのインストール状況を調べる。
・確認する仕組みが整備されている。
・その他（具体的に）_________________
4. パッチのインストール状況を定期的に検討・実施しているシステムは、い
くつありますか？
_________________
頻度
毎年
計算式
パッチのインストール状況を定期に検討・実施しているシステムの数／シス
テムの総数
データの出所
監査証跡、パッチのインストール報告書、セキュリティ監査ツール
指標
このメトリックスは、より高い数値となるようにします。特に脆弱性発見時
には、パッチ当ては速やかにかつ確実に実施されなければなりません。した
がって、このメトリクス値はできるだけ高くなるように作業手順の見直しを
図ってください。もし、この値が低ければ脆弱性に対する潜在的なリスクが
高くなります。但し、パッチを当てる時には、稼動中の業務アプリケーショ
ンの継続性と発見された脆弱性の内容を慎重に比較検討してください。検討
の結果、業務アプリケーションにおける継続性を重視するのであれば、最新
のパッチを当てないケースもあります。
情報セキュリテ 6.1.2 情報処理設備及びシステムの変更について管理すること
ィ監査基準との 8.4.1.7 新版への更新の決定には、その版のセキュリティ、すなわち、新しい
関連
セキュリティ機能の導入又はこの版に影響を及ぼすセキュリティ問題の数及
び危険度を考慮すること
79
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
8.4.1.8 セキュリティ上の欠陥を除去するか又は軽減するのに役立つ場合に
は、ソフトウェアパッチを適用すること
8.5.1 情報システムの変更の実施を厳しく管理すること
SSE-CMM の PA13 構成管理する
プロセス能力と
の関連
コメント:
最新のパッチを適用することにより、発見された脆弱性には対応できます。その一方で、既存の
業務システムにおいては、その影響でシステムが不安定になる、もしくは最悪のケースではダウ
ンするなどの影響も考えられます。また、パッチを当てることにより、それ自身に新たな脆弱性
が含まれているなど、その可能性は多岐に渡ります。したがいましてパッチを適用する時には、
総合的な視点からその適用について評価、検討を行う必要があります。
（業務アプリケーションの
重要度によっては、代替マシンによる事前の評価テストが必要。）
NIST SP 800-55 には、同様のメトリクスとして M-10.3.2 ｢最新パッチがインストールされたシス
テムの割合｣があります。本メトリクスでは少し視点を変えて、インストール後の追跡調査につ
いて評価をしています。
80
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-11.1.1-A ウィルス対策ソフトの最新パターンのダウンロード率
（追加）
目標
11.1 ウイルスの検出と除去のためのソフトウェアがインストールされ、アク
ティブな状態ですか？
詳細目標
11.1.1 ウイルス対策ソフトのパターンファイルを日常業務の一環として、ア
ップデートしていますか？
定量的尺度
ウィルスソフトのパターンファイルを常に最新の状態に維持しているシステ
ムの割合（％）
尺度の目的
コンピュータウィルスに対する保護の程度を決定すること
実装の証拠
1. ウィルス対策ソフトのパターンファイルのアップデート手順について、決
められた手順がありますか？
・はい
・いいえ
2. ウィルス対策ソフトのパターンファイルを、自動でアップデートしている
システムの数はいくつですか？また、手動でアップデートしているシステムの
数はいくつありますか？
・自動でアップデートしているシステムの数__________
・手動でアップデートしているシステムの数__________
3. ウィルス対策ソフトのパターンファイルを決められた期間内で定期的にア
ップデートしているシステムの数はいくつありますか？
・__________
頻度
毎年
計算式
規定の期間内でウィルス対策ソフトのパタンファイルをアップデートしてい
るシステムの数（質問３）／ウィルス対策ソフトウェアを実装しているシステ
ムの総数
データの出所
システム管理者への質問、セキュリティポリシー
指標
このメトリクスは、１００％を目標にします。また、ウィルス対策ソフトのパ
タンファイルは、自動でアップデートする方が忘れることなく、確実に実施さ
れるので、極力自動でアップデートしてください。もし、パタンファイルのア
ップデートを怠った場合は、そのだけ脆弱性に対するリスクが高まります。
情報セキュリテ 6.3.1.4 予防又は定常の作業としてコンピュータ及び媒体を走査するための、
ィ監査基準とのウイルスの検出ソフトウェア及び修復ソフトウェアの導入及び定期更新を考
関連
慮すること
SSE-CMM の BP.08.04 セキュリティ保護措置を監視する
プロセス能力と PA01 セキュリティ機構を管理する
の関連
PA09 セキュリティインプットを提供する
81
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント：
ウィルスのパターンファイルは、常に最新の状態に保っておく必要がります。但し、そのダウン
ロードをすべき間隔は、組織のポリシーにしたがって対応をしてください。また、パターンファ
イルの更新は、手動で行うとどうしても漏れが生じてしまうので、特に問題が生じない限りは極
力自動化する方向で検討をしてください。
82
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-11.1.2 ウィルス対策ソフトの自動スキャン率
目標
11.1 ウイルスの検出と除去のためのソフトウェアがインストールされ、アク
ティブな状態ですか？
詳細目標
11.1.2 ウイルススキャンは自動的に行われますか？
定量的尺度
自動的なウイルススキャンを行っているシステムの割合（％）
尺度の目的
既知のウイルスにより生じるリスクの表面化を評価する事
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. 「はい」ならば、どれくらいのシステムが組織内（若しくは部署）にあり
ますか？
______
3. 全システムでウイルス防護ソフトウェアが使用されていますか？
・はい
・いいえ
4. ウイルススキャンを行なうために次の方法を使用しているシステムはどれ
くらいですか？
自動（オートプロテクトを含む）：______
手動：_______
正規のウィルスをスキャンしていない：_____
5. 自動スキャンが行われていれば、どのような場面でスキャンを行います
か？
・ネットワークへのログイン時に自動スキャン
・クライアントまたはサーバの電源投入時に自動スキャン
・フロッピーディスクの挿入時の自動スキャン
・インターネットのような無防備なデータ源からのダンロードの際に自動スキ
ャン
・一定間隔での自動ネットワークスキャン
・分からない
・その他(具体的に)__________
頻度
半期ごと、毎年
計算式
自動ウィルススキャンを行っているシステムの数（質問４）／システムの総数
データの出所
調査、ネットワーク管理記録
指標
自動ウイルススキャンは、ウイルスチェックが一定の間隔で行われることを保
証します。また、オートプロテクトの場合は、外部とのやり取りが行われる都
度（例：フロッピーディスクの挿入、ファイルのダウンロード時）、自動的に
スキャンされます。このメトリックスの結果が１００％であれば、セキュリテ
ィ実施としては最良です。自動スキャンを使用しているシステム割合が低けれ
ば、ウイルスがあらゆるデータ源からシステムに入り込み、予防力が著しく低
83
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
下し、リスクが非常に増大します。
情報セキュリテ 6.3.1.4 予防又は定常の作業としてコンピュータ及び媒体を走査するための、
ィ監査基準とのウイルスの検出ソフトウェア及び修復ソフトウェアの導入及び定期更新を考
関連
慮すること
SSE-CMM の BP.08.04 セキュリティ保護措置を監視する
プロセス能力と PA01 セキュリティ機構を管理する
の関連
PA09 セキュリティインプットを提供する
コメント:
〔質問５は、自動スキャンが何時起こるかを特定するために自動スキャンの使い方を評価します。
自動スキャンが起こらない場面を特定することで、この質問は解決すべき管理の問題点を示しま
す。自動化されたウイルス更新を使っているシステムの割合がわからなければ、このメトリック
スは確実とはいえません。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
84
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-11.2.3 パスワード設定におけるパスワードポリシーの遵守率
目標
11.2 情報が改変されていないことと、システムが期待通りに動作するための
保証を提供するために、データのインテグリティと妥当性確認の管理が使用
されていますか？
詳細目標
11.2.3 パスワードポリシーの遵守をさせるための適切な手続きがあります
か？
定量的尺度
パスワードポリシーの確認を行っているシステムの割合（％）
尺度の目的
パスワードポリシーを遵守するために、手続きが実施されてるかどうかを決
める事
実装の証拠
1. あなたの組織 ( あるいは部署 ) にどれだけのシステムがありますか？
_______________
2. パスワードポリシーは文書化されていますか？
・はい
・いいえ
3. 「はい」の場合、ポリシー遵守のためにパスワードがチェックされている
システム数は、いくつありますか？
_____________
4. 「はい」ならば、ポリシー遵守のためパスワードをテストするのに、次の
内でどれが使用されますか？
・ポリシー管理ソフトウェアによる自動警告
・ソフトウェアパスワード管理設定による構成管理
・パスワード監査ツール
・対話によるパスワードのレビュー
・その他（具体的に）_______________
5. パスワードがチェックされている場合、どれくらいの頻度で評価されてい
ますか（該当するもの全てをチェックして下さい）？
・作成時
・一週毎
・一月毎
・四半期毎
・その他（具体的に）______________
頻度
半期毎、毎年
計算式
パスワード遵守チェックのあるシステムの数（質問３）／システムの総数
データの出所
調査、リスク評価、ユーザパスワードディレクトに対する問合せ、またはパ
スワードクラックキングツールの記録
指標
このメトリクスの目標は１００％です。まず、強固なパスワードポリシーが
然るべく整っていなければなりません。ポリシーが確立した場合、推測され
やすいパスワードにより起こるインシデントを減少させるために、パスワー
85
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
ドはこれらのポリシーに従わなければなりません。自動化またはマニュアル
により、ポリシーが実施されなければなりません。
情報セキュリテ 7.3.1 利用者は、パスワードの選択及び使用に際して、正しいセキュリティ慣
ィ監査基準との行に従うこと
関連
7.5.4 質のよいパスワードであることを確実にするために、パスワード管理シ
ステムは有効な対話的機能を提供すること
SSE-CMM の PA21 最新のスキル・知識を提供する
プロセス能力と
の関連
コメント:
〔質問４と５は、パスワード遵守をチェックするのに手順が適切であることを確認するために含
められます。手順の種類と使用頻度により、手順の一貫性と信頼性の保証の程度がわかります。
マニュアルによる手順では、ユーザーエラーのリスクがより高くなりますが、自動化された方法
では、より大きな信頼性を持ちます。更に、ポリシーを遵守したパスワードの使用により機密漏
洩のリスクの表面化が減少するので、チェック間隔をより短くすることにより、不適切なパスワ
ードが早期に改善されることを保証します。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
86
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-11.2.5-A 侵入検知ツールの導入率
（追加）
目標
11.2 情報が改変されていないことと、システムが期待通りに動作するための
保証を提供するために、データのインテグリティと妥当性確認の管理が使用
されていますか？
詳細目標
11.2.5 侵入検知ツールは、システムにインストールされていますか？
定量的尺度
侵入検知ツールによって監視されているシステムの割合（％）
尺度の目的
侵入検知ツールによって監視体制を強めている状況からセキュリティ対策の
程度を決定すること
実装の証拠
1. 組織内（若しくは部署）にどのくらいのシステムがありますか？
_______________
2. 侵入検知ツールの有効性について検討したことがありますか？
・はい
・いいえ
3. 侵入検知ツールを導入していますか？
・はい
・いいえ
4. 「いいえ」の場合、それな何故ですか？
・侵入検知ツールの有効性を疑っているから。
・値段が高いから。
・導入するにあたってのスキルが不足しているから。
・侵入検知ツールを導入するほどの機密度の高いデータを扱っていないから。
・その他（具体的に）_______________
5. 侵入検知ツールがインストールされているシステムの数、もしくは侵入検
知ツールの管理下にあって、保護されているシステムの数はいくつあります
か？
______________
頻度
毎年
計算式
侵入検知ツールによって監視管理下にあるシステムの数／システムの総数
データの出所
リスク評価のリポジトリー、
（世の中全般の）脆弱性データベース、ネットワ
ーク構成図
指標
このメトリクス値は、なるべく高くなるようにマシン環境を整備していきま
す。但し、侵入検知ツールの導入においては、コスト面から稼動している業
務の重要性、データの機密度などを勘案し、最適な導入方法を探ります。
情報セキュリテ 7.7.2.12 監視項目には、認可されていないアクセスの試みについて、侵入検
ィ監査基準との知システムからの警告を含めること
関連
87
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.08.04 セキュリティ保護措置を監視する
プロセス能力と
の関連
コメント:
侵入検知ツールは、IDS（Intrusion Detection System）とも呼ばれ、ファイアーウォールと共
に導入されるケースが増えて来ています。導入にあたっては、投資可能金額、適用範囲、パフォ
ーマンス、精度、ネットワーク構成、そして守るべき情報資産の機密度などから総合的に判断を
します。
88
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-12.1.1-A 購入アプリケーションのマニュアルの整備率
（追加）
目標
12.1 ソフトウェアとハードウェアの使用手順が十分にドキュメント化され
ている？
詳細目標
12.1.1 購入したソフトウェアに対してベンダー提供のマニュアルが管理さ
れ、保管されていますか？
定量的尺度
購入したソフトウェアに対する適切に管理されているマニュアルの割合（％）
尺度の目的
購入したソフトウェアが本来の機能を正しく発揮し、セキュリティ上のリス
クを最小限に抑えた状態で運営されている程度を決定すること。
実装の証拠
1. 資産目録の中にいくつの購入したソフトウェアがありますか？
_______________
2. これらのソフトウェアに対して、マニュアルが管理され、規定の保管場所
に保存されているソフトウェアの数は、いくつですか？
_______________
頻度
毎年
計算式
マニュアルが維持管理されている購入ソフトウェアの数／購入したソフトウ
ェアの数
データの出所
ドキュメンテーション・リポジトリ。マニュアルの保管庫。購入ソフトウェ
ア一覧
指標
このメトリクスの目標は 100 パーセントです。購入したソフトウェアのマニ
ュアルは常に維持管理され、そして必要な時には速やかに閲覧できるように
整備されていなければなりません。もし、マニュアルの管理が不十分である
と、誤ったソフトウェアの使い方をしてしまうリスクが高まります。
情報セキュリテ直接対応するものは無し
ィ監査基準との（関連する項目として）6.1.1 セキュリティ個別方針によって明確化した操作
関連
手順は、文書化して維持していくこと
SSE-CMM の BP.09.06 運用上のセキュリティガイダンスを提供する
プロセス能力と PA13 構成管理する
の関連
PA22 供給者と調整する
コメント：
マニュアルは常に維持管理を行い、閲覧の権限者が見たい時にはいつでも見られるように整備し
ましょう。但し、権限者以外に対しては閲覧させてはいけません。
89
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-12.1.3 開発アプリケーションの文書化維持率
目標
12.1 ソフトウェアとハードウェアの使用手順が十分にドキュメント化され
ている？
詳細目標
12.1.3 開発したアプリケーションに対してドキュメント化する手順があり
ますか？
定量的尺度
開発したアプリケーションに対して、その後ドキュメントを維持管理してい
る割合（％）
尺度の目的
システム文書の為の必要とされるドキュメントの水準を測定する。
実装の証拠
1. 資産目録の中にいくつの開発したアプリケーションがありますか？
_______________
2. そのうち、いくつのアプリケーションに対してドキュメントを維持管理し
ていますか？
_______________
頻度
毎年
計算式
ドキュメントを維持管理しているアプリケーションの数／開発したアプリケ
ーションの総数
データの出所
ドキュメンテーション・リポジトリ/データベース
指標
このメトリクスの目標は 100 パーセントです。システム文書が無いか、もし
くは不完全な状態で、組織内でアプリケーションを開発するとリスクが高く
なります。システムに関するドキュメントが無いと最新版への更新やパッチ
当ての作業を怠ることになります。
情報セキュリテ直接対応するものは無し
ィ監査基準との（関連する項目として）6.1.1 セキュリティ個別方針によって明確化した操作
関連
手順は、文書化して維持していくこと
SSE-CMM の BP.09.06 運用上のセキュリティガイダンスを提供する
プロセス能力と PA13 構成管理する
の関連
PA22 供給者と調整する
コメント:
〔このメトリクスを使用して、組織内のある特定のアプリケーションに対してドキュメンテーシ
ョンが出来ているということは、質問を変えることにより他部門での妥当性の検証が出来るとい
うことです。このメトリクスは質問を通して、何故ドキュメンテーションができていないのかの
原因がわかります。(例えば、ドキュメントの所在が分からなくなっている、更新手続きが欠如
している）。組織の実情に合わせて質問を変えることにより、システム文書のドキュメンテーシ
ョンの欠如によるリスクの増大について知ることができます。例えば、アプリケーションマニュ
90
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
アル、システムアーキテクチャ、他システムとの相互接続など。〕
開発ソフトのドキュメントの中には、使用する時の具体的なパラメータ値の設定解説、テクニカ
ルマニュアル、または必要であれば運用マニュアルなども含まれます。
※〔〕の箇所は、NIST SP 800-55 から引用。
91
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-12.2.4 システム毎のリスク評価の文書化維持率
目標
12.2 セキュリティ手順、操作手順がドキュメント化されていますか？
詳細目標
12.2.4 リスク評価報告書がありますか？
定量的尺度
システム毎のリスク評価の文書化維持率（％）
尺度の目的
システムにとってリスク評価を行う為の適切なドキュメンテーションの決定
実装の証拠
1. IT システムの資産目録は、最新の状態に維持されていますか？
・はい
・いいえ
2. リスク評価がドキュメント化されているシステム数はいくつありますか？
_______________
3. リスク評価の中に以下のものが含まれている数は、どれだけですか？
・システム特性 (接続とシステム境界を含んで)_______
・脅威
________
・脆弱性 ________
・リスクレベル ________
・是正手段 ________
頻度
毎年
計算式
ドキュメント化されているリスク評価済みのシステム数（質問２）／システ
ムの総数
データの出所
リスク評価のリポジトリ
指標
このメトリクスの目標は 100 パーセントです。
情報セキュリテ直接対応するものは無し
ィ監査基準との（関連する項目として）2.1.3.2 管理者の代表を集めた委員会では、情報セキ
関連
ュリティのための個別の方法及び手順（例えば、リスクアセスメント、セキ
ュリティの分類体系）への同意を得ること
SSE-CMM の BP.09.06 運用上のセキュリティガイダンスを提供する
プロセス能力と PA03 セキュリティリスクを診断する
の関連
PA13 構成管理する
コメント:
〔質問 4 は、完了したリスクアセスメントに対する確認が含まれています。
リスク評価は、NIST SP 800-30 にしたがって 5 つの要素に対して全て行われなければなりませ
ん。
これらの要素のうち一つでも欠けている場合は、リスク評価が不適当かもしれません。
このメトリクスメトリクス 1.1 およびメトリクス 1.2 によって提供される情報に対して、より一
層深い状況の把握ができます。｣
92
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
※〔〕の箇所は、NIST SP 800-55 から引用。
93
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-13.1.2 セキュリティ要員へのトレーニング実施率
目標
13.1 従業員は、セキュリティの責任を果たすために適切なトレーニングを受
けましたか？
詳細目標
13.1.2 従業員に対する訓練や専門教育は、文書化されモニターされています
か？
定量的尺度
専門トレーニングを受け重要なセキュリティ義務を負った従業員の割合（％）
尺度の目的
組織内の特定のシステムでセキュリティ権限や義務を負った従業員における
専門要員のレベルを評価する
実装の証拠
1. 重要なセキュリティ責任が定義されていますか。適格要件がドキュメント
化されていますか？
・はい
・いいえ
2. 従業員がセキュリティ責任を果たしたことを記録していますか？
・はい
・いいえ
3. 組織には、何人の従業員がいますか（あるいは適用される部門で）？
_______________
4. トレーニングは記録され、維持管理されていますか？
・はい
・いいえ
5. トレーニング計画の中で、専門のトレーニングを受けることが必要である
と述べていますか。？
・はい
・いいえ
6. トレーニング計画に則り必要なトレーニングを受けた、重要なセキュリテ
ィ責任者は、何人いますか？
_______________
7. トレーニングを受けていない人がいるとすれば、それは何故ですか？全て
答えてください。（複数選択可）
・財源不足
・時間が無い。
・コースが用意されていない
・従業員がいない。
・その他(具体的に)______________
頻度
少なくとも毎年
計算式
要求されるトレーニングを受けた従業員数（質問６）／重要なセキュリティ
責任者の従業員数（質問３）
データの出所
従業員のトレーニング記録、コースの受講書
指標
このメトリクスの目標は 100 パーセントです。
従業員が適切なトレーニングを受けなければ、組織は最新の脅威および脆弱
94
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
性に対して無防備である。特定のセキュリティコントロールオプションやツ
ールは急速に変わり、発展しています。継続的なトレーニングは、必要とさ
れるセキュリティ情報の実用性を強化します。このメトリクスは、セキュリ
ティインシデントの数、およびにパッチを当てた脆弱性の数に関連し決定さ
れます。このセキュリティスタッフのトレーニングの数を増加させることは、
インシデントと脆弱性性を縮小させる。
情報セキュリテ 4.2.1 組織の基本方針及び手順について、組織のすべての従業員及び関係する
ィ監査基準とのならば外部利用者を適切に教育し、並びに定期的に更新教育を行うこと
関連
SSE-CMM の BP.01.03 セキュリティへの認識とトレーニングと教育計画を管理する
プロセス能力と PA21 最新のスキル・知識を提供する
の関連
コメント:
〔質問 1 および 2 はこのメトリックのための情報の信頼性を測定するために使用されます。
役割と義務はポリシーの中で定義され、手順、および役割が特定され実行されなければなりませ
ん。質問 4 および 5 は、要員が必要とするすべての専門のトレーニングを識別するのを支援する
ために情報を提供します。十分な人材育成が提供されてない場合、質問 7 はその理由を識別する
ことを支援します。トレーニングにおいて不十分な理由が分かっていれば、マネージメントによ
りこの欠陥を改善するために是正処置を開始することができます。｣
※〔〕の箇所は、NIST SP 800-55 から引用。
95
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-14.1.1 インシデント対応態勢の組織内での保有率
目標
14.1 セキュリティのインシデントがシステム内で発生した場合に、ユーザー
への支援を提供することができますか?
詳細目標
14.1.1 インシデントの対応態勢はありますか？
定量的尺度
インシデントの取り扱い能力、対応能力を備えている部門数
尺度の目的
組織全体においてインシデントへの対応能力があることを保証する
実装の証拠
1. インシデントへの対応態勢を維持している部署はありますか？
・はい
・いいえ
2. 質問１において“はい”の場合は、インシデントへの対応態勢の維持管理
し、見直しを図っている部署の数は、いくつありますか？
_______________
3. 質問１において、“いいえ”の場合それは何故ですか？
・必要性を感じていない
・リソース不足
・優先順位が低い
4.
「インシデント」を定義し、インシデントを内部に報告する方法につい
て記述しているガイドがあるか、もしくは正式な手順がありますか？
・はい
・いいえ
5. インシデントは、解決されるまでモニタリングされ追跡できますか？
・はい
・いいえ
6. インシデントを認識し扱えるように要員は、訓練されていますか？
・はい
・いいえ
7. 警告、助言を受け取って対応することができますか？
・はい
・いいえ
8. 調査期間中に、インシデントは報告されましたか？
________
頻度
半年
計算式
インシデントに対する対応態勢を有する部署の数／部署の総数
データの出所
セキュリティ管理者
指標
このメトリクスの目標は、100 パーセントです。IT セキュリティ・プログラ
ムの継続的と推進の強度は、この値を増加させます。インシデントを報告し
扱う能力は、セキュリティへの取り組み姿勢としては、特に重要です。質問 3
∼ 質問 6 を通して、返事が肯定的であるということは確認できます。(つま
り、担当部門によるインシデントレスポンス能力はあるということです)
96
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
情報セキュリテ 4.3.1 セキュリティ事件・事故は、適切な連絡経路を通して、できるだけ速や
ィ監査基準とのかに報告すること
関連
4.3.2 情報サービスの利用者に対して、システム若しくはサービスのセキュリ
ティの弱点、又はそれらへの脅威に気づいた場合若しくは疑いをもった場合
は、注意を払い、かつ報告するよう要求すること
4.3.3 ソフトウェアの誤動作を報告する手順を確立すること
SSE-CMM の PA07 （関係者間で）セキュリティを調整する
プロセス能力と BP.08.06 セキュリティのインシデントに対応する
の関連
コメント:
〔質問 2 は、何故、担当部門がインシデントレスポンス能力が不足しているのかについて、尋ね
ています。質問 2 の回答が、もし「必要性を感じていない」と答えた場合、ポリシーを必要とす
るのか、もしくはガイダンスが必要であるのか、原因を調査する必要がある。
また、質問 2 で「財源不足」か、「優先順位が低い」と答えた場合は、他の是正処置が必要でし
ょう。質問 3 ∼ 質問 6 を通して、インシデント対応能力の本質的な質問をしています。
例えば、ガイドが存在していてもトレーニングをしていなければ、職員のインシデント対応能力
は不十分であろう。質問 3 ∼ 質問 6 を通して、インシデントの対応能力が機能性と有効性の観
点から欠けている要因が分かる。質問 7 は別の確認質問です。部署から報告されたインシデント
が無いということは有り得ません。この数は担当部署全体に渡るインシデントの報告数と比較し、
担当部門に対して報告が必要なときにきちんと報告されていることをインシデント項目と関連
させることができます。
〕
※〔〕の箇所は、NIST SP 800-55 から引用。
97
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-14.2.1-A インシデント情報の組織内の共有化率
（追加）
目標
14.2 インシデントに関する情報を外部の適切な組織間で共有されています
か？
詳細目標
14.2.1 インシデント情報、共通の脆弱性、脅威は相互に関連しあうシステム
間で共有されていますか？
定量的尺度
事故情報が共有化されている割合（％）
尺度の目的
事故情報の共有化の程度を通して、組織全体でのセキュリティ対策へ取り組
む姿勢を評価すること
実装の証拠
1. 組織内においてインシデント情報（事故の情報）、共通の脆弱性（セキュリ
ティホールの情報、パッチの情報）
、脅威（ウィルスの蔓延情報など）につい
ての報告手順がありますか？
・はい
・いいえ
2. 報告を受けたこれらの情報は、組織内で共有化されるような仕組みがあり
ますか？
・はい
・いいえ
3. 上記の質問において、
“はい”の場合
事故情報が共有化されるべき件数はいくでしたか？
・インシデント情報 ________件
・共通の脆弱性________件
・脅威________件
4. 上記件数のうち、実際に事故情報が共有化されている件数はいくですか？
・インシデント情報 ________件
・共通の脆弱性________件
・脅威________件
頻度
毎年
計算式
共有化された事故情報の件数（質問４の合計件数）／共有化されるべき事故
件数の数（質問３の合計件数）
データの出所
インシデントのデータベース、脆弱性データベース、ウィルス情報、インシ
デント対応ポリシー、報告ポリシー
指標
このメトリクスの目標値は、１００％です。組織全体でセキュリティに関す
る情報の共有化が進めば、より効果的にセキュリティ対策が講じることがで
きるようになります。
情報セキュリテ 4.3.1 セキュリティ事件・事故は、適切な連絡経路を通して、できるだけ速や
ィ監査基準とのかに報告すること
関連
4.3.2 情報サービスの利用者に対して、システム若しくはサービスのセキュリ
98
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
ティの弱点、又はそれらへの脅威に気づいた場合若しくは疑いをもった場合
は、注意を払い、かつ報告するよう要求すること
4.3.3 ソフトウェアの誤動作を報告する手順を確立すること
SSE-CMM の PA07 （関係者間で）セキュリティを調整する
プロセス能力と BP.08.06 セキュリティのインシデントに対応する
の関連
コメント:
インシデント対応態勢の見直しを効率的かつ効果的に行う為には、組織間で事故情報が共有化さ
れていなければなりません。
99
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-14.2.3 事故通報義務の遵守率
目標
14.2 インシデントに関する情報を外部の適切な組織間で共有されています
か？
詳細目標
14.2.3 インシデントが起きた際に、社外の通報先を含む適切な機関にへ連絡
をしていますか？
定量的尺度
セキュリティポリシーにしたがって、適切な機関へ報告した割合（％）
尺度の目的
社外の通報機関への報告を適切に行う為の基準を決定すること
実装の証拠
1. 組織において、適切な通先機関へ報告するために必要なインシデントを把
握するための追跡・記録メカニズムやデータベースを使用していますか？
・はい
・いいえ
2. 上記の質問において、
“いいえ”の場合
通報先とインシデント情報を共有する為の最大許容時間内が組織内のポリシ
ーとして含まれていますか？
・はい
・いいえ
3. 質問 2 で、“はい”の場合
報告されるまでの許容時間は、どのくらいに設定していますか？
a) 組織内の報告_____
b) 社外の通報先機関に対して____
4. 現在の調査報告期間内でどのくらいの件数の報告があがってきましたか？
a) 組織内の報告_____
b) 社外の通報先機関に対して____
5. 最大許容時間内に報告されたインシデントの件数は、どのくらいですか？
a) 組織内の報告_____
b) 社外の通報先機関に対して____
頻度
四半期ごと、半年ごと、毎年
計算式
規定の通報時間内で通報できたインシデントの件数（質問５b）／社外の通報
機関へ報告された件数（質問４b）
データの出所
インシデントのデータベース; インシデント対応／報告ポリシー
指標
このメトリクスを達成する為には、最大許容時間が決められるくらい組織内
および社外の報告機関への報告ポリシーが、十分詳細になっていなければな
らない。社外の報告機関が報告時間に関するガイダンスを提供しているなら
ば、それを参考に「適切な許容時間」を決めることができます。そうすれば
このメトリクスの最初の部分に、答えることができます。一度、質問 3 に答
えれば、組織のポリシーにあげられている許容時間と社外の報告機関による
ガイダンスを比較することができます。もしあなたの組織において規定とし
て、報告時間に対する要求が社外の報告機関の基準を満たしていないならば、
そのガイダンスに準じるように対応すべきです。もし、組織として適切なポ
100
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
リシーが無い場合は、組織全体の IT セキュリティ・プログラムを見直して、
この弱さに対して対策を講じるべきです。
情報セキュリテ 4.3.1 セキュリティ事件・事故は、適切な連絡経路を通して、できるだけ速や
ィ監査基準とのかに報告すること
関連
SSE-CMM の PA07 （関係者間で）セキュリティを調整する
プロセス能力と BP.08.06 セキュリティインシデントに対応する
の関連
コメント:
〔質問 1 は、このメトリクスで得られる情報の信頼性のレベルを示します。
もし、正規の追跡・記録システムが使用されなければ、計算された数の妥当性は疑わしいでしょ
う。組織(質問 4a および 5a)内におけるインシデントの報告に要する時間の追跡は、公的報告機
関への遅延の起こり得る原因を識別するのに役立つかもしれません。内部報告が遅ければ、公的
報告機関への報告にも影響するでしょう。質問 2 および質問 3 は、報告のための適切な許容時間
を構成するものについての知識の程度を測定します。これらの質問は、質問 5 で収集された情
報に対する信頼性を確かなものとします。もし対応すべき基準がなければ、準拠性も測定するこ
とができません。〕
公的報告機関：
日本では、情報処理振興事業協会（ＩＰＡ）、 JPCERT コーディネーションセンター
(JPCERT/CC) などがあります。
※〔〕の箇所は、NIST SP 800-55 から引用。
海外調査によるヒアリング：
｢原文にあった FedCIRC は、米国政府のことなので適宜日本の実情に合わせて変更してくださ
い。｣ → 既に、“公的報告機関”と変更済み。
101
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-15.1.2-A デジタル証明書の導入率
（追加）
目標
15.1 ユーザは、パスワード、トークン、その他のデバイスにより個々に認証
されますか？
詳細目標
15.1.2 必要に応じてデジタル証明書が使用されていますか？
定量的尺度
デジタル証明書が必要な局面において、その実装が行われている割合（％）
尺度の目的
重要な業務システムや機密度の高いデータを扱う際の１つの実装手段として
デジタル証明書が活用されている割合を決定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
________
2. ポリシーとして、重要な業務システムや機密度の高いデータを保護する目
的でデジタル証明書の適用規定が定められていますか？
・はい
・いいえ
3. ポリシーの規定に沿ってデジタル証明書が必要とされる局面は、いくつあ
りますか？（カウントの単位は、サーバ側で起動するアプリケーションに対
して、それを１としてカウントします。）
________
4. 上記の局面において、実際にデジタル証明書が実装されているアプリケー
ションはいくつですか？
________
頻度
毎年
計算式
デジタル証明書が実装されているアプリケーションの数（質問４）／デジタ
ル証明書が必要とされるアプリケーションの数（質問３）
データの出所
システムの監査結果
指標
このメトリクスの目標値は 100 パーセントです。デジタル証明書によるセキ
ュリティ保護は、かなり強力なものです。したがってそれが必要とされる局
面では、ポリシーで規定されている要件にしたがって適切に実装してくださ
い。
情報セキュリテ 7.5.2 情報サービスへのアクセスは、安全なログオン手続を経て達成されるこ
ィ監査基準とのと
関連
8.3.5 一連の合意された標準類、手順及び方法に基づくかぎ管理システムを、
暗号技術の利用を支援するために用いること
102
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と
の関連
コメント：
全てのアプリケーションがデジタル証明書の実装を要求している訳ではありませんが、厳密な
セキュリティが要求される局面では、デジタル証明書の実装が要求されます。デジタル証明書
の使用にあたっては、その証明書に対する秘密鍵は厳重に扱う必要があります。
103
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-15.1.3 暫定ユーザＩＤの削除率
目標
15.1 ユーザは、パスワード、トークン、その他のデバイスにより個々に認証
されますか？
詳細目標
15.1.3 ベンダー設定の暫定ユーザＩＤを直ちに変更していますか？
定量的尺度
ベンダー設定のユーザＩＤを削除しているか、もしくはそのＩＤのパスワー
ドを変更しているシステムの割合（％）
尺度の目的
ベンダー提供のパスワードを削除したかもしくは変更したシステムの割合を
特定し、ベンダー設定の初期パスワードに対する潜在的なリスクを測定する
こと
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
________
2. ポリシーとしてソフトウェアを利用する前に、ベンダー設定の暫定ユーザ
ＩＤを削除することを明文化していますか？
・はい
・いいえ
3. 新しいソフトウェアをインストールする時の手続きとして、ベンダー提供
のパスワードを変更することを要求し、それを明文化していますか？
・はい
・いいえ
4. 全てのソフトウェアが使用される前にベンダー提供のパスワードを置き
換えていることを、適宜テストする手続きがありますか？
・はい
・いいえ
5. 実際にベンダー提供のパスワードを変更しているシステムは、いくつあり
ますか？
________
6. ベンダー提供のパスワードのままで、弱点をもていることが記録されてい
ますか？
・はい
・いいえ
7.上記の質問で、“はい”の場合
これらの弱点は、対処済みであることを確認していますか？
・はい
・いいえ
頻度
半年ごと、毎年
計算式
ベンダー提供のパスワードが変更されている、もしくはユーザＩＤが削除さ
れているシステムの数（質問５）／システムの総数
データの出所
リスクアセスメント、セキュリティ評価試験、システム監査、ベースライン。
指標
このメトリクスの目標値は 100 パーセントです。不正使用からシステムとア
プリケーションを保護するためにベンダー提供の暫定ユーザＩＤをすべて削
除するか、もしくはパスワードを変更しなければなりません。
104
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
情報セキュリテ 7.1.1.14 アクセス制御の規則を定める際は、情報システムによって自動的に
ィ監査基準との初期設定される利用者のアクセス許可の変更、及び管理者によって初期設定
関連
される利用者のアクセス許可の変更をすること
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と BP.08.04 セキュリティの保護措置を監視する
の関連
PA09 セキュリティインプットを提供する
コメント：
〔質問 2、質問 3、質問 4 は、ベンダー提供のパスワードの除去に関して提供される情報の信頼
性をチェックします。正式なポリシーが無い場合、ベンダー提供のパスワードを変更することを
決めるのは、各システム管理者の責任です。さらにこれらの質問はベンダー提供のパスワードが
変更されない場合の原因を特定することができます。周知徹底させる為には、ポリシー、手続
きおよび確認手順を強化する必要があります。質問 6 および質問 7 は、その手続きが有効であ
るか検証しています。システム監査およびリスク評価を行うことにより、ベンダー提供のパス
ワードの問題点が見えてくるでしょう。事前に特定された弱点の追跡・記録システムがあれば、
これらの問題は存在しないことが保証されます。〕
解説：
ベンダーから提供されているユーザＩＤには、開発者向けの暫定ユーザＩＤとテスト評価用の
暫定ユーザＩＤが設定されていることがよくあります。また、古いＵＮＩＸマシンでは、通常
は使われないような暫定ユーザＩＤも設定されていることがあります。しかも、これらの暫定
ユーザＩＤは、広く一般に知れ渡っているユーザＩＤでもあり、そのまま放置しておくと不正
アクセスがされる危険性があります。したがって、これらの暫定ユーザＩＤは削除するか、も
しくはそのパスワードを変更してください。
※〔〕の箇所は、NIST SP 800-55 から引用。
105
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-15.1.6-A パスワードの定期変更の実施率
（追加）
目標
15.1 ユーザは、パスワード、トークン、その他のデバイスにより個々に認証
されますか？
詳細目標
15.1.6 必要であれば、少なくともパスワードは９０日毎に変更しています
か？
定量的尺度
パスワードを定期的に変更している割合（％）
尺度の目的
セキュリティポリシーの準拠性を確認する 1 つの局面として、パスワードに
対する変更手続きが漏れなく確実に実施されている程度を決定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
________
2. ポリシーとしてパスワードの変更手続きについて、明文化していますか？
・はい
・いいえ
3. パスワードの定期的な変更手続きを強制するように設定してあるシステ
ムについて質問します。これらのシステム上には、トータルでいくつのアカ
ウントがありますか？
________
4. 評価対象システムの中にいくつのアカウントがありますか？
________
5. ポリシーにしたがって、所定の期間内でパスワードの変更手続きが採られ
ているアカウントは、いくつありますか？
________
頻度
毎年
計算式
ポリシーにしたがってパスワードの変更手続きが行われているアカウントの
数（質問４）／アカウントの総数（但し、質問３に該当するシステムのアカ
ウントは除く）
データの出所
システム監査、追跡記録システムのログ、調査票
指標
このメトリクスの目標値は 100 パーセントです。
パスワードの変更手続き
が漏れなく行われる手段として、各システムの設定としてパスワードに有効
期限を設定しておくことも、実施率を高めることに有効です。
情報セキュリテ 7.3.1.5 すべての利用者に、パスワードは定期的に、又はアクセス回数に基づ
ィ監査基準とのいて変更するように助言すること
関連
7.3.1.6 すべての利用者に、特権アカウントのパスワードは、通常のパスワー
ドより頻繁に変更するように助言すること
106
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と BP.08.04 セキュリティ保護措置を監視する
の関連
PA09 セキュリティインプットを提供する
コメント：
NIST SP800-26 の質問表には、パスワードは９０日毎に変更するとありますが、必ずしもこの
９０日という期日にこだわる必要がありません。組織におけるセキュリティポリシーにしたがっ
て、定期的にパスワードの変更をしてください。また、今後はＩＣカードやＰＫＩの普及により、
このメトリクスの重要性は少なくなっていくものと思われます。
107
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-15.1-A 暗号強度を把握しているシステムの割合
（追加）
目標
15.1 ユーザは、パスワード、トークン、その他のデバイスにより個々に認証
されますか？
詳細目標
15.1-A パスワードを含む暗号化に対して、その暗号化強度を評価（把握）し
ていますか？
定量的尺度
使用しているパスワードを含む暗号化について、その暗号化の強度が把握さ
れている割合（％）
尺度の目的
定量的なセキュリティ状態の把握の度合いを決定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
________
2. 個々のシステムに対して、パスワードの強度や暗号化の強度を定量的に把
握する仕組みがありますか？
・はい
・いいえ
3.もし、“いいえ”の場合は、それは何故でしょうか？（複数選択可）
・財源不足
・時間が無い。
・評価するツールやスキルがない。
・必要性を感じていない。
・その他(具体的に)______________
4. パスワードや暗号化に対して、その強度を評価（把握）しているシステム
はいくつありますか？
________
頻度
毎年
計算式
パスワードや暗号化の強度を評価（把握）しているシステムの数（質問４）
／システムの総数
データの出所
リスク評価のリポジトリ、セキュリティテストの報告書
指標
このメトリクス値は、なるべく大きな値を取るように改善を進めてください。
これは必ずしも強固な暗号化を求めているのではなくて、システムにおける
セキュリティ対策を客観的に把握していくという取り組みが大切です。
情報セキュリ 8.3.2.1 リスクアセスメントに基づき、要求される保護レベルを、使用される
ティ監査基準暗号アルゴリズムの形式及び品質、並びに使用すべき暗号かぎの長さを考慮
との関連
して明確にすること
8.3.2.4 適切な保護レベルを明らかにするため、及び要求される保護レベルを
提供し、かぎ管理機能をもつ安全な製品を選択するために、専門家の助言を
求めること
108
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力 PA07 セキュリティリスクの調整
との関連
PA09 セキュリティインプットを提供する
コメント：
個別のシステム毎に暗号化の強度を調査したり、評価することは重要です。その目的として、機
密データに対する保護の程度が客観的に把握できることにあります。またそのようなセキュリテ
ィ対策についての定量的に取り組む姿勢は、セキュリティプロセスの改善の評価にも応用できま
す。
109
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-15.1-B バイオメトリクスの認識エラー率を把握している割合
（追加）
目標
15.1 ユーザは、パスワード、トークン、その他のデバイスにより個々に認証
されますか？
詳細目標
15.1.-B バイオメトリクスの認証を導入している組織において、本人である
にも関わらず本人でないと識別する「認識エラー率」を評価（把握）して
いますか？
定量的尺度
バイオメトリクスの認証装置において、
「認識エラー率」が把握されている割
合（％）
尺度の目的
定量的なセキュリティ状態の把握の度合いを決定すること
実装の証拠
1. 組織（もしくは、部署）にどのくらいのバイオメトリクスの識別装置があ
りますか？
________
2. 個々の識別装置に対して、「認識エラー率」を定量的に把握する仕組みが
ありますか？
・はい
・いいえ
3. もし、“いいえ”の場合は、それは何故でしょうか？（複数選択可）
・財源不足
・時間が無い。
・評価するツールやスキルがない。
・カタログデータを取り寄せていない。
・必要性を感じていない。
・その他(具体的に)______________
4.「認識エラー率」を評価（把握）している識別装置はいくつありますか？
________
頻度
毎年
計算式
「認識エラー率」を評価（把握）している識別装置の数（質問４）／バイオ
メトリクスの識別装置の総数
データの出所
リスク評価のリポジトリ、セキュリティテストの報告書
指標
このメトリクス値は、なるべく大きな値を取るように改善を進めてください。
これは必ずしも優れた識別率の装置の導入を求めているのではなくて、シス
テムにおけるセキュリティ対策を客観的に把握していくという取り組みが大
切です。
情報セキュリ 7.2.3.9 パスワード管理手続の取組において、利用者の識別及び認証のための
ティ監査基準その他の技術(例えば、指紋の検証、手書き署名の検証などの生体認証、及び
との関連
IC カードなどのハードウェアトークンの使用)も使用可能であり、適切なら
110
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
ば、それらも考慮すること
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力 BP.03.06 リスクとその特徴を監視する
との関連
PA07 セキュリティリスクの調整
PA09 セキュリティインプットを提供する
コメント：
バイオメトリクスによる認識は、個別のパソコンの認証の他にも入退室管理などにも適用されて
います。したがってこれらの認識エラー率を調査したり、評価することは重要です。そしてその
ようなセキュリティ対策についての定量的に取り組む姿勢は、セキュリティプロセスの改善の評
価にも応用できます。
111
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
2.1 M-15.1-C 不十分なパスワード管理の発見率
（追加）
目標
15.1 ユーザは、パスワード、トークン、その他のデバイスにより個々に認証
されますか？
詳細目標
15.1.C パスワードが容易に発見されることはないですか？
定量的尺度
調査期間において不十分なパスワード管理がなされている割合（％）
尺度の目的
日常の業務運営において、不十分なパスワード管理が行われている程度を計
測すること
実装の証拠
1. 組織（もしくは、部署）にどのくらいの従業員がいますか？
________
2. 各従業員は、概ねセキュリティポリシーを理解していますか？
・はい
・いいえ
3. もし、“いいえ”の場合は、それは何故でしょうか？（複数選択可）
・セキュリティポリシー自体が無い。
・セキュリティポリシーの存在を知らない。
・セキュリティポリシーの存在は知っているが、軽視されている。
・セキュリティポリシーの内容が難しい。もしくは要求事項のレベルが高く
実効性に乏しい。
・その他(具体的に)______________
4. 評価期間中において、以下のパスワードが発見された件数はいくつです
か？
・紙に書かれているパスワードを発見した件数 ________
・メールによってパスワードが送信された件数 ________
・暗号保護されていないファイルに対して、パスワードが記されている件数
________
・パスワードの共有している人を発見した件数 ________
・口頭でパスワードを通知し、その内容が聞き取れた件数 ________
5. 質問４の対象となった従業員は、何人ですか？
________
頻度
毎年
計算式
パスワードが発見された従業員数（質問５）／従業員の総数
データの出所
リスク評価のリポジトリ。セキュリティテストの報告書。
指標
このメトリクスの目標値は、０％です。パスワード管理が、徹底されていな
いケースはよくあります。パスワードの管理を徹底するように改善をします。
112
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
情報セキュリテ 7.3.1.1 すべての利用者に、パスワードを秘密にしておくように助言すること
ィ監査基準との 7.3.1.2 すべての利用者に、パスワードを紙に記録して保管しないように助言
関連
すること
7.3.1.3 すべての利用者に、システム又はパスワードに対する危険の兆候が見
られる場合は、パスワードを変更するように助言すること
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と BP.03.06 リスクとその特徴を監視する
の関連
PA07 セキュリティリスクの調整
PA09 セキュリティインプットを提供する
コメント：
パスワードの設定基準として、破られにくいことを前提に厳しい条件を課せると、非常に覚え難
くなります。その結果、紙に書いて張ってしまうなどの安易なパスワード運営がなされます。本
来であれば、セキュリティ強化をする為の厳しいパスワード基準が足かせとなって、結果的には
セキュリティを弱めてしまいます。したがってポリシーを策定するにあたっては、実際の運用条
件を十分に加味した上で、慎重に検討すべきです。
113
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-15.2.1 ユーザ ID を共有している割合
目標
15.2 アクセスコントロールは、責任分離を強化していますか？
詳細目標
15.2.1 システムは、ユーザの行った操作を関連付けられますか？
定量的尺度
ユーザ ID を共通で使用している割合（％）
尺度の目的
個々の操作に関連付けられるユニークなユーザ ID の数を特定すること
実装の証拠
1. 各ユーザ ID は各一人に対して１つだけですか？
・はい
・いいえ
2.“Guest”アカウントを許していますか？
・はい
・いいえ
3. アクセスコントロールリストは、維持管理されていますか？
・はい
・いいえ
4. どのようにしてユーザ ID を生成していますか？
・システムによってランダムに生成している
・ユーザの名前を変形している
・社員番号
・その他(どんな方法？ )____________________
5. どのようにしてユニークな ID であることをチェックしていますか？
・重複チェックを含めてアクセスコントロールリストから自動的にチェック
している
・ID をユニークなものからセットする
・人によりアクセスコントロールリストを検査している
・その他(それは何？)____________________
6. 全てのベンダー提供のユーザ ID を変更していますか？
・はい
・いいえ
7. 利用されているユーザ ID の数はいくですか？
_______
8. 複数の担当者間で共通に使用されていたユーザＩＤの数は、いくつありま
すか？
_______
頻度
四半期ごと、半年ごと、毎年
計算式
ユーザ ID が共有で使用されている数（質問８）／ユーザ ID の総数（質問７）
データの出所
アクセスコントロールリスト(重複チェックの為には、ソートしておくと良
い）、パスワードファイル
指標
このメトリックスは、１００％を目標にします。コントロールとトレーサビ
リティを維持するために個人の操作まで追跡できることが絶対に必要で
す。一般的なサポートシステムにおいて、責任を特定する為にはユーザの特
114
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
定と認証が行われた後に、誰が操作を開始したかが追跡できなければならな
い。
情報セキュリテ 7.3.1.10 すべての利用者に、個人用のパスワードを共有しないように助言す
ィ監査基準とのること
関連
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と PA07 セキュリティリスクの調整
の関連
PA09 セキュリティインプットを提供する
コメント：
〔質問１から質問６までは、妥当性に関する為の質問です。アクセスコントロールリストがあれ
ば(パスワードファイルも加えて)をユニークなユーザ ID であることをチェックすることができ
ます。ゲスト・アカウントを許すということは、即ちユーザ操作がゲスト・グループのメンバに
対して、個々に識別できないことを示しています。ユーザ ID を作るための方法を決めておくこ
とはこれらの ID の独自性を保証することができます。ベンダー提供のユーザ ID は、不正にアク
セスする機会を与えると共に、個々のユーザを追跡することができません。したがってベンダー
が提供するユーザ ID は削除すべきです。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
115
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-16.1.3 セキュリティ対策ソフトウェアが権限者以外でもアクセスで
きてしまう割合
目標
16.1 論理アクセス・コントロールにより、ユーザ認証を行い業務処理を制限
していますか？
詳細目標
16.1.3 セキュリティ防御ソフトへのアクセスはセキュリティ管理者に限定し
ていますか？
定量的尺度
セキュリティ防御ソフトに対してセキュリティ管理者以外でもアクセス可能
なユーザの割合（％）
尺度の目的
未承認ユーザに対してセキュリティ防御ソフトへアクセスを許してしまうリ
スクの程度とポリシーへの準拠度を決定すること
実装の証拠
1. ポリシーとして、セキュリティ防御ソフトへのアクセスをセキュリティ管
理者に限定していますか？
・はい
・いいえ
2. アクセスコントロールリストを維持管理していますか？
・はい
・いいえ
3. データの機密度に応じてセキュリティ管理者の役割と権限が適切に示され
ていますか？
4. セキュリティ防御ソフトェアへアクセスできるユーザ数
_______
5. セキュリティ管理者の数
_______
6. セキュリティ防御ソフトに対して、セキュリティ管理者以外でもアクセス
可能なユーザ数
_____
頻度
四半期(セキュリティ管理者の異動が頻繁な時)、半年ごと、毎年
計算式
セキュリティ防御ソフトへセキュリティ管理者以外でもアクセス可能なユー
ザ数（質問６）／セキュリティ防御ソフトへアクセスできるユーザの総数（質
問４）
データの出所
アクセスコントロールリスト
指標
このメトリクスの目標値は０％です。セキュリティ防御ソフトェアへのアク
セスできる人は、適切なスキルをもち、適切の選抜された人でなければなり
ません。セキュリティ管理者に任命された者でなければアクセスを許しては
いけません。よってセキュリティ管理者として保証されます。他の人からセ
キュリティ防御ソフトェアへのアクセスがある場合は、恐らくセキュリティ
防御ソフトェアの設定ミスかもしくは内部からのインシデントによるもの
です。
116
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
情報セキュリテ 6.6.4 認可されていないアクセスからシステムに関する文書を保護すること
ィ監査基準との 7.4.5 診断ポートへのアクセスは、セキュリティを保つように制御されるこ
関連
と
7.6.1.1 支援要員を含め、業務用システムの利用者は、既定のアクセス制御方
針に従い、個々の業務用ソフトウェアの要求事項に基づき、また、組織の情
報アクセス方針に合わせて、情報及び業務用システム機能へのアクセスを許
されること
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と BP.08.07 セキュリティ監視対象物を保護する
の関連
PA07 セキュリティリスクの調整
PA09 セキュリティインプットを提供する
コメント：
〔質問 1 は、組織として特定のアクセス制限に関するガイダンスを提供することがポリシーと
定められているのかを決めます。そのことによりポリシーの準拠性は評価され、必要であれば
ポリシーを変更しなければなりません。質問 2 は、メトリクス用のデータソースが信頼できる
かどうかを決めます。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
117
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-16.2.2 定期的なプロトコルの調査実施率
目標
16.2 ネットワークアクセスに対する論理的なコントロールがありますか？
詳細目標
16.2.2 セキュアでない通信プロトコルは禁止されている？
定量的尺度
ポリシーにしたがって禁止されているプロトコルを使用しているシステムの
割合（％）
尺度の目的
プロトコル制御におけるシステムセキュリティと禁止されているプロトコル
がシステムで使用されていることによる潜在的なリスクの程度を決定するこ
と
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
______________
2. ポリシーとして特定のプロトコルに対して許可するか否かの見解が示さ
れていますか？
・はい
・いいえ
3. 禁止されているプロトコルが使用されているシステムの数は？
______________
4. 許可されていないプロトコルが使用されているのは何故ですか？（該当す
るものに対して全て答えなさい）
・ユーザからの要望により
・システムの機能として必要だから
・レガシーシステムが巨大で、変更がしにくい
・放置したまま
・リソース不足
・システム管理者トレーニングの不足
・システム管理者が多忙
・その他(何故？)______________
頻度
半年ごと、毎年
計算式
禁止されているプロトコルが使用されているシステムの数（質問３）／シス
テムの総数
データの出所
ポリシー、リスク評価、調査
指標
目標は制限されているプロトコルを使用しているシステム割合が０％にな
ることです。プロトコルへのアクセスと情報の伝送を許すということは、
システムを越えて情報が流れてしまいます。プロトコルによっては、イン
セキュアな特徴を本質的に備えるものは、大部分は禁止されるべきです。
しかしながらポートとプロトコルに対するポリシーは、それぞれの組織で
準備しなければなりません。いくつかのプロトコルは暗号のような強化手段
を通じてより安全になることができるので、完全に禁止をする必要はありま
118
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
せん。
情報セキュリテ 2.2.1.2 論理的アクセス、例えば、組織のデータベース、情報システムへのア
ィ監査基準とのクセスを考慮すること
関連
6.5.1.2 ネットワークの管理者は、ネットワークに接続したサービスを無認可
のアクセスから保護することを確実にすること
7.4.2.8 組織内の利用者グループのために別々の論理領域(例えば、仮想私設網
(Virtual Private Network:VPN))を設定することによって、ネットワークアク
セスを制限すること
7.4.1 利用者には、ネットワークサービスへのセキュリティが確保されていな
い接続は、使用することが特別に認可されたサービスへの直接のアクセスだ
けが提供されること
7.4.2 利用者端末と利用者がアクセスすることを認可されているサービスと
の間に、指定された経路以外の経路を、利用者が選択することを防止するこ
と
7.4.7 利用者の接続の可能性を制限する制御策は、業務用ソフトウェアのアク
セス方針及び要求事項に基づくこと
7.6.1 ソフトウェア及び情報への論理アクセスは、認可されている利用者に制
限すること
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と BP.03.06 リスクとその特徴を監視する
の関連
コメント：
〔いくつかの安全でないプロトコルであったとしても、セキュリティの強化策を施せば許可で
きるかもしれません。(例えば、暗号化を施すなど)。セキュリティポリシーにより制限されてい
る条件下で、いくつのプロトコルが許可されているのかを発見する為の補足的なメトリクスを
作成しても良いでしょう。その後、それらのプロトコルのためにセキュリティを強化しなければ
ならないシステムの数を決定することが必要でしょう。自動、手動に関わらずプロトコルの構成
管理をコントロールする手段がなければ、アセスメントを有効に活用することができます。そ
れはベースラインの中に、制限すべき特定のプロトコルが含まれているからです。質問４は、
禁止しているプロトコルが許可されている様々な理由を尋ねています。もし、これらのプロト
コルが｢ユーザからの要求｣や｢レガシーシステムの機能の必要性｣により、許可され続けている
のなら、それらの理由が続く限り許可しておく必要がある。｢放置したまま｣の場合は、プロト
119
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コルを使用することの代償として残留リスクを負うことを覚悟する。また、
「財源不足」、
「シス
テム管理者トレーニングの不足」、および｢システム管理者が多忙｣などの理由の場合は、もっと
注意を払うことによりそれらの原因を緩和させることができます。〕
※〔〕の箇所は、NIST SP 800-55 から引用。
120
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-16.2.5-A ネットワークログの調査分析率
（追加）
目標
16.2 ネットワークアクセスに対する論理的なコントロールがありますか？
詳細目標
16.2.5 ネットワークのログは維持され調査されていますか？
定量的尺度
ネットワークログが維持、調査されているシステムの割合（％）
尺度の目的
ネットワークログの監視状態を評価し、社内外からの不正なアクセスに対す
る検知能力の程度を決定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
______________
2. ネットワークログの取得項目が定められていいますか？
・はい
・いいえ
3. ネットワークログの定期的な調査、分析が定められていますか？
・はい
・いいえ
4. 必要とされる項目についてネットワークログが取得されているシステム
の数はどれくらいありますか？
______________
5. 所定の頻度で、ネットワークログを調査し、分析されているシステムの数
はどれくらいありますか？
______________
頻度
半年ごと
計算式
ネットワークログが維持管理され、定期的に調査されているシステムの数（質
問５）／システムの総数
データの出所
リスク評価のリポジトリー、ネットワークログ、ログの分析結果
指標
このメトリクスの目標は１００％です。ネットワークログは定期的に調査、
分析することにより、不正アクセスに関わる予知（前兆の検出）や不正ア
クセスが検知できます。また、コンピュータウィルスによる不正アクセス
の状態なども検出できることもあります。なお、ここでは単にネットワー
クログが取られているだけではカウントをしません。ネットワークログを
定期的に調査（自動も含む）していることがカウントする条件です。
情報セキュリ 7.7.1 例外事項、その他のセキュリティに関連した事象を記録した監査記録を
ティ監査基準作成して、将来の調査及びアクセス制御の監視を補うために、合意された期
との関連
間保存すること
7.7.2 情報処理設備の使用状況を監視する手順を確立すること
7.7.3 監視の結果は、定期的に見直すこと
システムが直面する脅威とそれらの起こり方を理解するために、記録を検証
121
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
すること
SSE-CMM の BP.01.04 セキュリティ・サービスと制御機構を管理する
プロセス能力と BP.03.06 リスクとその特徴を監視する
の関連
BP.08.01 イベントの記録を分析する
コメント：
セキュリティ対策上、ネットワークは常に監視されていなければなりません。但し、ネットワ
ークログは、通常は人手に頼って力ずくで調査すべきでものではないので、監査ツールやログ
のフィルタ機能を効果的に併用します。
海外調査によるヒアリング：
｢このメトリクスの他にも、ネットワークログの平均保存期間も良いかもしれません。｣
※既に、｢M-16.2-A ネットワークログの平均保存月数｣で対応済み。
122
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-16.2-A ネットワークログの平均保存月数
（追加）
目標
16.2 ネットワークアクセスに対する論理的なコントロールがありますか？
詳細目標
16.2-A ネットワークログの保存年はどのくらいですか？
定量的尺度
ネットワークログの平均保存期間数（月／システム）
尺度の目的
ネットワークログの平均保存期間を調べて、セキュリティに対する取り組み
の程度を決定すること
実装の証拠
1. あなたの組織(あるいは部署)にどれだけのシステムがありますか？
______________
2. ネットワークログは、何台のシステムで取得されていますか？
______________
3. ネットワークログを取得している全システムにおけるログの保存期間の
合計値は、どのくらいですか？
______________ 月
頻度
毎年
計算式
ネットワークログの保存期間の合計値（質問３）／ネットワークログを取得
しているシステムの数（質問２）
データの出所
リスク評価のリポジトリー、ネットワークログ、システムの運用記録
指標
このメトリクスの値は、コンピュータ資源が許す限り大きい方が良いとい
えます。但し、ログの保存期間を長く設定するとそれなりにリソースを消
費しますから、業務の重要度やデータの機密度に準じて、個別のシステム
毎に最適なログの保存期間を設定してください。
情報セキュリテ 7.7.1 例外事項、その他のセキュリティに関連した事象を記録した監査記録を
ィ監査基準との作成して、将来の調査及びアクセス制御の監視を補うために、合意された期
関連
間保存すること
7.7.2 情報処理設備の使用状況を監視する手順を確立すること
7.7.3 監視の結果は、定期的に見直すこと
システムが直面する脅威とそれらの起こり方を理解するために、記録を検証
すること
SSE-CMM の BP.08.07 セキュリティ監視対象の人工生産物を保護する
プロセス能力と BP.08.01 イベントの記録を分析する
の関連
コメント：
123
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
ネットワークログの平均値は、業務の重要度やデータの機密度に応じて加重平均を取るなどのメ
トリクスも想定できます。また、個別ログの保存期間は、各種法規制やセキュリティポリシーに
したがって、保存期間を定めてください。
124
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-16.3.1 プライバシーポリシーのウェブサイトへの適用率
目標
公衆アクセスのシステムの場合、アプリケーションに対するインティグリテ
ィの確保と世間からの信頼が得られるように、コントロールを実施していま
すか？
詳細目標
16.3.1 プライバシーポリシーをウェブサイトに適用していますか？
定量的尺度
プライバシーポリシーが適用されている Web サイトの割合（％）
尺度の目的
組織におけるプライバシーポリシーの存在とその内容を公知しているウェブ
サイトの数を決定すること
実装の証拠
1. あなたの組織（もしくは、部署）において、いくつの Web サイトがあり
ますか？
______________
2. 集めた情報ついて、プライバシーポリシーの詳細として何がありますか？
・利用制限について
・企業内での機密管理について
・保存期間について
・廃棄の手段について
3. 個人データに対して、公衆アクセスが可能なウェブサイトはどのくらいあ
りますか？
______________
4. ウェブサイトにおいて、初めてのアクセスの時点でプライバシーポリシー
を公開し、かつ厳密に実施しているものはいくつありますか？
______________
頻度
四半期ごと、半年ごと、毎年、必要に応じて
計算式
組織においてプライバシーポリシーを適用しているウェブサイトの数（質問
４）／組織におけるウェブサイトの数
データの出所
セキュリティ管理者, ウェブ管理者、ウェブサイトのレビュー
指標
このメトリクスの目標は 100 パーセントです。この割合が低い場合は、適
切にユーザに通知することの失敗により引き起こされるプライバシ侵害の潜
在的なリスクが大きくなることを表わします。
情報セキュリテ（関連する項目として）6.5.1.5 公衆ネットワークを通過するデータの機密性
ィ監査基準との及び完全性を保護するため、及びネットワークに接続したシステムを保護す
関連
るために、必要ならば、特別な管理策を確立すること
SSE-CMM の BP.01.02 システム・セキュリティ機構を構成管理する
プロセス能力と PA09 セキュリティインプットを提供する
の関連
PA10 セキュリティのニーズを明確にする
125
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
コメント
〔質問 2 はプライバシーポリシーに含まれている情報の適用範囲を決定します。質問 3 は、ポ
リシーへの遵守度を決定します。また、質問 4 はウェブサイトへのアクセスにおいて、プライ
バシーポリシーの公開位置を質問しています。
〕
※〔〕の箇所は、NIST SP 800-55 から引用。
126
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-16.3-A Web サイト構築時のクロスサイトスクリプティングへの対処
率
（追加）
目標
16.3 公衆アクセスのシステムの場合、アプリケーションに対するインティグ
リティの確保と世間からの信頼が得られるように、コントロールを実施して
いますか？
詳細目標
16.3-A クロスサイトスクリプティングの脆弱性に対して、防止策を講じてい
ますか？
定量的尺度
Web サーバへの不正アクセスに対する防護策を講じている割合（％）
尺度の目的
Web サーバへの不正アクセスに対する防護策の程度を決定すること
実装の証拠
1. あなたの組織（もしくは、部署）において、いくつの Web サイトが立ち
あっていますか？
______________
2. Web サイトを構築するにあたっては、クロスサイトスクリプティング（※
コメントを参照）の脆弱性に対する対応策を講じていますか？
・はい
・いいえ
3. “いいえ”の場合は、何故ですか？
・クロスサイトスクリプティングの脆弱性について知らなかった。
・特に重要なデータは扱っていないので、対応策を講じる必要がない。
・対応策を講じようとは思っているが、技術的な面から不明な部分が多い。
・その他(具体的に)______________
4. Web ページの総数は、どのくいらいありますか？
______________
5. クロスサイトスクリプティングの危険性があると認識される Web ページ
の総数は、どのくいらいありますか？
______________
頻度
毎年
計算式
クロスサイトスクリプティングの危険性のある Web ページの総数（質問５）
／Web ページの総数（質問４）
データの出所
Web ページの作成仕様書、Web ページのレビュー報告書
指標
このメトリクスの目標値は 0 パーセントです。但し、本メトリクスで扱っ
た項目は、数多いＷｅｂサイトへの不正アクセス中でのテクニカルな１つ
の要因にしか過ぎません。
情報セキュリテ（関連する項目として）6.5.1.5 公衆ネットワークを通過するデータの機密性
ィ監査基準との及び完全性を保護するため、及びネットワークに接続したシステムを保護す
関連
るために、必要ならば、特別な管理策を確立すること
127
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
SSE-CMM の BP.01.02 システム・セキュリティ機構を構成管理する
プロセス能力と PA03 セキュリティリスクを診断する
の関連
PA04 脅威を診断する
PA05 脆弱性を診断する
コメント：
クロスサイトスクリプティングの脆弱性は、Ｗｅｂのセキュリティ破壊の一つです。本メトリ
クスでは、質問３を通じてＷｅｂの作成担当者に対してＷｅｂの脆弱性の知識を聞いています。
セキュリティの世界では、最新の情報が常に流れているので、関係者は注意深くそれらの情報
収集に当らなくてはなりません。
クロスサイトスクリプティング (cross-site scripting)
不正アクセスの一つです。動的な web ページの中には、HTML や XML 等のマークアップ
言語を、呼び出される度にダイナミックに生成しているものがあります。この仕組みを悪用
して、不正にアクセスを試みようとする手法です。あるサイトに書かれているスクリプトが
別のサイトへとまたがって（クロスして）実行されることから、クロスサイトスクリプテ
ィングと呼ばれています。
128
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
M-17.1.1 操作コマンド、ファイルアクセスログの記録率
目標
17.1 機密ファイル、重要ファイルに対してアクセスと変更が加えられた時の
ログを取り、モニタリングを行い、起こりうるセキュリティ違反が検出でき
ますか？
詳細目標
17.1.1 監査証跡は、ユーザの操作をトレースできますか？
定量的尺度
監査証跡からユーザの操作が追跡できるシステムの割合（％）
尺度の目的
トレーサビリティを維持管理する為に必要なユーザ操作を関連付ける水準を
決定すること
実装の証拠
1. コメントにある“質問票”の質問２の答えが“はい”と答えられたシステ
ムはいくつありますか？
________
頻度
毎年
計算式
ユーザの操作のログを取っているシステム数（質問１）／システムの総数
データの出所
調査票
指標
このメトリクスの目標は 100 パーセントです。コントロールとトレーサビ
リティを維持する為には、個々の操作が追跡できなければなりません。業
務に対する個々の責任は誰が負うべきか、一般的なサポートシステムでは
責任を特定することができます。それはユーザ認証を行い、続いてシステ
ム上の操作がユーザによって行われたことが追跡できるからです。これは、
例えばユーザの行動パターンから捜し当てることができるかもしれません。
情報セキュリテ 6.6.3.3 情報の取扱い手順の策定においては、認可されていない者を識別する
ィ監査基準とのためのアクセス制限について考慮すること
関連
7.7.1 例外事項、その他のセキュリティに関連した事象を記録した監査記録を
作成して、将来の調査及びアクセス制御の監視を補うために、合意された期
間保存すること
7.7.2 情報処理設備の使用状況を監視する手順を確立すること
SSE-CMM の BP.08.01 イベントの記録を分析する
プロセス能力と BP.08.04 セキュリティ保護措置を監視する
の関連
BP.08.07 セキュリティ監視対象物を保護する
コメント：
〔質問票の質問 1、質問 3、質問４は、イベント毎にユーザ ID が収集されていることの妥当性
を質問しています。まずはロギングが行われていることを保証することです。しばしばロギン
グの設定がデフォルト値の“OFF”のまま、変更されていないこともあります。イベントとユ
129
調査報告書別冊定量的セキュリティ尺度測定ガイドライン
ーザ ID の関係が分かるように、収集するイベント・タイプを設定します。特定の監査証跡に関
連付けてユーザ操作の分析が可能となるでしょう。インシデントあるいは機密漏洩につながる
ような、全てのユーザ操作を把握する為に、ログ情報は詳細に取られるべきです。質問票の質
問 4 は、それらのログ情報から ID 毎のユーザ操作について、操作種別、操作時刻が有効に取ら
れていることが確認できます。〕
質問票（システム毎に質問を行います）
1. システムログは取られていますか？
・はい
・いいえ
2. ログからイベント毎にユーザ ID を割り出せますか？
・はい
・いいえ
3. どのようなイベントのログを取っていますか？
・ログイン成功した
・はい
・ログインに失敗した
・いいえ
・はい
・パスワードが変更された時
・いいえ
・はい
・いいえ
・無許可のファイルやディレクトリにアクセスしようとした時
・はい
・アクセス権限が変更された時
・いいえ
・はい・いいえ
・その他(それはどんなもの？)________
4. 下記の中から、各イベントに対して記録しているものは何ですか？
・日付/タイムスタンプ
・はい・いいえ
・ユーザ ID
・いいえ
・はい
・イベントタイプ
・操作コマンド
・はい
・はい
・いいえ
・いいえ
※〔〕の箇所は、NIST SP 800-55 から引用。
130

調査報告書 別冊 定量的セキュリティ尺度測定ガイドライン

Comments

Description

Transcript

調査報告書別冊定量的セキュリティ尺度測定ガイドライン