ログ（アクセスログ、システム稼動ログ、障害時のシステム出力ログなど）及び障害対応記録は、不正侵入や不正操作などの情報セキュリティインシデントを検知するための重要な材料となります。また、情報セキュリティ上の問題が発生した場合には、当該ログは、事後の調査の過程で問題を解明するための重要な材料となります。そのため、仕様通りにログを取得し、改ざんや消失などが起こらないよう適切にログを保全します。

ログは、収集した機器の本体内ではなく、ログ取得のために別途ログ管理システムなどを設計し、そこで保存することが推奨されます。それにより、ログの改ざんなどの不正行為からの保護だけでなく、ログ解析プログラムによる可視化処理や保存期間の制御なども行いやすくなります。

また、一定期間を経過したログは、コストや保存期間の面から外部記憶媒体などへの保存を検討する必要があります。通常のデータのバックアップと同様に、ログのバックアップも重要になります。

バックアップの実施

緊急時に備え、ファイルサーバーに記録される情報やログのバックアップを取る必要があります。その際、データの保全を確保するため、次の事を実施します。

バックアップ処理の成否の確認
災害などによる同時被災を回避するために、バックアップデータの遠隔地での保存
システムを正常に再開するためのリストア手順の策定及びリストアテストによる検証

外部ネットワークとの接続制限、経路制御

インターネットと相互接続している場合、外部からの攻撃や不正アクセスから組織内のコンピューターを守るために、外部ネットワークの接続点にファイアウォールを設置して、セキュリティを高めます。

Webサーバーなどの公開サーバーに関しては、DMZを導入すれば、攻撃者から内部ネットワークへの直接攻撃はできなくなり、ネットワークを厳重に保護することができます。

また、クラウドサービスを利用し、重要な情報を外部のデータセンターとやり取りする場合は、VPN接続による通信経路の暗号化や本人認証などの高度なセキュリティ対策を行います。

電子メールのセキュリティ管理

情報漏えい対策

社員が電子メールを使って情報を外部へ不正に持ち出してないかを監視するには、メールフィルタリングソフトを利用します。

なりすましメール対策

電子メールの送信に使われる通信方式の１つであるSMTPでは、差出人のメールアドレスを誰でも自由に名乗ることができるため、送信者のアドレス詐称（なりすまし）が容易にできてしまいます。このため、電子メールのなりすまし対策として「送信ドメイン認証技術」を利用し、メールの受信可否を判定します。送信ドメイン認証とは、メールが正当なメールサーバーから送信されたものか否かを判断する認証技術です。

スパムメール対策

メールサーバーには、メールの宛先を確認してそのドメインのメールサーバーへメールを転送するリレー機能があります。しかし、このリレー機能がスパムメールの送信に悪用され踏み台とされる場合があります。そのため無制限なリレー機能は無効にし、制限を設ける必要があります。

利用制限

ウェブで利用できるフリーメールは、外部への不正な情報の持ち出しなどに利用されることがあるため、使用禁止にします。また、HTML 形式の電子メールの機能を悪用して、メールを開いただけ、あるいはプレビューしただけで感染するウイルスが蔓延しているので、HTMLメールを使用禁止にし、ウイルス感染の低減を図ります。

無許可ソフトウェアの導入の禁止

インターネットから無許可のソフトウェアをダウンロードしてパソコンなどにインストールすると、ウイルスの感染、侵入の可能性が高まるだけでなく、導入済みのソフトウェアに不具合が発生することもあり、許可を得ないソフトウェアの導入は禁止します。また、不正にコピーしたソフトウェアは、ライセンス違反や著作権法違反となることから、明確に禁止する必要があります。

アクセス制御

アクセス制御とは、データへの参照や変更などのアクセス権限を、特定のユーザーだけに制限することにより、脅威から情報を保護するものです。

アクセス制御

アクセス権限を業務内容やユーザーごとに明確にし、所管するネットワークや情報システムに対して、あらかじめアクセスできるユーザーをシステム上制限します。また、管理者権限などの特権は、全ての機能を利用可能にするので、利用者登録を厳格に行うとともに、特権で利用するID及びパスワードを厳重に管理します。

社員などによる外部からの社内ネットワークへのアクセス制限

外部からの社内ネットワークへの接続は外部からの攻撃リスクが高くなるため、本人確認手段や盗聴を防御できる安全な通信回線サービスの確保が必要です。その際、情報の機密性に応じて、ファイル暗号化や通信経路の暗号化、専用回線の利用などの必要な措置を取ります。また、外部からの接続は許可制とし、許可は必要最小限の者に限定します。

社外に持ち出したノートパソコン（モバイル端末）の接続

持ち出し用ノートパソコン（モバイル端末）は社内のネットワークに常時接続されていないため、アップデートやウイルス定義ファイルの更新などが完全ではありません。このようなパソコンを社外でインターネットに接続すれば、ウイルスに感染するリスクは非常に高く、もし、感染したノートパソコンを持ち帰って社内ネットワークに接続すれば、ウイルスが社内に蔓延してしまいます。

社外に持ち出したノートパソコンは必ずセキュリティ状態を確認し、セキュリティレベルの低いものは最新のセキュリティ状態に更新してから社内ネットワークに接続するようにします。

セキュリティ状態を確認する手段として検疫ネットワークがあります。検疫ネットワークとは、“OS のパッチやウイルス定義ファイルが最新でない”、“ウイルスが侵入している”など、十分なセキュリティ対策が取られていないノートパソコンを社内ネットワークに接続させないシステムです。検疫ネットワーク自体が、社内ネットワークに繋がる全てのパソコンに必ずセキュリティの検査を受けさせるしくみを持っています。ノートパソコンを社内に持ち帰った場合に、検疫ネットワークによる確認を義務付けることにより、様々な脅威の発生を防止することができます。

ウイルス対策

情報システムでウイルス対策が十分に行われていない場合は、システムの損傷、情報漏えいなどの情報セキュリティインシデントが発生するおそれがあります。ウイルスは日々巧妙化・複雑化し且つ数多くの種類があり、コンピューターシステムの破壊や電子メールの無差別送信による感染の拡散、暗証番号やパスワードの盗聴などの甚大な被害をもたらします。

情報システム管理者の措置事項

インターネットからのウイルス感染や侵入を防御するためには、社内ネットワーク（サーバーやパソコンなど）とインターネットの境界（ファイアウォールなど）にウイルス対策ソフトを設定します。ウイルス対策ソフトは常に最新の状態に保ち、ウイルス定義ファイルの更新やパッチの適用を確実に実施します。さらにウイルスの最新情報を常に収集し、社員に対してウイルスに関する情報及び対策を周知徹底します。

また、パッチやバージョンアップなどの開発元のサポートが終了したソフトウェアは、サポートを受けられるソフトウェアにサポート終了期限前までに切り替えて、期限が終了したものは業務で使用しないようにします。

社員の遵守事項

差出人が不明または不自然に添付されたファイルを受信した場合は、速やかに削除します。パソコンに対してウイルス対策ソフトによるフルチェックを定期的に実施し、外部からデータやソフトウェアを取り入れる場合も、必ずウイルス対策ソフトによるチェックを行います。

ウイルス定義ファイルは、常に最新の状態に保つ必要があります。通常、ウイルス定義ファイルはメーカーのWebサイトからダウンロードするか、自動的にウイルス定義ファイルの更新を行うようスケジュール設定しておきます。常に最新のウイルス定義ファイルをサーバーから強制的にクライアントパソコンへ配布するように構成している企業もあります。

ウイルスに感染した兆候がある場合には、以下の対応を行って被害の拡大を防ぎます。

パソコンなどの端末：即座にネットワークケーブルを取り外す。
モバイル端末：直ちに利用を中止し、通信を行わない設定への変更を行う。

不正アクセス対策

情報システム管理者の措置事項

使用されていないポートや不要なサービスは、不正アクセスによる侵入や悪用に利用される可能性が高いため、ポート閉鎖やサービス停止処理を行う必要があります。

標的型攻撃

標的型攻撃による社内への侵入を防ぐため、標的型攻撃メール受信時の人的対策のほか、電磁的記録媒体やネットワークに対する技術的対策を行います。

人的対策例（標的型攻撃メール対策）

差出人に心当たりがないメールは、たとえ興味のある件名でも開封しない。
不自然なメールが着信した際は、差出人にメール送信の事実を確認する。
メールを開いた後で標的型攻撃と気付いた場合、添付ファイルは絶対に開かず、メールの本文に書かれたURL もクリックしない。
標的型攻撃と気付いた場合、システム管理者に対して着信の事実を通知し、組織内への注意喚起を依頼した後に、メールを速やかに削除する。
システム管理者は、メールやログを確認し、不正なメールがなかったかチェックする。（事後対策）

電磁的記録媒体に対する対策例

出所不明の電磁的記録媒体を内部ネットワーク上の端末に接続させない。
電磁的記録媒体をパソコンなどの端末に接続する際、ウイルス対策ソフトで検査する。
パソコンの自動再生（オートラン）機能を無効化する。
パソコンで、電磁的記録媒体内にあるプログラムを媒体内から直接実行しない。

ネットワークに対する対策例

ネットワーク機器のログ監視を強化し、外部との不正な通信を確認したら、アラームを発したり、その通信を遮断したりする。
不正な通信がないか、ログをチェックする。（事後対策）

セキュリティ情報の収集に関する対策

ソフトウェアにセキュリティホールが存在する場合、そのセキュリティホールを攻撃者に悪用されてしまうと、サーバーへの不正侵入やサービス停止攻撃、ウイルスへの感染など、セキュリティを維持する上で大きな脅威となります。特にサーバーへ不正侵入された場合、踏み台や情報漏えいなどのリスクにつながり、組織の社会的な信用が失われるおそれがあります。

また、情報セキュリティを取り巻く社会環境や技術環境などは刻々と変化しており、新たな脅威により情報セキュリティインシデントを引き起こすおそれがあります。

これらのリスクを回避するため、セキュリティホールを初めとするセキュリティ情報の収集や共有及びセキュリティホールへの対処は、迅速かつ適切に行う必要があります。

情報システム管理者は、コンピューター及び通信回線装置上で利用しているソフトウェアに関して、公開されたセキュリティホールに関連する情報（セキュリティホールの原因、影響範囲、対策方法、セキュリティホールを悪用するツールの公開の有無など）を適宜入手し周知するとともに、セキュリティホールが情報システムにもたらすリスクを分析し、信頼できる方法でパッチやアップデートソフトなどを入手します。