経済産業省告示「コンピュータ不正アクセス対策基準」(平成8年8月制定、平成12年12月改訂)
(https://www.meti.go.jp/policy/netsecurity/UAaccessCMG.htm)
主旨
本基準は、コンピュータ不正アクセスによる被害の予防、発見及び復旧並びに拡大及び再発防止について、企業等の組織及び個人が実行すべき対策をとりまとめたものである。
定義
コンピュータ不正アクセス(以下「不正アクセス」とする)とは、「システムを利用する者が、その者に与えられた権限によって許された行為以外の行為をネットワークを介して意図的に行うこと」をいう。
「ハッカー」の用語
不正アクセスをする者をハッカー(hacker)ということが多いのですが、本来はハッカーとはコンピュータの高度技術を持つ者のことで,悪いことをする者はクラッカー(cracker)といいます。混乱を防ぐために、セキュリティ対策高度技術者をホワイトハッカー、違法行為者をブラックハッカーといい分けることもあります。
基準の内容(抜粋)
本基準は、システムユーザ基準、システム管理者基準、ネットワークサービス事業者基準及びハードウェア・ソフトウェア供給者基準からなり、その構成及び内容は以下のとおりである。
- システムユーザ基準
- システムを利用する者が実施すべき対策についてまとめたもの。
- パスワード及びユーザID管理(9項目)
システムユーザ自身が使用するパスワード及びユーザIDを管理する際に実施すべき対策についてまとめたもの。
- ユーザIDは、複数のシステムユーザで利用しないこと。
- ユーザIDは、パスワードを必ず設定すること。
- 複数のユーザIDを持っている場合は、それぞれ異なるパスワードを設定すること。
- 悪いパスワードは、設定しないこと。
- パスワードは、随時変更すること。
- パスワードは、紙媒体等に記述しておかないこと。
- パスワードを入力する場合は、他人に見られないようにすること。
- 他人のパスワードを知った場合は、速やかにシステム管理者に通知すること。
- ユーザIDを利用しなくなった場合は、速やかにシステム管理者に届け出ること。
- 情報管理(7項目)
- コンピュータ管理(6項目)
- 事後対応(2項目)
- 教育及び情報収集(2項目)
- 監査(1項目)
- システム管理者基準
- システムユーザの管理並びにシステム及びその構成要素の導入、維持、保守等の管理を行う者が、実施すべき対策についてまとめたもの。
- 管理体制の整備(7項目)
- システムユーザ管理(10項目)
- システムユーザの登録は、必要な機器に限定し、システムユーザの権限を必要最小限に設定すること。
- ネットワークを介して外部からアクセスできるユーザIDは、必要最小限にすること。
- ユーザIDは、個人単位に割り当て、パスワードを必ず設定すること。
- 長期間利用していないユーザIDは、速やかに停止すること。
- ユーザIDの廃止等の届出があった場合は、速やかに登録を抹消すること。
- パスワードは、当該システムユーザ以外に知らせないこと。
- パスワードのチェックを随時行い、悪いパスワードは、速やかに変更させること。
- パスワードが当該システムユーザ以外に知られた場合又はその疑いのある場合は、速やかに変更させること。
- 特権を付与する場合は、当該システムユーザの技術的能力等を考慮すること。
- 必要としなくなったシステムユーザの特権は、速やかに停止すること。
- 情報管理(8項目)
システム全体の情報をシステム管理者が管理する際に実施すべき対策についてまとめたもの。
- 通信経路上の情報は、漏えいを防止する仕組みを確立すること。
- 通信経路上で情報の盗聴及び漏えいが行われても、内容が解析できない機密保持機能を用いること。
- 通信経路上で情報の改ざんが行われても、検出できるような改ざん検知機能を用いること。
- システム関連のファイルは、システムユーザがアクセスできないように管理すること。
- 重要な情報は、削除、改ざん、漏えい等による被害が少なくなるように分散化すること。
- 重要な情報を記録した紙、磁気媒体等は、安全な場所に保管すること。
- 重要な情報を記録した紙、磁気媒体等を廃棄する場合は、内容が漏えいしない方法で行うこと。
- ファイルのバックアップを随時行い、その磁気媒体等を安全な方法で保管すること。
- 設備管理(18項目)
- 履歴管理(4項目)
- 事後対応(6項目)
6.不正アクセス被害の拡大及び再発を防止するため、必要な情報を経済産業大臣が別に指定する者(IPA)に届け出ること(コンピュータ不正アクセス届出制度)。
- 情報収集及び教育(4項目)
- 監査(1項目)
- ネットワークサービス事業者基準
- ネットワークを利用して、情報サービス及びネットワーク接続サービスを提供する事業者が実施すべき対策についてまとめたもの。
- ハードウェア・ソフトウェア供給者基準
- ハードウェア及びソフトウェア製品の開発、製造、販売等を行う者が、実施すべき対策についてまとめたもの。
- ハードウェア・ソフトウェア供給者基準
- ハードウェア及びソフトウェア製品の開発、製造、販売等を行う者が、実施すべき対策についてまとめたもの。