経済産業省「コンピュータウイルス対策基準」
https://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm
(平成7年制定、平成12年改定)の抜粋を掲げます。
主旨
本基準は、コンピュータウイルスに対する予防、発見、駆除、復旧等について実効性の高い対策をとりまとめたものである。
コンピュータウイルスの定義
第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、 次の機能を一つ以上有するもの。
- 自己伝染機能
- 自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、 他のシステムに伝染する機能
- 潜伏機能
- 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能
- 発病機能
- プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能
- ワクチン
- ウイルスの検査、予防又は修復のいずれかの機能を含むソフトウェア
構成(抜粋)
本基準は、システムユーザ基準、システム管理者基準、ソフトウェア供給者基準、ネットワーク事業者基準及びシステムサービス事業者基準から成り、その構成及び内容は、以下のとおりである。
- システムユーザ基準(18項目)
- システムを利用する者(以下「システムユーザ」とする。)のための対策をまとめたもの。
- ソフトウェア管理(2項目)
- 運用管理(12項目)
システムユーザがシステムを利用する上での対策についてまとめたもの。
- 外部より入手したファイル及び共用するファイル媒体は、ウイルス検査後に利用すること。
- ウイルス感染の被害が最小となるよう、システムの利用は、いったん初期状態にしてから行うこと。
- ウイルス感染を早期に発見するため、システムの動作の変化に注意すること。
- ウイルス感染を早期に発見するため、最新のワクチンの利用等により定期的にウイルス検査を行うこと。
- 不正アクセスによるウイルス被害を防止するため、パスワードは容易に推測されないように設定し、その秘密を保つこと。
- 不正アクセスによるウイルス被害を防止するため、パスワードは随時変更すること。
- 不正アクセスによるウイルス被害を防止するため、システムのユーザIDを共用しないこと。
- 不正アクセスによるウイルス被害を防止するため、アクセス履歴を確認すること。
- 不正アクセスによるウイルス被害を防止するため、機密情報を格納しているファイルを厳重に管理すること。
- システムを悪用されないため、入力待ちの状態で放置しないこと。
- ウイルス感染を防止するため、出所不明のソフトウェアは利用しないこと。
- ウイルスの被害に備えるため、ファイルのバックアップを定期的に行い、一定期間保管すること。
- 事後対応(3項目)
- 監査(1項目)
- システム管理者基準(31項目)
- システムを導入、維持及び管理する者 のための対策についてまとめたもの。
- コンピュータ管理(8項目)
- ネットワーク管理(5項目)
- 運用管理(9項目)
システム管理者がシステムを維持及び管理する上での対策についてまとめたもの。
- システムの重要情報の管理体制を明確にすること。
- 不正アクセスからシステムの重要情報を保護するため、システムが有するセキュリティ機能を活用すること。
- パスワードを容易に推測されないようにするため、安易なパスワード設定を排除すること。
- ウイルスの被害に備えるため、運用システムのバックアップを定期的に行い、一定期間保管すること。
- ウイルス被害を防止するため、匿名で利用できるサービスは限定すること。
- 不正アクセスを発見するため、アクセス履歴を定期的に分析すること。
- ウイルス感染を早期に発見するため、システムの動作を監視すること。
- ウイルス感染を早期に発見するため、最新のワクチンの利用等により定期的にウイルス検査を行うこと。
- システムの異常が発見された場合は、速やかに原因を究明すること。
- 事後対応(6項目)
6 ウイルス被害の拡大及び再発を防止するため、必要な情報を経済産業大臣が別に指定する者(IPA)に届け出ること(コンピュータウイルス届出制度)。
- 教育・啓蒙(2項目)
- 監査(1項目)
- ソフトウェア供給者基準(21項目)
- ソフトウェアの開発並びにソフトウェア製品の開発、製造及び出荷を行う者のための対策をまとめたもの。
- ネットワーク事業者基準(15項目)
- パソコン通信等のネットワークを介して情報を提供する事業者のための対策をまとめたもの。