Home(page1) | page2 | page3 | page4 | page5
第1章 総則
(目的)
第1条 この達は、統合幕僚監部及び統合幕僚学校における情報システム及び情報システムにおいて取り扱われるデータに関して、総合的かつ体系的な管理の基準及び当該管理を組織的に実施するための基本的事項を定め、もって統合幕僚監部及び統合幕僚学校における情報保証を確保することを目的とする。
(定義)
第2条 この達において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1) 訓令 防衛庁の情報保証に関する訓令(平成16年防衛庁訓令第29号)をいう。
(2) 通達 防衛庁の情報保証に関する訓令の運用について(通達)(防官情第3203号。16.3.30)をいう。
分類番号:J−J4−J40
保存期間:5年
(3) 統合幕僚監部等 統合幕僚監部及び統合幕僚学校をいう。
(4) セキュリティ情報 サイバー攻撃等及びサイバー攻撃等の対応策に関する情報をいう。
(5) サーバ 端末等に対して、電子メールの送受信、インターネットへの接続等特定の機能を利用させるための電子計算機をいう。
(6) サーバ等 サーバ及び端末をいう。
(7) 情報システム室 外部からの侵入が容易にできないよう外壁等に囲まれた情報システムのサーバ等及び別に示す秘匿用の機器を設置する区域をいう。
(8) 仕様書等 情報システムの仕様書、ネットワーク構成図、システム設計書、基本設計書(概要設計書等を含む。)及び詳細設計書等並びにこれらを記録した記録媒体をいう。
(適用範囲)
第3条 統合幕僚監部等において、この達の適用を受ける情報システムは、別に示す。
2 ネットワークに接続しないで独立して業務処理を行う1台の電子計算機及びそこで取り扱うデータは、この達のうち、第8条、第9条、第11条、第13条、第16条、第18条、第20条、第21条、第25条及び第27条から第29条の規定を適用しない。
第2章 組織及び体制
(情報保証対策委員)
第4条 訓令第5条第2項の規定に基づく防衛庁の情報保証対策委員会の委員は、統合幕僚監部指揮通信システム部指揮通信システム運用課長(以下「指揮通信システム運用課長」という。)をもって充てる。
(統幕情報保証対策委員会)
第5条 統合幕僚監部等の情報保証に関して統合幕僚監部等内相互の調整、連絡及び技術的事項の検討並びに第30条に規定する評価及び見直しの審議を行うため、統合幕僚監部情報保証対策委員会(以下「統幕対策委員会」という。)を置く。
2 統幕対策委員会は、委員長及び委員で構成する。
3 委員長は、統合幕僚監部指揮通信システム部長(以下「指揮通信システム部長」という。)をもって充てる。
4 委員は、各部先任課長等、統合幕僚学校長の指定する者及びその他委員長が必要と認める者とする。
5 委員長は、関係のある統合幕僚監部職員及び統合幕僚学校職員に対し、資料の提出、意見の開陳、説明その他必要な協力を求めることができる。
6 委員長は、統幕対策委員会の議事内容を情報保証責任者に報告するものとする。
7 統幕対策委員会の庶務は、統合幕僚監部指揮通信システム部指揮通信システム運用課において処理する。
(システム管理者等)
第6条 訓令第6条に基づく統合幕僚監部等における情報システムのシステム管理者は、別に示す。
2 システム管理者を補助するものとして、システム管理者補助者をおく。
3 システム管理者補助者は、別に示す。
(事案対処責任者)
第7条 訓令第7条第3項の規定に基づく統合幕僚監部等における事案対処責任者は、指揮通信システム部長とする。
2 事案対処責任者は、システム管理者が実施するサイバー攻撃等の未然防止及び対処に関し、必要な統制及び技術支援を行うものとする。
3 事案対処責任者が実施する業務を補佐するため、事案対処責任者補助者をおく。
4 事案対処責任者補助者は、指揮通信システム運用課長とする。
第3章 物理的対策
(サーバ等の設置)
第8条 統合幕僚監部等における情報システムの内、防衛秘密電子計算機情報及び秘密電子計算機情報を扱う情報システムのサーバについては、情報システム室に設置するものとする。
2 情報システム室の指定については、別に示す。
(情報システム室の入退室管理)
第9条 情報システム室の入退室管理に必要な措置は、別に示す。
(情報システムの搬入又は設置等)
第10条 システム管理者は、情報システムの搬入又は設置等を部外の者に行わせる場合には、作業開始から終了までの間、関係職員を立会させるものとする。
(情報システムの部外への設置)
第11条 システム管理者は、情報システムの一部を部外に設置する場合、情報システムが取り扱う電子計算機情報の秘密区分等に応じ、部外設置場所と防衛庁施設間の通信回線秘匿及び部外設置場所における保全を確保した上で、情報保証責任者の承認を得るものとする。
(端末の管理)
第12条 情報システムの利用者は、情報システムの端末を設置している事務室等を関係職員が不在にする場合、事務室等に施錠するものとする。
2 情報システムの端末を一時的に庁外に持ち出す場合、別紙様式第1に示す情報システム端末持ち出し管理簿により、システム管理者の許可を得て持ち出すものとする。
3 一時的に庁外に持ち出した端末のプログラム以外の電子計算機情報は、端末に内蔵された記憶装置には保存せず、可搬型の記憶装置に保存し、適切に管理するものとする。
4 庁外に持ち出した情報システムの端末を再度庁内の情報システムに接続する場合、ウィルスの駆除等を確実に実施した上で接続するものとし、システム管理者は、第2項の情報システム端末持ち出し管理簿(「ウィルスチェック結果」欄)により、実施結果を確認するものとする。
第4章 人的対策
(利用者の登録及び認証情報の管理)
第13条 システム管理者は、情報システムを利用する者に対し、認証情報を付与するものとする。
2 システム管理者は、情報システム利用申請手続きを定め、情報システム利用者の登録、変更、抹消等を適切に実施するものとする。
(教育及び訓練)
第14条 事案対処責任者は、職員に対し、情報保証の重要性を認識させるため、情報保証に関する教育を実施するとともに、必要な人員に対し、高度な知識及び技能を習得させるものとする。
2 情報保証に関する訓練については、別に示す。
3 システム管理者は、情報システム利用者に対し、必要な教育を実施するものとする。
(職員以外の情報システムの利用)
第15条 システム管理者は、防衛庁職員以外の者に情報システムを利用(保守整備作業を含む。)させる場合は、この達に定める情報システム利用者が守るべき事項を当該職員以外の者に理解させるとともに遵守させるために関係職員を立会させるものとする。
第5章 技術的対策
(情報システムの技術に関する基準)
第16条 情報システムを整備及び換装する際は、訓令第17条に規定する情報保証に関する技術上の基準に適合させるものとする。
2 システム管理者は、通達第4第1項第1号に規定する保全措置の一部を講じない必要がある情報システムがある場合、情報保証責任者の承認を得るものとする。
(情報システムの接続)
第17条 情報システムを他の情報システムと接続する場合の措置は、通達第4の規定に基づく処置を実施するものとする。
2 システム管理者は、防衛庁長官の承認が必要な情報システムの接続については、情報保証責任者を通じて必要な処置を実施するものとする。
(情報システムの導入)
第18条 システム管理者は、新たな情報システムを導入し、既に稼働している情報システムに接続又は新規ソフトウェア(更新及び修正プログラムの投入を含む。)を導入する場合には、あらかじめ、検証システム等を活用し、稼働中の情報システムに支障が生じないように検証を実施するものとする。
(情報システムの変更)
第19条 情報システムの配線変更、改造、機器の増設、交換又はソフトウェアの変更等、情報システムの形態を変更する場合は、システム管理者の許可を得るものとする。
2 システム管理者は、情報システムの形態に変更が生じた場合は、形態管理の記録を作成し、適切に情報システムの形態管理を実施するものとする。
(アクセス制御)
第20条 システム管理者は、電子計算機情報の利用を制限する必要がある場合には、情報システムにアクセス制限の機能を付加するものとする。
2 アクセス制限の基準については、訓令第17条に規定する技術基準によるものとする。
3 情報システムにおいては、ネットワークの構成に無線LANを使用してはならない。
4 システム管理者は、情報システムに対して部外からアクセスする必要がある場合は、通達第4第3項第3号に規定される事項を遵守した上で、情報保証責任者の許可を得るものとする。
(アクセス記録)
第21条 システム管理者は、情報システムに対し、サーバ等へのアクセスを記録できる機能を付加するものとする。
2 アクセス記録は、情報システム内に保存し、必要に応じシステム管理者又はその指定する者のみが利用できるものとし、アクセス記録の保存期間は、システム管理者が定めるものとする。
(情報システム障害時の措置)
第22条 システム管理者は、情報システムに障害が発生した場合は、速やかに復旧させるための措置を講ずるとともに、原因究明のためのログの収集整理及び障害記録を作成し、適切に管理するものとする。
2 システム管理者は、他の情報システムと接続した情報システムの障害で、障害が接続した情報システムに影響を及ぼす又はそのおそれがある場合は、情報保証責任者に報告するとともに、関係するシステム管理者に通報し、必要があれば他の情報システムとの接続を障害復旧までの間、切断することができる。
3 システム管理者は、情報システム障害時に情報システムを障害発生前の状態に復元させるため、情報システムの電子計算機情報を1週間に1度を基準に複製するものとする。
(情報システムの修理、廃棄等)
第23条 システム管理者は、注意以上の電子計算機情報を扱う情報システムの全部又は一部を修理、廃棄又は返却等のため、部外の事業者に受け渡す場合は、記録装置内の電子計算機情報を消去プログラム等を活用し、完全に消去した上で受け渡しを実施するものとする。ただし、情報システムの動作確認等のためにプログラムを残置する必要がある場合は、データのみの消去とすることができる。
2 電子計算機情報の消去方法については、秘密電子計算機情報の保全及び注意 電子計算機情報の取り扱い要綱について(通達)(防防調第3381号。16. 4.1)第18及び第19により実施するものとする。
(情報システムの仕様書等の管理)
第24条 システム管理者は、仕様書等を適切に管理するため、別紙様式第2に示す情報システム仕様書等管理簿を作成し、管理するものとする。
2 仕様書等は、保管場所を定め、適切に保管するものとし、保管場所からの持ち出しは、システム管理者の許可を得るものとする。
(セキュリティ情報の収集)
第25条 事案対処責任者補助者は、セキュリティ情報を継続的に収集・分析し、必要に応じ、システム管理者に連絡するものとする。
2 事案対処責任者補助者は、収集・分析したセキュリティ情報の内、情報システムに重大な影響を及ぼすおそれのあるセキュリティ情報については、事案対処責任者及び情報保証責任者に報告するとともに、通達第4第8項により、関係する機関に連絡し、情報共有するものとする。
3 システム管理者は、当該情報システムに関連するセキュリティ情報を常に把握し、必要に応じ当該情報システムを使用する職員に周知徹底するものとし、当該情報システムに重大な影響を及ぼすおそれのあるセキュリティ情報については、情報保証責任者に報告するとともに、事案対処責任者に連絡するものとする。
4 セキュリティ情報の連絡体制は別に示す。
第6章 運用
(遵守状況の確認)
第26条 システム管理者は、この達及び関連する規則に関し、情報システムを使用する職員の遵守状況を適時アクセス記録等により、確認するものとする。
2 システム管理者は、違反の発生が情報保証上重大な影響を及ぼす可能性があると判断した場合は、情報保証責任者に報告するものとする。
(サイバー攻撃等の未然防止及び対処)
第27条 サイバー攻撃等を未然に防止し、サイバー攻撃等が発生した場合に情報システムに対する被害を局限するための対処の基準については、別に示す。
2 事案対処責任者は、前項に規定する対処基準に基づき、サイバー攻撃等の未然防止のための必要な措置に関し、事案対処統括者及び他の機関等の事案対処責任者と調整するとともに、システム管理者に対し技術的支援及び必要な統制を実施するものとする。
3 事案対処責任者補助者は、事案対処責任者が実施する前項の規定に関し、システム管理者、事案対処統括者及び他の機関等の事案対処責任者と必要な連絡・調整を実施するものとする。
4 システム管理者は、第1項のサイバー攻撃等対処の基準に基づき、サイバー攻撃等の未然防止及び対処態勢をとるものとする。
(サイバー攻撃等への対処)
第28条 システム管理者は、サイバー攻撃等を受けた場合には直ちに事案対処責任者に通報し、対処基準に基づき、証拠保全、被害拡大防止、復旧等の措置を実施するとともに、再発防止のための措置を講じなければならない。
2 事案対処責任者は、前項の通報を受けた場合には、事案対処統括者に通報し、必要に応じ他の機関の事案対処責任者と連携するとともに、対処基準に基づき、システム管理者が実施するサイバー攻撃等への対処について、技術的な支援及び必要な統制を行うものとする。
3 システム管理者は、サイバー攻撃等による被害が重大であった場合(情報システムの運用を継続できない場合、又は他の情報システムとの接続を切断する場合をいう。)には、情報保証責任者に報告するものとする。
(システム監査)
第29条 統合幕僚監部等の情報システムに対しては、情報システムの監査を実施するものとする。
2 統合幕僚監部における情報システム監査要領は、指揮通信システム部長が定めるものとする。
第7章 評価及び見直し
(評価及び見直し)
第30条 統幕対策委員会は、本達について、適宜実効性を評価し、技術の進歩等により、情報システムに新たな対策等を講じる必要が生じた場合には、見直しを審議するものとする。
第8章 雑則
(委任規定)
第31条 この達の実施に関し、必要な事項は、システム管理者が別に定める。
附 則
この達は、平成18年3月27日から施行する。