サイトトップへこのカテゴリの一覧へ

Q 27002:2014 (ISO/IEC 27002:2013) 

(1) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

目 次 

ページ 

0 序文······························································································································· 1 

0.1 背景及び状況 ················································································································ 1 

0.2 情報セキュリティ要求事項 ······························································································ 2 

0.3 管理策の選定 ················································································································ 2 

0.4 組織固有の指針の策定 ···································································································· 2 

0.5 ライフサイクルに関する考慮事項······················································································ 3 

0.6 関連規格 ······················································································································ 3 

1 適用範囲························································································································· 3 

2 引用規格························································································································· 3 

3 用語及び定義 ··················································································································· 4 

4 規格の構成 ······················································································································ 4 

4.1 箇条の構成 ··················································································································· 4 

4.2 管理策のカテゴリ ·········································································································· 4 

5 情報セキュリティのための方針群 ························································································ 4 

5.1 情報セキュリティのための経営陣の方向性 ·········································································· 4 

6 情報セキュリティのための組織 ··························································································· 6 

6.1 内部組織 ······················································································································ 6 

6.2 モバイル機器及びテレワーキング······················································································ 8 

7 人的資源のセキュリティ ··································································································· 11 

7.1 雇用前 ························································································································ 11 

7.2 雇用期間中 ·················································································································· 13 

7.3 雇用の終了及び変更 ······································································································ 15 

8 資産の管理 ····················································································································· 16 

8.1 資産に対する責任 ········································································································· 16 

8.2 情報分類 ····················································································································· 17 

8.3 媒体の取扱い ··············································································································· 19 

9 アクセス制御 ·················································································································· 21 

9.1 アクセス制御に対する業務上の要求事項············································································ 21 

9.2 利用者アクセスの管理 ··································································································· 23 

9.3 利用者の責任 ··············································································································· 26 

9.4 システム及びアプリケーションのアクセス制御 ··································································· 27 

10 暗号 ···························································································································· 30 

10.1 暗号による管理策 ········································································································ 30 

11 物理的及び環境的セキュリティ ························································································ 32 

11.1 セキュリティを保つべき領域 ························································································· 32 

Q 27002:2014 (ISO/IEC 27002:2013) 目次 

(2) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ページ 

11.2 装置 ·························································································································· 35 

12 運用のセキュリティ ······································································································· 39 

12.1 運用の手順及び責任 ····································································································· 39 

12.2 マルウェアからの保護 ·································································································· 42 

12.3 バックアップ ·············································································································· 43 

12.4 ログ取得及び監視 ········································································································ 44 

12.5 運用ソフトウェアの管理 ······························································································· 46 

12.6 技術的ぜい弱性管理 ····································································································· 47 

12.7 情報システムの監査に対する考慮事項 ············································································· 49 

13 通信のセキュリティ ······································································································· 50 

13.1 ネットワークセキュリティ管理 ······················································································ 50 

13.2 情報の転送 ················································································································· 51 

14 システムの取得,開発及び保守 ························································································ 55 

14.1 情報システムのセキュリティ要求事項 ············································································· 55 

14.2 開発及びサポートプロセスにおけるセキュリティ ······························································ 57 

14.3 試験データ ················································································································· 62 

15 供給者関係 ··················································································································· 63 

15.1 供給者関係における情報セキュリティ ············································································· 63 

15.2 供給者のサービス提供の管理 ························································································· 66 

16 情報セキュリティインシデント管理 ·················································································· 67 

16.1 情報セキュリティインシデントの管理及びその改善 ··························································· 67 

17 事業継続マネジメントにおける情報セキュリティの側面 ······················································· 71 

17.1 情報セキュリティ継続 ·································································································· 71 

17.2 冗長性 ······················································································································· 73 

18 順守 ···························································································································· 73 

18.1 法的及び契約上の要求事項の順守 ··················································································· 73 

18.2 情報セキュリティのレビュー ························································································· 76 

参考文献 ···························································································································· 79 

Q 27002:2014 (ISO/IEC 27002:2013) 

(3) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

まえがき 

この規格は,工業標準化法第14条によって準用する第12条第1項の規定に基づき,一般財団法人日本

規格協会(JSA)から,工業標準原案を具して日本工業規格を改正すべきとの申出があり,日本工業標準

調査会の審議を経て,経済産業大臣が改正した日本工業規格である。これによって,JIS Q 27002:2006は

改正され,この規格に置き換えられた。 

この規格は,著作権法で保護対象となっている著作物である。 

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

日本工業規格          JIS 

Q 27002:2014 

(ISO/IEC 27002:2013) 

情報技術−セキュリティ技術− 

情報セキュリティ管理策の実践のための規範 

Information technology-Security techniques- 

Code of practice for information security controls 

序文 

この規格は,2013年に第2版として発行されたISO/IEC 27002を基に,技術的内容及び構成を変更する

ことなく作成した日本工業規格である。 

なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。 

0.1 

背景及び状況 

この規格は,組織が,JIS Q 27001[10]に基づく情報セキュリティマネジメントシステム(以下,ISMS

という。)を実施するプロセスにおいて,管理策を選定するための参考として用いる,又は一般に受け入れ

られている情報セキュリティ管理策を実施するための手引として用いることを意図している。また,この

規格は,それぞれに固有の情報セキュリティリスクの環境を考慮に入れて,業界及び組織に固有の情報セ

キュリティマネジメントの指針を作成する場合に用いることも意図している。 

形態及び規模を問わず,全ての組織(公共部門及び民間部門,並びに営利及び非営利を含む。)は,電子

的形式,物理的形式及び口頭(例えば,会話,プレゼンテーション)を含む多くの形式で,情報を収集,

処理,保存及び送信する。 

情報には,書かれた言葉,数字及び画像そのものを上回る価値がある。知識,概念,アイデア及びブラ

ンドは,そのような無形の情報の例である。相互につながった世界では,情報も,情報に関連するプロセ

ス,システム,ネットワーク並びにこれらの運営,取扱い及び保護に関与する要員も,他の重要な事業資

産と同様,組織の事業にとって高い価値をもつ資産であり,様々な危険から保護するに値するものであり,

又は保護する必要がある。 

資産は,意図的及び偶発的な脅威の両方にさらされるが,関連するプロセス,システム,ネットワーク

及び要員には内在的なぜい弱性がある。事業のプロセス及びシステムに対する変更,又はその他の外部の

変更(新しい法令,規制など)によって,新たな情報セキュリティリスクが発生することもある。すなわ

ち,脅威がぜい弱性を利用して,組織に害を及ぼす方法が無数にあることを考え合わせると,情報セキュ

リティリスクは常に存在する。有効な情報セキュリティは,脅威及びぜい弱性から組織を保護することで,

これらのリスクを低減し,これによって,資産に対する影響を低減する。 

情報セキュリティは,方針,プロセス,手順,組織構造,並びにソフトウェア及びハードウェアの機能

を含む,一連の適切な管理策を実施することで達成される。これらの管理策は,組織固有のセキュリティ

目的及び事業目的を満たすことを確実にするために,必要に応じて確立,実施,監視,レビュー及び改善

をする必要がある。JIS Q 27001[10]に規定するISMSでは,一貫したマネジメントシステムの総合的な枠

組みに基づいて,包括的な情報セキュリティ管理策集を実施するため,組織の情報セキュリティリスクを

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

総体的に,関連付けて捉えている。 

多くの情報システムは,JIS Q 27001[10]及びこの規格が意味するセキュリティを保つようには設計され

てこなかった。技術的な手段によって達成できるセキュリティには限界があり,適切な管理及び手順によ

って支えることが望ましい。実施する管理策の特定には,綿密な計画及び細部にわたる注意が必要である。

ISMSを成功させるには,その組織の全ての従業員がこれを支持する必要がある。株主,供給者又はその

他の外部関係者の参加が必要な場合もある。また,外部関係者による助言が必要な場合もある。 

一般的には,有効な情報セキュリティは,組織の資産が十分に安全であり,危害から保護されているこ

とを経営陣及びその他の利害関係者に対して保証し,これによって事業を支えている。 

0.2 

情報セキュリティ要求事項 

組織が組織自体のセキュリティ要求事項を特定することは,極めて重要である。セキュリティ要求事項

は,主に次の三つによって導き出せる。 

a) 組織全体における事業戦略及び目的を考慮に入れた,組織に対するリスクアセスメント。リスクアセ

スメントによって資産に対する脅威を特定し,事故発生につながるぜい弱性及び事故の起こりやすさ

を評価し,潜在的な影響を推定する。 

b) 組織,その取引相手,契約相手及びサービス提供者が満たさなければならない法的,規制及び契約上

の要求事項,並びにその社会文化的環境。 

c) 組織がその活動を支えるために策定した,情報の取扱い,処理,保存,伝達及び保管に関する一連の

原則,目的及び事業上の要求事項。 

管理策の実施に用いる資源は,管理策がなかった場合にセキュリティ問題から発生する可能性のある事

業損害に対してバランスがとれている必要がある。リスクアセスメントの結果は,次のことを導き,決定

することに役に立つ。 

− 適切な管理活動 

− 情報セキュリティリスクの管理の優先順位 

− これらのリスクから保護するために選定された管理策の実施の優先順位 

情報セキュリティリスクマネジメントに関する手引が,ISO/IEC 27005[11]に示されている。この手引に

は,リスクアセスメント,リスク対応,リスク受容,リスクコミュニケーション,リスクの監視及びリス

クのレビューに関する助言も含まれている。 

0.3 

管理策の選定 

管理策は,この規格又は他の管理策集から選定することができ,また,固有の要求に合わせて新しい管

理策を適切に設計することもできる。 

管理策の選定は,リスク受容基準,リスク対応における選択肢,及び当該組織が採用している全般的な

リスクマネジメントの取組みを基に下した組織的な判断に依存するものであり,また,全ての関連する国

内外の法令及び規制にも従うことが望ましい。管理策の選定は,徹底した防御を実現するために,管理策

が相互に作用し合う方法にも依存する。 

この規格に規定する管理策の幾つかは,情報セキュリティマネジメントのための指導原理と考えられ,

ほとんどの組織に適用できる。管理策については,実施の手引とともに箇条5以降に更に詳しく示す。管

理策の選定及びその他のリスク対応の選択肢についての情報は,ISO/IEC 27005[11]に示されている。 

0.4 

組織固有の指針の策定 

この規格を,組織に固有の指針を策定するための出発点としてもよい。この規格に規定する管理策及び

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

手引は,その全てが適用できるとは限らない。また,この規格には規定されていない管理策及び指針が必

要なこともある。追加の指針又は管理策を含む文書を作成する場合,監査人及び取引相手による順守状況

の確認を容易にするために,可能な場合,この規格の箇条との対比表を含めると便利なこともある。 

0.5 

ライフサイクルに関する考慮事項 

情報には,作成及び発生から,保存,処理,利用及び送信を経て,最終的な破棄又は陳腐化に至る,自

然なライフサイクルがある。資産の価値及び資産に対するリスクは,資産の存続期間の間に変化すること

があるが(例えば,企業の金融勘定の認可されていない開示又は盗難は,これらの情報が正式に公開され

た後には,その影響ははるかに小さくなる。),情報セキュリティには,ライフサイクルの全ての段階を通

じて一定の重要性がある。 

情報システムには,着想から,仕様の決定,設計,開発,試験,導入,利用,維持,最終的な運用終了,

処分までのライフサイクルがある。これら全ての段階で情報セキュリティを考慮に入れることが望ましい。

新たなシステムの開発及び既存のシステムの変更は,組織にとって,実際のインシデント,現在の情報セ

キュリティリスク及び予想される情報セキュリティリスクを考慮に入れて,セキュリティ管理策を更新及

び改善する機会となる。 

0.6 

関連規格 

この規格は,多様な組織に一般的に適用される幅広い情報セキュリティ管理策に関する手引を示してい

るが,情報セキュリティの管理に関するプロセス全体におけるその他の側面については,他のISMSファ

ミリ規格に補足の助言又は要求事項が示されている。 

ISMS及びファミリ規格の概要については,ISO/IEC 27000に示されている。ISO/IEC 270001)は,ISMS

ファミリ規格の用語を定義し,各規格の適用範囲及び目的を記載している。 

注1) ISMSファミリ規格の用語及び定義については,JIS Q 27000が制定されている。 

適用範囲 

この規格は,組織の情報セキュリティリスクの環境を考慮に入れた管理策の選定,実施及び管理を含む,

組織の情報セキュリティ標準及び情報セキュリティマネジメントの実践のための規範について規定する。 

この規格は,次の事項を意図する組織への適用を目的としている。 

a) JIS Q 27001[10]に基づくISMSを実施するプロセスで,管理策を選定する。 

b) 一般に受け入れられている情報セキュリティ管理策を実施する。 

c) 固有の情報セキュリティマネジメントの指針を作成する。 

注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。 

ISO/IEC 27002:2013,Information technology−Security techniques−Code of practice for information 

security controls(IDT) 

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ

とを示す。 

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。この引用

規格は,その最新版(追補を含む。)を適用する。 

JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語 

注記 対応国際規格:ISO/IEC 27000,Information technology−Security techniques−Information 

background image

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

security management systems−Overview and vocabulary(MOD) 

用語及び定義 

この規格で用いる主な用語及び定義は,JIS Q 27000による。 

規格の構成 

この規格は,情報セキュリティ管理策について,14の箇条で構成し,そこに,合計で35のカテゴリ及

び114の管理策を規定している。 

4.1 

箇条の構成 

管理策を定めた各箇条には,一つ以上のカテゴリがある。 

この規格において,箇条の順序は,その重要度を示すものではない。状況に応じて,いずれかの箇条又

は全ての箇条の管理策が重要となる可能性があり,このため,この規格を適用している組織は,適用でき

る管理策及びそれらの重要度を特定し,個々の業務プロセスへのそれぞれの適用を明確にすることが望ま

しい。 

なお,この規格の全ての項目は,優先順に並んではいない。 

4.2 

管理策のカテゴリ 

各管理策のカテゴリには,次の事項が含まれる。 

a) 達成すべきことを記載した管理目的 

b) 管理目的を達成するために適用できる一つ以上の管理策 

管理策の記載は,次のように構成する。 

管理策 

管理目的を満たすための特定の管理策を規定する。 

実施の手引 

管理策を実施し,管理目的を満たすことを支持するためのより詳細な情報を提供する。手引は,必ずし

も全ての状況において適していない又は十分でない可能性があり,組織の特定の管理策の要求事項を満た

せない可能性がある。 

関連情報 

考慮が必要と思われる関連情報(法的な考慮事項,他の規格への参照など)を提供する。考慮が必要な

更なる情報がない場合は,この部分は削除される。 

情報セキュリティのための方針群 

5.1 

情報セキュリティのための経営陣の方向性 

目的 情報セキュリティのための経営陣の方向性及び支持を,事業上の要求事項並びに関連する法令及び

規制に従って提示するため。 

5.1.1 

情報セキュリティのための方針群 

管理策 

情報セキュリティのための方針群は,これを定義し,管理層が承認し,発行し,従業員及び関連する外

部関係者に通知することが望ましい。 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

注記 管理層には,経営陣及び管理者が含まれる。ただし,実務管理者(administrator)は除かれる。 

実施の手引 

組織は,方針群の最も高いレベルに,一つの情報セキュリティ方針を定めることが望ましい。この情報

セキュリティ方針は,経営陣によって承認されるものであり,組織の情報セキュリティ目的の管理に対す

る取組みを示すものである。 

情報セキュリティ方針は,次の事項によって生じる要求事項を取り扱うことが望ましい。 

a) 事業戦略 

b) 規制,法令及び契約 

c) 現在の及び予想される情報セキュリティの脅威環境 

情報セキュリティ方針には,次の事項に関する記載を含めることが望ましい。 

a) 情報セキュリティに関する全ての活動の指針となる,情報セキュリティの定義,目的及び原則 

b) 情報セキュリティマネジメントに関する一般的な責任及び特定の責任の,定められた役割への割当て 

c) 逸脱及び例外を取り扱うプロセス 

方針群のより低いレベルでは,情報セキュリティ方針は,トピック固有の個別方針によって支持される

ことが望ましい。このトピック固有の個別方針は,情報セキュリティ管理策の実施を更に求めるもので,

一般に組織内の対象となる特定のグループの要求に対処するように,又は特定のトピックを対象とするよ

うに構成されている。 

このような個別方針のトピックの例を,次に示す。 

a) アクセス制御(箇条9参照) 

b) 情報分類(及び取扱い)(8.2参照) 

c) 物理的及び環境的セキュリティ(箇条11参照) 

d) 次のような,エンドユーザ関連のトピック 

1) 資産利用の許容範囲(8.1.3参照) 

2) クリアデスク・クリアスクリーン(11.2.9参照) 

3) 情報転送(13.2.1参照) 

4) モバイル機器及びテレワーキング(6.2参照) 

5) ソフトウェアのインストール及び使用の制限(12.6.2参照) 

e) バックアップ(12.3参照) 

f) 

情報の転送(13.2参照) 

g) マルウェアからの保護(12.2参照) 

h) 技術的ぜい弱性の管理(12.6.1参照) 

i) 

暗号による管理策(箇条10参照) 

j) 

通信のセキュリティ(箇条13参照) 

k) プライバシー及び個人を特定できる情報(以下,PIIという。)の保護(18.1.4参照) 

l) 

供給者関係(箇条15参照) 

これらの個別方針は,従業員及び関係する外部関係者にとって適切で,アクセス可能かつ理解可能な形

式で伝達することが望ましい(例えば,7.2.2に示す,情報セキュリティの意識向上,教育及び訓練のプロ

background image

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

グラムに従う。)。 

関連情報 

情報セキュリティに関する内部方針の必要性は,組織によって異なる。内部方針は,期待される管理策

のレベルを定め承認する者とその管理策を実施する者とが分離されている大規模で複雑な組織において,

又は一つの方針が組織内の異なる人々若しくは異なる部門に適用される状況においては,特に有用である。

情報セキュリティのための方針は,単一の“情報セキュリティ方針”文書として発行することも,互いに

関連のある一連の個別文書として発行することもできる。 

情報セキュリティのための方針群のいかなる方針も,組織外部に配布する場合,秘密情報が開示されな

いように注意することが望ましい。 

組織によっては,これらの方針文書を指す場合に,“標準”,“指令”又は“規則”のような他の用語を用

いている。 

5.1.2 

情報セキュリティのための方針群のレビュー 

管理策 

情報セキュリティのための方針群は,あらかじめ定めた間隔で,又は重大な変化が発生した場合に,そ

れが引き続き適切,妥当かつ有効であることを確実にするためにレビューすることが望ましい。 

実施の手引 

各々の情報セキュリティのための方針には,その方針の作成,レビュー及び評価についての管理責任を

与えられた責任者を置くことが望ましい。レビューには,組織環境,業務環境,法的状況又は技術環境の

変化に応じた,組織の情報セキュリティのための方針群及び情報セキュリティの管理への取組みに関する,

改善の機会の評価を含めることが望ましい。 

情報セキュリティのための方針群のレビューでは,マネジメントレビューの結果を考慮することが望ま

しい。 

改訂された情報セキュリティのための方針は,管理層から承認を得ることが望ましい。 

情報セキュリティのための組織 

6.1 

内部組織 

目的 組織内で情報セキュリティの実施及び運用に着手し,これを統制するための管理上の枠組みを確立

するため。 

6.1.1 

情報セキュリティの役割及び責任 

管理策 

全ての情報セキュリティの責任を定め,割り当てることが望ましい。 

実施の手引 

情報セキュリティの責任の割当ては,情報セキュリティのための方針群(5.1.1参照)によって行うこと

が望ましい。個々の資産の保護に対する責任及び特定の情報セキュリティプロセスの実施に対する責任を

定めることが望ましい。情報セキュリティのリスクマネジメント活動に関する責任,特に残留リスクの受

容に関する責任を定めることが望ましい。必要な場合には,この責任を,個別のサイト及び情報処理施設

に対する,より詳細な手引で補完することが望ましい。その場所の,資産の保護及び特定の情報セキュリ

ティプロセスの実行に関する責任を定めることが望ましい。 

情報セキュリティの責任を割り当てられた個人は,情報セキュリティに関する職務を他者に委任しても

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

よい。しかし,責任は依然としてその個人にあり,委任した職務がいずれも正しく実施されていることを,

その個人が確認することが望ましい。 

個人が責任をもつ領域を規定することが望ましい。特に,次を実施することが望ましい。 

a) 資産及び情報セキュリティプロセスの識別及び規定 

b) 各資産又は情報セキュリティプロセスに対する責任主体の指定,及びその責任の詳細の文書化(8.1.2

参照) 

c) 承認レベルの規定及び文書化 

d) 情報セキュリティ分野における責任を果たせるようにするために,任命された個人が当該分野の力量

をもつこと,及び最新の状況を把握するための機会が与えられること 

e) 供給者関係における情報セキュリティの側面の調整及び管理に関する事項の特定及び文書化 

関連情報 

多くの組織では,情報セキュリティの開発及び実施に対して全般的な責任をもち,管理策の特定を支持

するために,一人の情報セキュリティ管理者を任命する。 

しかし,管理策の資源確保及び実施の責任は,多くの場合,個々の管理者にある。一般的には,各資産

にそれぞれ一人の管理責任者を任命し,その者が日々のセキュリティ保護に責任をもつことが普通である。 

6.1.2 

職務の分離 

管理策 

相反する職務及び責任範囲は,組織の資産に対する,認可されていない若しくは意図しない変更又は不

正使用の危険性を低減するために,分離することが望ましい。 

実施の手引 

認可されていない状態又は検知されない状態で,一人で資産に対してアクセス,修正又は使用ができな

いように注意することが望ましい。ある作業を始めることと,その作業を認可することとを分離すること

が望ましい。管理策の設計においては,共謀のおそれを考慮することが望ましい。 

小さな組織では,職務の分離を実現するのは難しい場合がある。しかし,この原則は,実施可能な限り

適用することが望ましい。分離が困難である場合には,他の管理策(例えば,活動の監視,監査証跡,管

理層による監督)を考慮することが望ましい。 

関連情報 

職務の分離は,組織の資産の不注意又は故意による不正使用のリスクを低減する一つの手段である。 

6.1.3 

関係当局との連絡 

管理策 

関係当局との適切な連絡体制を維持することが望ましい。 

実施の手引 

組織は,いつ,誰が関係当局(例えば,法の執行機関,規制当局,監督官庁)に連絡するかの手順を備

えることが望ましい。また,例えば,法が破られたと疑われる場合に,特定した情報セキュリティインシ

デントをいかにして時機を失せずに報告するかの手順を備えることが望ましい。 

関連情報 

インターネットからの攻撃下にある組織は,関係当局が攻撃元に対して対策をとることを必要とする場

合もある。 

そのような連絡体制を維持することは,情報セキュリティインシデント管理(箇条16参照),又は事業

継続及び緊急時対応計画策定プロセス(箇条17参照)を支援するための要求事項である場合がある。規制

background image

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

当局との連絡は,組織が実施しなければならない法令又は規制の改正動向を事前に把握し,対応すること

にも役立つ。関係当局としての他の連絡先には,公益事業,緊急時サービス,電気事業,安全衛生などの

事業者[例えば,消防署(事業継続に関連して),通信事業者(回線の経路設定及び可用性に関連して),

水道事業者(装置の冷却用設備に関連して)]がある。 

6.1.4 

専門組織との連絡 

管理策 

情報セキュリティに関する研究会又は会議,及び情報セキュリティの専門家による協会・団体との適切

な連絡体制を維持することが望ましい。 

実施の手引 

次の事項を達成する手段として,情報セキュリティに関する研究会又は会議への参加を考慮することが

望ましい。 

a) 最適な慣行に関する認識を改善し,関係するセキュリティ情報を最新に保つ。 

b) 情報セキュリティ環境の理解が最新かつ完全であることを確実にする。 

c) 攻撃及びぜい弱性に関連する早期警戒警報,勧告及びパッチを受理する。 

d) 専門家から情報セキュリティの助言を得る。 

e) 新しい技術,製品,脅威又はぜい弱性に関する情報を共用し,交換する。 

f) 

情報セキュリティインシデントを扱う場合の,適切な連絡窓口を提供する(箇条16参照)。 

関連情報 

セキュリティの課題に関する協力関係及び連携を向上するために,情報共有に関して合意を確立するこ

ともできる。このような合意では,秘密情報の保護に対する要求事項を特定することが望ましい。 

6.1.5 

プロジェクトマネジメントにおける情報セキュリティ 

管理策 

プロジェクトの種類にかかわらず,プロジェクトマネジメントにおいては,情報セキュリティに取り組

むことが望ましい。 

実施の手引 

情報セキュリティリスクがプロジェクトの中で特定及び対処されることを確実にするために,情報セキ

ュリティを組織のプロジェクトマネジメント手法に組み入れることが望ましい。これは,プロジェクトの

特性にかかわらず,一般にあらゆるプロジェクトに適用される(例えば,中核事業プロセス,IT,施設管

理,その他のサポートプロセスのためのプロジェクト)。用いるプロジェクトマネジメント手法では,次の

事項を要求することが望ましい。 

a) 情報セキュリティ目的をプロジェクトの目的に含める。 

b) 必要な管理策を特定するため,プロジェクトの早い段階で情報セキュリティリスクアセスメントを実

施する。 

c) 適用するプロジェクトマネジメントの方法論の全ての局面において,情報セキュリティを含める。 

全てのプロジェクトにおいて,情報セキュリティの組織への影響を明確にし,これを定期的にレビュー

することが望ましい。プロジェクトマネジメント手法で定められた役割を明確にするため,情報セキュリ

ティに関する責任を定め,割り当てることが望ましい。 

6.2 

モバイル機器及びテレワーキング 

目的 モバイル機器の利用及びテレワーキングに関するセキュリティを確実にするため。 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

6.2.1 

モバイル機器の方針 

管理策 

モバイル機器を用いることによって生じるリスクを管理するために,方針及びその方針を支援するセキ

ュリティ対策を採用することが望ましい。 

実施の手引 

モバイル機器を用いる場合,業務情報が危険にさらされないことを確実にするために,特別な注意を払

うことが望ましい。モバイル機器の方針は,保護されていない環境におけるモバイル機器を用いた作業の

リスクを考慮に入れることが望ましい。 

モバイル機器の方針では,次の事項を考慮することが望ましい。 

a) モバイル機器の登録 

b) 物理的保護についての要求事項 

c) ソフトウェアのインストールの制限 

d) モバイル機器のソフトウェアのバージョン及びパッチ適用に対する要求事項 

e) 情報サービスへの接続の制限 

f) 

アクセス制御 

g) 暗号技術 

h) マルウェアからの保護 

i) 

遠隔操作による機器の無効化,データの消去又はロック 

j) 

バックアップ 

k) ウェブサービス及びウェブアプリケーションの使用 

公共の場所,会議室,その他保護されていない場所でモバイル機器を用いるときは,注意を払うことが

望ましい。これらの機器に保管され,処理される情報について,認可されていないアクセス又は漏えいを

防止するため,例えば,暗号技術の使用(箇条10参照),秘密認証情報の使用の強制(9.2.4参照)などの

保護を実施することが望ましい。 

モバイル機器は,また,盗難,特にどこか(例えば,自動車,他の輸送機関,ホテルの部屋,会議室,

集会所)に置き忘れたときの盗難から,物理的に保護されることが望ましい。モバイル機器の盗難又は紛

失の場合の対策のために,法規制,保険及び組織の他のセキュリティ要求事項を考慮した特定の手順を確

立することが望ましい。重要度の高い,取扱いに慎重を要する又は影響の大きい業務情報が入っているモ

バイル機器は,無人の状態で放置しないほうがよい。可能な場合には,物理的に施錠するか,又はモバイ

ル機器のセキュリティを確保するために特別な錠を用いることが望ましい。 

この作業形態に起因する追加のリスク及び実施することが望ましい管理策についての意識向上のために,

モバイル機器を用いる要員に対する教育・訓練を計画・準備することが望ましい。 

モバイル機器の方針で,個人所有のモバイル機器の使用が許されている場合は,その方針及び関連する

セキュリティ対策において,次の事項も考慮することが望ましい。 

a) 機器の私的な使用と業務上の使用とを区別する。このような区別を可能とし,個人所有の機器に保存

された業務データを保護するためのソフトウェアの使用も含む。 

b) エンドユーザ合意書に利用者が署名した場合にだけ,業務情報にアクセスできるようにする。エンド

ユーザ合意書には,利用者の義務(物理的な保護,ソフトウェアの更新など)についての確認,業務

データに対する所有権を主張しないこと,及び機器の盗難若しくは紛失があった場合又はサービス利

10 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

用の認可が取り消された場合に組織が遠隔操作でデータを消去することへの合意を含む。この方針で

は,プライバシーに関する法令を考慮する必要がある。 

関連情報 

モバイル機器の無線接続は,ネットワーク接続の他のタイプと類似しているが,管理策を特定するとき

に考慮することが望ましい重要な違いがある。典型的な違いは,次のとおりである。 

a) 幾つかの無線のセキュリティプロトコルは,完成度が低く弱点が知られている。 

b) モバイル機器に蓄積した情報は,ネットワーク帯域が限られているか,計画したバックアップの時間

にモバイル機器を接続していなかったことから,バックアップされていない場合がある。 

一般に,モバイル機器は,固定機器と共通の機能をもっている(例えば,ネットワーク,インターネッ

ト接続,電子メール,ファイルの取扱い)。また,モバイル機器の情報セキュリティ管理策は一般に,固定

機器で採用される管理策,及び組織の敷地外でモバイル機器を用いることから生じる脅威に対処するため

の管理策から構成される。 

6.2.2 

テレワーキング 

管理策 

テレワーキングの場所でアクセス,処理及び保存される情報を保護するために,方針及びその方針を支

援するセキュリティ対策を実施することが望ましい。 

実施の手引 

テレワーキング活動を許可する組織は,テレワーキングを行う場合の条件及び制限を定めた方針を発行

することが望ましい。法令が適用され,これによって認可されるとみなされる場合には,次の事項を考慮

することが望ましい。 

a) 建物及び周辺環境の物理的セキュリティを考慮に入れた,テレワーキングの場所の既存の物理的セキ

ュリティ 

b) 提案された物理的なテレワーキングの環境 

c) 次を考慮した,通信のセキュリティに関する要求事項 

− 組織の内部システムへの遠隔アクセスの必要性 

− 通信回線からアクセスし,通信回線を通過する情報の取扱いに慎重を要する度合い 

− 内部システムの取扱いに慎重を要する度合い 

d) 個人所有の装置で情報を処理及び保管できないようにする仮想デスクトップへのアクセスの提供 

e) 住環境を共有する者(例えば,家族,友人)による,情報又は資源への認可されていないアクセスの

脅威 

f) 

家庭のネットワークの使用及び無線ネットワークサービスの設定に関する要求事項又は制限 

g) 個人所有の装置の上で開発した知的財産の権利に関する論争を防ぐための方針及び手順 

h) 個人所有の装置へのアクセス(装置のセキュリティ検証のためのもの,又は調査期間中に行うもの)。 

なお,このアクセスは,法令が禁じている場合がある。 

i) 

従業員又は外部の利用者が個人的に所有するワークステーション上のクライアントソフトウェアの使

用許諾について,組織が責任をもつことになる場合の,ソフトウェアの使用許諾契約 

j) 

マルウェアに対する保護及びファイアウォールの要件 

考慮すべき指針及び取決めには,次の事項を含むことが望ましい。 

background image

11 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

a) 組織の管理下にない個人所有の装置の使用を許さない場合には,テレワーキング活動のための適切な

装置及び保管用具の用意 

b) 許可した作業,作業時間,保持してもよい情報の分類,並びにテレワーキングを行う者にアクセスを

認可する内部システム及びサービスの定義 

c) 安全な遠隔アクセス方法を含め,適切な通信装置の用意 

d) 物理的セキュリティ 

e) 家族及び訪問者による装置及び情報へのアクセスに関する規則及び手引 

f) 

ハードウェア及びソフトウェアのサポート及び保守の用意 

g) 保険の用意 

h) バックアップ及び事業継続のための手順 

i) 

監査及びセキュリティの監視 

j) 

テレワーキングが終了したときの,権限及びアクセス権の失効並びに装置の返却 

関連情報 

テレワーキングとは,オフィス以外で行うあらゆる作業形態をいう。これには,“コンピュータ端末を用

いた在宅勤務(telecommuting)”,“柔軟な作業場(flexible workplace)”,“遠隔作業”及び“仮想的な作業”

の環境のような,従来とは異なる作業環境を含む。 

人的資源のセキュリティ 

7.1 

雇用前 

目的 従業員及び契約相手がその責任を理解し,求められている役割にふさわしいことを確実にするた

め。 

7.1.1 

選考 

管理策 

全ての従業員候補者についての経歴などの確認は,関連する法令,規制及び倫理に従って行うことが望

ましい。また,この確認は,事業上の要求事項,アクセスされる情報の分類及び認識されたリスクに応じ

て行うことが望ましい。 

実施の手引 

この確認は,関連があるプライバシー,PIIの保護及び雇用に関する法令の全てを考慮に入れ,許される

場合には,次の事項を含むことが望ましい。 

a) 満足のいく推薦状(例えば,業務についてのもの,人物についてのもの)の入手の可否 

b) 応募者の履歴書の確認(完全であるか及び正確であるかの確認) 

c) 提示された学術上及び職業上の資格の確認 

d) 公的証明書(パスポート又は同種の文書)の確認 

e) 信用情報又は犯罪記録のレビューのような,より詳細な確認 

情報セキュリティに関する特定の役割のために雇用する場合,組織は,次の事項を確認することが望ま

しい。 

a) 候補者が,情報セキュリティに関するその役割を果たすために必要な力量を備えている。 

b) 特に,その役割が組織にとって重要なものである場合は,候補者が,その役割を任せられる信頼でき

12 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

る人物である。 

最初の発令で就く業務であるか,昇進して就く業務であるかにかかわらず,情報処理施設にアクセスす

ることがその担当者にとって必要になる場合,特にそれらの設備が秘密情報(例えば,財務情報,極秘情

報)を扱っているときには,組織は,より詳細な確認も検討することが望ましい。 

手順には,確認のためのレビューの基準及び制約を定めることが望ましい(例えば,誰が選考するのか。

また,この確認のためのレビューは,いつ,どのように,なぜ行うのか。)。 

選考プロセスは,契約相手に対しても確実に実施することが望ましい。このような場合,組織と契約相

手との間の合意では,選考の実施に関する責任,及びその選考が完了していないとき又はその結果に疑念

若しくは懸念があるときに従う必要がある告知手順を定めることが望ましい。 

組織内である職位に付けることを検討している全ての候補者についての情報は,当該法域での適切な法

令に従って収集し,扱うことが望ましい。適用される法令によっては,選考活動について候補者へ,事前

に通知することが望ましい。 

7.1.2 

雇用条件 

管理策 

従業員及び契約相手との雇用契約書には,情報セキュリティに関する各自の責任及び組織の責任を記載

することが望ましい。 

実施の手引 

従業員又は契約相手の契約上の義務には,組織の情報セキュリティのための方針群を反映することが望

ましい。さらに,次の事項を明確にし,言及することが望ましい。 

a) 秘密情報へのアクセスが与えられる全ての従業員及び契約相手による,情報処理施設へのアクセスが

与えられる前の,秘密保持契約書又は守秘義務契約書への署名(13.2.4参照) 

b) 従業員又は契約相手の法的な責任及び権利[例えば,著作権法,データ保護に関連して制定された法

律(18.1.2及び18.1.4参照)に関するもの] 

c) 従業員又は契約相手によって扱われる情報,情報処理施設及び情報サービスに関連する,情報の分類

及び組織の資産の管理に関する責任(箇条8参照) 

d) 他社又は外部関係者から受け取った情報の扱いに関する従業員又は契約相手の責任 

e) 従業員又は契約相手が組織のセキュリティ要求事項に従わない場合にとる処置(7.2.3参照) 

情報セキュリティに関する役割及び責任は,雇用前のプロセスにおいて候補者に伝えることが望ましい。 

組織は,従業員及び契約相手が情報セキュリティに関する雇用条件に同意することを確実にすることが

望ましい。この雇用条件は,情報システム及びサービスと関連する組織の資産に対する,従業員及び契約

相手によるアクセスの特性及び範囲に応じて,適切であることが望ましい。 

適切であれば,雇用の終了後も,定められた期間は,その雇用条件に含まれている責任を継続させるこ

とが望ましい(7.3参照)。 

関連情報 

行動規範は,組織が期待する標準的な行動だけを定めるものではなく,機密性,データ保護,倫理,並

びに組織の装置及び施設の適切な利用に関する,従業員又は契約相手の情報セキュリティの責任を定める

ものとして用いてもよい。契約相手が属している外部組織は,その本人に代わって契約を求められる場合

がある。 

background image

13 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

7.2 

雇用期間中 

目的 従業員及び契約相手が,情報セキュリティの責任を認識し,かつ,その責任を遂行することを確実

にするため。 

7.2.1 

経営陣の責任 

管理策 

経営陣は,組織の確立された方針及び手順に従った情報セキュリティの適用を,全ての従業員及び契約

相手に要求することが望ましい。 

実施の手引 

経営陣の責任には,従業員及び契約相手が,次の事項の実施を確実にすることを含むことが望ましい。 

a) 秘密情報又は情報システムへのアクセスが許可される前に,情報セキュリティの役割及び責任につい

て,要点が適切に伝えられる。 

b) 組織内での役割において,情報セキュリティについて期待することを示すための指針が提供される。 

c) 組織の情報セキュリティのための方針群に従うように動機付けられる。 

d) 組織内における自らの役割及び責任に関連する情報セキュリティの認識について,一定の水準を達成

する(7.2.2参照)。 

e) 組織の情報セキュリティ方針及び適切な仕事のやり方を含め,雇用条件に従う。 

f) 

適切な技能及び資格を保持し,定期的に教育を受ける。 

g) 情報セキュリティのための方針群又は手順への違反を報告するための,匿名の報告経路が提供される

(例えば,内部告発)。 

経営陣は,情報セキュリティのための方針群,手順及び管理策に対する支持を実証し,手本となるよう

に行動することが望ましい。 

関連情報 

従業員及び契約相手が情報セキュリティに関する責任を認識していないと,組織にかなりの損害をもた

らしかねない。意識の高い要員は,より信頼でき,情報セキュリティインシデントを起こさない傾向があ

る。 

不十分なマネジメントは,要員が評価されていないと感じる原因となり,その結果,組織に情報セキュ

リティ上好ましくない影響を与える場合がある。例えば,不十分なマネジメントは,情報セキュリティの

軽視又は組織の資産の不正使用を誘発する場合がある。 

7.2.2 

情報セキュリティの意識向上,教育及び訓練 

管理策 

組織の全ての従業員,及び関係する場合には契約相手は,職務に関連する組織の方針及び手順について

の,適切な,意識向上のための教育及び訓練を受け,また,定めに従ってその更新を受けることが望まし

い。 

実施の手引 

情報セキュリティの意識向上プログラムは,従業員,及び関係する場合は契約相手に対し,情報セキュ

リティに関する各自の責任及びその責任を果たす方法について,認識させることを狙いとすることが望ま

しい。 

情報セキュリティの意識向上プログラムは,保護すべき組織の情報及び情報を保護するために実施され

14 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ている管理策を考慮に入れて,組織の情報セキュリティのための方針群及び関連する手順に沿って確立す

ることが望ましい。意識向上プログラムには,キャンペーン(例えば,情報セキュリティの日),及びパン

フレット又は会報の発行のような,複数の意識向上活動を含めることが望ましい。 

意識向上プログラムは,組織における従業員の役割,及び関係する場合には契約相手の認識に対する組

織の期待を考慮に入れて,計画することが望ましい。意識向上プログラムの活動は,長期にわたり,でき

れば定期的に計画されることが望ましい。これによって,活動が繰り返され,新しい従業員及び契約相手

も対象となる。また,意識向上プログラムは,定期的に更新して組織の方針及び手順に沿うようにするこ

とが望ましく,情報セキュリティインシデントから学んだ教訓が生かされるようにすることが望ましい。 

意識向上のための訓練は,組織の情報セキュリティの意識向上プログラムで必要とされた場合に実施す

ることが望ましい。意識向上のための訓練には,教室での訓練,通信教育,インターネットを利用した訓

練,自己学習その他を含む,多様な手段を用いることができる。 

情報セキュリティの教育及び訓練には,例えば,次のような一般的な側面も含めることが望ましい。 

a) 組織全体にわたる情報セキュリティに対する経営陣のコミットメントの提示 

b) 方針,規格,法令,規制,契約及び合意で定められた,適用される情報セキュリティの規則及び義務

を熟知し,これを順守する必要性 

c) 自身が行動したこと及び行動しなかったことに対する個人の責任,並びに組織及び外部関係者に属す

る情報のセキュリティを保つか,これを保護することに対する一般的な責任 

d) 情報セキュリティに関する基本的な手順(例えば,情報セキュリティインシデントの報告)及び基本

的な管理策(例えば,パスワードのセキュリティ,マルウェアの制御,クリアデスク) 

e) 情報セキュリティに関連する事項についての追加的な情報及び助言(情報セキュリティの教育及び訓

練に関する追加の資料も含む。)を得るための連絡先及び情報源 

情報セキュリティの教育及び訓練は,定期的に実施することが望ましい。最初の教育及び訓練は,新入

社員だけでなく,情報セキュリティに関する要求事項が大幅に異なる新たな職位又は役割に異動した者に

も適用し,その役割が始まる前に実施することが望ましい。 

組織は,教育及び訓練を効果的に実施するためのプログラムを開発することが望ましい。このプログラ

ムは,保護する必要のある組織の情報及び情報を保護するために実施されている管理策を考慮に入れ,組

織の情報セキュリティのための方針群及び関連手順に沿っていることが望ましい。このプログラムでは,

講義又は自己学習のように,多様な教育及び訓練の形式を考慮することが望ましい。 

関連情報 

意識向上プログラムを組み立てる場合,“何を”及び“どのように”だけでなく,“なぜ”も重要となる。

従業員が,情報セキュリティの狙い,並びに自らの行動が組織に及ぼす肯定的及び否定的な潜在的影響に

ついて,理解することが重要である。 

意識向上,教育及び訓練は,一般的なIT又はセキュリティに関する訓練のような他の訓練活動の一部と

するか,又はこれらの訓練とともに実施することができる。意識向上,教育及び訓練の活動は,その個人

の役割,責任及び技能に適したものであり,関連したものであることが望ましい。 

知識が伝わったことを確認するため,意識向上,教育及び訓練の課程終了時に,従業員の理解の評価を

行ってもよい。 

7.2.3 

懲戒手続 

管理策 

background image

15 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

情報セキュリティ違反を犯した従業員に対して処置をとるための,正式かつ周知された懲戒手続を備え

ることが望ましい。 

実施の手引 

懲戒手続は,情報セキュリティ違反が生じたことの事前の確認を待って開始することが望ましい(16.1.7

参照)。 

正式な懲戒手続は,情報セキュリティ違反を犯したという疑いがかけられた従業員に対する正確かつ公

平な取扱いを確実にすることが望ましい。正式な懲戒手続は,例えば,次のような要素を考慮した段階別

の対応を定めることが望ましい。 

− 違反の内容及び重大さ並びにその業務上の影響 

− 最初の違反か又は繰り返されたものか 

− 違反者は,適切に教育・訓練されていたかどうか 

− 関連する法令 

− 取引契約 

− その他の必要な要素 

懲戒手続を,従業員が情報セキュリティ違反を起こすことを防ぐための抑止力として使うことも望まし

い。ここでいう情報セキュリティ違反とは,従業員による組織の情報セキュリティのための方針群及び手

順への違反並びに他の全ての情報セキュリティ違反を指す。意図的な違反には,緊急の処置が求められる

場合がある。 

関連情報 

情報セキュリティに関する優れた行動に対して肯定的な手続きを定めておけば,懲戒手続が奨励策とな

る場合もある。 

7.3 

雇用の終了及び変更 

目的 雇用の終了又は変更のプロセスの一部として,組織の利益を保護するため。 

7.3.1 

雇用の終了又は変更に関する責任 

管理策 

雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め,その従業員又は

契約相手に伝達し,かつ,遂行させることが望ましい。 

実施の手引 

雇用の終了に関する責任の伝達には,実施中の情報セキュリティ要求事項及び法的責任,並びに適切で

あれば,従業員又は契約相手の,雇用の終了以降の一定期間継続する,秘密保持契約(13.2.4参照)及び

雇用条件(7.1.2参照)に規定された責任を含むことが望ましい。 

雇用の終了後も引き続き有効な責任及び義務は,従業員又は契約相手の雇用条件(7.1.2参照)に含める

ことが望ましい。 

責任又は雇用の変更は,現在の責任又は雇用の終了と新しい責任又は雇用の開始との組み合わせとして

管理することが望ましい。 

関連情報 

人事管理部門は,一般に雇用の終了手続全体に責任をもち,退職する者を監督していた部門の責任者と

ともに,関連する手順の情報セキュリティに関する事項の管理を担当する。外部関係者を通して雇用した

background image

16 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

契約相手の場合,この終了手続は,組織と外部関係者との間の契約に従って外部関係者が引き受ける。 

人事上及び業務上の取決めの変更を従業員,顧客又は契約相手に知らせることが必要な場合がある。 

資産の管理 

8.1 

資産に対する責任 

目的 組織の資産を特定し,適切な保護の責任を定めるため。 

8.1.1 

資産目録 

管理策 

情報及び情報処理施設に関連する資産を特定することが望ましい。また,これらの資産の目録を,作成

し,維持することが望ましい。 

実施の手引 

組織は,情報のライフサイクルに関連した資産を特定し,その重要度を文書化することが望ましい。情

報のライフサイクルには,作成,処理,保管,送信,削除及び破棄を含めることが望ましい。文書は,専

用の目録又は既存の目録として維持することが望ましい。 

資産目録は,正確で,最新に保たれ,一貫性があり,他の目録と整合していることが望ましい。 

特定された各資産について,管理責任者を割り当て(8.1.2参照),分類する(8.2参照)ことが望ましい。 

関連情報 

資産目録は,保護を効果的に行うことを確実にするために役立つとともに,他の目的(例えば,安全衛

生,保険又は財務面での資産管理)のために必要となることもある。 

資産を特定する場合に組織が考慮する必要性が生じる可能性のある資産の例は,ISO/IEC 27005[11]に示

されている。資産目録を作成するプロセスは,リスクマネジメントの重要な要素である(ISO/IEC 27000

及びISO/IEC 27005[11]も参照)。 

8.1.2 

資産の管理責任 

管理策 

目録の中で維持される資産は,管理されることが望ましい。 

実施の手引 

資産のライフサイクルの管理責任を与えられた個人及び組織は,資産の管理責任者に指名されるものと

して適格である。 

資産の管理責任を時機を失せずに割り当てることを確実にするためのプロセスが,通常実施される。資

産が生成された時点,又は資産が組織に移転された時点で,管理責任を割り当てることが望ましい。資産

の管理責任者は,資産のライフサイクル全体にわたって,その資産を適切に管理することに責任を負うこ

とが望ましい。 

資産の管理責任者は,次の事項を行うことが望ましい。 

a) 資産の目録が作成されることを確実にする。 

b) 資産が適切に分類及び保護されることを確実にする。 

c) 適用されるアクセス制御方針を考慮に入れて,重要な資産に対するアクセスの制限及び分類を定め,

定期的にレビューする。 

d) 資産を消去又は破壊する場合に,適切に取り扱うことを確実にする。 

関連情報 

background image

17 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

管理責任者は,資産のライフサイクル全体を管理する責任を与えられた個人又はエンティティであり得

る。その管理責任者は,必ずしもその資産の所有権をもっている必要はない。 

ルーチン業務の委任(例えば,日々の資産保全を保全要員に委ねること)を行ってもよいが,その責任

は管理責任者の下にとどまる。 

複雑な情報システムでは,あるサービスを提供するために関係する,複数の資産グループを特定するこ

とが,有益な場合がある。この場合,サービスの管理責任者が,その資産の運用も含めたサービスの提供

に対して責任を負う。 

8.1.3 

資産利用の許容範囲 

管理策 

情報の利用の許容範囲,並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は,

明確にし,文書化し,実施することが望ましい。 

実施の手引 

組織の資産を利用する又は組織の資産にアクセスする従業員及び外部の利用者に対し,情報及び情報処

理施設と関連する組織の資産並びに経営資源の情報セキュリティ要求事項を認識させることが望ましい。

従業員及び外部の利用者は,どのような情報処理資源の利用に対しても,また,利用者自身の責任の下で

行ったいかなる利用に対しても,責任をもつことが望ましい。 

8.1.4 

資産の返却 

管理策 

全ての従業員及び外部の利用者は,雇用,契約又は合意の終了時に,自らが所持する組織の資産の全て

を返却することが望ましい。 

実施の手引 

雇用の終了時の手続は,前もって支給された物理的及び電子的な資産(組織が管理責任をもつ又は組織

に委託されたもの)の全ての返却を含むことを正式なものとすることが望ましい。 

従業員及び外部の利用者が組織の設備を購入する場合,又は個人所有の設備を用いる場合には,手順に

従って,全ての関連する情報を組織に返却し,設備からセキュリティを保って消去することを確実にする

ことが望ましい(11.2.7参照)。 

従業員及び外部の利用者が継続中の作業に重要な知識を保有している場合には,その情報を文書化し,

組織に引き継ぐことが望ましい。 

雇用の終了の予告期間中は,雇用が終了する従業員及び契約相手が認可を得ずに関連情報(例えば,知

的財産)を複製することのないよう,組織が管理することが望ましい。 

8.2 

情報分類 

目的 組織に対する情報の重要性に応じて,情報の適切なレベルでの保護を確実にするため。 

8.2.1 

情報の分類 

管理策 

情報は,法的要求事項,価値,重要性,及び認可されていない開示又は変更に対して取扱いに慎重を要

する度合いの観点から,分類することが望ましい。 

実施の手引 

情報の分類及び関連する保護管理策では,情報を共有又は制限する業務上の要求,及び法的要求事項を

考慮することが望ましい。情報以外の資産も,その資産に保管される情報,処理される情報,又は他の形

18 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

で取り扱われる若しくは保護される情報の分類に従って分類することができる。 

情報資産の管理責任者は,その情報の分類に対して責任を負うことが望ましい。 

分類体系には,分類の規則及びその分類を時間が経ってからレビューするための基準を含めることが望

ましい。分類体系における保護レベルは,対象とする情報についての機密性,完全性,可用性及びその他

の特性を分析することによって評価することが望ましい。分類体系は,アクセス制御方針(9.1.1参照)と

整合していることが望ましい。 

それぞれのレベルには,分類体系の適用において意味をなすような名称を付けることが望ましい。 

分類体系は,組織全体にわたって一貫していることが望ましい。これによって,全員が情報及び関連す

る資産を同じ方法で分類し,保護に関する要求事項について共通した理解をもち,適切な保護を適用でき

るようになる。 

分類は,組織のプロセスに含め,組織全体にわたって一貫した論理的なものであることが望ましい。分

類の結果は,組織にとっての取扱いに慎重を要する度合い及び重要性(例えば,機密性,完全性,可用性)

に応じた資産の価値を示すことが望ましい。分類の結果は,ライフサイクルを通じた,情報の価値,取扱

いに慎重を要する度合い及び重要性の変化に応じて,更新することが望ましい。 

関連情報 

情報を分類することで,情報を扱う担当者に対して,その情報をどう取り扱い,どう保護するかが簡潔

に示される。保護の要件が類似した情報をグループにまとめ,それぞれのグループ内の全ての情報に適用

される情報セキュリティ手順を規定することで,これが容易になる。この取組みによって,個別にリスク

アセスメントを行い,管理策を特別に設計する必要性も低減される。 

情報は,ある期間を過ぎると(例えば,情報が一般に公開された後),慎重な取扱いが不要となる又は重

要でなくなることがある。これらの点も考慮して,過度の分類によって不要な管理策の実施による余分な

出費が生じたり,また反対に不十分な分類によって事業目的の達成が脅かされないようにすることが望ま

しい。 

情報の機密性の分類体系は,例えば,次のような四つのレベルに基づくことがある。 

a) 開示されても損害が生じない。 

b) 開示された場合に,軽微な不具合又は軽微な運用の不都合が生じる。 

c) 開示された場合に,運用又は戦術的目的に対して重要な短期的影響が及ぶ。 

d) 開示された場合に,長期の戦略的目的に対して深刻な影響が及ぶ,又は組織の存続が危機にさらされ

る。 

8.2.2 

情報のラベル付け 

管理策 

情報のラベル付けに関する適切な一連の手順は,組織が採用した情報分類体系に従って策定し,実施す

ることが望ましい。 

実施の手引 

情報のラベル付けに関する手順は,物理的形式及び電子的形式の情報及び関連する資産に適用できる必

要がある。ラベル付けは,8.2.1で確立した分類体系を反映していることが望ましい。ラベルは,容易に認

識できることが望ましい。手順では,媒体の種類に応じて,情報がどのようにアクセスされるか又は資産

がどのように取り扱われるかを考慮して,ラベルを添付する場所及びその添付方法に関する手引を示すこ

とが望ましい。手順では,作業負荷を減らすために,ラベル付けを省略する場合(例えば,秘密でない情

報のラベル付け)を定めることもできる。従業員及び契約相手に,ラベル付けに関する手順を認識させる

background image

19 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ことが望ましい。 

取扱いに慎重を要する又は重要と分類される情報を含むシステム出力には,適切な分類ラベルを付ける

ことが望ましい。 

関連情報 

分類された情報のラベル付けは,情報共有の取決めにおける主要な要求事項である。物理的ラベル及び

メタデータは,一般的なラベル付けの形式である。 

情報及び関連する資産のラベル付けが,好ましくない影響を及ぼすこともある。分類された資産は,特

定が容易になるため,内部関係者又は外部からの攻撃者による盗難もされやすくなる。 

8.2.3 

資産の取扱い 

管理策 

資産の取扱いに関する手順は,組織が採用した情報分類体系に従って策定し,実施することが望ましい。 

実施の手引 

情報を分類(8.2.1参照)に従って取り扱い,処理し,保管し,伝達するための手順を作成することが望

ましい。 

この場合,次の事項を考慮することが望ましい。 

a) 各レベルの分類に応じた保護の要求事項に対応するアクセス制限をする。 

b) 資産の認可された受領者について,正式な記録を維持する。 

c) 情報の一時的又は恒久的な複製は,情報の原本と同等のレベルで保護する。 

d) IT資産は,製造業者の仕様に従って保管する。 

e) 媒体の全ての複製には,認可された受領者の注意をひくように明確な印を付ける。 

組織で用いる分類体系は,レベルの名称が似ていても,他の組織が用いる分類体系と同等とは限らない。

また,複数の組織間を移動する情報は,分類体系が同一であっても,各組織の状況に応じて分類が異なる

場合がある。 

他組織との情報共有を含む合意には,その情報の分類を特定し,他組織からの分類ラベルを解釈するた

めの手順を含めることが望ましい。 

8.3 

媒体の取扱い 

目的 媒体に保存された情報の認可されていない開示,変更,除去又は破壊を防止するため。 

8.3.1 

取外し可能な媒体の管理 

管理策 

組織が採用した分類体系に従って,取外し可能な媒体の管理のための手順を実施することが望ましい。 

実施の手引 

取外し可能な媒体の管理のために,次の事項を考慮することが望ましい。 

a) 再利用可能な媒体を組織から移動する場合に,その内容が以後不要であるならば,これを復元不能と

する。 

b) 必要かつ実際的な場合には,組織から移動する媒体について,認可を要求する。また,そのような移

動について,監査証跡の維持のために記録を保管する。 

c) 全ての媒体は,製造業者の仕様に従って,安全でセキュリティが保たれた環境に保管する。 

d) データの機密性又は完全性が重要な考慮事項である場合は,取外し可能な媒体上のデータを保護する

20 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ために,暗号技術を用いる。 

e) 保管されたデータがまだ必要な間に媒体が劣化するリスクを軽減するため,読み出せなくなる前にデ

ータを新しい媒体に移動する。 

f) 

価値の高いデータは,一斉に損傷又は消失するリスクをより低減するために,複数の複製を別の媒体

に保管する。 

g) データ消失の危険性を小さくするために,取外し可能な媒体の登録を考慮する。 

h) 取外し可能な媒体のドライブは,その利用のための業務上の理由があるときにだけ有効とする。 

i) 

取外し可能な媒体を用いる必要がある場合,媒体への情報の転送を監視する。 

手順及び認可のレベルは,文書化することが望ましい。 

8.3.2 

媒体の処分 

管理策 

媒体が不要になった場合は,正式な手順を用いて,セキュリティを保って処分することが望ましい。 

実施の手引 

認可されていない者に秘密情報が漏えいするリスクを最小化するために,媒体のセキュリティを保った

処分のための正式な手順を確立することが望ましい。秘密情報を格納した媒体の,セキュリティを保った

処分の手順は,その情報の取扱いに慎重を要する度合いに応じたものであることが望ましい。この管理策

の実施については,次の事項を考慮することが望ましい。 

a) 秘密情報を格納した媒体は,セキュリティを保って,保管し,処分する(例えば,焼却,シュレッダ

ーの利用,組織内の他のアプリケーションでの利用のためのデータ消去)。 

b) セキュリティを保った処分を必要とする品目を特定するために,手順が備わっている。 

c) 取扱いに慎重を要する媒体類を選び出そうとするよりも,全ての媒体類を集めて,セキュリティを保

ち処分するほうが簡単な場合もある。 

d) 多くの業者が,媒体の収集及び処分のサービスを提供している。十分な管理策及び経験をもつ適切な

外部関係者を選定することに,注意を払う。 

e) 監査証跡を維持するために,取扱いに慎重を要する品目の処分を記録しておく。 

処分のために媒体を集める場合,集積することによる影響に配慮することが望ましい。取扱いに慎重を

要する情報ではない情報でも,その量が集まると,取扱いに慎重を要する情報に変わる場合がある。 

関連情報 

取扱いに慎重を要するデータを含んだ装置が損傷した場合には,修理又は廃棄に出すよりも物理的に破

壊するほうが望ましいか否かを決定するために,リスクアセスメントが求められる場合がある(11.2.7参

照)。 

8.3.3 

物理的媒体の輸送 

管理策 

情報を格納した媒体は,輸送の途中における,認可されていないアクセス,不正使用又は破損から保護

することが望ましい。 

実施の手引 

輸送される情報を格納した媒体を保護するために,次の事項を考慮することが望ましい。 

a) 信頼できる輸送機関又は運送業者を用いる。 

background image

21 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

b) 認可された運送業者の一覧について,管理者の合意を得る。 

c) 運送業者を確認する手順を導入する。 

d) 輸送途中に生じるかもしれない物理的損傷から内容を保護(例えば,媒体の復旧効果を低減させる場

合のある,熱,湿気又は電磁気にさらすといった環境要因からの保護)するために,こん(梱)包を

十分な強度とし,また,製造業者の仕様にも従う。 

e) 媒体の内容,適用された保護,並びに輸送の責任窓口への受渡時刻及び目的地での受取り時刻の記録

を特定するログを保持する。 

関連情報 

情報は,物理的な輸送(例えば,郵便又は運送業者による媒体の送付)の途中で,認可されていないア

クセス,不正使用又は改ざんに対する弱点をさらすことがある。この管理策において,媒体には紙の文書

も含む。 

媒体上の秘密情報が暗号化されていない場合,媒体について,追加の物理的な保護を検討することが望

ましい。 

アクセス制御 

9.1 

アクセス制御に対する業務上の要求事項 

目的 情報及び情報処理施設へのアクセスを制限するため。 

9.1.1 

アクセス制御方針 

管理策 

アクセス制御方針は,業務及び情報セキュリティの要求事項に基づいて確立し,文書化し,レビューす

ることが望ましい。 

実施の手引 

資産の管理責任者は,資産に対する利用者のそれぞれの役割に対して,適切なアクセス制御規則,アク

セス権及び制限を,アクセスに伴う情報セキュリティリスクを反映した制御の詳細さ及び厳密さで,決定

することが望ましい。 

アクセス制御は,論理的かつ物理的(箇条11参照)なものであり,この両面を併せて考慮することが望

ましい。利用者及びサービス提供者には,アクセス制御によって達成する業務上の要求事項を明確に規定

して提供することが望ましい。 

アクセス制御方針では,次の事項を考慮に入れることが望ましい。 

a) 業務用アプリケーションのセキュリティ要求事項 

b) 情報の伝達及び認可に対する方針[例えば,知る必要性の原則,情報のセキュリティ水準,情報の分

類(8.2参照)] 

c) システム及びネットワークにおける,アクセス権と情報分類の方針との整合性 

d) データ又はサービスへのアクセスの制限に関連する法令及び契約上の義務(18.1参照) 

e) 利用可能な全ての種類の接続を認識する分散ネットワーク環境におけるアクセス権の管理 

f) 

アクセス制御における役割の分離(例えば,アクセス要求,アクセス認可,アクセス管理) 

g) アクセス要求の正式な認可に対する要求事項(9.2.1及び9.2.2参照) 

h) アクセス権の定期的なレビューに対する要求事項(9.2.5参照) 

i) 

アクセス権の削除(9.2.6参照) 

22 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

j) 

利用者の識別情報及び秘密認証情報の利用及び管理に関する,全ての重要な事象の記録の保管 

k) 特権的アクセスを認められた役割(9.2.3参照) 

関連情報 

アクセス制御規則を定めるには,次の事項に注意することが望ましい。 

a) “明確に禁止していないことは,原則的に許可する”という前提に基づいた弱い規則よりも,“明確に

許可していないことは,原則的に禁止する”という前提に基づいた規則の設定 

b) 情報処理施設が自動的に初期設定した情報ラベル(8.2.2参照)の変更,及び利用者の裁量で初期設定

した情報ラベルの変更 

c) 情報システムによって自動的に初期設定される利用者のアクセス許可の変更,及び実務管理者によっ

て初期設定される利用者のアクセス許可の変更 

d) 適用する前に個々の承認を必要とする規則とそのような承認を必要としない規則との区別 

アクセス制御規則は,正式な手順(9.2〜9.4参照)及び定められた責任(6.1.1及び9.3参照)によって

支援されることが望ましい。 

役割に基づくアクセス制御は,アクセス権を業務上の役割と結び付けるために多くの組織が利用し,成

功を収めている取組み方法である。 

アクセス制御方針を方向付けるために用いられることが多い二つの原則を,次に示す。 

a) 知る必要性(Need to know) 各人は,それぞれの職務を実施するために必要な情報へのアクセスだ

けが認められる(職務及び/又は役割が異なれば知る必要性も異なるため,アクセスプロファイルも

異なる。)。 

b) 使用する必要性(Need to use) 各人は,それぞれの職務,業務及び/又は役割を実施するために必

要な情報処理施設(IT機器,アプリケーション,手順,部屋など。)へのアクセスだけが認められる。 

9.1.2 

ネットワーク及びネットワークサービスへのアクセス 

管理策 

利用することを特別に認可したネットワーク及びネットワークサービスへのアクセスだけを,利用者に

提供することが望ましい。 

実施の手引 

ネットワーク及びネットワークサービスの利用に関し,方針を設定することが望ましい。この方針は,

次の事項を対象とすることが望ましい。 

a) アクセスが許されるネットワーク及びネットワークサービス 

b) 誰がどのネットワーク及びネットワークサービスへのアクセスが許されるかを決めるための認可手順 

c) ネットワーク接続及びネットワークサービスへのアクセスを保護するための運用管理面からの管理策

及び管理手順 

d) ネットワーク及びネットワークサービスへのアクセスに利用される手段(例えば,VPN,無線ネット

ワーク) 

e) 様々なネットワークサービスへのアクセスに対する利用者認証の要求事項 

f) 

ネットワークサービスの利用の監視 

ネットワークサービスの利用に関するこの方針は,組織のアクセス制御方針(9.1.1参照)と整合してい

ることが望ましい。 

background image

23 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

関連情報 

認可されておらず,セキュリティが保たれていないネットワークサービスへの接続は,組織全体に影響

を与える可能性がある。これに対する制御は,取扱いに慎重を要する及び重要な業務アプリケーションへ

のネットワーク接続,又はリスクの高い場所(例えば,組織の情報セキュリティの管理外にある公共の場

所又は外部の区域)にいる利用者からのネットワーク接続の場合には,特に重要である。 

9.2 

利用者アクセスの管理 

目的 システム及びサービスへの,認可された利用者のアクセスを確実にし,認可されていないアクセス

を防止するため。 

9.2.1 

利用者登録及び登録削除 

管理策 

アクセス権の割当てを可能にするために,利用者の登録及び登録削除についての正式なプロセスを実施

することが望ましい。 

実施の手引 

利用者IDを管理するプロセスには,次の事項を含むことが望ましい。 

a) 利用者と利用者自身の行動とを対応付けすること,及び利用者がその行動に責任をもつことを可能に

する,一意な利用者IDの利用。共有IDの利用は,業務上又は運用上の理由で必要な場合にだけ許可

し,承認し,記録する。 

b) 組織を離れた利用者の利用者IDの,即座の無効化又は削除(9.2.6参照) 

c) 必要のない利用者IDの定期的な特定,及び削除又は無効化 

d) 別の利用者に重複する利用者IDを発行しないことの確実化 

関連情報 

情報又は情報処理施設へのアクセスの提供又は無効化は,通常,次の二段階の手順からなる。 

a) 利用者IDの割当て及び有効化,又は無効化 

b) 利用者IDに対するアクセス権の提供又は無効化(9.2.2参照) 

9.2.2 

利用者アクセスの提供(provisioning) 

管理策 

全ての種類の利用者について,全てのシステム及びサービスへのアクセス権を割り当てる又は無効化す

るために,利用者アクセスの提供についての正式なプロセスを実施することが望ましい。 

実施の手引 

利用者IDに対するアクセス権の割当て及び無効化のプロセスには,次の事項を含むことが望ましい。 

a) 情報システム又はサービスの利用についての,その情報システム又はサービスの管理責任者からの認

可の取得(8.1.2参照)。アクセス権について,管理層から別の承認を受けることが適切な場合もある。 

b) 許可したアクセスのレベルが,アクセス制御方針に適していること(9.1参照),及び職務の分離など

のその他の要求事項と整合していること(6.1.2参照)の検証 

c) 認可手順が完了するまで,(例えば,サービス提供者が)アクセス権を有効にしないことの確実化 

d) 情報システム又はサービスにアクセスするために利用者IDに与えられたアクセス権の,一元的な記

録の維持 

e) 役割又は職務を変更した利用者のアクセス権の変更,及び組織を離れた利用者のアクセス権の即座の

解除又は停止 

24 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

f) 

情報システム又はサービスの管理責任者による,アクセス権の定期的なレビュー(9.2.5参照) 

関連情報 

利用者のアクセス役割を,業務上の要求事項に基づいて確立することを考慮することが望ましい。利用

者のアクセス役割とは,多くのアクセス権を典型的な利用者アクセス権限プロファイルとして要約したも

のである。アクセスの要求及びレビュー(9.2.5参照)の管理は,個々の権限レベルで行うよりも役割レベ

ルで行うほうが容易である。 

職員又は契約相手が認可されていないアクセスを試みた場合の制裁を明記する条項を,要員との契約及

びサービスの契約に含めることを考慮することが望ましい(7.1.2,7.2.3,13.2.4及び15.1.2参照)。 

9.2.3 

特権的アクセス権の管理 

管理策 

特権的アクセス権の割当て及び利用は,制限し,管理することが望ましい。 

実施の手引 

特権的アクセス権の割当ては,関連するアクセス制御方針(9.1.1参照)に従って,正式な認可プロセス

によって管理することが望ましい。この管理策の実施については,次の段階を考慮することが望ましい。 

a) 各々のシステム又はプロセス(例えば,オペレーティングシステム,データベース管理システム,各

アプリケーション)に関連した特権的アクセス権,及び特権的アクセス権を割り当てる必要がある利

用者を特定する。 

b) 特権的アクセス権を,アクセス制御方針(9.1.1参照)に沿って,使用の必要性に応じて,かつ,事象

に応じて,利用者に割り当てる。すなわち,利用者の職務上の役割のための最小限の要求事項に基づ

いて割り当てる。 

c) 割り当てた全ての特権の認可プロセス及び記録を維持する。特権的アクセス権は,認可プロセスが完

了するまで許可しない。 

d) 特権的アクセス権の終了に関する要求事項を定める。 

e) 特権的アクセス権は,通常業務に用いている利用者IDとは別の利用者IDに割り当てる。特権を与え

られたIDからは,通常業務を行わないほうがよい。 

f) 

特権的アクセス権を与えられた利用者の力量がその職務に見合っていることを検証するために,その

力量を定期的にレビューする。 

g) 汎用の実務管理者IDの認可されていない使用を避けるため,システムの構成管理機能に応じて,具

体的な手順を確立及び維持する。 

h) 汎用の実務管理者IDに関しては,共有する場合に秘密認証情報の機密性を維持する(例えば,頻繁

にパスワードを変更する,特権を与えられた利用者が離職する又は職務を変更する場合はできるだけ

早くパスワードを変更する,特権を与えられた利用者の間で適切な方法でパスワードを伝達する)。 

関連情報 

システムの管理特権(システム又はアプリケーションによる制御を利用者が無効にすることを可能とす

る情報システムの機能又は手段)の不適切な使用は,システムの不具合又はシステムへの侵害の主要因で

ある。 

9.2.4 

利用者の秘密認証情報の管理 

管理策 

秘密認証情報の割当ては,正式な管理プロセスによって管理することが望ましい。 

実施の手引 

25 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

正式な管理プロセスには,次の事項を含むことが望ましい。 

a) 個人の秘密認証情報を秘密に保ち,グループの(すなわち,共用の)秘密認証情報はグループのメン

バ内だけの秘密に保つ旨の文書への署名を,利用者に要求する。この署名文書は,雇用契約の条件に

含める場合もある(7.1.2参照)。 

b) 利用者に各自の秘密認証情報を保持することを求める場合,最初に,セキュリティが保たれた仮の秘

密認証情報を発行し,最初の使用時にこれを変更させる。 

c) 新規,更新又は仮の秘密認証情報を発行する前に,利用者の本人確認の手順を確立する。 

d) 仮の秘密認証情報は,セキュリティを保った方法で利用者に渡す。外部関係者を通して渡すこと又は

保護されていない(暗号化していない)電子メールのメッセージを利用することは避ける。 

e) 仮の秘密認証情報は,一人一人に対して一意とし,推測されないものとする。 

f) 

利用者は,秘密認証情報の受領を知らせる。 

g) 業者があらかじめ設定した秘密認証情報は,システム又はソフトウェアのインストール後に変更する。 

関連情報 

パスワードは,一般に用いられている秘密認証情報の一つで,利用者の本人確認の一般的な手段である。

その他の秘密認証情報には,認証コードを作成するハードウェアトークン(例えば,スマートカード)に

保管された暗号鍵及びその他のデータがある。 

9.2.5 

利用者アクセス権のレビュー 

管理策 

資産の管理責任者は,利用者のアクセス権を定められた間隔でレビューすることが望ましい。 

実施の手引 

アクセス権のレビューでは,次の事項を考慮することが望ましい。 

a) 利用者のアクセス権を,定められた間隔で及び何らかの変更(例えば,昇進,降格,雇用の終了)が

あった後に見直す(箇条7参照)。 

b) 利用者の役割が同一組織内で変更された場合,そのアクセス権についてレビューし,割当てをし直す。 

c) 特権的アクセス権の認可は,利用者のアクセス権より頻繁な間隔でレビューする。 

d) 特権の割当てを定められた間隔で点検して,認可されていない特権が取得されていないことを確実に

する。 

e) 特権アカウントの変更は,定期的なレビューのためにログをとる。 

関連情報 

この管理策は,9.2.1,9.2.2及び9.2.6の管理策の遂行において生じ得る弱点を補う。 

9.2.6 

アクセス権の削除又は修正 

管理策 

全ての従業員及び外部の利用者の情報及び情報処理施設に対するアクセス権は,雇用,契約又は合意の

終了時に削除し,また,変更に合わせて修正することが望ましい。 

実施の手引 

雇用の終了時に,情報並びに情報処理施設及びサービスに関連する資産に対する個人のアクセス権を削

除又は一時停止することが望ましい。このためにも,アクセス権を削除する必要があるかどうかを決定す

る。雇用を変更した場合,新規の業務において承認されていない全てのアクセス権を削除することが望ま

しい。削除又は修正が望ましいアクセス権には,物理的な及び論理的なアクセスに関するものを含む。ア

クセス権の削除又は修正は,鍵,身分証明書,情報処理機器又は利用登録の,削除,失効又は差替えによ

background image

26 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

って行うことができる。従業員及び契約相手のアクセス権を特定するあらゆる文書に,アクセス権の削除

又は修正を反映することが望ましい。辞めていく従業員又は外部の利用者が引き続き有効な利用者IDの

パスワードを知っている場合,雇用・契約・合意の終了又は変更に当たって,これらのパスワードを変更

することが望ましい。 

情報及び情報処理施設に関連する資産へのアクセス権は,雇用の終了又は変更の前に,次に示すリスク

因子の評価に応じて,縮小又は削除することが望ましい。 

a) 雇用の終了又は変更が,従業員若しくは外部の利用者の側によるものか又は経営側によるものかどう

か,及び雇用の終了の理由 

b) 従業員,外部の利用者,又は他の利用者の現時点の責任 

c) 現在アクセス可能な資産の価値 

関連情報 

ある特定の状況においては,利便性の点から,辞めていく従業員又は外部の利用者よりも多くの者にア

クセス権が割り当てられている場合がある(例えば,グループID)。そのような状況では,辞めていく者

は,いかなるグループアクセスリストからも削除することが望ましい。さらに,関係する他の従業員及び

外部の利用者の全てに,辞めていく者とこの情報を共有しないように通知することを取り決めることが望

ましい。 

経営側による解雇の場合には,解雇に不満な従業員又は外部の利用者が故意に情報を改ざんしたり,情

報処理施設を破壊したりすることがある。辞職する人又は解雇される人の場合には,将来利用するために

情報を集めたがることがある。 

9.3 

利用者の責任 

目的 利用者に対して,自らの秘密認証情報を保護する責任をもたせるため。 

9.3.1 

秘密認証情報の利用 

管理策 

秘密認証情報の利用時に,組織の慣行に従うことを,利用者に要求することが望ましい。 

実施の手引 

全ての利用者に,次の事項を実行するように助言することが望ましい。 

a) 秘密認証情報を秘密にしておき,関係当局の者を含む他者にこれが漏えいしないことを確実にする。 

b) 秘密認証情報を,例えば,紙,ソフトウェアのファイル,携帯用の機器に,記録して保管しない。た

だし,記録がセキュリティを確保して保管され,その保管方法が承認されている場合には,この限り

ではない[例えば,パスワード保管システム(password vault)]。 

c) 秘密認証情報に対する危険の兆候が見られる場合には,その秘密認証情報を変更する。 

d) 秘密認証情報としてパスワードを用いる場合は,十分な最短文字数をもつ質の良いパスワードを選定

する。質の良いパスワードとは,次の条件を満たすものとする。 

1) 覚えやすい。 

2) 当人の関連情報(例えば,名前,電話番号,誕生日)から,他の者が容易に推測できる又は得られ

る事項に基づかない。 

3) 辞書攻撃にぜい弱でない(すなわち,辞書に含まれる語から成り立っていない。)。 

4) 同一文字を連ねただけ,数字だけ,又はアルファベットだけの文字列ではない。 

5) 仮のパスワードの場合,最初のログオン時点で変更する。 

background image

27 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

e) 個人用の秘密認証情報を共有しない。 

f) 

自動ログオン手順において,秘密認証情報としてパスワードを用い,かつ,そのパスワードを保管す

る場合,パスワードの適切な保護を確実にする。 

g) 業務目的のものと業務目的でないものとに,同じ秘密認証情報を用いない。 

関連情報 

シングル サインオン(SSO)又はその他の秘密認証情報管理ツールを用いると,利用者に保護を求める

秘密認証情報が減り,これによって,この管理策の有効性を向上させることができる。しかし,秘密認証

情報の漏えいの影響も大きくなり得る。 

9.4 

システム及びアプリケーションのアクセス制御 

目的 システム及びアプリケーションへの,認可されていないアクセスを防止するため。 

9.4.1 

情報へのアクセス制限 

管理策 

情報及びアプリケーションシステム機能へのアクセスは,アクセス制御方針に従って,制限することが

望ましい。 

実施の手引 

アクセスへの制限は,個々の業務用アプリケーションの要求事項に基づき,定められたアクセス制御方

針に従うことが望ましい。 

アクセス制限の要求事項を満たすために,次の事項を考慮することが望ましい。 

a) アプリケーションシステム機能へのアクセスを制御するためのメニューを提供する。 

b) 利用者がアクセスできるデータを制御する。 

c) 利用者のアクセス権(例えば,読出し,書込み,削除,実行)を制御する。 

d) 他のアプリケーションのアクセス権を制御する。 

e) 出力に含まれる情報を制限する。 

f) 

取扱いに慎重を要するアプリケーション,アプリケーションデータ又はシステムを隔離するための,

物理的又は論理的なアクセス制御を提供する。 

9.4.2 

セキュリティに配慮したログオン手順 

管理策 

アクセス制御方針で求められている場合には,システム及びアプリケーションへのアクセスは,セキュ

リティに配慮したログオン手順によって制御することが望ましい。 

実施の手引 

利用者が提示する識別情報を検証するために,適切な認証技術を選択することが望ましい。 

強い認証及び識別情報の検証が必要な場合には,パスワードに代えて,暗号による手段,スマートカー

ド,トークン,生体認証などの認証方法を用いることが望ましい。 

システム又はアプリケーションへログオンするための手順は,認可されていないアクセスの機会を最小

限に抑えるように設計することが望ましい。したがって,ログオン手順では,認可されていない利用者に

無用な助けを与えないために,システム又はアプリケーションについての情報の開示は,最小限にするこ

とが望ましい。良いログオン手順として,次の条件を満たすものが望ましい。 

a) システム又はアプリケーションの識別子を,ログオン手順が正常に終了するまで表示しない。 

28 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

b) “コンピュータへのアクセスは,認可されている利用者に限定する”という警告を表示する。 

c) ログオン手順中に,認可されていない利用者の助けとなるようなメッセージを表示しない。 

d) ログオン情報の妥当性検証は,全ての入力データが完了した時点でだけ行う。誤り条件が発生しても,

システムからは,データのどの部分が正しいか又は間違っているかを指摘しない。 

e) 総当たり攻撃でログオンしようとする試みから保護する。 

f) 

失敗した試み及び成功した試みのログをとる。 

g) ログオン制御への違反又は違反が試みられた可能性が検知された場合には,セキュリティ事象として

取り上げる。 

h) ログオンが成功裏に終了した時点で,次の情報を表示する。 

1) 前回成功裏にログオンできた日時 

2) 前回のログオン以降,失敗したログオンの試みがある場合は,その詳細 

i) 

入力したパスワードは表示しない。 

j) 

ネットワークを介してパスワードを平文で通信しない。 

k) リスクの高い場所(例えば,組織のセキュリティ管理外にある公共の場所又は外部の区域,モバイル

機器)では特に,あらかじめ定めた使用中断時間が経過したセッションは終了する。 

l) 

リスクの高いアプリケーションのセキュリティを高めるために接続時間を制限し,認可されていない

アクセスの危険性を低減する。 

関連情報 

パスワードは,利用者だけが知る秘密に基づき,識別及び認証を行う一般的な方法である。暗号による

手段及び認証プロトコルによっても同様のことが可能となる。利用者を認証する強度は,アクセスされる

情報の分類に適したものであることが望ましい。 

ログオンセッション中にパスワードを平文でネットワーク上で通信するとき,それらのパスワードは,

ネットワーク“スニファ”プログラムで捕捉される場合がある。 

9.4.3 

パスワード管理システム 

管理策 

パスワード管理システムは,対話式とすることが望ましく,また,良質なパスワードを確実とするもの

が望ましい。 

実施の手引 

パスワードの管理システムは,次の条件を満たすことが望ましい。 

a) 責任追跡性を維持するために,それぞれの利用者ID及びパスワードを使用させるようにする。 

b) 利用者に自分のパスワードの選択及び変更を許可し,また,入力誤りを考慮した確認手順を組み入れ

る。 

c) 質の良いパスワードを選択させるようにする。 

d) パスワードは,最初のログオン時に利用者に変更させるようにする。 

e) パスワードは,定期的に及び必要に応じて変更させるようにする。 

f) 

以前に用いられたパスワードの記録を維持し,再使用を防止する。 

g) パスワードは,入力時に,画面上に表示しないようにする。 

h) パスワードのファイルは,アプリケーションシステムのデータとは別に保存する。 

i) 

パスワードは,保護した形態で保存し,伝達する。 

関連情報 

29 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

アプリケーションによっては,独立した機関によって割り当てられる利用者パスワードを要求する場合

がある。このような場合,9.4.3のb),d) 及びe) は適用しない。ほとんどの場合,パスワードは,利用者

によって選択され,維持される。 

9.4.4 

特権的なユーティリティプログラムの使用 

管理策 

システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用

は,制限し,厳しく管理することが望ましい。 

実施の手引 

システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用

においては,次の事項を考慮することが望ましい。 

a) ユーティリティプログラムのための識別,認証及び認可手順の使用 

b) アプリケーションソフトウェアからのユーティリティプログラムの分離 

c) 可能な限り少人数の信頼できる認可された利用者だけに限定した,ユーティリティプログラムの使用

制限(9.2.3参照) 

d) ユーティリティプログラムを臨時に用いる場合の認可 

e) ユーティリティプログラムの使用の制限(例えば,認可されたシステム変更のための期間での利用) 

f) 

ユーティリティプログラムの全ての使用に関するログ 

g) ユーティリティプログラムの認可レベルの明確化及び文書化 

h) 全ての不要なユーティリティプログラムの除去又は無効化 

i) 

権限の分離が必要な場合の,システム上のアプリケーションへのアクセス権をもつ利用者に対するユ

ーティリティプログラムの使用禁止 

関連情報 

ほとんどのコンピュータには,導入時点で,システム及びアプリケーションによる制御を無効にするこ

とのできる一つ以上のユーティリティプログラムが組み込まれている。 

9.4.5 

プログラムソースコードへのアクセス制御 

管理策 

プログラムソースコードへのアクセスは,制限することが望ましい。 

実施の手引 

プログラムソースコード及び関連書類(例えば,設計書,仕様書,検証計画書,妥当性確認計画書)へ

のアクセスは,認可されていない機能が入り込むことを防止し,意図しない変更を回避し,価値の高い知

的財産の機密性を維持するために,厳重に管理することが望ましい。プログラムソースコードについては,

プログラムソースライブラリのように,コードを集中保管管理することによって,これを達成することが

できる。その場合は,コンピュータプログラムが破壊される危険性の低減を目的として,プログラムソー

スライブラリへのアクセスを管理するために,次の事項を考慮することが望ましい。 

a) 可能な限り,プログラムソースライブラリは,運用システムの中に保持しない。 

b) プログラムソースコード及びプログラムソースライブラリは,確立した手順に従って管理する。 

c) サポート要員による,プログラムソースライブラリへの無制限のアクセスを許さない。 

d) プログラムソースライブラリ及び関連情報の更新,並びにプログラマへのプログラムソースの発行は,

適切な認可を得た後にだけ実施する。 

e) プログラムリストは,セキュリティが保たれた環境で保持する。 

background image

30 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

f) 

プログラムソースライブラリへの全てのアクセスについて,監査ログを維持する。 

g) プログラムソースライブラリの保守及び複製は,厳しい変更管理手順に従う(14.2.2参照)。 

プログラムソースコードの公開を意図している場合には,その完全性を保証するために役立つ追加的な

管理策(例えば,ディジタル署名)を考慮することが望ましい。 

10 

暗号 

10.1 暗号による管理策 

目的 情報の機密性,真正性及び/又は完全性を保護するために,暗号の適切かつ有効な利用を確実にす

るため。 

10.1.1 暗号による管理策の利用方針 

管理策 

情報を保護するための暗号による管理策の利用に関する方針は,策定し,実施することが望ましい。 

実施の手引 

暗号の利用に関する方針を策定するときは,次の事項を考慮することが望ましい。 

a) 業務情報を保護する上での一般原則も含め,暗号による管理策の組織全体での使用に関する管理の取

組み 

b) リスクアセスメントに基づく,要求される暗号アルゴリズムの種別,強度及び品質を考慮に入れた,

要求された保護レベルの識別 

c) 持ち運び可能な若しくは取外し可能な媒体装置又は通信によって伝送される情報を,保護するための

暗号の利用 

d) 鍵管理に対する取組み。これには,暗号鍵の保護手法,及び鍵が紛失した場合,危険になった場合又

は損傷した場合の暗号化された情報の復元手法を含む。 

e) 役割及び責任。例えば,次の事項に対する責任者の特定。 

1) この方針の実施 

2) 鍵生成を含めた鍵管理(10.1.2参照) 

f) 

組織全体にわたって効果的に実施するために採用する標準類(業務プロセスに用いるソリューション

の選択) 

g) 暗号化した情報を用いることの,情報内容の検査(例えば,マルウェアの検出)に依存する管理策へ

の影響 

暗号に関わる組織の方針を実施するときには,世界の様々な地域における暗号技術の利用,及び国境を

越える暗号化された情報の流れに関する問題に適用される,規制及び国内の制約を考慮することが望まし

い(18.1.5参照)。 

暗号による管理策は,様々な情報セキュリティ目的を達成するために,例えば,次のように利用できる。 

a) 機密性 保管又は伝送される,取扱いに慎重を要する情報又は重要な情報を守るための,情報の暗号

化の利用 

b) 完全性・真正性 保管又は伝送される,取扱いに慎重を要する情報又は重要な情報の完全性・真正性

を検証するための,ディジタル署名又はメッセージ認証コードの利用 

31 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

c) 否認防止 ある事象又は活動が,起こったこと又は起こらなかったことの証拠を提供するための,暗

号技術の利用 

d) 認証 システム利用者,システムエンティティ及びシステム資源へのアクセスを要求している,又は

これらとやり取りしている,利用者及びその他のシステムエンティティを認証するための,暗号技術

の利用 

関連情報 

暗号技術を用いたソリューションが適切であるかどうかに関して決断を下すことは,広い意味でのリス

クアセスメントのプロセス及び管理策の選定の一部として捉えることが望ましい。さらに,このアセスメ

ントは,暗号による管理策が適しているかどうか,どのタイプの管理策を適用することが望ましいか,ま

た,何の目的でどの業務プロセスに適用することが望ましいかを決めるために利用できる。 

暗号による管理策の利用に関わる方針は,暗号技術の利用による効果の最大化及びリスクの最小化のた

めに必要であり,また,暗号技術の不適切な利用又は誤った利用を防止するために必要である。 

情報セキュリティ方針の目的を満たすために,適切な暗号による管理策の選定においては,専門家の助

言を求めることが望ましい。 

10.1.2 鍵管理 

管理策 

暗号鍵の利用,保護及び有効期間(lifetime)に関する方針を策定し,そのライフサイクル全体にわたっ

て実施することが望ましい。 

実施の手引 

方針には,暗号鍵の生成,保管,保存,読出し,配布,使用停止及び破壊を含むライフサイクル全体に

わたって,暗号鍵を管理するための要求事項を含めることが望ましい。 

最適な慣行に従って,暗号アルゴリズム,鍵の長さ及び使用法を選定することが望ましい。適切な鍵管

理には,暗号鍵を生成,保管,保存,読出し,配布,使用停止及び破壊するための,セキュリティを保っ

たプロセスが必要となる。 

全ての暗号鍵は,改変及び紛失から保護することが望ましい。さらに,秘密鍵及びプライベート鍵は,

認可されていない利用及び開示から保護する必要がある。鍵の生成,保管及び保存のために用いられる装

置は,物理的に保護されることが望ましい。 

注記 この規格において,公開鍵(非対称暗号)方式における一対の鍵のうち,“private key”を“プ

ライベート鍵”とし,“public key”を“公開鍵”とした。また,共通鍵(対称暗号)方式にお

ける“secret key”を“秘密鍵”とした。 

鍵管理システムは,次のために,一連の合意された標準類,手順及びセキュリティを保った手法に基づ

くことが望ましい。 

a) 種々の暗号システム及び種々のアプリケーションのために鍵を生成する。 

b) 公開鍵証明書を発行し,入手する。 

c) 意図するエンティティに鍵を配布する。これには,受領時に,鍵をどのような方法で活性化するか(使

える状態にするか)も含む。 

d) 鍵を保管する。これには,認可されている利用者がどのような方法で鍵にアクセスするかも含む。 

e) 鍵を変更又は更新する。これには,鍵をいつ,どのような方法で変更するかの規則も含む。 

f) 

危険になった鍵に対処する。 

background image

32 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

g) 鍵を無効にする(例えば,鍵が危険になった場合,利用者が組織を離脱した場合。後者の場合には,

鍵は保存することが望ましい。)。これには,鍵をどのような方法で取消し又は非活性化するかも含む。 

h) 紛失した鍵又は破損した鍵を回復する。 

i) 

鍵をバックアップ又は保存する。 

j) 

鍵を破壊する。 

k) 鍵管理に関連する活動を記録し,監査する。 

不適切な使用を起こりにくくするために,鍵の活性化及び非活性化の期日を定め,これによって,鍵管

理の方針で定めた期間内でだけ鍵を使用できるようにすることが望ましい。 

秘密鍵及びプライベート鍵をセキュリティを保って管理することに加え,公開鍵の真正性についても考

慮することが望ましい。この認証プロセスは,認証局によって通常発行される公開鍵証明書を用いて実施

される。この認証局は,要求された信頼度を提供するために適切な管理策及び手順を備えている,認知さ

れた組織であることが望ましい。 

暗号サービスの外部供給者(例えば,認証局)とのサービスレベルに関する合意又は契約の内容は,賠

償責任,サービスの信頼性及びサービス提供のための応答時間に関する事項を扱うことが望ましい(15.2

参照)。 

関連情報 

暗号鍵の管理は,暗号技術の効果的な利用のために不可欠である。鍵管理に関する更なる情報が,

ISO/IEC 11770規格群[2]〜[4]に示されている。 

暗号技術は,暗号鍵を保護するためにも利用される。暗号鍵へのアクセスに関する法的要求(例えば,

裁判での証拠として,暗号化された情報を平文で求められた場合。)を取り扱う手順を考慮することが必要

な場合がある。 

11 物理的及び環境的セキュリティ 

11.1 セキュリティを保つべき領域 

目的 組織の情報及び情報処理施設に対する認可されていない物理的アクセス,損傷及び妨害を防止する

ため。 

11.1.1 物理的セキュリティ境界 

管理策 

取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために,物理的セキュリ

ティ境界を定め,かつ,用いることが望ましい。 

実施の手引 

物理的セキュリティ境界について,次の事項を,必要な場合には,考慮し,実施することが望ましい。 

a) 物理的セキュリティ境界を定める。それぞれの境界の位置及び強度は,境界内に設置している資産の

セキュリティ要求事項及びリスクアセスメントの結果に基づく。 

b) 情報処理施設を収容した建物又は敷地の境界は,物理的に頑丈にする(すなわち,境界には隙間がな

く,又は容易に侵入できる箇所がない。)。敷地内の屋根,壁及び床は,堅固な構造物とし,外部に接

する全ての扉を,開閉制御の仕組み(例えば,かんぬき,警報装置,錠)によって,認可されていな

いアクセスから適切に保護する。要員が不在のときには,扉及び窓を施錠し,窓(特に一階の窓)に

33 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ついては外部からの保護を考慮する。 

c) 敷地又は建物への物理的アクセスを管理するための有人の受付又はその他の手段を備える。敷地及び

建物へのアクセスは,認可された要員だけに制限する。 

d) 認可されていない物理的アクセス及び周囲への悪影響を防止するために,適用できる場合は,物理的

な障壁を設置する。 

e) セキュリティ境界上にある全ての防火扉は,該当する地域標準,国内標準及び国際標準が要求するレ

ベルの抵抗力を確立するために,壁と併せて,警報機能を備え,監視し,試験する。防火扉は,その

地域の消防規則に従って,不具合が発生しても安全側に作動するように運用する。 

f) 

全ての外部に接する扉及びアクセス可能な窓を保護するために,侵入者を検知する適切なシステムを,

地域標準,国内標準又は国際標準に沿って導入し,定めに従って試験する。無人の領域では,常に警

報装置を作動させる。他の領域(例えば,コンピュータ室,通信機器室)にも,このような仕組みを

設置する。 

g) 組織が自ら管理する情報処理施設は,外部関係者が管理する施設から物理的に分離する。 

関連情報 

物理的な保護は,組織の施設及び情報処理施設の周囲に一つ以上の物理的障壁を設けることで達成する

ことができる。複数の障壁を利用することは,一つの障壁の故障が直ちにセキュリティを損なうことには

ならないという,更なる保護をもたらす。 

セキュリティを保つべき領域は,施錠できるオフィス,又は連続する内部の物理的セキュリティ障壁に

よって囲まれた部屋であってもよい。セキュリティ境界内のセキュリティ要求事項が異なる領域の間には,

物理的アクセスを管理するための障壁及び境界を追加することが必要な場合がある。複数の組織の資産が

収容されている建物では,物理的なアクセスのセキュリティについて,特別な注意を払うことが望ましい。 

物理的な管理策,特にセキュリティを保つべき領域に関する管理策の適用は,リスクアセスメントによ

って示されるように,組織の技術的及び経済的状況に適合するものであることが望ましい。 

11.1.2 物理的入退管理策 

管理策 

セキュリティを保つべき領域は,認可された者だけにアクセスを許すことを確実にするために,適切な

入退管理策によって保護することが望ましい。 

実施の手引 

この管理策の実施については,次の事項を考慮することが望ましい。 

a) 訪問者の入退の日付及び時刻を記録する。また,アクセスが事前に承認されている場合を除いて,全

ての訪問者を監督する。訪問者には,特定され,認可された目的のためのアクセスだけを許可し,そ

の領域のセキュリティ要求事項及び緊急時の手順についての指示を与える。適切な手段によって,訪

問者の識別情報を認証する。 

b) 適切なアクセス制御の実施(例えば,アクセスカード及び秘密の個人識別番号のような,二要素認証

の仕組みの導入)によって,秘密情報を処理又は保管する領域へのアクセスを,認可された者だけに

制限する。 

c) 全てのアクセスについて,物理的な記録日誌又は電子形式の監査証跡を,セキュリティを保って維持

及び監視する。 

d) 全ての従業員,契約相手及び外部関係者に,何らかの形式の,目に見える証明書の着用を要求する。

関係者が付き添っていない訪問者及び目に見える証明書を着用していない者を見かけた場合は,直ち

34 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

にセキュリティ要員に知らせる。 

e) セキュリティを保つべき領域又は秘密情報処理施設への,外部のサポートサービス要員によるアクセ

スは,限定的かつ必要なときにだけ許可する。このアクセスは,認可を必要とし,監視する。 

f) 

セキュリティを保つべき領域へのアクセス権は,定期的にレビューし,更新し,必要なときには無効

にする(9.2.5及び9.2.6参照)。 

11.1.3 オフィス,部屋及び施設のセキュリティ 

管理策 

オフィス,部屋及び施設に対する物理的セキュリティを設計し,適用することが望ましい。 

実施の手引 

オフィス,部屋及び施設のセキュリティを保つために,次の事項を考慮することが望ましい。 

a) 主要な施設は,一般の人のアクセスが避けられる場所に設置する。 

b) 適用可能な場合,建物を目立たせず,その目的を示す表示は最小限とし,情報処理活動の存在を示す

ものは,建物の内外を問わず,一切表示しない。 

c) 施設は,秘密の情報又は活動が外部から見えたり聞こえたりしないように構成する。該当する場合,

電磁遮蔽も考慮する。 

d) 秘密情報処理施設の場所を示す案内板及び内線電話帳は,認可されていない者が容易にアクセスでき

ないようにする。 

11.1.4 外部及び環境の脅威からの保護 

管理策 

自然災害,悪意のある攻撃又は事故に対する物理的な保護を設計し,適用することが望ましい。 

実施の手引 

火災,洪水,地震,爆発,暴力行為,及びその他の自然災害又は人的災害からの損傷を回避する方法に

ついて,専門家の助言を得ることが望ましい。 

11.1.5 セキュリティを保つべき領域での作業 

管理策 

セキュリティを保つべき領域での作業に関する手順を設計し,適用することが望ましい。 

実施の手引 

この管理策の実施については,次の事項を考慮することが望ましい。 

a) 要員は,セキュリティを保つべき領域の存在又はその領域内での活動を,知る必要性の原則に基づく

範囲でだけ認識している。 

b) 安全面の理由のため及び悪意ある活動の機会を防止するための両面から,セキュリティを保つべき領

域での監督されていない作業は,回避する。 

c) セキュリティを保つべき領域が無人のときは,物理的に施錠し,定期的に点検する。 

d) 画像,映像,音声又はその他の記録装置(例えば,携帯端末に付いたカメラ)は,認可されたもの以

外は許可しない。 

セキュリティを保つべき領域での作業に関する取決めには,その領域で作業する従業員及び外部の利用

者に対する管理策を含む。また,この取決めは,セキュリティを保つべき領域で行われる全ての活動に適

用される。 

11.1.6 受渡場所 

background image

35 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

管理策 

荷物の受渡場所などの立寄り場所,及び認可されていない者が施設に立ち入ることもあるその他の場所

は,管理することが望ましい。また,可能な場合には,認可されていないアクセスを避けるために,それ

らの場所を情報処理施設から離すことが望ましい。 

実施の手引 

この管理策の実施については,次の事項を考慮することが望ましい。 

a) 建物外部からの受渡場所へのアクセスは,識別及び認可された要員に制限する。 

b) 受渡場所は,配達要員が建物の他の場所にアクセスすることなく荷積み及び荷降ろしできるように設

計する。 

c) 受渡場所の外部扉は,内部の扉が開いているときにはセキュリティを保つ。 

d) 入荷物は,受渡場所から移動する前に,爆発物,化学物質又はその他の危険物がないかを検査する。 

e) 入荷物は,事業所へ持ち込むときに資産の管理手順(箇条8参照)に従って登録する。 

f) 

可能な場合には,入荷と出荷とは,物理的に分離した場所で扱う。 

g) 入荷物は,輸送中に開封された痕跡がないかを検査する。開封の痕跡が見つかった場合には,直ちに

セキュリティ要員に報告する。 

11.2 

装置 

目的 資産の損失,損傷,盗難又は劣化,及び組織の業務に対する妨害を防止するため。 

11.2.1 装置の設置及び保護 

管理策 

装置は,環境上の脅威及び災害からのリスク並びに認可されていないアクセスの機会を低減するように

設置し,保護することが望ましい。 

実施の手引 

装置を保護するために,次の事項を考慮することが望ましい。 

a) 装置は,作業領域への不必要なアクセスが最小限になるように設置する。 

b) 取扱いに慎重を要するデータを扱う情報処理施設は,施設の使用中に認可されていない者が情報をの

ぞき見るリスクを低減するために,その位置を慎重に定める。 

c) 認可されていないアクセスを回避するため,保管設備のセキュリティを保つ。 

d) 特別な保護を必要とする装置は,それ以外の装置と一緒にすると,共通に必要となる保護のレベルを

増加させてしまうので,その保護のレベルを軽減するために,他と区別して保護する。 

e) 潜在的な物理的及び環境的脅威[例えば,盗難,火災,爆発,ばい(煤)煙,水(又は給水の不具合),

じんあい(塵埃),振動,化学的汚染,電力供給の妨害,通信妨害,電磁波放射,破壊]のリスクを最

小限に抑えるための管理策を採用する。 

f) 

情報処理施設の周辺での飲食及び喫煙に関する指針を確立する。 

g) 情報処理施設の運用に悪影響を与えることがある環境条件(例えば,温度,湿度)を監視する。 

h) 全ての建物に,落雷からの保護を適用する。全ての電力及び通信の引込線に避雷器を装着する。 

i) 

作業現場などの環境にある装置には,特別な保護方法(例えば,キーボードカバー)の使用を考慮す

る。 

j) 

電磁波の放射による情報漏えいのリスクを最小限にするため,秘密情報を処理する装置を保護する。 

11.2.2 サポートユーティリティ 

36 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

管理策 

装置は,サポートユーティリティの不具合による,停電,その他の故障から保護することが望ましい。 

実施の手引 

サポートユーティリティ(例えば,電気,通信サービス,給水,ガス,下水,換気,空調)は,次の条

件を満たすことが望ましい。 

a) 装置の製造業者の仕様及び地域の法的要求事項に適合している。 

b) 事業の成長及び他のサポートユーティリティとの相互作用に対応する能力を,定期的に評価する。 

c) 適切に機能することを確実にするために,定期的に検査及び試験する。 

d) 必要であれば,不具合を検知するための警報装置を取り付ける。 

e) 必要であれば,物理的な経路が異なる複数の供給元を確保する。 

非常用の照明及び通信手段を備えることが望ましい。非常口又は設備室の近くに,電源,給水,ガス又

はその他のユーティリティを遮断するための緊急スイッチ及び緊急バルブを設置することが望ましい。 

関連情報 

ネットワーク接続の追加的な冗長性は,一つ以上のユーティリティ提供者から複数の経路を確保するこ

とで得られる。 

11.2.3 ケーブル配線のセキュリティ 

管理策 

データを伝送する又は情報サービスをサポートする通信ケーブル及び電源ケーブルの配線は,傍受,妨

害又は損傷から保護することが望ましい。 

実施の手引 

ケーブル配線のセキュリティのために,次の事項を考慮することが望ましい。 

a) 情報処理施設に接続する電源ケーブル及び通信回線は,可能な場合には,地下に埋設するか,又はこ

れに代わる十分な保護手段を施す。 

b) 干渉を防止するために,電源ケーブルは,通信ケーブルから隔離する。 

c) 取扱いに慎重を要するシステム又は重要なシステムのために,次の追加の管理策を考慮する。 

1) 外装電線管の導入。点検箇所・終端箇所の施錠可能な部屋又は箱への設置 

2) ケーブルを保護するための電磁遮蔽の利用 

3) ケーブルに取り付けられた認可されていない装置の技術的探索及び物理的検査の実施 

4) 配線盤,端子盤及びケーブル室への管理されたアクセス 

11.2.4 装置の保守 

管理策 

装置は,可用性及び完全性を継続的に維持することを確実にするために,正しく保守することが望まし

い。 

実施の手引 

装置の保守のために,次の事項を考慮することが望ましい。 

a) 装置は,供給者の推奨する間隔及び仕様に従って保守する。 

b) 認可された保守要員だけが,装置の修理及び手入れを実施する。 

c) 故障と見られるもの及び実際の故障の全て,並びに予防及び是正のための保守の全てについての記録

を保持する。 

37 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

d) 装置の保守を計画する場合には,この保守を,要員が構内で行うのか,又は組織の外で行うのかを考

慮して,適切な管理策を実施する。必要な場合には,その装置から秘密情報を消去するか,又は保守

要員が十分に信頼できる者であることを確かめる。 

e) 保険約款で定められた,保守に関する全ての要求事項を順守する。 

f) 

保守の後,装置を作動させる前に,その装置が改ざんされていないこと及び不具合を起こさないこと

を確実にするために検査する。 

11.2.5 資産の移動 

管理策 

装置,情報又はソフトウェアは,事前の認可なしでは,構外に持ち出さないことが望ましい。 

実施の手引 

この管理策の実施については,次の事項を考慮することが望ましい。 

a) 資産を構外に持ち出すことを許す権限をもつ従業員及び外部の利用者を特定する。 

b) 資産の持出し期限を設定し,また,返却がそのとおりであったか検証する。 

c) 必要かつ適切な場合は,資産が構外に持ち出されていることを記録し,また,返却時に記録する。 

d) 資産を扱う又は利用する者について,その識別情報,役割及び所属を文書化する。この文書は,その

装置,情報又はソフトウェアとともに返却させる。 

関連情報 

認可されていない資産の持出しを見つけるために実施される抜打ち点検は,認可されていないもの(例

えば,記録装置,武器)を検知して,それらが構内へ持ち込まれたり構内から持ち出されたりすることを

防止するために実施する場合もある。このような抜打ち点検は,関連する法令及び規則に従って実施する

ことが望ましい。各人に抜打ち点検の実施を認識させておくことが望ましく,こうした点検は,法的及び

規制の要求事項に対する適切な認可の下でだけ実施することが望ましい。 

11.2.6 構外にある装置及び資産のセキュリティ 

管理策 

構外にある資産に対しては,構外での作業に伴った,構内での作業とは異なるリスクを考慮に入れて,

セキュリティを適用することが望ましい。 

実施の手引 

情報を保管及び処理する装置を組織の構外で用いる場合は,管理層の認可を得ることが望ましい。これ

は,組織が所有する装置,及び個人が所有し組織のために用いる装置に適用される。 

構外にある装置の保護のために,次の事項を考慮することが望ましい。 

a) 構外に持ち出した装置及び媒体は,公共の場所に無人状態で放置しない。 

b) 装置の保護(例えば,強力な電磁場にさらすことに対する保護)に関する製造業者の指示を常に守る。 

c) 在宅勤務,テレワーキング及び一時的サイトのような構外の場所についての管理策を,リスクアセス

メントに基づいて決定し,状況に応じた管理策(例えば,施錠可能な文書保管庫,クリアデスク方針,

コンピュータのアクセス制御,セキュリティを保ったオフィスとの通信)を適切に適用する(ISO/IEC 

27033規格群[15]〜[19]も参照)。 

d) 構外にある装置を,複数の個人又は外部関係者の間で移動する場合には,その装置の受渡記録を明記

した記録(少なくとも,その装置に対して責任を負う者の氏名及び組織を含むもの)を維持すること

が望ましい。 

38 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

リスク(例えば,損傷,盗難,傍受)は,場所によってかなり異なる場合がある。それぞれの場所に応

じた最も適切な管理策の決定には,リスクを考慮することが望ましい。 

関連情報 

情報の記憶・処理装置には,在宅勤務のために保持される又は通常の作業場所から他の場所に移動され

る,全ての種類の,パーソナルコンピュータ,電子手帳などの管理用機器,携帯電話,スマートカード,

書類及び他の形態のものが含まれる。 

モバイル機器の保護に関する他の側面の詳細については,6.2に示す。 

特定の従業員には,構外での作業をさせない又は携帯可能なIT装置の使用を制限することで,リスクを

回避することが適切な場合がある。 

11.2.7 装置のセキュリティを保った処分又は再利用 

管理策 

記憶媒体を内蔵した全ての装置は,処分又は再利用する前に,全ての取扱いに慎重を要するデータ及び

ライセンス供与されたソフトウェアを消去していること,又はセキュリティを保って上書きしていること

を確実にするために,検証することが望ましい。 

実施の手引 

装置は,処分又は再利用する前に,記憶媒体が内蔵されているか否かを確かめるために検証することが

望ましい。 

秘密情報又は著作権のある情報を格納した記憶媒体は,物理的に破壊することが望ましく,又はその情

報を破壊,消去若しくは上書きすることが望ましい。消去又は上書きには,標準的な消去又は初期化の機

能を利用するよりも,元の情報を媒体から取り出せなくする技術を利用することが望ましい。 

関連情報 

記憶媒体を内蔵した装置が損傷した場合,その装置を修理又は廃棄するよりも物理的に破壊するほうが

適切であるか否かを決定するために,リスクアセスメントが必要となる場合がある。情報は,装置の不注

意な処分又は再利用によって危険にさらされることもある。 

ディスクの内容のセキュリティを保った消去のほかに,ディスク全体の暗号化によっても,装置を処分

又は再配備した場合に秘密情報が開示されるリスクが低減する。ただし,次の事項が条件となる。 

a) 暗号化プロセスは十分に強じん(靭)なものであり,ディスク全体(スラックスペース,スワップフ

ァイルなども含む。)を対象とする。 

b) 暗号鍵は,総当たり攻撃に耐えられるだけの十分な長さである。 

c) 暗号鍵そのものが,秘密に保たれる(例えば,同じディスク上に保管しない。)。 

暗号化に関する詳細な助言を,箇条10に示す。 

セキュリティを保って記憶媒体を上書きする技術は,その記憶媒体の技術によって異なる。記憶媒体の

技術に適用可能であることを確認するために,上書き用のツールをレビューすることが望ましい。 

11.2.8 無人状態にある利用者装置 

管理策 

利用者は,無人状態にある装置が適切な保護対策を備えていることを確実にすることが望ましい。 

実施の手引 

無人状態にある装置の保護を実施する責任と同様に,その装置を保護するためのセキュリティ要求事項

及び手順についても,全ての利用者に認識させることが望ましい。利用者に,次の事項を実施するように

background image

39 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

助言することが望ましい。 

a) 実行していた処理が終わった時点で,接続を切る。ただし,適切なロック機能(例えば,パスワード

によって保護されたスクリーンセーバ)によって保護されている場合は,その限りではない。 

b) 必要がなくなったら,アプリケーション又はネットワークサービスからログオフする。 

c) コンピュータ又はモバイル機器は,利用していない場合,キーロック又は同等の管理策(例えば,パ

スワードアクセス)によって,認可されていない利用から保護する。 

11.2.9 クリアデスク・クリアスクリーン方針 

管理策 

書類及び取外し可能な記憶媒体に対するクリアデスク方針,並びに情報処理設備に対するクリアスクリ

ーン方針を適用することが望ましい。 

注記 クリアデスクとは,机上に書類を放置しないことをいう。また,クリアスクリーンとは,情報

をスクリーンに残したまま離席しないことをいう。 

実施の手引 

クリアデスク・クリアスクリーン方針において,組織の,情報分類(8.2参照),法的及び契約上の要求

事項(18.1参照),並びにそれらに対応するリスク及び文化的側面を考慮することが望ましい。この管理策

の実施については,次の事項を考慮することが望ましい。 

a) 取扱いに慎重を要する業務情報又は重要な業務情報(例えば,紙又は電子記憶媒体上の業務情報)は,

必要のない場合,特にオフィスに誰もいないときには,施錠して(理想的には金庫,書庫又はセキュ

リティを備えた他の形態の収納用具に)保管しておく。 

b) コンピュータ及び端末は,離席時には,ログオフ状態にしておくか,又はパスワード,トークン若し

くは類似の利用者認証機能で管理されたスクリーン及びキーボードのロック機能によって保護してい

る。また,利用しないときは,施錠,パスワード又は他の管理策によって保護している。 

c) コピー機及びその他の再生技術(例えば,スキャナ,ディジタルカメラ)の認可されていない利用は,

防止する。 

d) 取扱いに慎重を要する情報又は機密扱い情報を含む媒体は,プリンタから直ちに取り出しておく。 

関連情報 

クリアデスク・クリアスクリーン方針は,通常の勤務時間内及び時間外の情報への認可されていないア

クセス,情報の消失及び損傷のリスクを低減する。金庫又はセキュリティを備えた他の形態の保管設備は,

それらに保管された情報を,火災,地震,洪水,爆破などの災害から保護することもできる。 

個人識別番号(PIN)コード機能をもつプリンタを利用すれば,印刷を実行した人だけが,プリンタの

横に立ったときにだけ,印刷物を得ることができる。 

12 

運用のセキュリティ 

12.1 運用の手順及び責任 

目的 情報処理設備の正確かつセキュリティを保った運用を確実にするため。 

12.1.1 操作手順書 

管理策 

操作手順は,文書化し,必要とする全ての利用者に対して利用可能とすることが望ましい。 

実施の手引 

40 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

情報処理設備及び通信設備に関連する操作(例えば,コンピュータの起動・停止の手順,バックアップ,

装置の保守,媒体の取扱い,コンピュータ室及びメールの取扱いの管理・安全)の手順書を作成すること

が望ましい。 

操作手順には,次の事項を含む,操作上の指示を明記することが望ましい。 

a) システムの導入及び構成 

b) 情報の処理及び取扱い(自動化されたもの及び手動によるものを含む。) 

c) バックアップ(12.3参照) 

d) スケジュール作成に関する要求事項。これには,他のシステムとの相互依存性,最も早い作業の開始

時刻及び最も遅い作業の完了時刻を含む。 

e) 作業中に発生し得る,誤り又はその他の例外状況の処理についての指示。これには,システムユーテ

ィリティの利用の制限を含む(9.4.4参照)。 

f) 

操作上又は技術上の不測の問題が発生した場合の,外部のサポート用連絡先を含む,サポート用及び

段階的取扱い(escalation)用の連絡先 

g) 特別な出力及び媒体の取扱いに関する指示(8.3及び11.2.7参照)。例えば,特殊な用紙の使用,秘密

情報の出力の管理(失敗した作業出力のセキュリティを保った処分手順を含む。)。 

h) システムが故障した場合の再起動及び回復の手順 

i) 

監査証跡及びシステムログ情報の管理(12.4参照) 

j) 

監視手順 

システムの管理活動のための操作手順及び文書化手順は,正式な文書として取り扱い,その手順書の変

更は,管理層によって認可されることが望ましい。技術的に可能であれば,情報システムは,同一の手順,

ツール及びユーティリティを用いて,首尾一貫した管理を行うことが望ましい。 

12.1.2 変更管理 

管理策 

情報セキュリティに影響を与える,組織,業務プロセス,情報処理設備及びシステムの変更は,管理す

ることが望ましい。 

実施の手引 

この管理策の実施については,特に,次の事項を考慮することが望ましい。 

a) 重要な変更の特定及び記録 

b) 変更作業の計画策定及びテストの実施 

c) そのような変更の潜在的な影響(情報セキュリティ上の影響を含む。)のアセスメント 

d) 変更の申出を正式に承認する手順 

e) 情報セキュリティ要求事項が満たされていることの検証 

f) 

全ての関係者への変更に関する詳細事項の通知 

g) うまくいかない変更及びこれに伴う予期できない事象を取り消し,これらから回復する手順及び責任

を含む,代替手順 

h) インシデントの解決のために必要な変更を,迅速にかつ管理して実施できるようにするための,緊急

時の変更プロセスの提供(16.1参照) 

あらゆる変更の十分な管理を確実にするためには,正式な責任体制及び手順を備えていることが望まし

41 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

い。変更がなされたときには,変更に関わる全ての関連情報を含んだ監査ログを保持することが望ましい。 

関連情報 

情報処理設備及びシステムの変更に対する不十分な管理は,システム又はセキュリティ不具合の一般的

な原因となる。特に,システムを開発ステージから運用ステージに移す段階では,運用環境の変更は,ア

プリケーションの信頼性に影響を及ぼすことがある(14.2.2参照)。 

12.1.3 容量・能力の管理 

管理策 

要求されたシステム性能を満たすことを確実にするために,資源の利用を監視・調整し,また,将来必

要とする容量・能力を予測することが望ましい。 

実施の手引 

事業におけるシステムの重要度を考慮に入れて,その容量・能力に関する要求事項を特定することが望

ましい。システムの可用性及び効率性を確実にするため,また,必要な場合には,改善のために,システ

ム調整及び監視を適用することが望ましい。適切な時点で問題を知らせるために,検知のための管理策を

備えることが望ましい。将来必要とされる容量・能力の予測では,新しい事業及びシステムに対する要求

事項並びに組織の情報処理の能力についての現在の傾向及び予測される傾向を考慮することが望ましい。 

入手時間がかかるか又は費用がかかる資源については,特別な注意を払う必要がある。したがって,管

理者は,主要なシステム資源の使用を監視することが望ましい。管理者は,使用の傾向,特に業務用アプ

リケーション又は情報システムの管理ツールに関連した傾向を特定することが望ましい。 

システムセキュリティ又はサービスに脅威をもたらすおそれのある,潜在的なあい(隘)路(bottlenecks)

及び主要な要員への依存度合いを特定し,回避するために,管理者は,この情報を用いることが望ましく,

また,適切な処置を立案することが望ましい。 

容量・能力を増やすか,要求を減らすことによって,十分な容量・能力を提供することができる。容量・

能力の要求に関する管理の例には,次を含む。 

a) 古いデータの削除(ディスクスペース) 

b) アプリケーション,システム,データベース又は環境の廃止 

c) バッチのプロセス及びスケジュールの最適化 

d) アプリケーションの処理方法及びデータベースへの問合せの最適化 

e) 事業上重要でない場合,大量の帯域を必要とするサービス(例えば,動画のストリーミング)に対す

る帯域割当ての拒否又は制限 

業務上必須のシステムについては,容量・能力の管理計画を文書化することを検討することが望ましい。 

関連情報 

この管理策は,人的資源,オフィス及び施設の容量・能力にも対処するものである。 

12.1.4 開発環境,試験環境及び運用環境の分離 

管理策 

開発環境,試験環境及び運用環境は,運用環境への認可されていないアクセス又は変更によるリスクを

低減するために,分離することが望ましい。 

実施の手引 

運用上の問題を防ぐために必要な,開発環境,試験環境及び運用環境の間の分離レベルを特定し,それ

に従って分離することが望ましい。 

background image

42 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

特に,次の事項を考慮することが望ましい。 

a) ソフトウェアの開発から運用の段階への移行についての規則は,明確に定め,文書化する。 

b) 開発ソフトウェア及び運用ソフトウェアは,異なるシステム又はコンピュータ上で,及び異なる領域

又はディレクトリで実行する。 

c) 運用システム及びアプリケーションに対する変更は,運用システムに適用する前に,試験環境又はス

テージング環境(運用環境に近い試験環境)で試験する。 

d) 例外的な状況以外では,運用システムで試験を行わない。 

e) コンパイラ,エディタ,及びその他の開発ツール又はシステムユーティリティは,必要でない場合に

は,運用システムからアクセスできない。 

f) 

利用者は,運用システム及び試験システムに対して,異なるユーザプロファイルを用いる。また,メ

ニューには,誤操作によるリスクを低減するために,適切な識別メッセージを表示する。 

g) 取扱いに慎重を要するデータは,試験システムに同等の管理策が備わっていない限り,その試験シス

テム環境には複写しない(14.3参照)。 

関連情報 

開発作業及び試験作業は,重大な問題(例えば,ファイル環境・システム環境に対する望ましくない変

更,システム不具合)を引き起こすことがある。意味のある試験を実施し,開発者による運用環境への不

適切なアクセスを防止するために,既知で安定した環境を維持する必要がある。 

開発要員及び試験要員が運用システム及びその情報にアクセスする場合には,これらの要員は,認可さ

れていないコード及び検査されていないコードを挿入すること,又は運用データを変更することができる

場合がある。システムによっては,このような可能性が,不正行為を働いたり,検査されていないコード

又は悪意のあるコードを挿入するために悪用されることがあり,これらのコードは,深刻な運用上の問題

を引き起こすこともある。 

開発要員及び試験要員は,運用情報の機密性に脅威をもたらすこともある。開発作業と試験作業とが同

じコンピュータの環境を利用している場合,ソフトウェア又は情報に意図しない変更を引き起こす場合が

ある。したがって,運用ソフトウェア及び業務用データへの過失による変更のリスク又は認可されていな

いアクセスのリスクを低減するために,開発環境,試験環境及び運用環境を分離することが望ましい(試

験データの保護については,14.3を参照)。 

12.2 マルウェアからの保護 

目的 情報及び情報処理施設がマルウェアから保護されることを確実にするため。 

12.2.1 マルウェアに対する管理策 

管理策 

マルウェアから保護するために,利用者に適切に認識させることと併せて,検出,予防及び回復のため

の管理策を実施することが望ましい。 

実施の手引 

マルウェアからの保護は,マルウェアに対する検出・修復ソフトウェア,情報セキュリティに対する認

識,及びシステムへの適切なアクセス・変更管理についての管理策に基づくことが望ましい。この管理策

の実施については,次の事項を考慮することが望ましい。 

a) 認可されていないソフトウェアの使用を禁止する,正式な方針の確立(12.6.2及び14.2参照) 

b) 認可されていないソフトウェアの使用を防止又は検出するための管理策の実施(例えば,アプリケー

43 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ションのホワイトリスト化) 

c) 悪意のあるウェブサイトであると知られている又は疑われるウェブサイトの使用を,防止又は検出す

るための管理策の実施(例えば,ブラックリスト) 

d) 外部ネットワークから若しくは外部ネットワーク経由で,又は他の媒体を通じてファイル及びソフト

ウェアを入手することによるリスクから保護し,どのような保護対策を行うことが望ましいかを示す

組織の正式な方針の確立 

e) マルウェアに付け込まれる可能性のあるぜい弱性を,技術的ぜい弱性管理などを通じて低減させる

(12.6参照)。 

f) 

重要な業務プロセスを支えるシステムのソフトウェア及びデータの,定めに従ったレビューの実施。

未承認のファイル又は認可されていない変更があった場合には,正式に調査する。 

g) 予防又は定常作業として,コンピュータ及び媒体を走査(scan)するための,マルウェアの検出・修

復ソフトウェアの導入及び定めに従った更新。実施する走査には,次を含める。 

1) ネットワーク経由又は何らかの形式の記憶媒体を通じて入手した全てのファイルに対する,マルウ

ェア検出のための使用前の走査 

2) 電子メールの添付ファイル及びダウンロードしたファイルに対する,マルウェア検出のための使用

前の走査。この走査は,様々な場所(例えば,電子メールサーバ,デスクトップコンピュータ,組

織のネットワークの入口)で実施する。 

3) ウェブページに対するマルウェア検出のための走査 

h) システムにおけるマルウェアからの保護,保護策の利用方法に関する訓練,マルウェアの攻撃の報告

及びマルウェアの攻撃からの回復に関する手順及び責任の明確化 

i) 

マルウェアの攻撃から回復するための適切な事業継続計画の策定。これには,必要な全てのデータ及

びソフトウェアの,バックアップ及び回復の手順を含める(12.3参照)。 

j) 

常に情報を収集するための手順の実施(例えば,新種のマルウェアに関する情報を提供するメーリン

グリストへの登録又はウェブサイトの確認) 

k) マルウェアに関する情報を確認し,警告情報が正確かつ役立つことを確実にするための手順の実施。

管理者は,単なるいたずらと真のマルウェアとを識別するために,適切な情報源(例えば,定評のあ

る刊行物,信頼できるインターネットサイト,マルウェアの対策ソフトウェア供給者)の利用を確実

にする。また,単なるいたずらの問題及びそれらを受け取ったときの対応について,全ての利用者に

認識させる。 

l) 

壊滅的な影響が及ぶ可能性のある環境の隔離 

関連情報 

情報処理の環境全体を通して,異なる業者及び技術による,マルウェアからの対策ソフトウェア製品を

複数利用することによって,マルウェアからの保護の有効性を高めることができる。 

保守及び緊急時手順においては,マルウェアに対する通常の管理策を回避する場合があるため,マルウ

ェアの侵入防止に向けた注意を払うことが望ましい。 

特定の条件下では,マルウェアからの保護策が業務に障害を及ぼす可能性がある。 

通常,マルウェアに対する管理策として,マルウェアの検出及び修復ソフトウェアだけを利用するので

は不十分であり,一般にはマルウェアの侵入を防止するための運用手順を併用する必要がある。 

12.3 バックアップ 

background image

44 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

目的 データの消失から保護するため。 

12.3.1 情報のバックアップ 

管理策 

情報,ソフトウェア及びシステムイメージのバックアップは,合意されたバックアップ方針に従って定

期的に取得し,検査することが望ましい。 

実施の手引 

バックアップ方針を確立し,情報,ソフトウェア及びシステムイメージのバックアップに関する組織の

要求事項を定めることが望ましい。 

バックアップ方針では,保管及び保護に関する要求事項を定めることが望ましい。 

災害又は媒体故障の発生の後に,全ての重要な情報及びソフトウェアの回復を確実にするために,適切

なバックアップ設備を備えることが望ましい。 

バックアップ計画を策定するときは,次の事項を考慮に入れることが望ましい。 

a) バックアップ情報の正確かつ完全な記録及び文書化したデータ復旧手順を作成する。 

b) バックアップの範囲(例えば,フルバックアップ,差分バックアップ),及びバックアップの頻度は,

組織の業務上の要求事項,関連する情報のセキュリティ要求事項,及びその情報の組織の事業継続に

対しての重要度を考慮して決定する。 

c) バックアップ情報は,主事業所の災害による被害から免れるために,十分離れた場所に保管する。 

d) バックアップ情報に対して,主事業所に適用されている標準と整合した,適切なレベルの物理的及び

環境的保護(箇条11参照)を実施する。 

e) バックアップに用いる媒体は,必要になった場合の緊急利用について信頼できることを確実にするた

めに,定めに従って試験する。この試験は,データ復旧手順の試験と併せて行い,必要なデータ復旧

時間に照らし合わせて確認することが望ましい。バックアップデータを復旧させる能力の試験は,バ

ックアップ手順又はデータ復旧プロセスに失敗し,データに修復不能な損傷又は損失が発生した場合

に備えて,原本の媒体に上書きするのではなく,専用の試験媒体を用いて行う。 

f) 

機密性が重要な場合には,暗号化によってバックアップ情報を保護する。 

運用手順では,バックアップ方針に従って,バックアップの完全性を確保するために,その実行を監視

し,計画されたバックアップの失敗に対処することが望ましい。 

個々のシステム及びサービスに関するバックアップの取決めは,事業継続計画の要求事項を満たすこと

を確実にするために,定めに従って試験することが望ましい。重要なシステム及びサービスに関するバッ

クアップの取決めは,災害に際してシステム全体を復旧させるために必要となる,システム情報,アプリ

ケーション及びデータの全てを対象とすることが望ましい。 

永久保存する複製物に関するあらゆる要求事項を考慮に入れて,不可欠な業務情報の保管期間を決定す

ることが望ましい。 

12.4 ログ取得及び監視 

目的 イベントを記録し,証拠を作成するため。 

12.4.1 イベントログ取得 

管理策 

利用者の活動,例外処理,過失及び情報セキュリティ事象を記録したイベントログを取得し,保持し,

45 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

定期的にレビューすることが望ましい。 

実施の手引 

関連がある場合は,次の事項をイベントログに含めることが望ましい。 

a) 利用者ID 

b) システムの動作 

c) 主要なイベントの日時及び内容(例えば,ログオン,ログオフ) 

d) 装置のID又は所在地(可能な場合),及びシステムの識別子 

e) システムへのアクセスの,成功及び失敗した試みの記録 

f) 

データ及び他の資源へのアクセスの,成功及び失敗した試みの記録 

g) システム構成の変更 

h) 特権の利用 

i) 

システムユーティリティ及びアプリケーションの利用 

j) 

アクセスされたファイル及びアクセスの種類 

k) ネットワークアドレス及びプロトコル 

l) 

アクセス制御システムが発した警報 

m) 保護システム(例えば,ウィルス対策システム,侵入検知システム)の作動及び停止 

n) アプリケーションにおいて利用者が実行したトランザクションの記録 

イベントログの取得は,システムのセキュリティについて整理統合したレポート及び警告を生成する能

力を備えた自動監視システムの基礎となる。 

関連情報 

イベントログには,取扱いに慎重を要するデータ及びPIIが含まれる場合がある。適切なプライバシー

保護対策をとることが望ましい(18.1.4参照)。 

可能な場合には,システムの実務管理者には,管理者自身の活動ログを削除又は停止する許可を与えな

いことが望ましい(12.4.3参照)。 

12.4.2 ログ情報の保護 

管理策 

ログ機能及びログ情報は,改ざん及び認可されていないアクセスから保護することが望ましい。 

実施の手引 

管理策は,次の事項を含むログ取得機能を用いて,ログ情報の認可されていない変更及び運用上の問題

から保護することを目指すことが望ましい。 

a) 記録されたメッセージ形式の変更 

b) ログファイルの編集又は削除 

c) イベント記録の不具合又は過去のイベント記録への上書きを引き起こす,ログファイル媒体の記録容

量超過 

監査ログの幾つかは,記録の保持に関する方針の一部として,又は証拠の収集及び保全のための要求事

項であることから,保存を要求される場合がある(16.1.7参照)。 

関連情報 

多くの場合,システムログは多量の情報を含んでいるが,その多くは情報セキュリティの監視とは無関

background image

46 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

係である。情報セキュリティの監視を目的として,重要イベントの特定を補助するために,適切なメッセ

ージタイプを二次的ログとして自動的に複製すること,又はファイル調査・正当性確認を実施する適切な

システムユーティリティ若しくは監査ツールを用いることを考慮することが望ましい。 

システムログに含まれているデータが改ざん又は削除されると,セキュリティ上の誤った判断をする場

合があるため,システムログを保護する必要がある。ログを保護するために,システムの実務管理者又は

運用担当者の管理外にあるシステムに,ログを逐次複製することがある。 

12.4.3 実務管理者及び運用担当者の作業ログ 

管理策 

システムの実務管理者及び運用担当者の作業は,記録し,そのログを保護し,定期的にレビューするこ

とが望ましい。 

実施の手引 

特権を与えられた利用者のアカウントの保有者は,その直接の管理下で,情報処理施設に関するログを

操作することが可能な場合がある。したがって,特権を与えられた利用者に関する責任追跡性を維持する

ために,ログを保護及びレビューする必要がある。 

関連情報 

システム及びネットワークの実務管理者の管理外にある侵入検知システムは,システム及びネットワー

クの管理の活動が規則を順守していることを監視するために利用することができる。 

12.4.4 クロックの同期 

管理策 

組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックは,単一の参照時刻源と同

期させることが望ましい。 

実施の手引 

時刻の表示,同期及び正確さに関する外部及び内部の要求事項は,文書化することが望ましい。このよ

うな要求事項は,法的,規制及び契約上の要求事項,標準類の順守,又は内部監視に関する要求事項であ

り得る。組織内で用いるための基準となる時刻源を定めることが望ましい。 

基準となる時刻源を外部から取得するための組織の取組み及び内部のクロックを確実に同期させる方法

を文書化し,実施することが望ましい。 

関連情報 

コンピュータ内のクロックの正しい設定は,監査ログの正確さを確実にするために重要である。監査ロ

グは,調査のために又は法令若しくは懲戒が関わる場合の証拠として必要となる場合がある。不正確な監

査ログは,そのような調査を妨げ,また,証拠の信頼性を損なう場合がある。時刻の国家標準に基づく時

報と同期したクロックは,記録システムのマスタクロックとして利用することができる。時刻同期プロト

コル(Network time protocol: NTP)は,全てのサーバをマスタクロックに同期させておくために利用する

ことができる。 

12.5 運用ソフトウェアの管理 

目的 運用システムの完全性を確実にするため。 

12.5.1 運用システムに関わるソフトウェアの導入 

管理策 

運用システムに関わるソフトウェアの導入を管理するための手順を実施することが望ましい。 

background image

47 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

実施の手引 

運用システムに関わるソフトウェアの変更を管理するために,次の事項を考慮することが望ましい。 

a) 運用ソフトウェア,アプリケーション及びプログラムライブラリの更新は,適切な管理層の認可に基

づき,訓練された実務管理者だけが実施する(9.4.5参照)。 

b) 運用システムは,実行可能なコードだけを保持し,開発用コード又はコンパイラは保持しない。 

c) アプリケーション及びオペレーティングシステムソフトウェアは,十分な試験に成功した後に導入す

る。試験は,使用性,セキュリティ,他システムへの影響及びユーザフレンドリ性を対象とし,別の

システムで実行する(12.1.4参照)。対応するプログラムソースライブラリが更新済みであることを確

実にする。 

d) 導入したソフトウェアの管理を維持するために,システムに関する文書化と同様に,構成管理システ

ムを利用する。 

e) 変更を実施する前に,ロールバック計画を備える。 

f) 

運用プログラムライブラリの更新の全てについて,監査ログを維持する。 

g) 緊急時対応の手段として,一つ前の版のアプリケーションソフトウェアを保持する。 

h) ソフトウェアの旧版は,そのソフトウェアが扱ったデータが保存されている間は,必要とされる情報

及びパラメータの全て,手順,設定の詳細並びにサポートソフトウェアとともに保管しておく。 

運用システムに利用される業者供給ソフトウェアは,供給者によってサポートされるレベルを維持する

ことが望ましい。徐々に,ソフトウェア業者は,古い版のソフトウェアのサポートを中止する。組織は,

サポートのないソフトウェアに依存することのリスクを考慮することが望ましい。 

新リリースにアップグレードするとの決定には,その変更に対する事業上の要求及びそのリリースのセ

キュリティ(例えば,新しい情報セキュリティ機能の導入,この版が必要になった情報セキュリティ問題

の量及び質)を考慮に入れることが望ましい。情報セキュリティ上の弱点を除去するか,又は低減するた

めに役立つ場合には,ソフトウェアパッチを適用することが望ましい(12.6参照)。 

供給者による物理的又は論理的アクセスは,サポート目的で必要なときに,管理層の承認を得た場合に

だけ許可することが望ましい。供給者の活動を監視することが望ましい(15.2.1参照)。 

コンピュータソフトウェアは,外部から供給されるソフトウェア及びモジュールに依存する場合がある。

セキュリティ上の弱点を招く可能性のある認可されていない変更を回避するために,外部から供給される

ソフトウェア及びモジュールは,監視し,管理することが望ましい。 

12.6 技術的ぜい弱性管理 

目的 技術的ぜい弱性の悪用を防止するため。 

12.6.1 技術的ぜい弱性の管理 

管理策 

利用中の情報システムの技術的ぜい弱性に関する情報は,時機を失せずに獲得することが望ましい。ま

た,そのようなぜい弱性に組織がさらされている状況を評価することが望ましい。さらに,それらと関連

するリスクに対処するために,適切な手段をとることが望ましい。 

実施の手引 

最新で完全な資産目録(箇条8参照)は,技術的ぜい弱性に対する有効な管理のために不可欠である。

技術的ぜい弱性の管理をサポートするために必要となる具体的な情報には,ソフトウェア業者,版番号,

48 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

配置状況(例えば,どのソフトウェアがどのシステム上に導入されているか),及びそのソフトウェアに責

任のある組織内の担当者が含まれる。 

潜在していた技術的ぜい弱性を特定したときは,適切かつ時機を失しない処置をとることが望ましい。

技術的ぜい弱性に対する有効な管理プロセスを確立するためには,次の事項に従うことが望ましい。 

a) 組織は,技術的ぜい弱性の管理に関連する役割及び責任を定め,確立する。技術的ぜい弱性の管理に

は,ぜい弱性監視,ぜい弱性に関わるリスクアセスメント,パッチの適用,資産移動の追跡,及び要

求される全ての調整責務が含まれる。 

b) 技術的ぜい弱性を特定し,また,それらぜい弱性を継続して認識させるために用いる情報資源(ぜい

弱性検査ツールなど)を,ソフトウェア及びその他の技術(組織の資産目録リストに基づく。8.1.1参

照。)に対応させて特定する。これら情報資源は,この目録を変更したとき,又は他の新しい若しくは

有益な資源を発見したときに更新する。 

c) 潜在的に関連がある技術的ぜい弱性の通知に対処するための予定表を定める。 

d) ひとたび潜在的な技術的ぜい弱性が特定されたときは,組織は,それと関連するリスク及びとるべき

処置(例えば,ぜい弱性のあるシステムへのパッチ適用,他の管理策の適用)を特定する。 

e) 技術的ぜい弱性の扱いの緊急性に応じて,変更管理に関連する管理策(12.1.2参照)又は情報セキュ

リティインシデント対応手順(16.1.5参照)に従って,とるべき処置を実行する。 

f) 

正当な供給元からパッチを入手できる場合は,そのパッチを適用することに関連したリスクを評価す

る(ぜい弱性が引き起こすリスクと,パッチの適用によるリスクとを比較する。)。 

g) パッチの適用前に,それらが有効であること及びそれらが耐えられない副作用をもたらさないことを

確実にするために,パッチを試験及び評価する。利用可能なパッチがない場合は,次のような他の管

理策を考慮する。 

1) そのぜい弱性に関係するサービス又は機能を停止する。 

2) ネットワーク境界におけるアクセス制御(例えば,ファイアウォール)を調整又は追加する(13.1

参照)。 

3) 実際の攻撃を検知するために,監視を強化する。 

4) ぜい弱性に対する認識を高める。 

h) 監査ログは,実施した全ての手順について保持する。 

i) 

技術的ぜい弱性の管理プロセスは,その有効性及び効率を確実にするために,常に監視及び評価する。 

j) 

リスクの高いシステムには最初に対処する。 

k) 技術的ぜい弱性に対する有効な管理プロセスは,インシデント管理活動と整合させる。これは,ぜい

弱性に関するデータをインシデント対応部署に伝達し,インシデントが発生した場合に実施する技術

的手順を準備するためである。 

l) 

ぜい弱性が特定されていながら適切な対応策がない場合には,その状況に対処するための手順を定め

る。このような状況においては,組織は,既知のぜい弱性に関するリスクを評価し,適切な検知及び

是正処置を定める。 

関連情報 

技術的ぜい弱性の管理は,変更管理の従属機能としてみなすことができ,そう見ることで,変更管理の

プロセス及び手順が利用できることになる(12.1.2及び14.2.2参照)。 

業者には,できるだけ早くパッチを発行しなければならないとの大きな圧力がしばしばかかる。したが

って,パッチがその問題に的確に対処せず,また,好ましくない影響を及ぼす可能性がある。さらに,場

background image

49 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

合によっては,一度パッチを適用すると,そのパッチの除去が容易ではないこともある。 

パッチの適切な試験が可能でない場合(その理由として,例えば,コスト,リソース不足がある。)には,

パッチ適用の遅れは,他のパッチ利用者によって報告された経験に基づいて,関連するリスクを評価する

ことになるとみなせる。ISO/IEC 27031[14]の利用が有用になり得る。 

12.6.2 ソフトウェアのインストールの制限 

管理策 

利用者によるソフトウェアのインストールを管理する規則を確立し,実施することが望ましい。 

実施の手引 

組織は,利用者がインストールしてもよいソフトウェアの種類について,厳密な方針を定め,施行する

ことが望ましい。 

特権の許可は最小限にするという原則を適用することが望ましい。特定の特権を許可された利用者の場

合,ソフトウェアのインストールが可能となることがある。組織は,ソフトウェアのインストールの種類

のうち,許可するもの(例えば,既存のソフトウェアの更新及びセキュリティパッチの適用),及び禁止す

るもの(例えば,個人利用のためのソフトウェア,潜在的な悪意の有無が不明又はその疑いがあるソフト

ウェア)を特定することが望ましい。特権は,関連する利用者の役割を考慮したうえで付与することが望

ましい。 

関連情報 

コンピュータ及びその他の機器へのソフトウェアのインストールを管理しなかった場合,ぜい弱性が生

じ,そのために情報の漏えい,完全性の喪失若しくはその他の情報セキュリティインシデント,又は知的

財産権の侵害につながる可能性がある。 

12.7 情報システムの監査に対する考慮事項 

目的 運用システムに対する監査活動の影響を最小限にするため。 

12.7.1 情報システムの監査に対する管理策 

管理策 

運用システムの検証を伴う監査要求事項及び監査活動は,業務プロセスの中断を最小限に抑えるために,

慎重に計画し,合意することが望ましい。 

実施の手引 

この管理策の実施については,次の事項を守ることが望ましい。 

a) システム及びデータへのアクセスに関する監査要求事項は,適切な管理層の同意を得る。 

b) 技術監査における試験の範囲を,合意し,管理する。 

c) 監査における試験は,ソフトウェア及びデータの読出し専用のアクセスに限定する。 

d) 読出し専用以外のアクセスは,システムファイルの隔離された複製に対してだけ許可し,それらの複

製は,監査が完了した時点で消去するか,又は監査の文書化の要求の下でそのようなファイルを保存

する義務があるときは,適切に保護する。 

e) 特別又は追加の処理に関する要求事項を特定し,合意する。 

f) 

監査における試験がシステムの可用性に影響する可能性がある場合,こうした試験は営業時間外に実

施する。 

g) 参照用の証跡を残すために,全てのアクセスを監視し,ログをとる。 

background image

50 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

13 

通信のセキュリティ 

13.1 ネットワークセキュリティ管理 

目的 ネットワークにおける情報の保護,及びネットワークを支える情報処理施設の保護を確実にするた

め。 

13.1.1 ネットワーク管理策 

管理策 

システム及びアプリケーション内の情報を保護するために,ネットワークを管理し,制御することが望

ましい。 

実施の手引 

ネットワークにおける情報のセキュリティ,及び接続したネットワークサービスの認可されていないア

クセスからの保護を確実にするために,管理策を実施することが望ましい。特に,次の事項を考慮するこ

とが望ましい。 

a) ネットワーク設備の管理に関する責任及び手順を確立する。 

b) ネットワークの運用責任は,コンピュータの運用から,適切な場合には,分離する(6.1.2参照)。 

c) 公衆ネットワーク又は無線ネットワークを通過するデータの機密性及び完全性を保護するため,並び

にネットワークを介して接続したシステム及びアプリケーションを保護するために,特別な管理策を

確立する(箇条10及び13.2参照)。ネットワークサービスの可用性及びネットワークを介して接続し

たコンピュータの可用性を維持するためには,更に特別な管理策が要求される場合もある。 

d) 情報セキュリティに影響を及ぼす可能性のある行動,又は情報セキュリティに関連した行動を記録及

び検知できるように,適切なログ取得及び監視を適用する。 

e) 組織に対するサービスを最適にするため,また,管理策を情報処理基盤全体に一貫して適用すること

を確実にするために,様々な管理作業を綿密に調整する。 

f) 

ネットワーク上のシステムを認証する。 

g) ネットワークへのシステムの接続を制限する。 

関連情報 

ネットワークセキュリティについての追加情報が,ISO/IEC 27033規格群[15]〜[19]に示されている。 

13.1.2 ネットワークサービスのセキュリティ 

管理策 

組織が自ら提供するか外部委託しているかを問わず,全てのネットワークサービスについて,セキュリ

ティ機能,サービスレベル及び管理上の要求事項を特定し,また,ネットワークサービス合意書にもこれ

らを盛り込むことが望ましい。 

実施の手引 

合意したサービスをセキュリティを保って管理する,ネットワークサービス提供者の能力を定め,常に

監視し,監査の権利についてネットワークサービス提供者と合意することが望ましい。 

それぞれのサービスに必要なセキュリティについての取決め(例えば,セキュリティ特性,サービスレ

ベル,管理上の要求事項)を,特定することが望ましい。組織は,ネットワークサービス提供者によるこ

れらの対策の実施を確実にすることが望ましい。 

関連情報 

ネットワークサービスには,接続,私設ネットワークサービス及び付加価値ネットワークの提供,並び

51 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

にネットワークセキュリティ管理のためのソリューション(例えば,ファイアウォール,侵入検知システ

ム)が含まれる。これらのサービスは,単純で管理を伴わない帯域の提供から複雑な付加価値機能の提供

まで,広い範囲に及ぶことがある。 

ネットワークサービスのセキュリティ特性には,次のものがある。 

a) ネットワークサービスのセキュリティに適用する技術(例えば,認証,暗号化,ネットワーク接続管

理) 

b) セキュリティ規則及びネットワーク接続規則に従った,セキュリティの確保されたネットワークサー

ビスへの接続のために要求される技術的パラメータ 

c) 必要な場合,ネットワークサービス又はアプリケーションへのアクセスを制限するための,ネットワ

ークサービス利用の手順 

13.1.3 ネットワークの分離 

管理策 

情報サービス,利用者及び情報システムは,ネットワーク上で,グループごとに分離することが望まし

い。 

実施の手引 

大規模なネットワークのセキュリティを管理する一つの方法は,そのネットワークを幾つかのネットワ

ーク領域に分離することである。領域は,組織の単位(例えば,人的資源,財務,マーケティング)又は

特定の組合せ(例えば,複数の組織の単位に接続しているサーバ領域)に従い,信頼性のレベル(例えば,

公開されている領域,デスクトップ領域,サーバ領域)に基づいて選択することが可能である。分離は,

物理的に異なるネットワーク又は論理的に異なるネットワーク(例えば,仮想私設網)を用いることによ

って行うことが可能である。 

各領域の境界は,明確に定めることが望ましい。ネットワーク領域間のアクセスは認められるが,境界

にゲートウェイ(例えば,ファイアウォール,フィルタリングルータ)を設けて制御することが望ましい。

ネットワークを領域に分離する際の基準及びゲートウェイを通じて認められるアクセスの基準は,それぞ

れの領域のセキュリティ要求事項のアセスメントに基づくことが望ましい。このアセスメントでは,アク

セス制御方針(9.1.1参照),アクセス要求事項,並びに処理する情報の価値及び分類に従うことが望まし

く,また,適切なゲートウェイ技術を組み込むための費用対効果を考慮することが望ましい。 

無線ネットワークは,ネットワークの境界が十分に定められていないため,特別な取扱いを要する。取

扱いに慎重を要する環境では,全ての無線アクセスは,外部接続として取り扱い,そのアクセスがネット

ワーク管理策の方針(13.1.1参照)に従ってゲートウェイを通過して内部システムへのアクセスが許可さ

れるまでは,内部ネットワークから分離するように配慮することが望ましい。 

認証,暗号化及び利用者レベルでのアクセス制御技術が適切に実施された場合,最新かつ標準に基づく

無線ネットワークは,組織の内部ネットワークへ直接接続するために十分な場合がある。 

関連情報 

ビジネスパートナーの関係が,情報処理施設及びネットワーク設備の相互接続又は共有を必要とするも

のになりつつあることから,ネットワークが組織の境界を越えて拡張することも少なくない。このような

拡張は,そのネットワークを利用する組織の情報システムへの認可されていないアクセスのリスクを増加

させる場合もある。これらのネットワークの一部は,取扱いに慎重を要する度合い又は重要性の理由で,

他のネットワーク利用者からの保護が必要である。 

13.2 情報の転送 

background image

52 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

目的 組織の内部及び外部に転送した情報のセキュリティを維持するため。 

13.2.1 情報転送の方針及び手順 

管理策 

あらゆる形式の通信設備を利用した情報転送を保護するために,正式な転送方針,手順及び管理策を備

えることが望ましい。 

実施の手引 

情報転送のために通信設備を利用するときに従う手順及び管理策は,次の事項を考慮することが望まし

い。 

a) 転送する情報を,盗聴,複製,改ざん,誤った経路での通信及び破壊から保護するために設計された

手順 

b) 電子的メッセージ通信を通じて伝送される可能性のあるマルウェアを検出し,これらから保護するた

めの手順(12.2.1参照) 

c) 添付形式として通信される,取扱いに慎重を要する電子情報の保護に関する手順 

d) 通信設備の許容できる利用について規定した方針又は指針(8.1.3参照) 

e) 要員,外部関係者及びその他の利用者の,組織を危うくするような行為[例えば,名誉き(毀)損,

嫌がらせ,成りすまし,チェーンメールの転送,架空購入]をしないことの責任 

f) 

暗号技術の利用(例えば,情報の機密性,完全性及び真正性を保護するための暗号の利用)(箇条10

参照) 

g) 関連する国及び地域の法令及び規制に従った,全ての業務通信文(メッセージを含む。)の保持及び処

分に関する指針 

h) 通信設備の利用(例えば,外部のメールアドレスへの電子メールの自動転送)に関する管理策及び制

限 

i) 

秘密情報を漏えいしないように適切な予防策を講じることの,要員への助言 

j) 

秘密情報を含んだメッセージを留守番電話に残さないこと。留守番電話に残したメッセージは,認可

されていない者が再生する場合,共有システムに保管される場合,又は誤ダイアルの結果,間違って

保管される場合があるからである。 

k) ファクシミリ又はそのサービスの利用に伴う,次の問題に関わる要員への助言 

1) ファクシミリの受信文の取出し装置への認可されていないアクセス 

2) 特定の番号にメッセージを送る故意又は偶然のプログラミング 

3) 誤ダイアル,又は間違って記憶した番号を用いることによる,誤った番号への文書及びメッセージ

の送付 

さらに,公共の場所,並びにセキュリティが確保されていない通信経路,出入りが自由なオフィス及び

会議室では,秘密の会話はしないほうがよいことを要員に意識させることが望ましい。 

情報転送サービスは,関連するいかなる法的要求事項についても順守することが望ましい(18.1参照)。 

関連情報 

情報転送は,多くの異なる通信設備(電子メール,音声,ファクシミリ及びビデオを含む。)の利用を通

じてなされる場合がある。 

ソフトウェアの転送は,多くの異なる手段(インターネットからのダウンロード及び汎用品の販売業者

53 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

からの入手を含む。)を通じてなされる場合がある。 

電子データの交換,電子商取引及び電子通信と関連する業務,法令及びセキュリティへの影響,並びに

管理策の要求事項を考慮することが望ましい。 

13.2.2 情報転送に関する合意 

管理策 

合意では,組織と外部関係者との間の業務情報のセキュリティを保った転送について,取り扱うことが

望ましい。 

実施の手引 

情報転送に関する合意には,次の事項を取り込むことが望ましい。 

a) 送信,発送及び受領についての管理及び通知を行う責任 

b) 追跡可能性及び否認防止を確実にするための手順 

c) こん(梱)包及び送信に関する必要最小限の技術標準 

d) 預託条項 

e) 運送業者を確認する規準 

f) 

情報セキュリティインシデントが発生した場合(例えば,データの紛失)の責任及び賠償義務 

g) 取扱いに慎重を要する又は重要な情報に対する,合意されたラベル付けシステム(ラベルの意味を直

ちに理解すること,及び情報を適切に保護することを確実にするもの)の使用(8.2参照) 

h) 情報及びソフトウェアの記録及び読出しに関する技術標準 

i) 

取扱いに慎重を要するもの(例えば,暗号鍵)を保護するために必要とされる,特別な管理策(箇条

10参照) 

j) 

転送中の情報についての,管理状況の履歴の維持 

k) 容認できるアクセス制御のレベル 

転送中の情報及び物理的媒体を保護するための方針,手順及び標準類を確立及び維持し(8.3.3参照),

情報転送に関する合意においては,これらを参照することが望ましい。 

いかなる合意における情報セキュリティの事項も,関連する業務情報の取扱いに慎重を要する度合いを

反映することが望ましい。 

関連情報 

合意は,電子的又は手動の場合,及び正式な契約書の形式をとる場合がある。秘密情報については,そ

の転送に用いる仕組みが,全ての組織及び全ての種類の合意において一貫していることが望ましい。 

13.2.3 電子的メッセージ通信 

管理策 

電子的メッセージ通信に含まれた情報は,適切に保護することが望ましい。 

実施の手引 

電子的メッセージ通信のための情報セキュリティには,次の事項を考慮することが望ましい。 

a) 組織が採用している分類体系に従った,認可されていないアクセス,改ざん又はサービス妨害からの

メッセージの保護 

b) 正しい送付先及びメッセージ送信の確実化 

c) サービスの信頼性及び可用性 

d) 法的考慮(例えば,電子署名のための要求事項) 

54 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

e) 誰でも使える外部サービス(例えば,インスタントメッセージ,ソーシャルネットワーク,ファイル

共有)を利用する際の,事前承認の取得 

f) 

公開されているネットワークからのアクセスを制御する,より強固な認証レベル 

関連情報 

様々な種類の電子的メッセージ通信(例えば,電子メール,電子データ交換,ソーシャルネットワーク)

があり,これらは業務上のコミュニケーションの役割を果たしている。 

13.2.4 秘密保持契約又は守秘義務契約 

管理策 

情報保護に対する組織の要件を反映する秘密保持契約又は守秘義務契約のための要求事項は,特定し,

定めに従ってレビューし,文書化することが望ましい。 

実施の手引 

秘密保持契約又は守秘義務契約には,法的に強制できる表現を用いて,秘密情報を保護するための要求

事項を取り上げることが望ましい。秘密保持契約又は守秘義務契約は,外部関係者又は組織の従業員に適

用される。その契約の当事者の種類,並びに当事者に許可される秘密情報のアクセス及び取扱いを考慮し

て,契約の要素を選定又は追加することが望ましい。秘密保持契約又は守秘義務契約に対する要求事項を

特定するために,次の要素を考慮することが望ましい。 

a) 保護される情報の定義(例えば,秘密情報) 

b) 秘密を無期限に保持する場合も含めた,契約の有効期間 

c) 契約終了時に要求する処置 

d) 認可されていない情報開示を避けるための,署名者の責任及び行為 

e) 情報,企業秘密及び知的財産の所有権,並びにこれらの秘密情報の保護との関連 

f) 

秘密情報の許可された利用範囲,及び情報を利用する署名者の権利 

g) 秘密情報に関する行為の監査及び監視の権利 

h) 認可されていない開示又は秘密情報漏えいの,通知及び報告のプロセス 

i) 

契約終了時における情報の返却又は破棄に関する条件 

j) 

契約違反が発生した場合にとるべき処置 

組織の情報セキュリティ要求事項によっては,秘密保持契約又は守秘義務契約に他の要素が必要となる

場合もある。 

秘密保持契約又は守秘義務契約は,その法域において適用される法令及び規制の全てに従うことが望ま

しい(18.1参照)。 

秘密保持契約又は守秘義務契約に関する要求事項は,定期的に及びこれら要求に影響する変化が発生し

た場合に,レビューすることが望ましい。 

関連情報 

秘密保持契約及び守秘義務契約は,組織の情報を保護し,また,信頼に応じた及び認可された方法によ

る,情報の保護,利用及び開示に対する責任を署名者に知らせるものである。 

環境が異なれば,秘密保持契約又は守秘義務契約の異なる様式を用いることが組織において必要となる

場合がある。 

background image

55 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

14 

システムの取得,開発及び保守 

14.1 情報システムのセキュリティ要求事項 

目的 ライフサイクル全体にわたって,情報セキュリティが情報システムに欠くことのできない部分であ

ることを確実にするため。これには,公衆ネットワークを介してサービスを提供する情報システムのため

の要求事項も含む。 

14.1.1 情報セキュリティ要求事項の分析及び仕様化 

管理策 

情報セキュリティに関連する要求事項は,新しい情報システム又は既存の情報システムの改善に関する

要求事項に含めることが望ましい。 

実施の手引 

情報セキュリティ要求事項は,方針及び規則に由来する順守の要求事項,脅威のモデリング,インシデ

ントのレビュー,又はぜい弱性の限界の使用のような,様々な方法を用いて特定することが望ましい。こ

のような特定作業の結果は,文書化し,全ての利害関係者によってレビューされることが望ましい。 

情報セキュリティ要求事項及び情報セキュリティ管理策には,関連する情報の業務上の価値(8.2参照),

及びセキュリティが不十分だった場合に業務に及ぶ可能性のある悪影響を反映させることが望ましい。 

情報セキュリティ要求事項及び関連するプロセスの特定及び管理は,情報システムプロジェクトにその

初期段階で統合することが望ましい。情報セキュリティ要求事項を早期に(例えば,設計段階で)考慮す

れば,より効果的で経済的な解決策を得ることができる。 

情報セキュリティ要求事項においては,次の事項も考慮することが望ましい。 

a) 利用者認証の要求事項を導き出すために,利用者が提示する識別情報に対して求める信頼のレベル 

b) 業務上の利用者のほか,特権を与えられた利用者及び技術をもつ利用者に対する,アクセスの提供及

び認可のプロセス 

c) 利用者及び運用担当者に対する,各自の義務及び責任の通知 

d) 関連する資産の保護の要求。特に,可用性,機密性及び完全性に関する保護の要求。 

e) トランザクションのログ取得及び監視,並びに否認防止の要求事項のような,業務プロセスに由来す

る要求事項 

f) 

他のセキュリティ管理策によって義務付けられる要求事項。例えば,ログ取得及び監視のインターフ

ェース,情報漏えい検知システム。 

公衆ネットワークを介してサービスを提供するアプリケーション,又はトランザクションを実施するア

プリケーションについては,14.1.2及び14.1.3の管理策を考慮することが望ましい。 

製品を入手する際には,正式な試験及び調達プロセスに従うことが望ましい。供給者との契約は,明確

にされたセキュリティ要求事項を規定することが望ましい。提案された製品のセキュリティの機能性が指

定された要求を満たさない場合は,発生するリスク及び関連する管理策を,製品を購入する前に再考する

ことが望ましい。 

当該システムにおいて稼働するソフトウェア及びサービスと整合する製品のセキュリティ構成に関して,

入手可能な手引を用いて,これを評価し,実施することが望ましい。 

製品を受け入れる基準は,例えば,特定したセキュリティ要求事項を満たすことの確証を与える機能の

観点で定めることが望ましい。製品は,入手する前にこうした基準に照らして評価することが望ましい。

56 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

機能の追加によって,許容できない追加のリスクを取り込まないことを確実にするために,これをレビュ

ーすることが望ましい。 

関連情報 

情報セキュリティ要求事項を満たすために必要な管理策を特定するための,リスクマネジメントプロセ

スの使用に関する手引が,JIS Q 31000[27]及びISO/IEC 27005[11]に示されている。 

14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 

管理策 

公衆ネットワークを経由するアプリケーションサービスに含まれる情報は,不正行為,契約紛争,並び

に認可されていない開示及び変更から保護することが望ましい。 

実施の手引 

公衆ネットワークを経由するアプリケーションサービスに関する情報セキュリティには,次の事項を考

慮することが望ましい。 

a) 各当事者が提示する自らの識別情報について,例えば,認証を用いて,それぞれが互いに要求し合う

信頼のレベル 

b) 重要な取引文書の内容の承認,その発行,及びその文書への署名を誰が行うかについての認可プロセ

ス 

c) サービスの提供又は利用が認可されていることを通信業者に十分に通知していることの確実化 

d) 入札手続,契約手続などにおいて,重要な文書の機密性,完全性及び発送・受領の証明,並びに契約

の否認防止に関する要求事項の決定及びその達成 

e) 重要な文書の完全性についての,信頼のレベル 

f) 

秘密情報の保護に関する要求事項 

g) 注文のトランザクション,支払い情報,納入先の宛名情報及び受領確認の機密性及び完全性 

h) 顧客から提供された支払い情報を検証するための,適切な検査の度合い 

i) 

不正行為を防ぐための,最も適切な支払いの決済形式の選定 

j) 

注文情報の機密性及び完全性を維持するために要求される保護のレベル 

k) トランザクション情報の紛失又は重複の防止 

l) 

不正なトランザクションに関する賠償義務 

m) 保険の要件 

これらの考慮事項の多くは,法的要求事項の順守を考慮に入れながら,箇条10に示す暗号による管理策

を適用することによって対処することができる(箇条18を参照。特に,暗号に関連する法令については,

18.1.5を参照。)。 

アプリケーションサービスに関する当事者間の取決めは,権限の詳細も含め,合意したサービス条件を

両当事者に義務付ける合意書によって裏付けることが望ましい[14.1.2のb)を参照]。 

攻撃に対する対応力(resilience)の要求事項を考慮することが望ましい。これには,関連するアプリケ

ーションサーバを保護するための要求事項,及びサービスの提供に必要となるネットワーク相互接続の可

用性を確実にするための要求事項を含み得る。 

関連情報 

公衆ネットワークを介してアクセス可能なアプリケーションは,ネットワークに関連した脅威(例えば,

不正行為,契約上の紛争,一般への情報の開示)を受けやすい。したがって,詳細なリスクアセスメント

background image

57 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

及び管理策の適正な選定が不可欠である。必要な管理策には,認証時の暗号技術の使用及びデータ転送時

のセキュリティ確保を含むことが多い。 

アプリケーションサービスでは,リスクを低減するために,公開鍵暗号及びディジタル署名(箇条10

参照)の利用など,よりセキュリティに配慮した認証方法を活用することができる。さらに,必要な場合

には,信頼できる第三者機関によるサービスを利用することもできる。 

14.1.3 アプリケーションサービスのトランザクションの保護 

管理策 

アプリケーションサービスのトランザクションに含まれる情報は,次の事項を未然に防止するために,

保護することが望ましい。 

− 不完全な通信 

− 誤った通信経路設定 

− 認可されていないメッセージの変更 

− 認可されていない開示 

− 認可されていないメッセージの複製又は再生 

実施の手引 

アプリケーションサービスのトランザクションのための情報セキュリティには,次の事項を考慮するこ

とが望ましい。 

a) トランザクションに関わる各当事者による電子署名の利用 

b) トランザクションの種々の面における,次の事項の確実化 

1) 全ての当事者の秘密認証情報は,有効であり,かつ,検証を経ている。 

2) トランザクションが秘密に保たれている。 

3) 全ての当事者に関係するプライバシーを守っている。 

c) 関わる全ての当事者間の通信経路の暗号化 

d) 関わる全ての当事者間で使われる通信プロトコルのセキュリティの確保 

e) トランザクションの詳細情報を,公開している環境の外(例えば,組織のイントラネット内に設置し

ているデータ保存環境)で保管すること,及びインターネットから直接アクセス可能な記憶媒体上に

それらを保持して危険にさらさないことの確実化 

f) 

信頼できる専門機関を利用(例えば,ディジタル署名又はディジタル証明書の発行・維持の目的での

利用)する場合,エンド ツー エンドの証明書及び/又は署名管理プロセスを通じたセキュリティの

統合及び組込み 

関連情報 

採用する管理策の程度は,アプリケーションサービスのトランザクションのそれぞれの形態に関係した

リスクのレベルに相応している必要がある。 

トランザクションは,そのトランザクションの発生地,処理経由地,完了地又は保管地の法域における,

法的及び規制の要求事項を順守する必要のある場合がある。 

14.2 開発及びサポートプロセスにおけるセキュリティ 

目的 情報システムの開発サイクルの中で情報セキュリティを設計し,実施することを確実にするため。 

14.2.1 セキュリティに配慮した開発のための方針 

管理策 

58 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ソフトウェア及びシステムの開発のための規則は,組織内において確立し,開発に対して適用すること

が望ましい。 

実施の手引 

セキュリティに配慮したサービス,アーキテクチャ,ソフトウェア及びシステムを構築するには,セキ

ュリティに配慮した開発が必要となる。セキュリティに配慮した開発のための方針には,次の側面を考慮

することが望ましい。 

a) 開発環境のセキュリティ 

b) ソフトウェア開発のライフサイクルにおける,次に関わるセキュリティに関する手引 

1) ソフトウェア開発の方法論におけるセキュリティ 

2) 用いる各プログラミング言語について定めた,セキュリティに配慮したコーディングに関する指針 

c) 設計段階におけるセキュリティ要求事項 

d) プロジェクトの開発の節目ごとにおけるセキュリティの確認項目 

e) セキュリティが保たれたリポジトリ 

f) 

版の管理におけるセキュリティ 

g) アプリケーションのセキュリティに関して必要な知識 

h) ぜい弱性を回避,発見及び修正するに当たっての開発者の能力 

開発に適用される標準類が知られていない可能性がある場合,又は現行の最適な慣行に整合していなか

った場合には,新規開発する場合及びコードを再利用する場合の両方に,セキュアプログラミング技術を

用いることが望ましい。セキュリティに配慮したコーディングに関する標準類を考慮し,該当する場合に

は,その使用を義務付けることが望ましい。開発者は,これらの標準類の使用及び試験について訓練を受

けることが望ましく,また,コードレビューによって標準類の使用を検証することが望ましい。 

開発を外部委託した場合,組織は,その外部関係者がセキュリティに配慮した開発のための規則を順守

していることの保証を得ることが望ましい(14.2.7参照)。 

関連情報 

開発は,オフィスのアプリケーション,スクリプト記述,ブラウザ,データベースなどの,アプリケー

ションにおいて行われることもある。 

14.2.2 システムの変更管理手順 

管理策 

開発のライフサイクルにおけるシステムの変更は,正式な変更管理手順を用いて管理することが望まし

い。 

実施の手引 

初期設計段階からその後の全ての保守業務に至るまで,システム,アプリケーション及び製品の完全性

を確実にするため,正式な変更管理手順を文書化し,実施することが望ましい。新しいシステムの導入及

び既存システムに対する重要な変更は,文書化,仕様化,試験,品質管理及び管理された実装からなる正

式な手続に従うことが望ましい。 

この手続には,リスクアセスメント,変更の影響分析及び必要なセキュリティ管理策の仕様化を含むこ

とが望ましい。この手続は,既存のセキュリティ及び管理手順が損なわれないこと,サポートプログラマ

によるシステムへのアクセスはその作業に必要な部分に限定されること,並びにいかなる変更に対しても

正式な合意及び承認が得られていることを確実にすることが望ましい。 

59 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

実施可能な場合には,アプリケーション及びその運用に関する変更管理手順を統合することが望ましい

(12.1.2参照)。変更管理手順には,次の事項が含まれることが望ましいが,これらに限らない。 

a) 合意された認可レベルの記録を維持する。 

b) 変更は,認可されている利用者によって提出されることを確実にする。 

c) 変更によって管理策及び完全性に関する手順が損なわれないことを確実にするために,管理策及び手

順をレビューする。 

d) 修正を必要とする全てのソフトウェア,情報,データベース及びハードウェアを特定する。 

e) セキュリティ上の既知の弱点を最少化するために,セキュリティが特に重要とされるコードを特定し,

これを点検する。 

f) 

作業を開始する前に,提案の詳細について正式な承認を得る。 

g) 変更を実施する前に,認可されている利用者がその変更を受け入れることを確実にする。 

h) システムに関する一式の文書が各変更の完了時点で更新されること,及び古い文書類は記録・保管さ

れるか又は処分されることを確実にする。 

i) 

全てのソフトウェアの更新について,版数の管理を維持する。 

j) 

全ての変更要求の監査証跡を維持・管理する。 

k) 操作手順書などの運用文書類(12.1.1参照)及び利用者手順が,適切な状態であるように,必要に応

じて変更することを確実にする。 

l) 

変更の実施は最も適切な時期に行い,関係する業務処理を妨げないことを確実にする。 

関連情報 

ソフトウェアの変更が運用環境に,また運用環境がソフトウェアの変更に影響を与える可能性がある。 

運用環境及び開発環境から分離された環境で新しいソフトウェアを試験することは,良い慣行である

(12.1.4参照)。これは,新しいソフトウェアを管理し,試験目的のために用いられている運用情報に追加

の保護を与える手段を提供する。これは,パッチ,サービスパック及びその他の更新を含んでいることが

望ましい。自動的な更新を考慮する場合は,システムの完全性及び可用性に対するリスクと,更新を迅速

化することの利点とを,比較・検討することが望ましい。更新によっては,重要なアプリケーションの障

害を起こす可能性があるので,自動的な更新は,重要なシステムでは用いないことが望ましい。 

14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー 

管理策 

オペレーティングプラットフォームを変更するときは,組織の運用又はセキュリティに悪影響がないこ

とを確実にするために,重要なアプリケーションをレビューし,試験することが望ましい。 

実施の手引 

この手続には,次の事項を含むことが望ましい。 

a) オペレーティングプラットフォームの変更によって,アプリケーションの機能及び処理の完全性が損

なわれていないことを確実にするために,これらに関係する手続きをレビューする。 

b) 実施前に適切な試験及びレビューを行っても間に合うように,オペレーティングプラットフォームの

変更を通知することを確実にする。 

c) 事業継続計画(箇条17参照)に対して,適切な変更がなされることを確実にする。 

関連情報 

オペレーティングプラットフォームには,オペレーティングシステム,データベース及びミドルウェア

プラットフォームも含む。管理策は,アプリケーションの変更にも適用することが望ましい。 

60 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

14.2.4 パッケージソフトウェアの変更に対する制限 

管理策 

パッケージソフトウェアの変更は,抑止し,必要な変更だけに限ることが望ましい。また,全ての変更

は,厳重に管理することが望ましい。 

実施の手引 

可能な限り,そして実行可能な場合には,業者が供給するパッケージソフトウェアは,変更しないで用

いることが望ましい。パッケージソフトウェアの変更が必要な場合は,次の事項を考慮するのが望ましい。 

a) 組み込まれている機能及び処理の完全性が損なわれるリスク 

b) 業者の同意の取得 

c) 標準的なプログラム更新として,業者から必要とする変更が得られる可能性 

d) 変更の結果として,将来のソフトウェアの保守に対して,組織が責任を負うようになるかどうかの影

響 

e) 用いている他のソフトウェアとの互換性 

変更が必要な場合,原本のソフトウェアは保管し,指定された複製に対して変更を適用することが望ま

しい。全ての認可されたソフトウェアに対して最新の承認したパッチ及びアプリケーションの更新を導入

していることを確実にするために,ソフトウェアの更新管理手続を実施することが望ましい(12.6.1参照)。

将来のソフトウェア更新において,必要な場合には,再び適用できるように,全ての変更は,十分に試験

し,文書化することが望ましい。必要な場合には,変更は,独立した評価機関による試験を受け,正当性

を証明してもらうことが望ましい。 

14.2.5 セキュリティに配慮したシステム構築の原則 

管理策 

セキュリティに配慮したシステムを構築するための原則を確立し,文書化し,維持し,全ての情報シス

テムの実装に対して適用することが望ましい。 

実施の手引 

セキュリティに配慮したシステム構築の原則に基づき,情報システムの構築手順を確立し,文書化し,

組織の情報システム構築活動に適用することが望ましい。セキュリティは,情報セキュリティの必要性と

アクセス性の必要性との均衡を保ちながら,全てのアーキテクチャ層(業務,データ,アプリケーション

及び技術)において設計することが望ましい。新技術は,セキュリティ上のリスクについて分析し,その

設計を既知の攻撃パターンに照らしてレビューすることが望ましい。 

これらの原則及び確立した構築手順は,構築プロセスにおけるセキュリティレベルの向上に有効に寄与

していることを確実にするために,定期的にレビューすることが望ましい。また,これらの原則及び手順

が,新規の潜在的な脅威に対抗するという点で最新であり続けていること,及び適用される技術及びソリ

ューションの進展に適用可能であり続けていることを確実にするために,定期的にレビューすることが望

ましい。 

確立された設計のセキュリティに関するこの原則は,該当する場合には,組織と組織が外部委託した供

給者との間の,契約及び拘束力をもつその他の合意を通じて,外部委託した情報システムにも適用するこ

とが望ましい。組織は,供給者の設計のセキュリティに関する原則が,自身の原則と同様に厳密なもので

あることを確認することが望ましい。 

関連情報 

61 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

アプリケーションの開発手順では,入出力インターフェースをもつアプリケーションの開発に対し,セ

キュリティに配慮した構築技術(セキュアプログラミングなど)を適用することが望ましい。セキュリテ

ィに配慮した構築技術は,利用者認証技術,セキュリティを保ったセッション管理及びデータの妥当性確

認,並びにデバッグコードのサニタイジング及び削除に関する手引となる。 

14.2.6 セキュリティに配慮した開発環境 

管理策 

組織は,全てのシステム開発ライフサイクルを含む,システムの開発及び統合の取組みのためのセキュ

リティに配慮した開発環境を確立し,適切に保護することが望ましい。 

実施の手引 

セキュリティに配慮した開発環境には,システムの開発及び統合に関連する要員,プロセス及び技術も

含む。 

組織は,個々のシステム開発業務に伴うリスクを評価し,特定のシステム開発業務については,次の事

項を考慮して,セキュリティに配慮した開発環境を確立することが望ましい。 

a) システムによって処理,保管及び伝送されるデータの取扱いに慎重を要する度合い 

b) 適用される外部及び内部の要求事項。例えば,規制又は方針によるもの。 

c) 組織によって既に実施されており,システム開発を支えるようなセキュリティ管理策 

d) その環境で作業する要員の信頼性(7.1.1参照) 

e) システム開発に関連した外部委託の程度 

f) 

異なる開発環境の分離の必要性 

g) 開発環境へのアクセスの制御 

h) 開発環境の変更及びそこに保管されたコードに対する変更の監視 

i) 

セキュリティに配慮した遠隔地でのバックアップの保管 

j) 

開発環境からの,及び開発環境への,データの移動の管理 

特定の開発環境の保護レベルを決定した後,組織は,セキュリティに配慮した開発手順の中の該当する

プロセスを文書化し,必要とする全ての要員にこれらを提供することが望ましい。 

14.2.7 外部委託による開発 

管理策 

組織は,外部委託したシステム開発活動を監督し,監視することが望ましい。 

実施の手引 

システム開発を外部委託する場合には,組織の外部のサプライチェーン全体にわたり,次の事項を考慮

することが望ましい。 

a) 外部委託した内容に関連する使用許諾に関する取決め,コードの所有権及び知的財産権(18.1.2参照) 

b) セキュリティに配慮した設計,コーディング及び試験の実施についての契約要求事項(14.2.1参照) 

c) 外部の開発者への,承認済みの脅威モデルの提供 

d) 成果物の質及び正確さに関する受入れ試験 

e) セキュリティ及びプライバシーについて,容認可能な最低限のレベルを定めるためにセキュリティし

きい(閾)値を用いていることを示す証拠の提出 

f) 

引渡しに当たって,悪意のある内容(意図的なもの及び意図しないもの)が含まれないよう,十分な

試験が実施されていることを示す証拠の提出 

background image

62 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

g) 既知のぜい弱性が含まれないよう,十分な試験が実施されていることを示す証拠の提出 

h) 預託契約に関する取決め。例えば,ソースコードが利用できなくなった場合。 

i) 

開発のプロセス及び管理策を監査するための契約上の権利 

j) 

成果物の作成に用いたビルド環境の有効な文書化 

k) 適用される法令の順守及び管理の効率の検証については,組織が責任を負うこと 

関連情報 

供給者関係についての詳細は,ISO/IEC 27036規格群[21]〜[23]に示されている。 

14.2.8 システムセキュリティの試験 

管理策 

セキュリティ機能(functionality)の試験は,開発期間中に実施することが望ましい。 

実施の手引 

新規の及び更新したシステムでは,一連の条件の下での試験活動,試験への入力及び予想される出力に

ついて,詳細な計画を作成することを含め,開発プロセスにおいて綿密な試験及び検証が必要となる。組

織内で開発するものについては,この試験は,最初に開発チームが実施することが望ましい。その次に,

システムが期待どおりに,かつ,期待した形でだけ動作することを確実にするために,組織内で開発する

もの及び外部委託したものの両方について,独立した受入れ試験を実施することが望ましい(14.1.1及び

14.2.9参照)。試験の程度は,そのシステムの重要性及び性質に見合ったものであることが望ましい。 

14.2.9 システムの受入れ試験 

管理策 

新しい情報システム,及びその改訂版・更新版のために,受入れ試験のプログラム及び関連する基準を

確立することが望ましい。 

実施の手引 

システムの受入れ試験は,情報セキュリティ要求事項の試験(14.1.1及び14.1.2参照)及びセキュリテ

ィに配慮したシステム開発の慣行(14.2.1参照)の順守を含むことが望ましい。受け入れた構成部品及び

統合されたシステムに対しても,試験を実施することが望ましい。組織は,コード分析ツール又はぜい弱

性スキャナのような自動化ツールを利用することができるが,セキュリティに関連する欠陥を修正した場

合は,この修正を検証することが望ましい。 

試験は,システムが組織の環境にぜい弱性をもたらさないこと及び試験が信頼できるものであることを

確実にするために,現実に即した試験環境で実施することが望ましい。 

14.3 試験データ 

目的 試験に用いるデータの保護を確実にするため。 

14.3.1 試験データの保護 

管理策 

試験データは,注意深く選定し,保護し,管理することが望ましい。 

実施の手引 

PII又はその他の秘密情報を含んだ運用データは,試験目的に用いないことが望ましい。PII又はその他

の秘密情報を試験目的で用いる場合には,取扱いに慎重を要する詳細な記述及び内容の全てを,消去又は

改変することによって保護することが望ましい(ISO/IEC 29101[26]参照)。 

運用データを試験目的で用いる場合は,その保護のために,次の事項を適用することが望ましい。 

background image

63 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

a) 運用アプリケーションシステムに適用されるアクセス制御手順は,試験アプリケーションシステムに

も適用する。 

b) 運用情報を試験環境にコピーする場合は,その都度認可を受ける。 

c) 運用情報は,試験が完了した後直ちに試験環境から消去する。 

d) 運用情報の複製及び利用は,監査証跡とするためにログをとる。 

関連情報 

システム及び受入れの試験には,通常,できるだけ運用データに近い,十分な量の試験データが必要で

ある。 

15 

供給者関係 

15.1 供給者関係における情報セキュリティ 

目的 供給者がアクセスできる組織の資産の保護を確実にするため。 

15.1.1 供給者関係のための情報セキュリティの方針 

管理策 

組織の資産に対する供給者のアクセスに関連するリスクを軽減するための情報セキュリティ要求事項に

ついて,供給者と合意し,文書化することが望ましい。 

実施の手引 

組織は,供給者による組織の情報へのアクセスに具体的に対処するため,方針において情報セキュリテ

ィ管理策を特定し,これを義務付けることが望ましい。これらの管理策では,次の事項を含む,組織が実

施するプロセス及び手順,並びに組織が供給者に対して実施するよう要求することが望ましいプロセス及

び手順を取り扱うことが望ましい。 

a) 組織が,自らの情報へのアクセスを許可する供給者の種類(例えば,ITサービス,物流サービス,金

融サービス,IT基盤の構成要素などの供給者)の特定及び文書化 

b) 供給者関係を管理するための標準化されたプロセス及びライフサイクル 

c) 様々な供給者に許可される情報へのアクセスの種類の定義,並びにそのアクセスの監視及び管理 

d) 情報の種類及びアクセスの種類ごとの最低限の情報セキュリティ要求事項で,組織の事業上のニーズ

及び要求事項並びに組織のリスクプロファイルに基づく供給者との個々の合意の基礎となるもの 

e) それぞれの供給者及びアクセスに関して確立した情報セキュリティ要求事項が順守されているか否か

を監視するためのプロセス及び手順。これには第三者のレビュー及び製品の妥当性確認も含まれる。 

f) 

各当事者が提供する情報又は情報処理の完全性を確実にするための,正確さ及び完全さの管理 

g) 組織の情報を保護するために供給者に適用する義務の種類 

h) 供給者によるアクセスに伴うインシデント及び不測の事態への対処。これには,組織及び供給者の責

任も含める。 

i) 

各当事者が提供する情報又は情報処理の可用性を確実にするための,対応力に関する取決め,並びに

必要な場合には,回復及び不測の事態に関する取決め 

j) 

調達に関与する組織の要員を対象とした,適用される方針,プロセス及び手順についての意識向上訓

練 

k) 供給者の要員とやり取りする組織の要員を対象とした,関与及び行動に関する適切な規則(これは,

供給者の種類,並びに組織のシステム及び情報への供給者によるアクセスのレベルに基づく。)につい

64 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ての意識向上訓練 

l) 

情報セキュリティに関する要求事項及び管理策を,両当事者が署名する合意書の中に記載する条件 

m) 情報,情報処理施設及び移動が必要なその他のものの移行の管理,並びにその移行期間全体にわたっ

て情報セキュリティが維持されることの確実化 

関連情報 

供給者の情報セキュリティマネジメントが不十分な場合,情報がリスクにさらされることがある。供給

者による情報処理施設へのアクセスを管理するための管理策を特定し,適用することが望ましい。例えば,

情報の機密性について特別な必要がある場合は,守秘義務契約を用いることがある。また,他の例に,供

給者との合意に法域を越えた情報の移転又は情報へのアクセスが含まれている場合の,データ保護に関す

るリスクがある。組織は,情報の保護に関する法律上又は契約上の責任がその組織にあることを認識して

おく必要がある。 

15.1.2 供給者との合意におけるセキュリティの取扱い 

管理策 

関連する全ての情報セキュリティ要求事項を確立し,組織の情報に対して,アクセス,処理,保存若し

くは通信を行う,又は組織の情報のためのIT基盤を提供する可能性のあるそれぞれの供給者と,この要求

事項について合意することが望ましい。 

実施の手引 

関連する情報セキュリティ要求事項を満たすという両当事者の義務に関し,組織と供給者との間に誤解

が生じないことを確実にするために,供給者との合意を確立し,これを文書化することが望ましい。 

特定された情報セキュリティ要求事項を満たすために,合意には,次の事項を含めることを考慮するこ

とが望ましい。 

a) 提供し又はアクセスされる情報の記載,及び提供方法又はアクセス方法の記載 

b) 組織の分類体系に従った情報の分類(8.2参照)。必要な場合,組織の分類体系と供給者の分類体系と

の間の対応付け。 

c) 法的及び規制の要求事項(データ保護,知的財産権及び著作権に関する要求事項を含む。),並びにこ

れらの要求事項を満たすことを確実にする方法についての記載 

d) 契約の各当事者に対する,合意した一連の管理策(アクセス制御,パフォーマンスのレビュー,監視,

報告及び監査を含む。)の実施の義務 

e) 情報の許容可能な利用に関する規則。必要な場合,許容できない利用についての規則も含める。 

f) 

組織の情報にアクセスする若しくは組織の情報を受領することが認可されている供給者の要員の明確

なリスト,又は供給者の要員による組織の情報へのアクセス若しくはその受領を認可する場合及びそ

の認可を解除する場合の手順・条件 

g) それぞれの契約に関連する情報セキュリティのための方針群 

h) インシデント管理の要求事項及び手順(特に,インシデントからの回復中の通知及び協力) 

i) 

インシデント対応手順,認可手順などの,特定の手順及び情報セキュリティ要求事項についての訓練

及び意識向上に関する要求事項 

j) 

実施する必要のある管理策を含む,下請負契約に関する該当する規制 

k) 情報セキュリティに関する連絡先担当者も含む,合意における相手方の担当者。 

l) 

必要に応じて,供給者の要員の選考に関する要求事項。この要求事項には,選考を実施する責任,及

び選考が完了しなかった場合又は選考の結果,疑い若しくは懸念が生じた場合に行う通知の手順を実

65 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

施する責任も含める。 

m) 供給者が実施する,合意に関わるプロセス及び管理策を監査する権利 

n) 合意上の問題点の解決及び紛争解決のプロセス 

o) 報告書で提起された問題を適時に修正することに関する管理策及び合意の有効性について,独立した

報告書を定期的に提出する供給者の義務 

p) 組織のセキュリティ要求事項を順守するという供給者の義務 

関連情報 

合意は,それぞれの組織によって,また供給者の種類によって大きく異なる可能性がある。したがって,

情報セキュリティに関連する全てのリスク及び要求事項を含めるよう,配慮することが望ましい。供給者

との合意には,他の当事者(例えば,下請負供給者)が関与することもある。 

合意においては,供給者が製品又はサービスを提供できなくなった場合に業務を継続するための手順も

考慮し,代替の製品又はサービスの手配が遅れないようにする必要がある。 

15.1.3 ICTサプライチェーン 

管理策 

供給者との合意には,情報通信技術(以下,ICTという。)サービス及び製品のサプライチェーンに関連

する情報セキュリティリスクに対処するための要求事項を含めることが望ましい。 

実施の手引 

サプライチェーンのセキュリティについては,供給者との合意に次の事項を含めることを考慮すること

が望ましい。 

a) 供給者関係に関する一般的な情報セキュリティ要求事項のほかに,ICT製品又はサービスの取得に適

用する情報セキュリティ要求事項を定める。 

b) ICTサービスに関して,供給者が組織に提供するICTサービスの一部を下請負契約に出す場合には,

そのサプライチェーン全体に組織のセキュリティ要求事項を伝達するよう供給者に要求する。 

c) ICT製品に関して,その製品に他の供給者から購入した構成部品が含まれる場合には,そのサプライ

チェーン全体に適切なセキュリティ慣行を伝達するよう供給者に要求する。 

d) 提供されたICT製品及びサービスが規定のセキュリティ要求事項を順守していることを確認するため

の,監視プロセス及び許容可能な監視方法を実施する。 

e) 製品又はサービスの機能を維持するために重要な構成要素を特定するためのプロセスを実施する。重

要な構成要素に対しては,組織の外で作られる場合に注意及び精査の強化が求められる(特に,直接

の供給者が製品又はサービスの構成要素を他の供給者に外部委託する場合)。 

f) 

重要な構成要素及びその供給元が,サプライチェーン全体を通じて追跡可能であるという保証を得る。 

g) 提供されるICT製品が期待どおりに機能し,予期しない又は好ましくない特性をもたないという保証

を得る。 

h) サプライチェーンについての情報,並びに組織と供給者との間で生じる可能性のある問題及び妥協に

ついての情報を共有するための規則を定める。 

i) 

ICT構成要素のライフサイクル及び継続的な使用,並びにこれに関連するセキュリティリスクを管理

するための具体的なプロセスを実施する。このプロセスには,その構成要素が入手できなくなる(供

給者が事業を営まなくなる,又は技術進歩によって供給者がその構成要素を提供しなくなる)という

リスクを管理することも含まれる。 

関連情報 

background image

66 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

ICTサプライチェーンに固有のリスクマネジメントの実践は,一般的な,情報セキュリティ,品質,プ

ロジェクト管理及びシステム工学の実践が前提となるが,これらに代わるものではない。 

ICTサプライチェーン,並びに提供される製品及びサービスに重大な影響を及ぼす事項について理解す

るため,組織は供給者と協力するのがよい。組織は,供給者との合意の中で,ICTサプライチェーンの中

の他の供給者が対処することが望ましい事項を明らかにすることによって,ICTサプライチェーンにおけ

る情報セキュリティの実践に影響を及ぼすことができる。 

ここで取り上げたICTサプライチェーンには,クラウドコンピューティングサービスも含まれる。 

15.2 供給者のサービス提供の管理 

目的 供給者との合意に沿って,情報セキュリティ及びサービス提供について合意したレベルを維持する

ため。 

15.2.1 供給者のサービス提供の監視及びレビュー 

管理策 

組織は,供給者のサービス提供を定常的に監視し,レビューし,監査することが望ましい。 

実施の手引 

供給者のサービスを監視及びレビューすることによって,その合意における情報セキュリティの条件の

順守を確実にすること,並びに情報セキュリティのインシデント及び問題の適切な管理を確実にすること

が望ましい。 

このような監視及びレビューは,組織と供給者との間での,次のサービス管理関係プロセスを含むこと

が望ましい。 

a) 合意の順守を検証するために,サービスのパフォーマンスレベルを監視する。 

b) 供給者の作成したサービスの報告をレビューし,合意で求めている定期的な進捗会議を設定する。 

c) 独立した監査人の報告書が入手できれば,これのレビューと併せて供給者の監査を実施し,特定され

た問題の追跡調査を行う。 

d) 合意書並びに全ての附属の指針及び手順書の要求に従い,情報セキュリティインシデントの情報を提

供し,その情報をレビューする。 

e) 供給者の監査証跡,情報セキュリティ事象の記録,運用上の問題の記録,故障記録,障害履歴及び提

供サービスに関連する中断記録をレビューする。 

f) 

特定された問題の解決及び管理を実施する。 

g) 供給者とその供給者との間の供給者関係における情報セキュリティの側面をレビューする。 

h) 重大なサービスの不具合又は災害の後においても,合意したサービス継続レベルが維持されることを

確実にするように設計された実行可能な計画とともに,供給者が十分なサービス提供能力を維持する

ことを確実にする(箇条17参照)。 

供給者関係を管理する責任は,指定された個人又はサービス管理チームに割り当てることが望ましい。

さらに,組織は,供給者が,順守状況のレビュー及び合意書における要求事項の実施についての責任を割

り当てることを確実にすることが望ましい。合意書における要求事項,特に情報セキュリティに関する要

求事項を満たしているかどうかを監視するために,十分な技術力及び人的資源を確保しておくことが望ま

しい。サービスの提供において不完全な点があった場合は,適切な処置をとることが望ましい。 

組織は,供給者がアクセス,処理又は管理する,取扱いに慎重を要する又は重要な情報・情報処理設備

background image

67 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

に対して,全てのセキュリティの側面についての十分かつ包括的な管理及び可視性を維持することが望ま

しい。組織は,報告プロセスを規定することで,セキュリティに関連した活動(例えば,変更管理,ぜい

弱性識別,情報セキュリティインシデントの報告及び対応)の可視性を維持することが望ましい。 

15.2.2 供給者のサービス提供の変更に対する管理 

管理策 

関連する業務情報,業務システム及び業務プロセスの重要性,並びにリスクの再評価を考慮して,供給

者によるサービス提供の変更(現行の情報セキュリティの方針群,手順及び管理策の保守及び改善を含む。)

を管理することが望ましい。 

実施の手引 

この管理策の実施については,次の側面を考慮に入れることが望ましい。 

a) 供給者との合意に対する変更 

b) 次の事項を実施するために組織が行う変更 

1) 現在提供されているサービスの強化 

2) 新しいアプリケーション及びシステムの開発 

3) 組織の諸方針及び諸手順の,変更又は更新 

4) 情報セキュリティインシデントの解決及びセキュリティの改善のための,新たな又は変更した管理

策 

c) 次の事項を実施するための供給者サービスにおける変更 

1) ネットワークに対する変更及び強化 

2) 新技術の利用 

3) 新製品又は新しい版・リリースの採用 

4) 新たな開発ツール及び開発環境 

5) サービス設備の物理的設置場所の変更 

6) 供給者の変更 

7) 他の供給者への下請負契約 

16 

情報セキュリティインシデント管理 

16.1 情報セキュリティインシデントの管理及びその改善 

目的 セキュリティ事象及びセキュリティ弱点に関する伝達を含む,情報セキュリティインシデントの管

理のための,一貫性のある効果的な取組みを確実にするため。 

16.1.1 責任及び手順 

管理策 

情報セキュリティインシデントに対する迅速,効果的かつ順序だった対応を確実にするために,管理層

の責任及び手順を確立することが望ましい。 

実施の手引 

情報セキュリティインシデント管理に関する管理層の責任及び手順について,次の事項を考慮すること

が望ましい。 

a) 組織において,次の手順が策定され,十分に伝達されることを確実にするために,管理層の責任を確

立する。 

68 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

1) インシデント対応の計画及び準備のための手順 

2) 情報セキュリティ事象及び情報セキュリティインシデントを監視,検知,分析及び報告するための

手順 

3) インシデント管理活動のログを取得するための手順 

4) 法的証拠を扱うための手順 

5) 情報セキュリティ事象の評価及び決定のための手順,並びに情報セキュリティ弱点の評価のための

手順 

6) 対応手順(段階的取扱い,インシデントからの回復の管理,並びに内部及び外部の要員又は組織へ

の伝達のための手順を含む。) 

b) 確立する手順では,次の事項を確実にする。 

1) 組織内の情報セキュリティインシデントに関連する事項は,力量のある要員が取り扱う。 

2) セキュリティインシデントを検知及び報告する場合の連絡先を定める。 

3) 情報セキュリティインシデントに関連した事項を取り扱う関係当局,外部の利益団体又は会議との

適切な連絡を保つ。 

c) 報告手順には,次の事項を含める。 

1) 情報セキュリティ事象が発生した場合に,報告作業を助け,報告する者が必要な全ての処置を忘れ

ないよう手助けするための情報セキュリティ事象の報告書式の作成 

2) 情報セキュリティ事象が発生した場合にとる手順。例えば,詳細全て(不順守又は違反の形態,生

じた誤動作,画面上の表示など)の記録を直ちにとる,直ちに連絡先に報告し,協調した処置だけ

をとる。 

3) セキュリティ違反を犯した従業員を処罰するために確立された正式な懲戒手続への言及 

4) 情報セキュリティ事象の報告者に,その件の処理が終結した後で結果を知らせることを確実にする

ための適切なフィードバックの手続 

情報セキュリティインシデント管理の目的について,経営陣が同意していることが望ましく,また,情

報セキュリティインシデント管理について責任ある人々が,組織が決めた情報セキュリティインシデント

の取扱いの優先順位を理解していることを確実にすることが望ましい。 

関連情報 

情報セキュリティインシデントは,組織の枠及び国境を越える場合がある。そのようなインシデントに

対応するために,適宜,外部の組織と連携して対応すること及びそのインシデントについての情報を共有

することの必要性が増している。 

情報セキュリティインシデント管理に関する詳細な手引が,ISO/IEC 27035[20]に示されている。 

16.1.2 情報セキュリティ事象の報告 

管理策 

情報セキュリティ事象は,適切な管理者への連絡経路を通して,できるだけ速やかに報告することが望

ましい。 

実施の手引 

全ての従業員及び契約相手に,情報セキュリティ事象をできるだけ速やかに報告する責任のあることを

認識させておくことが望ましい。また,全ての従業員及び契約相手が,情報セキュリティ事象の報告手順

及び情報セキュリティ事象を報告する連絡先を認識していることが望ましい。 

69 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

情報セキュリティ事象の報告を考慮する状況には,次の事項が含まれる。 

a) 効果のないセキュリティ管理策 

b) 情報の完全性,機密性又は可用性に関する期待に対する違反 

c) 人による誤り 

d) 個別方針又は指針の不順守 

e) 物理的セキュリティの取決めに対する違反 

f) 

管理されていないシステム変更 

g) ソフトウェア又はハードウェアの誤動作 

h) アクセス違反 

関連情報 

システムの誤動作又はその他の異常な挙動は,セキュリティへの攻撃又は実際のセキュリティ違反があ

ったことを示す場合があるため,情報セキュリティ事象として常に報告することが望ましい。 

16.1.3 情報セキュリティ弱点の報告 

管理策 

組織の情報システム及びサービスを利用する従業員及び契約相手に,システム又はサービスの中で発見

した又は疑いをもった情報セキュリティ弱点は,どのようなものでも記録し,報告するように要求するこ

とが望ましい。 

実施の手引 

全ての従業員及び契約相手は,情報セキュリティインシデントを防止するため,情報セキュリティ弱点

をできるだけ速やかに連絡先に報告することが望ましい。報告の仕組みは,できるだけ簡単で使いやすく,

いつでも利用できることが望ましい。 

関連情報 

従業員及び契約相手に,疑いをもったセキュリティの弱点の立証を試みないように助言することが望ま

しい。弱点を検査することは,システムの不正使用の企てと見られる場合があり,また,情報システム又

はサービスに損傷を与えて,検査した個人に法的責任が発生する場合もある。 

16.1.4 情報セキュリティ事象の評価及び決定 

管理策 

情報セキュリティ事象は,これを評価し,情報セキュリティインシデントに分類するか否かを決定する

ことが望ましい。 

実施の手引 

連絡先の者は,合意された情報セキュリティ事象・情報セキュリティインシデントの分類基準を用いて

各情報セキュリティ事象を評価し,その事象を情報セキュリティインシデントに分類するか否かを決定す

ることが望ましい。インシデントの分類及び優先順位付けは,インシデントの影響及び程度の特定に役立

てることができる。 

組織内に情報セキュリティインシデント対応チームがある場合は,確認又は再評価のために,評価及び

決定の結果をこの対応チームに転送してもよい。 

評価及び決定の結果は,以後の参照及び検証のために詳細に記録しておくことが望ましい。 

16.1.5 情報セキュリティインシデントへの対応 

管理策 

情報セキュリティインシデントは,文書化した手順に従って対応することが望ましい。 

70 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

実施の手引 

情報セキュリティインシデントには,指定された連絡先,及び組織又は外部関係者の他の関係する要員

が対応することが望ましい(16.1.1参照)。 

対応策には,次の事項を含めることが望ましい。 

a) 情報セキュリティインシデントの発生後,できるだけ速やかに証拠を収集する。 

b) 必要に応じて,情報セキュリティの法的分析を実施する(16.1.7参照)。 

c) 必要に応じて,段階的取扱い(escalation)を行う。 

d) 後で行う分析のために,関連する全ての対応活動を適正に記録することを確実にする。 

e) 知る必要性を認められている内部・外部の他の要員又は組織に対し,情報セキュリティインシデント

の存在又は関連するその詳細を伝達する。 

f) インシデントの原因又はインシデントの一因であることが判明した情報セキュリティ弱点に対処する。 

g) インシデントへの対応が滞りなく済んだ後,正式にそれを終了し,記録する。 

インシデントの根本原因を特定するために,必要に応じてインシデント後の分析を実施することが望ま

しい。 

関連情報 

インシデント対応の第一の目標は,“通常のセキュリティレベル”を復旧させたうえで,必要な回復策を

開始することである。 

16.1.6 情報セキュリティインシデントからの学習 

管理策 

情報セキュリティインシデントの分析及び解決から得られた知識は,インシデントが将来起こる可能性

又はその影響を低減するために用いることが望ましい。 

実施の手引 

情報セキュリティインシデントの形態,規模及び費用を定量化及び監視できるようにする仕組みを備え

ることが望ましい。情報セキュリティインシデントの評価から得た情報は,再発する又は影響の大きいイ

ンシデントを特定するために利用することが望ましい。 

関連情報 

情報セキュリティインシデントの評価は,将来の発生頻度,損傷及び費用を抑制するための,又は情報

セキュリティのための方針群のレビュー手続(5.1.2参照)の中で考慮するための,強化した管理策又は追

加の管理策の必要性を提起する場合がある。 

機密性の側面に十分に留意すれば,実際に発生した情報セキュリティインシデントを,発生し得るイン

シデントの事例,こうしたインシデントへの対応方法の事例,及び以後これらを回避するための方法の事

例として,利用者の意識向上訓練(7.2.2参照)において用いることができる。 

16.1.7 証拠の収集 

管理策 

組織は,証拠となり得る情報の特定,収集,取得及び保存のための手順を定め,適用することが望まし

い。 

実施の手引 

懲戒処置及び法的処置のために証拠を取り扱う場合は,内部の手順を定めてそれに従うことが望ましい。 

一般に,証拠に関するこれらの手順では,各種の媒体,装置及び装置の状態(例えば,電源が入ってい

background image

71 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

るか,切れているか)に従って,証拠の特定,収集,取得及び保存のプロセスを規定することが望ましい。

このような手順では,次の事項を考慮することが望ましい。 

a) 管理状況の一連の履歴 

b) 証拠の保全 

c) 要員の安全 

d) 関与する要員の役割及び責任 

e) 要員の力量 

f) 

文書化 

g) 要点説明 

保存された証拠の価値を強化するために,入手可能であれば,要員及びツールの適格性を示す証明書又

はその他適切な手段を追求することが望ましい。 

必要な法的証拠は,組織の枠又は法域を越える場合がある。このような場合は,組織は必要とされる情

報を法的証拠として収集することが法的に認められていることを確認することが望ましい。関連する幾つ

かの法域にまたがる証拠の利用の可能性を最大にするために,それらの異なる法域の要求事項についても

考慮することが望ましい。 

関連情報 

特定とは,証拠となる可能性のあるものの捜索,認識及び文書化に関わるプロセスをいう。収集とは,

証拠となる可能性のあるものを含み得る物理的な物品を集めるプロセスをいう。取得とは,特定した範囲

の中でデータの複製を作成するプロセスをいう。保存とは,証拠となる可能性のあるものの完全性及び当

初の状態を維持し,それを保護するプロセスをいう。 

情報セキュリティ事象を最初に検知した時点では,その事象が訴訟に発展するかどうかは判然としない

場合がある。したがって,そのインシデントの重大さに気が付く前に,意図的又は偶然に,必要な証拠を

破壊してしまう危険性がある。何らかの法的処置があり得ると考える場合は,早めに弁護士又は警察に相

談すること,及び必要となる証拠に関する助言を求めることを勧める。 

ディジタル形式の証拠の特定,収集,取得及び保存に関する指針が,ISO/IEC 27037[24]に示されている。 

17 

事業継続マネジメントにおける情報セキュリティの側面 

17.1 情報セキュリティ継続 

目的 情報セキュリティ継続を組織の事業継続マネジメントシステムに組み込むことが望ましい。 

17.1.1 情報セキュリティ継続の計画 

管理策 

組織は,困難な状況(adverse situation)(例えば,危機又は災害)における,情報セキュリティ及び情報

セキュリティマネジメントの継続のための要求事項を決定することが望ましい。 

実施の手引 

組織は,情報セキュリティの継続が事業継続マネジメント(以下,BCMという。)プロセス又は災害復

旧管理(以下,DRMという。)プロセスに織り込まれているか否かを判断することが望ましい。事業継続

及び災害復旧に関する計画を立てる場合は,情報セキュリティ要求事項を定めることが望ましい。 

事業継続及び災害復旧に関する正式な計画が策定されていない場合には,通常の業務状況とは異なる困

72 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

難な状況においても,情報セキュリティ要求事項は変わらず存続することを,情報セキュリティマネジメ

ントの前提とすることが望ましい。別の方法として,困難な状況に適用できる情報セキュリティ要求事項

を定めるために,情報セキュリティの側面について事業影響度分析(以下,BIAという。)を実施すること

もできる。 

関連情報 

情報セキュリティに対して“追加的な”BIAを実施するための時間及び労力を軽減するには,通常のBCM

又はDRMにおけるBIAに,情報セキュリティに関する側面を織り込むことが推奨される。すなわち,情

報セキュリティ継続に関する要求事項が,BCMプロセス又はDRMプロセスにおいて明確に定められてい

るということである。 

BCMに関する情報が,JIS Q 22301[8],ISO 22313[9]及びISO/IEC 27031[14]に示されている。 

17.1.2 情報セキュリティ継続の実施 

管理策 

組織は,困難な状況の下で情報セキュリティ継続に対する要求レベルを確実にするための,プロセス,

手順及び管理策を確立し,文書化し,実施し,維持することが望ましい。 

実施の手引 

組織は,次の事項を確実にすることが望ましい。 

a) 必要な権限,経験及び力量を備えた要員を用い,中断・阻害を引き起こす事象に備え,これを軽減し,

これに対処するための十分な管理構造を設ける。 

b) インシデントを管理し,情報セキュリティを維持するための責任,権限及び力量を備えたインシデン

ト対応要員を任命する。 

c) 計画,対応及び回復の文書化した手順を策定し,これらを承認する。この計画及び手順では,経営陣

が承認した情報セキュリティ継続の目的に基づいて,組織が中断・阻害を引き起こす事象を管理し,

その情報セキュリティを既定のレベルに維持する場合の方法を詳細に記す(17.1.1参照)。 

組織は,情報セキュリティ継続に関する要求事項に従って,次の事項を確立し,文書化し,実施し,維

持することが望ましい。 

a) 事業継続又は災害復旧のためのプロセス及び手順,並びにこれらを支援するシステム及びツールにお

ける情報セキュリティ管理策 

b) 困難な状況において既存の情報セキュリティ管理策を維持するための,プロセス及び手順の変更並び

にそれらの実施の変更 

c) 困難な状況において維持することが不可能な情報セキュリティ管理策を補うための管理策 

関連情報 

事業継続又は災害復旧に関しては,具体的なプロセス及び手順を定めておくこともできる。このような

プロセス及び手順,又はこれらを支援するための専用の情報システムで扱われる情報は,保護することが

望ましい。このため,組織は,事業継続又は災害復旧に関するプロセス及び手順を確立,実施及び維持す

る場合には,情報セキュリティの専門家を関与させることが望ましい。 

実施されている情報セキュリティ管理策は,困難な状況においても,継続して運用することが望ましい。

セキュリティ管理策が情報のセキュリティの確保を継続できない場合には,許容可能な情報セキュリティ

レベルを維持するために,他の管理策を確立し,実施し,維持することが望ましい。 

17.1.3 情報セキュリティ継続の検証,レビュー及び評価 

background image

73 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

管理策 

確立及び実施した情報セキュリティ継続のための管理策が,困難な状況の下で妥当かつ有効であること

を確実にするために,組織は,定められた間隔でこれらの管理策を検証することが望ましい。 

実施の手引 

運用に関するものか,継続に関するものかを問わず,組織,技術,手順及びプロセスの変更が,情報セ

キュリティ継続に関する要求事項の変更につながることがある。このような場合には,変更後の要求事項

に照らして,情報セキュリティのためのプロセス,手順及び管理策の継続性をレビューすることが望まし

い。 

組織は,次に示す方法によって,情報セキュリティマネジメントの継続を検証することが望ましい。 

a) 情報セキュリティ継続のためのプロセス,手順及び管理策の機能が情報セキュリティ継続の目的と整

合していることを確実にするために,これらの機能を実行し,試験する。 

b) 情報セキュリティ継続のためのプロセス,手順及び管理策を機能させる知識及びルーチンを実行及び

試験し,そのパフォーマンスが情報セキュリティ継続の目的に整合していることを確実にする。 

c) 情報システム,情報セキュリティのプロセス,手順及び管理策,又はBCM・DRMのプロセス及びソ

リューションが変更された場合には,情報セキュリティ継続のための手段の妥当性及び有効性をレビ

ューする。 

関連情報 

情報セキュリティ継続のための管理策の検証は,一般的な情報セキュリティの試験及び検証とは異なる

ため,変更に対する試験とは別に実施することが望ましい。可能であれば,情報セキュリティ継続のため

の管理策の検証と,組織の事業継続試験又は災害復旧試験とを統合することが望ましい。 

17.2 冗長性 

目的 情報処理施設の可用性を確実にするため。 

17.2.1 情報処理施設の可用性 

管理策 

情報処理施設は,可用性の要求事項を満たすのに十分な冗長性をもって,導入することが望ましい。 

実施の手引 

組織は,情報システムの可用性に関する業務上の要求事項を特定することが望ましい。既存のシステム

アーキテクチャを利用しても可用性を保証できない場合には,冗長な構成要素又はアーキテクチャを考慮

することが望ましい。 

該当する場合,一つの構成要素から別の構成要素への切替え(failover)が意図したとおりに動作するこ

とを確実にするために,冗長な情報システムを試験することが望ましい。 

関連情報 

冗長性を組み入れることで,情報及び情報システムの完全性又は機密性に対するリスクが生じることが

ある。情報システムを設計する場合は,この点を考慮する必要がある。 

18 順守 

18.1 法的及び契約上の要求事項の順守 

目的 情報セキュリティに関連する法的,規制又は契約上の義務に対する違反,及びセキュリティ上のあ

らゆる要求事項に対する違反を避けるため。 

74 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

18.1.1 適用法令及び契約上の要求事項の特定 

管理策 

各情報システム及び組織について,全ての関連する法令,規制及び契約上の要求事項,並びにこれらの

要求事項を満たすための組織の取組みを,明確に特定し,文書化し,また,最新に保つことが望ましい。 

実施の手引 

これらの要求事項を満たすための具体的な管理策及び具体的な責任についても定め,文書化することが

望ましい。 

管理者は,その事業の種類に関連した要求事項を満たすために,各自の組織に適用される全ての法令を

特定することが望ましい。組織が他の国で事業を営む場合には,管理者は,関連する全ての国における順

守を考慮することが望ましい。 

18.1.2 知的財産権 

管理策 

知的財産権及び権利関係のあるソフトウェア製品の利用に関連する,法令,規制及び契約上の要求事項

の順守を確実にするための適切な手順を実施することが望ましい。 

実施の手引 

知的財産となり得るものを保護するために,次の事項を考慮することが望ましい。 

a) ソフトウェア製品及び情報製品の合法利用を明確に定めた知的財産権順守方針を公表する。 

b) 著作権を侵害しないことを確実にするために,ソフトウェアは,知名度の高い,かつ,定評のある供

給元だけを通して取得する。 

c) 知的財産権を保護するための方針に対する認識を持続させ,それらの方針に違反した要員に対して懲

罰処置をとる意思を通知する。 

d) 適切な資産登録簿を維持・管理し,知的財産権の保護が求められている全ての資産を特定する。 

e) 使用許諾を得ていることの証明及び証拠,マスタディスク,手引などを維持・管理する。 

f) 

使用許諾で許可された最大利用者数を超過しないことを確実にするための管理策を実施する。 

g) 認可されているソフトウェア及び使用許諾されている製品だけが導入されていることのレビューを行

う。 

h) 適切な使用許諾条件を維持・管理するための方針を定める。 

i) 

ソフトウェアの処分又は他人への譲渡についての方針を定める。 

j) 

公衆ネットワークから入手するソフトウェア及び情報の使用条件に従う。 

k) 著作権法が認めている場合を除いて,商用記録(フィルム,録音)を複製,他形式に変換,又は抜粋

しない。 

l) 

著作権法が認めている場合を除いて,書籍,記事,報告書又はその他文書の全部又は一部を複写しな

い。 

関連情報 

知的財産権には,ソフトウェア又は文書の著作権,意匠権,商標権,特許権及びソースコード使用許諾

権が含まれる。 

権利関係のあるソフトウェア製品は,通常,許諾の条件(例えば,その製品の利用を指定した機器だけ

に限定,複製をバックアップコピーの作成だけに限定。)を明記した使用許諾契約のもとで供給される。そ

の組織で開発したソフトウェアに関しては,知的財産権の重要性及びこれに対する認識を担当職員に伝達

しておくことが望ましい。 

75 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

法令,規制及び契約上の要求事項が,権利関係のあるものの複製に規制を加える場合がある。特に,組

織が開発したもの,又は作成者が組織に使用許諾若しくは提供したものだけを利用するように要求する場

合もある。著作権を侵害した場合,法的処置がとられ,罰金が科せられたり刑事訴訟となる場合もある。 

18.1.3 記録の保護 

管理策 

記録は,法令,規制,契約及び事業上の要求事項に従って,消失,破壊,改ざん,認可されていないア

クセス及び不正な流出から保護することが望ましい。 

実施の手引 

具体的な組織の記録の保護について決定する場合は,組織の分類体系に基づき,その情報に適用されて

いる分類を考慮することが望ましい。記録類は,記録の種類(例えば,会計記録,データベース記録,ト

ランザクションログ,監査ログ,運用手順)によって,また,更にそれぞれの種類での保持期間及び許容

される記憶媒体の種類(例えば,紙,マイクロフィッシュ,磁気媒体,光媒体)の詳細によって分類する

ことが望ましい。保存した記録の暗号化又はディジタル署名に用いた暗号鍵及び暗号プログラム(箇条10

参照)もまた,その記録類を保存している期間中に記録の復号が可能なように,保管することが望ましい。 

記録の保存に用いる媒体が劣化する可能性を考慮することが望ましい。保存及び取扱いの手順は,製造

業者の推奨の仕様に従って実施することが望ましい。 

電子的記憶媒体を選択する場合は,将来の技術変化によって読出しができなくなることを防ぐために,

保持期間を通じてデータにアクセスできること(媒体及び書式の読取り可能性)を確実にする手順を確立

することが望ましい。 

満たすべき要求に応じて,許容される時間枠内及び書式で,要求されたデータを取り出すことができる

ような,データ保存システムを選択することが望ましい。 

保存及び取扱いシステムは,記録の特定,及び適用される場合には,国又は地域の法令又は規制に定め

られている保持期間の明確な特定を確実にすることが望ましい。保持期間が終了した後,組織にとって必

要ない場合には,そのシステムは,記録を適切に破棄できるようにすることが望ましい。 

これらの記録保護の目的を満たすため,組織内では,次の段階を経ることが望ましい。 

a) 記録及び情報の保持,保存,取扱い及び処分に関する指針を発行する。 

b) 記録及びそれらの記録の保持することが望ましい期間を明確にした保持計画を作成する。 

c) 主要な情報の出典一覧を維持・管理する。 

関連情報 

一部の記録は,基本的な事業活動を支えるためと同様に,法令,規制又は契約上の要求事項を満たすた

めに,セキュリティを保って保持する必要がある場合もある。そのような記録の例には,発生する可能性

のある民法上若しくは刑法上の訴訟に対する防御を確実にするため,又は株主,外部関係者及び監査人に

対して組織の財務状況を裏付けるために,組織を法令又は規制に従って運営していることの証拠として要

求される場合があるものが含まれる。国の法令又は規制が,情報保持のための期間及びデータの内容を定

めている場合がある。 

組織の記録の管理に関する追加情報が,JIS X 0902-1[5]に示されている。 

18.1.4 プライバシー及び個人を特定できる情報(PII)の保護 

管理策 

プライバシー及びPIIの保護は,関連する法令及び規制が適用される場合には,その要求に従って確実

にすることが望ましい。 

background image

76 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

実施の手引 

プライバシー及びPIIの保護に関する組織の方針を確立して実施することが望ましい。この方針は,PII

の処理に関与する全ての者に伝達することが望ましい。 

この方針の順守,並びに人々のプライバシーの保護及びPIIの保護に関する全ての法令及び規制の順守

のためには,適切な管理構造及び管理策が必要になる。これは,多くの場合,例えばプライバシー担当役

員のような一人の責任者を任命することによって最も達成される。この責任者は,管理者,利用者及びサ

ービス提供者に対して,それぞれの責任及び従うことが望ましい特定の手順について,手引を提供するこ

とが望ましい。PIIの取扱い,及びプライバシーの原則の認識を確実にすることについての責任は,関連す

る法令及び規制に従って処置することが望ましい。PIIを保護するための適切な技術的及び組織的対策を実

施することが望ましい。 

関連情報 

ICTシステムにおいてPIIを保護するための上位の枠組みが,ISO/IEC 29100[25]に示されている。多く

の国が,PII(一般に,生存している個人に関する情報で,その情報からその個人を特定できるもの。)の

収集,処理及び伝送を規制する法令を導入している。各国の法令にもよるが,このような規制では,PII

を収集,処理及び流布する者に責務を課している場合があり,また,PIIの他国への転送を規制している場

合もある。 

18.1.5 暗号化機能に対する規制 

管理策 

暗号化機能は,関連する全ての協定,法令及び規制を順守して用いることが望ましい。 

実施の手引 

関連する協定,法令及び規制を順守するため,次の事項を考慮することが望ましい。 

a) 暗号機能を実行するためのコンピュータのハードウェア及びソフトウェアの,輸入又は輸出に関する

規制 

b) 暗号機能を追加するように設計されているコンピュータのハードウェア及びソフトウェアの,輸入又

は輸出に関する規制 

c) 暗号利用に関する規制 

d) 内容の機密性を守るためにハードウェア又はソフトウェアによって暗号化された情報への,国の当局

による強制的又は任意的アクセス方法 

関連する法令及び規制の順守を確実にするために,法的な助言を求めることが望ましい。暗号化された

情報又は暗号制御機能を,法域を越えて持ち出す前にも,法的な助言を受けることが望ましい。 

18.2 情報セキュリティのレビュー 

目的 組織の方針及び手順に従って情報セキュリティが実施され,運用されることを確実にするため。 

18.2.1 情報セキュリティの独立したレビュー 

管理策 

情報セキュリティ及びその実施の管理(例えば,情報セキュリティのための管理目的,管理策,方針,

プロセス,手順)に対する組織の取組みについて,あらかじめ定めた間隔で,又は重大な変化が生じた場

合に,独立したレビューを実施することが望ましい。 

実施の手引 

77 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

経営陣は,独立したレビューを発議することが望ましい。このような独立したレビューは,情報セキュ

リティをマネジメントする組織の取組みが,引き続き適切,妥当及び有効であることを確実にするために

必要である。このようなレビューは,改善の機会のアセスメントを含むことが望ましい。また,方針及び

管理目的を含むセキュリティの取組みの変更について,その必要性の評価を含むことが望ましい。 

このようなレビューは,レビューが行われる領域から独立した個人・組織(例えば,内部監査の担当部

署,独立した管理者,このようなレビューを専門に行う外部関係者)が実施することが望ましい。これら

のレビューを実施する個人・組織は,適切な技能及び経験をもつことが望ましい。 

独立したレビューの結果は,記録し,レビューを発議した経営陣に報告することが望ましい。これらの

記録は,維持することが望ましい。 

独立したレビューにおいて,情報セキュリティマネジメントに対する組織の取組み及び実施が十分でな

い[例えば,文書化した目的及び要求事項が,情報セキュリティのための方針群(5.1.1参照)に記載され

た情報セキュリティに関する方向付けを満たしていない,又はこれと適合していない。]ことが明確になっ

た場合には,経営陣は是正処置を考慮することが望ましい。 

関連情報 

独立したレビューを実施する場合の手引は,ISO/IEC 27007[12]及びISO/IEC TR 27008[13]にも示され

ている。 

18.2.2 情報セキュリティのための方針群及び標準の順守 

管理策 

管理者は,自分の責任の範囲内における情報処理及び手順が,適切な情報セキュリティのための方針群,

標準類,及び他の全てのセキュリティ要求事項を順守していることを定期的にレビューすることが望まし

い。 

実施の手引 

管理者は,方針,標準類及びその他適用される規制で定められた情報セキュリティ要求事項が満たされ

ていることをレビューするための方法を特定することが望ましい。定めに従って効率的にレビューを行う

ため,自動的な測定ツール及び報告ツールの使用を考慮することが望ましい。 

レビューの結果,何らかの不順守を検出した場合,管理者は,次の事項を行うことが望ましい。 

a) 不順守の原因を特定する。 

b) 順守を達成するための処置の必要性を評価する。 

c) 適切な是正処置を実施する。 

d) 是正処置の有効性を検証し,不備又は弱点を特定するために,とった是正処置をレビューする。 

管理者が実施したレビュー及び是正処置の結果を記録することが望ましく,また,その記録を維持・管

理することが望ましい。管理者の責任範囲に対して,独立したレビュー(18.2.1参照)が実施されるとき

は,管理者は,独立したレビュー実施者に対して,その結果を報告することが望ましい。 

関連情報 

システム利用の監視は,12.4に示されている。 

18.2.3 技術的順守のレビュー 

管理策 

情報システムを,組織の情報セキュリティのための方針群及び標準の順守に関して,定めに従ってレビ

ューすることが望ましい。 

78 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

実施の手引 

技術的順守は,自動ツールを活用してレビューすることが望ましい。この自動ツールは,技術専門家が

後に解釈するための技術レポートを生成する。これに代わるものとして,経験をもつシステムエンジニア

が手動で(必要な場合には,適切なソフトウェアツールの助けを得て)レビューしてもよい。 

侵入テスト又はぜい弱性アセスメントを用いる場合,このような作業は,システムのセキュリティを危

うくするかもしれないことに注意することが望ましい。このようなテストは,計画され,文書化され,ま

た,繰り返しできることが望ましい。 

いかなる技術的順守のレビューも,力量があり,認可されている者によって,又はその者の監督の下で

だけ,実施することが望ましい。 

関連情報 

技術的順守のレビューは,ハードウェア及びソフトウェアの制御が正しく実施されていることを確実に

するための,運用システムの検査を伴う。この種の順守のレビューでは,専門家の技術的専門知識を必要

とする。 

順守のレビューには,例えば,その目的のために特に契約した独立した専門家によって実施される侵入

テスト及びぜい弱性アセスメントを含むことがある。このようなレビューは,システムのぜい弱性の検出,

及びこれらのぜい弱性が原因の認可されていないアクセスの防止に,管理策がどれほど有効であるかの検

査に役立つ。 

侵入テスト及びぜい弱性アセスメントは,特定の時刻における特定の状態のシステムのスナップショッ

トを提供する。このスナップショットの対象は,侵入テストで実際にテストをしているシステムの該当部

分に限られる。侵入テスト及びぜい弱性アセスメントはリスクアセスメントの代替とはならない。 

技術的順守のレビューに関する具体的な手引が,ISO/IEC TR 27008[13]に示されている。 

79 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

参考文献 

[1] 

ISO/IEC専門業務用指針 第2部 

[2] 

JIS X 5058-1 セキュリティ技術−かぎ管理−第1部:枠組み 

注記 対応国際規格:ISO/IEC 11770-1,Information technology−Security techniques−Key 

management−Part 1: Framework(IDT) 

[3] 

JIS X 5058-2 セキュリティ技術−かぎ管理−第2部:対称暗号技術を用いるかぎ確立機構 

注記 対応国際規格:ISO/IEC 11770-2,Information technology−Security techniques−Key 

management−Part 2: Mechanisms using symmetric techniques(IDT) 

[4] 

ISO/IEC 11770-3,Information technology−Security techniques−Key management−Part 3: Mechanisms 

using asymmetric techniques 

[5] 

JIS X 0902-1 情報及びドキュメンテーション−記録管理−第1部:総説 

注記 対応国際規格:ISO 15489-1,Information and documentation−Records management−Part 1: 

General(IDT) 

[6] 

JIS Q 20000-1 情報技術−サービスマネジメント−第1部:サービスマネジメントシステム要求事

項 

注記 対応国際規格:ISO/IEC 20000-1,Information technology−Service management−Part 1: 

Service management system requirements(IDT) 

[7] 

JIS Q 20000-2 情報技術−サービスマネジメント−第2部:サービスマネジメントシステムの適用

の手引 

注記 対応国際規格:ISO/IEC 20000-21),Information technology−Service management−Part 2: 

Guidance on the application of service management systems(IDT) 

[8] 

JIS Q 22301 社会セキュリティ−事業継続マネジメントシステム−要求事項 

注記 対応国際規格:ISO 22301,Societal security−Business continuity management systems−

Requirements(IDT) 

[9] 

ISO 22313,Societal security−Business continuity management systems−Guidance 

[10] JIS Q 27001 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項 

注記 対応国際規格:ISO/IEC 27001,Information technology−Security techniques−Information 

security management systems−Requirements(IDT) 

[11] ISO/IEC 27005,Information technology−Security techniques−Information security risk management 

[12] ISO/IEC 27007,Information technology−Security techniques−Guidelines for information security 

management systems auditing 

[13] ISO/IEC TR 27008,Information technology−Security techniques−Guidelines for auditors on information 

security controls 

[14] ISO/IEC 27031,Information technology−Security techniques−Guidelines for information and 

communication technology readiness for business continuity 

[15] ISO/IEC 27033-1,Information technology−Security techniques−Network security−Part 1: Overview and 

concepts 

[16] ISO/IEC 27033-2,Information technology−Security techniques−Network security−Part 2: Guidelines for 

80 

Q 27002:2014 (ISO/IEC 27002:2013) 

2019年7月1日の法改正により名称が変わりました。まえがきを除き,本規格中の「日本工業規格」を「日本産業規格」に読み替えてください。 

the design and implementation of network security 

[17] ISO/IEC 27033-3,Information technology−Security techniques−Network security−Part 3: Reference 

networking scenarios−Threats, design techniques and control issues 

[18] ISO/IEC FDIS 27033-4,Information technology−Security techniques−Network security−Part 4: Securing 

communications between networks using security gateways 

[19] ISO/IEC 27033-5,Information technology−Security techniques−Network security−Part 5: Securing 

communications across networks using Virtual Private Networks (VPNs) 

[20] ISO/IEC 27035,Information technology−Security techniques−Information security incident management 

[21] ISO/IEC FDIS 27036-1,Information technology−Security techniques−Information security for supplier 

relationships−Part 1: Overview and concepts 

[22] ISO/IEC DIS 27036-2,Information technology−Security techniques−Information security for supplier 

relationships−Part 2: Requirements 

[23] ISO/IEC 27036-3,Information technology−Security techniques−Information security for supplier 

relationships−Part 3: Guidelines for ICT supply chain security 

[24] ISO/IEC 27037,Information technology−Security techniques−Guidelines for identification, collection, 

acquisition and preservation of digital evidence 

[25] ISO/IEC 29100,Information technology−Security techniques−Privacy framework 

[26] ISO/IEC 29101,Information technology−Security techniques−Privacy architecture framework 

[27] JIS Q 31000 リスクマネジメント−原則及び指針 

注記 対応国際規格:ISO 31000,Risk management−Principles and guidelines(IDT) 

注1) ISO/IEC 20000-2:2005は,2012年に改正されている。