保護すべき情報
防衛省の調達要件による「保護すべき情報」は、特別に指定する秘などの情報とは別に一般情報でありながら、大切に保護すべきものとして定義しているものであり、下図のような関係にあると言えます。
「防衛関連企業における情報セキュリティ確保について」によれば、「保護すべき情報」とは関連する通達に記された「取扱い上の注意を要する文書等」及び「注意電子計算機情報」並びにこれらの情報を利用して作成される情報と定義されています。
対策の実施要求
防衛省の情報システムの製造等を受注する企業に、情報セキュリティ管理に関する基準などを策定し、これに基づく対策の実施を求めています。具体的には、
- 下記の場合には、直ちに防衛省へ報告することを義務化
- 保護すべき情報が保存されたサーバ/パソコンにウイルス等への感染又は不正アクセスがあった場合
- 上記サーバ/パソコンの置かれたネットワークに接続されたサーバ/パソコンにウイルス等への感染があった場合
- 責任者・連絡担当者を明らかにした連絡系統図の作成
- 少なくとも週1回以上、ウイルス対策ソフトによるフルスキャンを実施
- 保護すべき情報が社外へ漏えいしていないか、24時間365日監視
- 保護すべき情報へのアクセス記録については、3か月以上保存
- 暗号化対策の強化
- 社員への教育・訓練の実施状況を監査により確認
などとなっています。
遵守要求文書の体系
関連する文書は以下の体系となっています。
情報セキュリティ確保策の実施監査
さらに、契約企業は基準を作成するとともに、その実施についての監査を受けることを支持しています。概略の関係は以下の通り。(防衛省HPより)
【参考】
ホーム > 防衛省の取組 > その他の取組 > 情報通信・情報保全 > 防衛関連企業における情報セキュリティ確保について
(関連文書等は上記サイトからダウンロード可)
次のページ>>「NIST SP800-171 〜連邦政府機関以外に対する情報システム及び組織におけるCUIの保護規程〜」