○福島県警察情報セキュリティに関する対策基準の制定について(通達)
令和6年3月18日
達(情、務、生企、地企、刑総、交企、公)第153号
[原議保存期間 5年(令和11年3月31日まで)]
[有効期間 令和11年3月31日まで]
みだし基準を別紙のとおり制定し、令和6年4月1日から施行することとしたので、運用上誤りのないようにされたい。
なお、福島県警察情報セキュリティに関する対策基準の制定について(令和5年3月15日付け達(情、務、生企、地企、刑総、交企、公)第108号)は、廃止する。
別紙
福島県警察情報セキュリティに関する対策基準
目次
第1 総則
1 目的
2 管理対象情報の分類及び取扱制限
3 警察情報システムの分類等
4 用語の定義
第2 情報セキュリティ対策の基本的枠組み
1 組織及び体制の整備
2 運用
3 情報セキュリティ関係規程の見直し
第3 管理対象情報の取扱い
1 管理対象情報の取扱い
2 管理対象情報を取り扱う区域の管理
第4 外部委託
1 業務委託
2 クラウドサービスの利用
3 機器等の調達
第5 警察情報システムのライフサイクル
1 警察情報システムに係る文書等の整備
2 警察情報システムのライフサイクルの各段階における対策
3 警察情報システムの業務継続計画の整備・整合的運用の確保
第6 警察情報システムの構成要素
1 端末・サーバ等
2 電子メール・ウェブ等
3 電気通信回線
4 警察情報システムの基盤を管理又は制御するソフトウェア
5 アプリケーション・コンテンツ
第7 警察情報システムのセキュリティ要件
1 警察情報システムのセキュリティ機能
2 情報セキュリティの脅威への対策
3 ゼロトラストアーキテクチャ
第8 警察情報システムの利用
1 警察情報システムの利用
2 ソーシャルメディアサービスによる情報発信
3 テレワーク及びモバイル勤務
第9 その他
別表 福島県警察CSIRT構成表
福島県警察情報セキュリティに関する対策基準
第1 総則
1 目的
この文書は、福島県警察情報セキュリティに関する訓令(平成30年県本部訓令第1号。以下「訓令」という。)第6条第2項、第9条第3項及び第10条に基づき、警察における情報セキュリティを確保するために必要な対策を定めるものとする。
2 管理対象情報の分類及び取扱制限
(1) 管理対象情報の分類
管理対象情報の分類は次のアからウまでのとおりとする。
ア 機密性
(ア) 機密性3(高)情報
管理対象情報のうち、特定秘密(福島県警察における特定秘密の保護に関する訓令(平成27年県本部訓令第16号)第1条に定めるものをいう。)又は秘密文書(福島県警察の文書管理に関する訓令(令和3年県本部訓令第23号)第2条第8号に定めるものをいう。)としての取扱いを要するもの
(イ) 機密性2(中)情報
管理対象情報のうち、福島県情報公開条例(平成12年福島県条例第5号。以下「情報公開条例」という。)第7条各号における不開示情報に該当すると判断される蓋然性の高い情報を含む情報であって、機密性3(高)情報以外のもの
(ウ) 機密性1(低)情報
管理対象情報のうち、情報公開条例第7条各号における不開示情報に該当すると判断される蓋然性の高い情報を含まないもの
イ 完全性
(ア) 完全性2(高)情報
管理対象情報(書面に記載された情報を除く。)のうち、改ざん又は滅失した場合に業務の的確な遂行に支障を及ぼすおそれがあるもの
(イ) 完全性1(低)情報
管理対象情報(書面に記載された情報を除く。)のうち、完全性2(高)に分類される以外のもの
ウ 可用性
(ア) 可用性2(高)情報
管理対象情報(書面に記載された情報を除く。)のうち、その情報が使用できないときに業務の安定的な遂行に支障を及ぼすおそれがあるもの
(イ) 可用性1(低)情報
管理対象情報(書面に記載された情報を除く。)のうち、可用性2(高)に分類される以外のもの
(2) 管理対象情報の取扱制限
管理対象情報の分類に応じて、複製禁止、持ち出し禁止、配布禁止、読後廃棄、閲覧の制限等、管理対象情報の適正な取扱いを職員に確実に行わせるための制限をいう。主な取扱制限の例を次のアからオまでに示す。
ア 複製の禁止
当該情報について、複製を禁止する必要がある場合に「複製禁止」等の指定をする。
イ 持ち出しの禁止
当該情報について、定められた場所からの持ち出しを禁止する必要がある場合に「持ち出し禁止」等の指定をする。
ウ 配布の禁止
当該情報について、定められた者以外への配布を禁止する必要がある場合に「配布禁止」等の指定をする。
エ 読後廃棄
当該情報について、読後に廃棄する必要がある場合に「読後廃棄」等の指定をする。
オ 閲覧の制限
当該情報について、閲覧可能な範囲を制限する必要がある場合に「○○限り」等の指定をする。
3 警察情報システムの分類等
(1) 警察情報システムの分類及び分類基準
警察情報システムの分類及び分類基準は次のアからウまでのとおりとする。
ア 重要度(高)システム
情報セキュリティインシデント発生時に、警察業務に重大な影響を及ぼす、又は他の重要度(高)システムに影響を与える警察情報システム
イ 重要度(中)システム
要保護情報を取り扱う、又は情報セキュリティインシデント発生時に他の重要度(中)システムに影響を与える警察情報システム(重要度(高)システムを除く。)
ウ 重要度(低)システム
重要度(高)システム及び重要度(中)システム以外の警察情報システム
(2) 警察情報システムの分類基準に基づいた情報セキュリティ対策
警察情報システムの分類基準に基づいた情報セキュリティ対策について、次のア及びイのとおり定める。
ア 基本セキュリティ対策
警察情報システムの構成要素及び警察情報システムのセキュリティ要件に係る情報セキュリティ対策のうち、基本的な対策として全ての警察情報システムが実施すべき対策を基本セキュリティ対策とする。
なお、警察情報セキュリティポリシーにおいて、追加セキュリティ対策と示されていない警察情報システムの構成要素等に係る情報セキュリティ対策は全て基本セキュリティ対策に分類される。
イ 追加セキュリティ対策
警察情報システムの構成要素等に係る情報セキュリティ対策のうち、重要度(高)及び(中)のシステムに対して、基本セキュリティ対策に加えて実施することを求める、より高度な情報セキュリティ対策を追加セキュリティ対策とする。
4 用語の定義
(1) アプリケーション・コンテンツ
情報の提供、行政手続、意見募集等の行政サービスのために利用者に提供するアプリケーションプログラム、ウェブコンテンツ等の総称をいう。
(2) 暗号アルゴリズム
ファイルや通信などのデータが解読されないように暗号化する際の手順を定式化したものをいう。
(3) 暗号化消去
情報を電磁的記録媒体に暗号化して記録したもので、情報の抹消が必要になった際に情報の復号に用いる鍵を抹消することで情報の復号を不可能にし、情報を利用不能にする論理的削除方法をいう。
(4) 移動通信事業者
電気通信役務としての移動通信サービスを提供する電気通信事業を営む者であって、当該移動通信サービスに係る無線局を自ら開設(開設された無線局に係る免許人等の地位の承継を含む。)又は運用している者をいう。
(5) インターネット端末
インターネットに接続された端末をいう。
(6) ウェブ会議サービス
専用のアプリケーションやウェブブラウザを利用し、映像又は音声を用いて会議参加者が対面せずに会議を行えるクラウドサービスをいう。
なお、特定用途機器相互で通信を行うもの及び警察情報システムのサーバ等により提供されるものを含まない。
(7) 外部委託
業務委託及びクラウドサービスをいう。
(8) 外部回線
警察の管理が及ばない電子計算機が論理的に接続され、当該電子計算機の通信に利用されるインターネットその他の電気通信回線をいう。
(9) 外部記録媒体
USBメモリ、外付けハードディスクドライブ、DVD-R等電子計算機に接続し情報を入出力する電磁的記録媒体をいう。
(10) 外部記録媒体制限・管理ソフトウェア
端末装置において、あらかじめ登録されている外部記録媒体以外の外部記録媒体に技術的な制限を設定するソフトウェアをいう。
(11) 基盤となる情報システム
他の機関と共通的に使用する情報システム(一つの機関でハードウェアからアプリケーションまで管理・運用している情報システムを除く。)をいう。
(12) 共用識別コード
複数の主体が共用するために付与された識別コードをいう。
(13) 業務委託
外部委託のうち、警察の業務の一部又は全部について、契約をもって外部の者に実施させることをいう。「委任」「準委任」「請負」といった契約形態を問わず、全て含むものとする。ただし、当該業務において管理対象情報が取り扱われる場合に限る。業務委託の例としては、警察情報システムの開発及び構築業務、警察情報システムの運用業務、リース契約等が挙げられる。
(14) クラウドサービス
部外の者が一般向けにインターネット等のネットワークを経由して情報システムの一部又は全部の機能を提供する、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)等をいう。ただし、当該機能において管理対象情報が取り扱われる場合に限定する。
(15) クラウドサービス管理者
クラウドサービスの利用における利用申請の許可の権限を有する者から利用承認時に指名された当該クラウドサービスに係る管理を行う者をいう。
(16) クラウドサービス提供者
クラウドサービスを提供する事業者(クラウドサービスプロバイダ)をいう。
(17) クラウドサービス利用者
クラウドサービスを利用する職員又は業務委託した委託先においてクラウドサービスを利用する場合の委託先の従業員をいう。
(18) 警察共通基盤システム
福島県警察情報管理システム等の運営に関する訓令(令和2年県本部訓令第24号。以下「システム訓令」という。)第3条の用語の定義に定めるものをいう。
(19) 福島県警察情報管理システム
システム訓令第3条の用語の定義に定めるものをいう。
(20) 警察情報セキュリティポリシー
(21) 携帯電話機
フィーチャーフォン、スマートフォン等移動通信事業者の回線を利用し音声通話及び情報の処理を行うための端末をいう。
(22) サーバ等
情報を体系的に記録し、検索し、又は編集する機能を有するサーバ及びメインフレームをいう。
(23) 識別
情報システムにアクセスする主体を当該情報システムにおいて特定することをいう。
(24) 識別コード
ユーザID、ホスト名等、主体を識別するために、情報システムが認識するコード(符号)をいう。
(25) 自己復号型暗号
特定のソフトウェアをインストールすることなく情報を復号することのできる暗号をいう。
(26) 主体
情報システムにアクセスする者又は他の情報システムにアクセスする端末、サーバ等をいう。
(27) 主体認証
識別コードを提示した主体が、その識別コードを付与された正当な主体であるか否かを検証することをいう。
(28) 主体認証情報
パスワード等、主体認証をするために、主体が情報システムに提示する情報をいう。
(29) 主体認証情報格納装置
ICカード等、主体認証情報を格納した装置であり、正当な主体に所有又は保持させる装置をいう。
(30) 情報セキュリティインシデント
情報セキュリティの維持を困難とする事案をいう。
(31) 情報の抹消
電磁的記録媒体に記録された全ての情報を利用不能かつ復元が困難な状態にすることをいう。情報の抹消には、情報自体を消去することのほか、暗号技術検討会及び関連委員会(CRYPTREC)によって安全性が確認された暗号アルゴリズムを用いた暗号化消去や、情報を記録している記録媒体を物理的に破壊すること等も含まれる。削除の取消しや復元ツールで復元できる状態は、復元が困難な状態とはいえず、情報の抹消には該当しない。
(32) 職員
警察情報システム及び管理対象情報を取り扱う県警察の職員をいう。
(33) スタンドアロン端末
他の電子計算機と接続されていない端末をいう。
(34) ソーシャルメディアサービス
インターネット上において、ブログ、ソーシャルネットワーキングサービス、動画共有サイト等の、利用者が情報を発信し、形成していくものをいう。
(35) 通信回線装置
電気通信回線間又は電気通信回線と情報システムの接続のために設置され、回線上を送受信される情報の制御等を行うための装置をいう。通信回線装置には、いわゆるハブやスイッチ、ルータ等のほか、ファイアウォール等も含まれる。また、物理的なハードウェアを有する通信回線装置を「物理的な通信回線装置」という。
(36) データベース
サーバのうち、特にデータの管理に特化し、専用の装置とデータベースファイルを合わせたもので、要保護情報を保管するものをいう。
(37) テレワーク
情報通信技術(ICT:Information and Communication Technology)を活用した、場所や時間を有効に活用できる柔軟な働き方のうち、自宅で業務を行う在宅勤務及び主たる勤務公署以外に設けられた執務環境で業務を行うサテライトオフィス勤務のことをいう。
(38) 電子署名
電子署名及び認証業務に関する法律(平成12年法律第102号)第2条第1項に規定する電子署名をいう。
(39) 特定用途機器
テレビ会議システム、IP電話システム、ネットワークカメラシステム、監視カメラ等の特定の用途に使用される情報システム特有の構成要素となる機器であって、電気通信回線に接続する機能を備えている、又は電磁的記録媒体が内蔵されているものをいう。
(40) ドメインネームシステム(DNS)
クライアント等からの問合せを受けて、ドメイン名やホスト名とIPアドレスとの対応関係について回答を行う情報システムをいう。
(41) ドメイン名
国、組織、サービス等の単位で割り当てられたネットワーク上の名前であり、英数字及び一部の記号を用いて表したものをいう。
(42) 名前解決
ドメイン名やホスト名とIPアドレスを変換することをいう。
(43) ファイアウォール
警察情報システムに外部から侵入されるのを防ぐため、不正なアクセスを検出、遮断するシステムをいう。
(44) 複合機
プリンタ、ファクシミリ、イメージスキャナ、コピー機等の機能が一つにまとめられている機器をいう。
(45) モバイル勤務
情報通信技術を活用した、場所や時間を有効に活用できる柔軟な働き方のうち、モバイル端末等を活用して移動中や出先で業務を行うことをいう。
(46) モバイル端末
一の警察の庁舎内から移動して運用するものとして整備した端末(携帯電話機を除く。)をいう。
(47) 要安定情報
可用性2(高)に分類される管理対象情報をいう。
(48) 要機密情報
機密性3(高)又は2(中)に分類される管理対象情報をいう。
(49) 要保護情報
要機密情報、要保全情報又は要安定情報に一つでも該当する管理対象情報をいう。
(50) 要保全情報
完全性2(高)に分類される管理対象情報をいう。
(51) ルートヒントファイル
最初に名前解決を問い合わせるDNSコンテンツサーバの情報をいう。
(52) CSIRT(Computer Security Incident Response Team)
情報セキュリティインシデントに迅速かつ組織的に対処するための体制をいう。
(53) CYMAT(Cyber Incident Mobile Assistance Team)
サイバー攻撃等により政府機関等の情報システムに障害が発生した場合又はその発生のおそれがある場合であって、政府として一体となった対応が必要となる情報セキュリティに係る事象に対して機動的な支援を行うため、内閣官房内閣サイバーセキュリティセンターに設置される体制をいう。
(54) DNSサーバ
コンテンツサーバ、キャッシュサーバ等、名前解決のサービスを提供するソフトウェア及びそのソフトウェアを動作させるサーバをいう。
(55) DNSSECトラストアンカー
DNSSEC検証を行う際の、信頼の連鎖の起点情報をいう。
(56) IoT(Internet of Things)機器
従来インターネットに接続していなかったが、インターネットに接続する機能を備えるようになった機器をいう。
(57) RPA(Robotic Process Automation)
マウス操作やキーボード入力等の作業について、人間に代わって一定のルールに基づき自動的に処理を行う事務の自動化技術をいう。
第2 情報セキュリティ対策の基本的枠組み
1 組織及び体制の整備
(1) 情報セキュリティ管理者等の役割
情報セキュリティ管理者は、情報セキュリティに係る事務を統括するに当たっては、その事務に関係するシステムセキュリティ責任者及びシステムセキュリティ維持管理者の意見を聴き、十分検討した上で処理すること。
(2) 情報セキュリティ責任者の設置
県本部に情報セキュリティ責任者を置き、情報管理課長をもって充てる。
ア 情報セキュリティ責任者は、県警察における情報セキュリティに係る事務に関して情報セキュリティ管理者を補佐するものとする。
イ 情報セキュリティ責任者は、県警察における外部記録媒体制限・管理ソフトウェア及び外部記録媒体の総括的な運用管理に当たるものとする。
(3) 運用管理者の設置
ア 各所属に運用管理者を置き、それぞれ当該所属の長をもって充てる。
イ 運用管理者は、所属における警察情報システムの運用に関し、情報セキュリティの維持及び管理対象情報の適正な取扱いを確保するために必要な事務を処理するものとする。
(4) 運用管理補助者の設置
ア 各所属に運用管理補助者を置き、それぞれ当該所属の次席又は副署長等をもって充てる。
イ 運用管理補助者は、所属における情報セキュリティに係る事務に関して運用管理者を補佐するものとする。
(5) 運用責任者の設置
ア 各所属に運用責任者を置き、それぞれ当該所属の警部又は課長補佐の段階に属する職にある職員をもって充てる。ただし、次の(ア)から(ウ)までに掲げる場合に限り、警部補又は係長の段階に属する職にある職員をもって充てるものとする。
(ア) 分駐隊において、分駐隊長が警部補の階級にある場合
(イ) 署において、課長制のない係である場合
(ウ) 前2号に掲げるもののほか、情報セキュリティ管理者が必要であると認めた場合
イ 運用責任者は、運用管理者を補佐し、所属におけるモバイル端末、デジタル機器、外部記録媒体及び外部記録媒体を利用した管理対象情報の入出力などの管理に係る事務を行うものとする。
(6) システムセキュリティ責任者の設置
ア 警察情報システムの整備を担当する所属にシステムセキュリティ責任者を置き、それぞれ当該所属の長をもって充てる。
イ システムセキュリティ責任者は、整備する警察情報システムが必要な情報セキュリティ要件を備え、当該警察情報システムの情報セキュリティを維持するための事務を処理するものとする。
(7) システムセキュリティ維持管理者の設置
ア 警察情報システムを構成する電子計算機及びネットワーク機器の適切な維持管理のため、システムセキュリティ責任者が必要と認めた範囲の管理者権限を保有する所属に、システムセキュリティ維持管理者を置き、それぞれ当該所属の長をもって充てる。
イ システムセキュリティ維持管理者は、システムセキュリティ責任者の指示等を受け、担当する警察情報システムの維持管理のための事務を処理するものとする。
(8) 区域情報セキュリティ管理者の設置
ア 情報セキュリティ管理者は、それぞれの機関の庁舎の敷地を複数の区域に分割し、当該区域をクラス0から3に分類する。
イ クラス0の区域を除く各区域に区域情報セキュリティ管理者を置き、情報セキュリティ管理者が指名する者をもって充てる。
(9) 情報セキュリティインシデントに備えた体制の整備
ア 情報セキュリティインシデントに迅速かつ的確に対処するため、県本部に福島県警察CSIRT(以下「県警察CSIRT」という。)を置く。
イ 県警察CSIRTの長は、情報セキュリティ責任者をもって充てる。
ウ 県警察CSIRTの構成及び任務は、福島県警察CSIRT構成表(別表)のとおりとする。
エ 県警察CSIRTの運営に係る事項については、県警察CSIRTの長の検討結果を基に、情報セキュリティ管理者が関係所属の長と協議して定める。
(10) 兼務を禁止する役割
ア 職員は、情報セキュリティ対策の運用において、次の(ア)及び(イ)に掲げる役割を兼務しないこと。
(ア) 承認又は許可(以下「承認等」という。)の申請者と当該承認等を行う者(以下「承認権限者等」という。)
(イ) 監査を受ける者とその監査を実施する者
イ 職員は、承認等を申請する場合において、自らが承認権限者等であるときその他承認権限者等が承認等の可否の判断をすることが不適切と認められるときは、当該承認権限者等の上司又は適切な者に承認等を申請し、承認等を得ること。
(11) その他
区域情報セキュリティ管理者、運用管理者、システムセキュリティ責任者及びシステムセキュリティ維持管理者は、それぞれの事務のうち分庁舎又は郡山運転免許センター(以下「分庁舎等」という。)において処理されるものについて、情報セキュリティ管理者の許可を受けた場合には、当該分庁舎等の警視又は課長の段階に属する職の職員を指名した上で分掌させることができる。
2 運用
(1) 情報セキュリティ関係規程の運用
ア 情報セキュリティ対策の運用
情報セキュリティ管理者は、警察情報セキュリティポリシーに係る課題、問題点及び重大な違反の報告を受けた場合には、速やかに警察庁情報セキュリティ管理者(警察庁長官官房技術企画課長)に報告すること。
イ 違反への対処
(ア) 職員は、警察情報セキュリティポリシー又は第5の1(2)アで制定する運用要領等に違反する行為を認知したときは、システムセキュリティ維持管理者を通じて、速やかにシステムセキュリティ責任者に報告すること。
(イ) システムセキュリティ責任者は、警察情報セキュリティポリシー又は運用要領等への重大な違反を認知した場合には、違反者及び必要な者に情報セキュリティの維持に必要な措置を講じさせるとともに、情報セキュリティ管理者を経て警察庁情報セキュリティ管理者に報告すること。
(2) 例外措置
ア 例外措置手続
(ア) 職員は、警察情報セキュリティポリシーにおいて定められた情報セキュリティの維持に関する事項を遵守することが困難であり、かつ、合理的理由がある場合は、下記(イ)、イ、ウ及び情報セキュリティ管理者が別に定める手続により、当該事項の適用の除外(以下「例外措置」という。)を受けることができる。
なお、例外措置の適用に当たっては、当該事項の趣旨を踏まえ、できる限り代替措置を講ずるよう努めること。
(イ) 職員からの例外措置の適用申請について審査し、許可する者(以下「許可者」という。)は、情報セキュリティ管理者とする。
イ 例外措置の運用
(ア) 申請者は、情報セキュリティ管理者が別途定める例外措置適用申請書により、許可者に対して事前に申請を行うこと。ただし、緊急を要する場合は、システムセキュリティ維持管理者又は運用管理者の許可を受けることで例外措置の適用を受けたものとみなす。また、この場合において、許可者に対する申請は、例外措置の適用後、速やかに行うこと。
なお、例外措置の適用期間は、申請の対象となる警察情報システムの整備目的等を踏まえ許可者が特に認めた場合を除き、最長1年間とする。
(イ) 許可者は、申請内容を審査し、情報セキュリティ上の影響と対処方法を検討し、その検討結果を記録すること。
(ウ) 許可者は、上記(イ)の検討を基に許可の可否を決定し、例外措置適用申請書の「許可に関する事項」欄に必要事項を記入し、その写しを送付するなどして、審査の結果を申請者に通知すること。
(エ) 許可者は、例外措置適用申請書を適正に管理すること。
ウ その他
(ア) 職員は、大規模災害、重大テロ等の緊急事態であって、この文書に定める規定を遵守することが困難なときは、運用管理者等の指示により、これらの規定によらずに管理対象情報を処理することができる。
(イ) 情報セキュリティ管理者は、災害時等において、警察情報システムの復旧、通信手段の確保等のためにやむを得ないときは、警察情報セキュリティポリシーの規定にかかわらず、所要の措置を講ずること。
(ウ) システムセキュリティ責任者は、特定の警察情報システムについて、この文書に定めたセキュリティ要件を適用することが困難であると判断したときは、警察庁情報セキュリティ管理者と協議の上、当該警察情報システムのセキュリティ要件について、別段の定めを置くことができる。
(3) 教養
ア 教養体制の整備・教養実施計画の策定
(ア) 情報セキュリティ管理者は、年度当初に教養実施計画を策定すること。
(イ) 情報セキュリティ管理者は、情報セキュリティの状況の変化に応じ、教養すべき事項を修正する必要がある場合には、当該教養実施計画を見直すこと。
イ 教養の実施
(ア) 情報セキュリティ管理者は、職員に警察情報セキュリティポリシーを正しく理解させ、確実に遵守させるため、職員に対し、職務に応じた教養を毎年1回以上実施すること。
なお、採用、人事異動等により新たに職員になった者に対しては、原則、採用等から3か月以内に実施すること。
(イ) 職員は、教養実施計画に従って、適切な時期に教養を受講すること。
(ウ) 運用管理者は、職員に対して警察情報セキュリティポリシーに係る教養を適切に受講させること。また、システムセキュリティ責任者は、県警察CSIRTに属する職員に、役割に応じた教養を適切に受講させること。
(エ) 運用管理者は、職員に対する教養の実施状況について、情報セキュリティ管理者に報告すること。
(オ) システムセキュリティ維持管理者は、システム管理担当者及びネットワーク管理担当者に対して、規範意識等の醸成に資する教養を定期的に実施すること。
(4) 情報セキュリティインシデントへの対処
ア 情報セキュリティインシデントに備えた事前準備
(ア) 情報セキュリティインシデントの可能性がある事案のうち、警察庁CSIRTへの報告を要するもの(以下「要報告インシデント」という。)は、次のaからgまでに掲げるものとする。
a 情報流出等事案
管理対象情報の流出事案並びにデジタル機器、モバイル機器及び外部記録媒体の紛失事案
b 重大障害事案
警察情報管理システムにおいて発生した障害であって、30分以上にわたって警察業務に重大な影響を及ぼす事案
c 不正プログラム感染事案、不正アクセス事案及びサイバー攻撃事案
(a) 警察情報システムにおける不正プログラム感染事案
(b) 警察情報システムに対する不正アクセス事案
(c) 警察情報システムに対するサイバー攻撃事案(上記(a)及び(b)に掲げるものを除く。)
d 警察情報システムの不正使用事案
あらかじめ定められた目的以外の目的で当該警察情報システムを不正に使用した事案
e 個人所有の機器の不正使用事案
(a) 管理対象情報を個人所有の機器において不正に処理した事案
(b) 個人所有の機器を警察情報システムに不正に接続した事案
f 外部委託先等における情報流出事案
(a) 警察情報システムに係る外部委託先における事案
(b) 警察情報システムに係る外部委託について、契約に至らずとも契約を前提としてやり取りを行った事業者における事案
(c) 情報システムに係る外部委託先における事案
(d) その他の外部委託について、情報セキュリティインシデントに該当する又は該当する可能性のある事案
g 警察情報システム及び管理対象情報並びに県警察が設置又は運用する情報システム(警察情報システムに該当するものを除く。)に係る情報セキュリティを損なう事案であって、上記aからfまでに掲げるものを除き、報道されるなど社会的反響が大きいと予想されるもの
(イ) 情報セキュリティ管理者は、情報セキュリティインシデントに備え、業務の遂行のため特に重要と認めた警察情報システムについて、緊急連絡先、連絡手段及び連絡内容を含む緊急連絡網を整備すること。
(ウ) 情報セキュリティ管理者は、情報セキュリティインシデントへの対処の訓練の必要性を検討し、業務の遂行のため特に重要と認めた警察情報システムについて、その訓練の内容及び体制を整備すること。
(エ) 情報セキュリティ管理者は、対処手順が適切に機能することを訓練等により確認すること。
イ 情報セキュリティインシデント発見時の対処
(ア) 職員は、要報告インシデントを認知したときは、県警CSIRT及び関係する警察情報システムの維持管理を担当する所属に速やかに報告し、指示に従うこと。
(イ) 上記(ア)の報告を受けた県警CSIRT及び警察情報システムの維持管理を担当する所属は、情報セキュリティ管理者に報告するとともに、警察庁が定める様式により警察庁CSIRTに速やかに報告すること。この場合において、県警CSIRTにあっては、併せて東北管区警察局情報通信部情報技術解析課にも速やかに報告すること。
なお、上記ア(ア)fに定める事案について報告を受けた場合は、サイバー攻撃対策部門にも概要を連絡すること。
(ウ) 情報セキュリティインシデントに係る電磁的記録の解析及び当該インシデント全体像の分析のため、必要に応じて福島県情報通信部情報技術解析課に支援を要請すること。
(エ) 情報セキュリティ管理者及びシステムセキュリティ責任者は、情報セキュリティインシデントの可能性を認知した場合は、関係するシステムセキュリティ責任者、システムセキュリティ維持管理者及び運用管理者と緊密に連携し、あらかじめ定められた対処手順及び警察庁CSIRTの長からの指示又は助言に従って、適切に対処すること。
(オ) システムセキュリティ責任者は、要報告インシデントが警察における情報セキュリティの確保に重大な支障を及ぼし、又は及ぼすおそれがあるときは、関係所属にその概要を連絡すること。
(カ) 上記(オ)の場合において、社会的反響が大きいと予想されるときは、総務課広報室にその概要を連絡すること。さらに、大規模サイバー攻撃事態(大規模サイバー攻撃事態発生時の態勢について(平成27年5月15日付け達(公、生環、外)第214号)に定める国民生活や社会経済活動に影響を及ぼすおそれがある大規模サイバー攻撃事態をいう。)に該当するおそれがあるときは、併せてサイバー犯罪対策課、公安課及び外事課並びに福島県情報通信部情報技術解析課にその概要を連絡すること。
ウ 会計課における措置
上記ア(ア)fに定める事案について、事業者から報告等を受けた調達所属が、県本部会計課(以下「会計課」という。)に対し当該事案について連絡した場合、会計課は、当該調達所属に対し、当該事案について情報管理課への報告等を速やかに行うよう助言すること。また、会計課が事業者から直接報告等を受けた場合、会計課は、調達所属に情報共有するとともに、情報管理課へ報告すること。
エ 情報セキュリティインシデントの再発防止及び教訓の共有
情報セキュリティ管理者は、警察庁CSIRTの長から応急措置の実施及び復旧に係る指示又は助言を受けた場合は、当該指示又は助言を踏まえ、情報セキュリティインシデントの原因を調査するとともに、再発防止策を検討し、警察庁情報セキュリティ管理者に報告すること。
オ 情報セキュリティインシデント対処マニュアル等の策定
県警察が設置又は運用する情報システム及び当該情報システムで取り扱われる情報に係る情報セキュリティインシデントに迅速かつ組織的に対処するため、県警CSIRTにおいて、情報セキュリティインシデント対処マニュアル等を策定し、要報告インシデントについては、警察庁CSIRTと連携し適切に対処するよう努めること。
3 情報セキュリティ関係規程の見直し
情報セキュリティ管理者は、情報セキュリティの運用及び監査等の結果等を踏まえて警察情報セキュリティポリシーの規定について見直しを行う必要性の有無を適宜検討し、必要があると認めた場合にはその見直しを行うこと。
第3 管理対象情報の取扱い
管理対象情報の取扱いについては、文書管理規程、個人情報保護に関する規程等別に定める規程による適正な管理を行うほか、本項目に定めるところにより行うものとする。
1 管理対象情報の取扱い
(1) 管理対象情報の目的外での利用等の禁止
職員は、自らが担当している業務の遂行のために必要な範囲に限って、警察情報システム及び管理対象情報を取り扱うこと。
(2) 管理対象情報の分類及び取扱制限の決定・明示等
ア 職員は、管理対象情報を作成又は職員以外の者から入手したときは、当該情報の分類及び当該分類に応じた取扱制限を定めること。
なお、管理対象情報の作成又は複製に当たり既存の管理対象情報を参照等した場合には、原則、当該既存の管理対象情報の機密性に係る分類及び取扱制限を継承すること。
イ 職員は、管理対象情報を機密性1(低)情報に分類する場合には、当該情報が明らかに不開示情報に該当すると判断される蓋然性の高い情報を含まないものである場合を除き、運用責任者(閉庁時間帯にあっては、宿日直責任者又は当務責任者を含む。以下同じ。)以上の職位の者の承認を受けること。
ウ 職員は、部内においては、管理対象情報の機密性の分類及び取扱制限が明らかである場合を除き、管理対象情報の機密性の分類及び取扱制限を明示すること。
エ 職員は、職員以外の者に管理対象情報を提供する場合には、警察庁情報セキュリティ管理者が別に定めるものを除き、管理対象情報の機密性の分類及び取扱制限を明示すること。
オ 職員は、修正、追加、削除その他の理由により、管理対象情報の分類及び取扱制限を見直す必要がある場合には、管理対象情報の分類及び取扱制限の決定者等に確認し、その結果に基づき見直すこと。
(3) 管理対象情報の利用及び保存
ア 職員は、次の(ア)から(オ)までに掲げる事項に留意して、管理対象情報を適切に取り扱うこと。
(ア) 管理対象情報を不正に作成又は入手しないこと。
(イ) 管理対象情報を不正に利用又は毀損しないこと。
(ウ) 要保護情報を放置しないこと。
(エ) 要機密情報を必要以上に配布しないこと。
(オ) 要機密情報を必要以上に複製しないこと。
イ 職員(運用管理者以上の職位の者を除く。)は、警察庁舎外において機密性3(高)情報を利用する場合は、下記(5)イ(イ)に定める手続により運用管理者の許可を得ること。
ウ 職員は、情報セキュリティ管理者が別に定める場合を除き、警察庁舎外に設置されている機器に要機密情報を保存しないこと。
エ 職員は、保存する管理対象情報にアクセス制限を設定するなど、管理対象情報の分類及び取扱制限に従って管理対象情報を適切に管理すること。
オ 職員は、外部記録媒体を用いて管理対象情報を取り扱う場合には、第8の1(2)ウの規定に従うこと。
カ 職員は、外部との電子メールの送受信等、要機密情報の取扱いが認められるものとして整備された警察情報システムを除き、外部回線に接続する警察情報システムにおいて、要機密情報を取り扱わないこと。
キ 職員は、警察が維持管理を行っていない機器に、機密性3(高)情報を保存しないこと。
(4) 管理対象情報の提供及び公表
ア 職員は、管理対象情報を公表する場合には、当該情報が機密性1(低)情報に分類されることを確認すること。
イ 職員は、要機密情報について、閲覧可能な範囲外の者への提供を行う場合には、下記(5)イに定める手続により提供すること。また、提供先において、当該情報に付された分類及び取扱制限に応じて適切に取り扱われるよう、取扱上の留意事項を確実に伝達するなどの措置を講ずること。
ウ 職員は、管理対象情報を職員以外の者に電磁的記録で提供する場合には、ファイルの属性情報等からの情報漏えいを防止すること。
(5) 管理対象情報の運搬及び送信
ア 職員は、要機密情報を運搬・送信する場合には、情報漏えいを防止するため、必要に応じて次の(ア)及び(イ)の措置を講ずること。
(ア) 運搬・送信する要機密情報は、暗号化する。暗号化が困難である場合は、主体認証を設定する。
(イ) 主体認証機能や暗号化機能等を備えるセキュアな外部記録媒体を利用する。
イ 職員は、要保護情報が記録又は記載された記録媒体の警察庁舎外への運搬を第三者へ依頼する場合には、情報セキュリティを損なうことのないよう留意して運搬方法を決定し、管理対象情報の分類及び取扱制限に応じて、適切な措置を講ずること。
ウ 職員(運用管理者以上の職位の者を除く。)は、要機密情報について、警察庁舎外への持ち出しを行う場合には、上記(2)オに基づき当該情報の分類及び取扱制限の見直しを行った上で、次の(ア)及び(イ)の事項を遵守すること。
(ア) 機密性2(中)情報を警察庁舎外に持ち出す場合には、運用責任者に報告すること。
(イ) 機密性3(高)情報を警察庁舎外に持ち出す場合には、運用管理者の許可を得ること。
エ 職員は、機密性2(中)情報、要保全情報又は要安定情報を外部回線を用いて送信する場合には、情報セキュリティを損なうことのないよう留意して送信の手段を決定し、管理対象情報の分類及び取扱制限に応じて、適切な措置を講ずること。
オ 職員は、機密性3(高)情報を外部回線を用いて送信しないこと。
(6) 管理対象情報の消去
ア 職員は、電磁的記録媒体に保存された管理対象情報が職務上不要となった場合には、速やかに当該管理対象情報を消去すること。
イ 職員は、電磁的記録媒体を廃棄する場合には、当該記録媒体内に管理対象情報が残存した状態とならないよう、全ての管理対象情報を復元できないように抹消すること。
なお、端末やサーバ等をリース契約で調達する場合の、契約終了に伴う返却時の情報の抹消方法及び履行状況の確認手段については、必要な対策を講ずること。
ウ 職員は、要機密情報が記載された書面を廃棄する場合には、復元が困難な状態にすること。
(7) 管理対象情報のバックアップ
ア 職員は、要保全情報又は要安定情報を持ち出すときは、運用管理者の許可を得るとともに、必要に応じてバックアップを取得すること。
イ 職員は、上記アにより取得した管理対象情報のバックアップについて、分類及び取扱制限に従って適切に管理すること。
2 管理対象情報を取り扱う区域の管理
(1) 区域における対策の基準
各区域の特性に応じた対策の基準は、情報セキュリティ管理者が別に定める。
(2) 区域ごとの対策の決定
ア 情報セキュリティ管理者は、上記(1)に定める対策の基準を踏まえ、施設及び執務環境に係る対策を行う単位ごとの区域を定めること。
イ 区域情報セキュリティ管理者は、上記(1)に定める対策の基準を踏まえ、当該区域における情報セキュリティの確保のための管理対策を講ずること。
(3) 区域における対策の実施
ア 区域情報セキュリティ管理者は、管理する区域に対して定めた対策を実施すること。また、職員が講ずべき対策については、職員が認識できる措置を講ずること。
イ 区域情報セキュリティ管理者は、自然災害の発生等を原因とする情報セキュリティの侵害に対して、施設及び環境面から対策を講ずること。
ウ 職員は、利用する区域について区域情報セキュリティ管理者が定めた対策に従って利用すること。また、職員以外の者を立ち入らせるときには、当該職員以外の者にも当該区域で定められた対策に従って利用させること。
第4 外部委託
1 業務委託
(1) 業務委託に係る運用規定
情報セキュリティ管理者は、業務委託に際し、次のア及びイの運用規定を定めること。
ア 委託先への提供を認める情報及び委託する業務の範囲を判断する委託判断基準(以下「委託判断基準」という。)
イ 委託先の選定基準
(2) 業務委託の各段階における対策
ア 業務委託実施前の対策
システムセキュリティ責任者又は運用管理者は、業務委託の実施までに、次の(ア)から(オ)までに掲げる事項を実施すること。
(ア) 委託判断基準に基づく委託する業務内容の特定
(イ) 委託先の選定条件を含む仕様の策定
(ウ) 仕様に基づく委託先の選定
(エ) 契約の締結
(オ) 委託先に要機密情報を提供する場合は、秘密保持契約(NDA)の締結
イ 業務委託実施期間中の対策
システムセキュリティ責任者又は運用管理者は、業務委託の実施期間において、次の(ア)から(ウ)までに掲げる事項を含む対策を実施すること。
(ア) 委託先に要保護情報を提供する場合は、提供する管理対象情報を必要最小限とし、あらかじめ定められた安全な受渡し方法により提供するとともに、委託先に管理対象情報の適正な取扱いを求めること。
(イ) 契約に基づき委託先に実施させる情報セキュリティ対策の履行状況を定期的に確認すること。
(ウ) 委託した業務において、情報セキュリティインシデント、管理対象情報の目的外利用等を認知した場合又はその旨の報告を受けた場合は、委託業務を一時中断するなどの必要な措置を講じた上で、委託先に契約に基づく対処を講じさせること。
ウ 業務委託終了時の対策
システムセキュリティ責任者又は運用管理者は、業務委託の終了に際し、次の(ア)及び(イ)に掲げる事項を含む対策を実施すること。
(ア) 業務委託の実施期間を通じて情報セキュリティ対策が適切に実施されたことの確認を含む検収を実施すること。
(イ) 委託先において取り扱われた管理対象情報が確実に返却又は抹消されたことを確認すること。
(3) 警察情報システムに関する業務委託
ア 警察情報システムに関する業務委託における共通的対策
システムセキュリティ責任者は、警察情報システムに関する業務委託の実施までに、委託先の選定条件に意図しない変更が加えられないための対策に係る選定条件を加え、仕様を策定すること。
イ 警察情報システムの構築を業務委託する場合の対策
システムセキュリティ責任者は、次の(ア)から(イ)までに掲げる事項を含む対策を仕様書に記載し、契約に基づき委託先に適切に実施させること。
(ア) 警察情報システムのセキュリティ要件の適切な実装
(イ) 警察情報セキュリティの観点に基づく試験の実施
(ウ) 警察情報システムの開発環境及び開発工程における情報セキュリティ対策
ウ 警察情報システムの運用・保守を業務委託する場合の対策
(ア) システムセキュリティ責任者は、警察情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、仕様書に記載し、契約に基づき委託先に適切に実施させること。
(イ) システムセキュリティ責任者は、当該警察情報システムに対して委託先が実施する情報セキュリティ対策による当該警察情報システムの変更内容について、速やかに報告させること。
エ 警察向けに情報システムの一部の機能を提供するサービスを利用する場合の対策
(ア) システムセキュリティ責任者又は運用管理者は、一般の者が警察向けに要機密情報を取り扱う情報システムの一部の機能を提供するサービス(クラウドサービスを除く。)(以下「業務委託サービス」という。)を利用するため、警察情報システムに関する業務委託を実施する場合は、委託先の選定条件に業務委託サービスに特有の選定条件を加えること。
(イ) システムセキュリティ責任者又は運用管理者は、業務委託サービスに係るセキュリティ要件を定め、業務委託サービスを選定すること。
(ウ) システムセキュリティ責任者又は運用管理者は、委託先の信頼性が十分であることを総合的・客観的に評価し判断すること。
(エ) システムセキュリティ責任者又は運用管理者は、業務委託サービスを利用する場合は、情報セキュリティ管理者と調整の上、当該サービスの利用申請を行うこと。
(オ) 情報セキュリティ管理者は、業務委託サービスの利用申請を受けた場合は、当該利用申請を審査し、利用の可否を決定すること。
(カ) 情報セキュリティ管理者は、業務委託サービスの利用申請を承認した場合は、承認済み業務委託サービスとして記録し、業務委託サービス管理者を指名すること。
2 クラウドサービスの利用
(1) 要機密情報を取り扱う場合
ア クラウドサービスの利用に係る運用規定の遵守
クラウドサービスを利用する場合は、情報セキュリティ管理者が定める、次の(ア)から(エ)までの運用規定を遵守すること。
(ア) クラウドサービス利用判断基準
(イ) クラウドサービスの選定基準
(ウ) クラウドサービスの利用申請の利用手続
(エ) クラウドサービス管理者の指名とクラウドサービスの利用状況の管理
イ クラウドサービスの選定
システムセキュリティ責任者又は運用管理者は、クラウドサービスを利用する場合は、次の(ア)から(ウ)までに掲げる事項に従ってクラウドサービスを選定すること。
(ア) 取り扱う管理対象情報の分類及び取扱制限を踏まえ、クラウドサービス利用判断基準に従って業務に係る影響度等を検討した上でクラウドサービスの利用を検討すること。
(イ) クラウドサービスで取り扱う管理対象情報の分類及び取扱制限並びにクラウドサービス提供者との情報セキュリティに関する役割及び責任の範囲を踏まえ、次のaからcまでに掲げるセキュリティ要件を定め、クラウドサービス提供者を選定すること。
a クラウドサービスに求める情報セキュリティ対策
b クラウドサービスで取り扱う情報が保存される国・地域及び廃棄の方法
c クラウドサービスに求めるサービスレベル
(ウ) クラウドサービスの選定基準に従い、前項で定めたセキュリティ要件を踏まえて、原則としてISMAP(Information system Security Management and Assessment Program)クラウドサービスリスト又はISMAP-LIU(ISMAP for Low-Impact Use)クラウドサービスリスト(以下「ISMAP等クラウドサービスリスト」という。)からクラウドサービスを選定すること。
ウ クラウドサービスの利用に係る調達
システムセキュリティ責任者又は運用管理者は、クラウドサービスを利用する場合は、次の(ア)及び(イ)に掲げる事項に従って、クラウドサービスを調達すること。
(ア) クラウドサービス提供者の選定基準及び選定条件並びにクラウドサービスの選定時に定めたセキュリティ要件を仕様に含めること。
(イ) クラウドサービス提供者及びクラウドサービスが仕様を満たすこと及び情報セキュリティに関する役割及び責任の範囲が明確になっていることを契約までに確認し、仕様の内容を契約に含めること。
エ クラウドサービスの利用承認
(ア) システムセキュリティ責任者又は運用管理者は、クラウドサービスを利用する場合には、利用申請の承認権限者にクラウドサービスの利用申請を行うこと。
(イ) 利用申請の承認権限者は、職員によるクラウドサービスの利用申請を審査し、利用の可否を決定すること。
(ウ) 承認権限者は、当該申請に係る利用を承認した場合は、クラウドサービス管理者を指名し、承認したクラウドサービスを記録すること。
(エ) クラウドサービスの利用申請の承認権限者は原則、警察庁情報セキュリティ管理者とする。ただし、警察庁情報セキュリティ管理者が別途定める場合はこの限りでない。
オ クラウドサービスの利用
(ア) クラウドサービスの利用に係る運用規定の整備
a 情報セキュリティ管理者は、クラウドサービスの特性や責任分界点に係る考え方等を踏まえた、クラウドサービスを利用して警察情報システムを導入・構築する際の情報セキュリティ対策の基本方針を整備すること。
b 情報セキュリティ管理者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえた、クラウドサービスを利用して警察情報システムを運用・保守する際の情報セキュリティ対策の基本方針を整備すること。
c 情報セキュリティ管理者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえた、次の(a)から(c)までの事項を含むクラウドサービスの利用を終了する際の情報セキュリティ対策の基本方針を整備すること。
(a) クラウドサービスの利用終了時における対策
(b) クラウドサービスで取り扱った情報の廃棄
(c) クラウドサービスの利用のために作成したアカウントの廃棄
(イ) クラウドサービスの利用に係るセキュリティ要件の策定
a クラウドサービス管理者は、クラウドサービスを利用する目的、対象とする業務等の業務要件及びクラウドサービスで取り扱われる管理対象情報の分類等に基づき、上記(ア)の各項で整備した基本方針に従い、クラウドサービスの利用に係る内容を確認すること。
b クラウドサービス管理者は、クラウドサービスを利用する目的、対象とする業務等の業務要件及びクラウドサービスで取り扱われる管理対象情報の分類等に基づき、上記(ア)の各項で整備した基本方針に従い、クラウドサービスの利用に係るセキュリティ要件を策定すること。
(ウ) クラウドサービスを利用した警察情報システムの導入・構築時の対策
a クラウドサービス管理者は、上記(イ)bに基づき定めるセキュリティ要件に従いクラウドサービス利用における必要な措置を講ずること。また、実施状況を確認・記録すること。
b クラウドサービス管理者は、警察情報システムにおいてクラウドサービスを利用する際には、情報システム台帳及び情報システム関連文書に記録又は記載すること。
c クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策を実施するために必要となる文書として、クラウドサービスの運用開始前までに次の(a)から(c)までの事項の実施手順を整備すること。
(a) クラウドサービスで利用するサービスごとの情報セキュリティ水準の維持に関する手順
(b) クラウドサービスを利用した警察情報システムの運用・監視中における情報セキュリティインシデントを認知した際の対処手順
(c) 利用するクラウドサービスが停止又は利用できなくなった際の復旧手順
(エ) クラウドサービスを利用した警察情報システムの運用・保守時の対策
a クラウドサービス管理者は、上記(ア)に基づき定める基本方針を踏まえて、クラウドサービスに係る運用・保守を適切に実施すること。また、実施状況を定期的に確認・記録すること。
b クラウドサービス管理者は、情報セキュリティ対策を実施するために必要となる項目等で修正、変更等が発生した場合は、情報システム台帳及び情報システム関連文書を更新又は修正すること。
c クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適宜検討し、必要な措置を講ずること。
(オ) クラウドサービスを利用した警察情報システムの更改・廃棄時の対策
a クラウドサービス管理者は、上記(ア)cで定めた基本方針を踏まえて、クラウドサービスを利用した情報システムの更改・廃棄に際し、必要な対策を講ずること。
b クラウドサービス管理者は、上記aに定める事項について、実施状況を確認・記録すること。
(2) 要機密情報を取り扱わない場合
ア クラウドサービスの選定・利用
警察庁情報セキュリティ管理者は、次の(ア)から(ウ)までの事項を含むクラウドサービス(要機密情報を取り扱わない場合)の利用に関する運用規定を整備すること。
(ア) クラウドサービスを利用可能な業務の範囲
(イ) クラウドサービスの利用申請の利用手続
(ウ) クラウドサービス管理者の指名とクラウドサービスの利用状況の管理
イ クラウドサービスの利用承認
(ア) システムセキュリティ責任者又は運用管理者は、要機密情報を取り扱わないことを前提としたクラウドサービスを利用する場合、利用するクラウドサービスの定型約款その他の提供条件等から、利用に当たってのリスクが許容できることを確認した上で、利用申請の承認権限者に要機密情報を取り扱わない場合のクラウドサービスの利用申請を行うこと。
(イ) 利用申請の承認権限者は、上記(ア)においてクラウドサービスの利用申請者が確認した結果を踏まえて、クラウドサービスの利用申請を審査し、利用の可否を決定すること。
(ウ) 利用申請の承認権限者は、要機密情報を取り扱わないクラウドサービスの利用申請を承認した場合は、クラウドサービス管理者を指名し、承認したクラウドサービスを記録すること。
(エ) クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策を実施するために必要となる文書として、クラウドサービスの利用の運用要領等を整備すること。
(オ) クラウドサービス管理者は、要機密情報を取り扱わないクラウドサービスを安全に利用するための適切な措置を講ずること。
(カ) クラウドサービスの利用申請の承認権限者は、上記(1)エ(エ)を準用する。
3 機器等の調達
(1) 機器等の調達に係る機器等の選定基準の整備
情報セキュリティ管理者は、機器等の選定基準を定めること。必要に応じて、選定基準の一つとして、機器等の開発等のライフサイクルで不正な変更が加えられない管理がなされ、その管理を確認できることを加えること。
(2) 機器等の納入時の確認・検査手続の整備
情報セキュリティ管理者は、情報セキュリティ対策の視点を加味して、機器等の納入時の確認・検査手続を整備すること。
第5 警察情報システムのライフサイクル
1 警察情報システムに係る文書等の整備
(1) 情報システム台帳の整備
ア 情報セキュリティ管理者は、自組織が整備した全ての情報システムに対して、情報システム台帳を整備すること。
イ 情報セキュリティ管理者は、警察情報システムを構築、更改又は変更する際には、情報システム台帳に記録又は記載し、当該内容について警察庁情報セキュリティ管理者に報告すること。
(2) 情報システム関連文書の整備
ア システムセキュリティ責任者は、所管する警察情報システムごとに、当該警察情報システムを利用する業務を主管する所属の長と連携の上、情報セキュリティ管理者と協議し、当該警察情報システムの運用要領等を制定すること。
イ 職員は、上記アに定める運用要領等について、警察情報セキュリティポリシーに定める管理体制と同等以上の水準であることについて警察庁情報セキュリティ管理者の確認を受けた場合には、当該運用要領等に従うものとする。
ウ システムセキュリティ責任者は、所管する警察情報システムの情報セキュリティ対策を実施するために、次の(ア)から(オ)までの事項を含む文書を整備すること。
(ア) 当該警察情報システムを構成するサーバ等及び端末関連情報
(イ) 当該警察情報システムを構成する電気通信回線及び通信回線装置関連情報
(ウ) 当該警察情報システムにおける構成要素ごとの情報セキュリティ水準の維持に関する手順
(エ) 情報セキュリティインシデントを認知した際の対処手順
(オ) 当該警察情報システムが停止した際の復旧手順
2 警察情報システムのライフサイクルの各段階における対策
(1) 警察情報システムの企画及び要件定義
ア 実施体制の確保
(ア) システムセキュリティ責任者は、所管する警察情報システムのライフサイクル全般にわたって情報セキュリティの維持が可能な体制の確保に努めること。
(イ) システムセキュリティ責任者は、基盤となる情報システムを利用して警察情報システムを構築する場合は、基盤となる情報システムに係る運用管理規程等で求められる事務を処理すること。
イ 警察情報システムのセキュリティ要件の策定
(ア) システムセキュリティ責任者は、警察情報システムを構築する目的、対象とする業務等の業務要件及び当該警察情報システムで取り扱われる情報の分類等を勘案し、警察情報システムの分類基準に応じた具体的な対策事項を踏まえて、次のaからeまでの事項を含む警察情報システムのセキュリティ要件を策定すること。
a 警察情報システムに組み込む主体認証、アクセス制御、権限管理、ログ管理、暗号化機能等のセキュリティ機能要件
b 警察情報システム運用時の監視等の運用管理機能要件(監視するデータが暗号化されている場合は、必要に応じて復号すること。)
c 警察情報システムに関連するぜい弱性及び不正プログラムについての対策要件
d 警察情報システムの可用性に関する対策要件
e 警察情報システムのネットワーク構成に関する要件
(イ) システムセキュリティ責任者は、インターネット回線と接続する警察情報システムを構築する場合は、接続するインターネット回線を定めた上で、標的型攻撃をはじめとするインターネットからの様々なサイバー攻撃による情報の漏えい、改ざん等のリスクを低減するための多重防御のためのセキュリティ要件を策定すること。
(ウ) システムセキュリティ責任者は、IT製品の調達におけるセキュリティ要件リスト(平成30年2月28日経済産業省。以下「セキュリティ要件リスト」という。)を参照し、利用環境における脅威を分析した上で、当該機器等に存在する情報セキュリティ上の脅威に対抗するための情報セキュリティ要件を策定すること。
(エ) システムセキュリティ責任者は、基盤となる情報システムを利用して警察情報システムを構築する場合は、基盤となる情報システム全体の情報セキュリティ水準を低下させることのないように、基盤となる情報システムの情報セキュリティ対策に関する運用管理規程等に基づいたセキュリティ要件を適切に策定すること。
(オ) システムセキュリティ責任者は、構築する警察情報システムのうち、取り扱う情報や業務の内容等を踏まえ高度な情報セキュリティ対策を要するものについては、上位の情報セキュリティ対策を規定することの必要性の判断について、警察庁長官官房技術企画課情報セキュリティ対策室長等に助言を求めた上でセキュリティ要件を策定すること。
ウ その他
(ア) システムセキュリティ責任者は、警察情報システムについてプログラム開発を行うときは、情報セキュリティを維持できるよう必要な対策を講ずること。
(イ) システムセキュリティ責任者は、整備する警察情報システムの情報セキュリティ要件について、あらかじめ情報セキュリティ管理者の確認を受けること。
(2) 警察情報システムの調達・構築時の対策
ア システムセキュリティ責任者は、警察情報システムの構築において、情報セキュリティの観点から必要な措置を講ずること。
イ システムセキュリティ責任者は、警察情報システムを新規に構築し、又は更改する際には、警察情報システムの分類基準に基づいて警察情報システムの分類を行い、情報システム台帳を作成又は更新すること。
ウ 情報セキュリティ管理者は、情報セキュリティインシデント発生時の業務影響度や脅威動向等を踏まえて、上位又は下位の警察情報システムの分類の適用が望ましい場合には、システムセキュリティ責任者に修正の指示を行うこと。
エ 情報セキュリティ管理者は、警察情報システムの分類基準等について、次の(ア)及び(イ)に掲げる措置を講ずること。
(ア) 警察情報システムの分類基準と当該分類基準に応じた情報セキュリティ対策の具体的な対策事項について定期的な確認による見直しを行うこと。
(イ) 全ての警察情報システムが分類基準に基づいて適切に分類が行われていることを定期的に確認すること。
オ システムセキュリティ責任者は、構築した警察情報システムを運用保守段階に移行するに当たり、移行手順及び移行環境に関して、情報セキュリティの観点から必要な措置を講ずること。
カ システムセキュリティ責任者は、機器等の納入時又は警察情報システムの受入れ時の確認・検査において、仕様書等に定められた検査手続に従い、情報セキュリティ対策に係る要件が満たされていることを確認すること。
キ システムセキュリティ責任者は、警察情報システムの開発事業者から運用業者又は保守業者に引き継がれる項目に、情報セキュリティ対策に必要な内容が含まれていることを確認すること。
(3) 警察情報システムの運用及び保守
ア システムセキュリティ責任者は、所管する警察情報システムの運用及び保守において、当該警察情報システムに実装された監視を含むセキュリティ機能を適切に運用すること。
イ システムセキュリティ責任者は、基盤となる情報システムを利用して構築された警察情報システムを運用する場合は、基盤となる情報システムを整備し運用管理する組織との責任分界点に応じた運用管理体制の下、基盤となる情報システムの運用管理規程等に従い、基盤全体の情報セキュリティ水準を低下させることのないよう、適切に警察情報システムを運用すること。
ウ システムセキュリティ責任者は、不正な行為及び意図しない警察情報システムへのアクセス等の事象が発生した際に追跡できるように、運用・保守に係る作業についての記録を管理し、運用・保守によって機器の構成や設定情報等に変更があった場合は、情報セキュリティ対策が適切であるか確認し、必要に応じて見直すこと。
エ システムセキュリティ責任者は、警察情報システムの運用・保守において、情報システム台帳及び情報システム関連文書の内容に変更が生じた場合、情報システム台帳及び情報システム関連文書を更新又は修正すること。
オ システムセキュリティ責任者は、所管する警察情報システムの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適宜検討し、速やかに必要な対応を行うこと。
カ システムセキュリティ維持管理者は、情報システムの構成や情報の処理手順を変更するなどの維持管理作業に必要なドキュメント及び記録簿を整備し、その内容を常に最新のものとしておくこと。
キ システムセキュリティ維持管理者は、不正プログラム感染や不正アクセス等の外的要因によるリスク及び職員等の不適切な利用や過失等の内的要因によるリスクを考慮して、担当する警察情報システムの維持管理を行うこと。
(4) 警察情報システムの更改又は廃棄時の対策
システムセキュリティ責任者は、警察情報システムの更改又は廃棄を行う場合には、当該警察情報システムに保存されている管理対象情報について、当該情報の分類及び取扱制限を考慮した上で、次のア及びイに掲げる措置を適切に講ずること。
ア 警察情報システム移行時の管理対象情報の移行作業における情報セキュリティ対策
イ 警察情報システム廃棄時の不要な管理対象情報の抹消
(5) 警察情報システムについての対策の見直し
ア システムセキュリティ責任者は、所管する警察情報システムの情報セキュリティ対策についてぜい弱性検査等により見直しを行う必要性の有無を適宜検討し、必要があると認めた場合にはその見直しを行い、必要な措置を講ずること。
イ システムセキュリティ責任者は、情報セキュリティ管理者から示された横断的に改善が必要な事項について、情報セキュリティ対策を適切に見直すこと。また、措置の結果については、情報セキュリティ管理者に報告すること。
ウ システムセキュリティ責任者は、この文書が施行された時点で整備済みの警察情報システムであって、この文書に定められた事項を満たしていないものに限り、当該事項について、適用を猶予することができる。このとき、システムセキュリティ責任者は可能な限り早期に要件を満たすことができるよう努めるとともに、情報セキュリティを確保するための代替手段を講ずること。
3 警察情報システムの業務継続計画の整備・整合的運用の確保
(1) 情報セキュリティ管理者は、非常時優先業務を支える警察情報システムの業務継続計画を整備するに当たり、地震、津波、火災、高出力電磁波、感染症、情報セキュリティインシデント等(以下「危機的事象」という。)発生時における情報セキュリティに係る対策事項を検討すること。
(2) システムセキュリティ責任者は、所管する警察情報システムについて、危機的事象発生時においても継続して運用できるよう十分検討し、必要に応じて業務継続計画を策定すること。また、当該業務継続計画は、可能な限り警察情報セキュリティポリシーとの整合を図ること。
(3) 情報セキュリティ管理者は、警察情報システムの業務継続計画の教養訓練や維持改善を行う際等に、危機的事象発生時における情報セキュリティに係る対策事項及び実施手順が運用可能であるかを定期的に確認すること。
第6 警察情報システムの構成要素
1 端末・サーバ等
(1) 端末
ア 端末の導入時の対策
(ア) システムセキュリティ責任者は、要保護情報を取り扱う端末について、端末の盗難、不正な持ち出し、第三者による不正操作、表示用デバイスの盗み見等の物理的な脅威から保護するための対策を講ずること。
(イ) システムセキュリティ責任者は、多様なソフトウェアを利用することによりぜい弱性が存在する可能性が増大することを防止するため、端末で利用を認めるソフトウェアを定め、それ以外のソフトウェアは利用させない技術的な措置を講ずること。
(ウ) システムセキュリティ責任者は、端末への接続を認める機器等を定め、接続を認めた機器等以外は接続させないこと。
(エ) システムセキュリティ責任者は、警察情報システムのセキュリティ要件として策定した内容に従い、端末に対して適切なセキュリティ対策を実施すること。
(オ) システムセキュリティ責任者は、端末において利用するソフトウェアに関連する公開されたぜい弱性について対策を実施すること。
イ 端末の運用時の対策
(ア) システムセキュリティ責任者は、端末で利用を認めるソフトウェア及び利用を禁止するソフトウェアについて定期的に見直しを行うこと。
(イ) システムセキュリティ責任者は、端末の情報セキュリティ対策についてぜい弱性検査等により見直しを行う必要性の有無を適宜検討し、必要があると認めた場合にはその見直しを行い、必要な措置を講ずること。
(ウ) システムセキュリティ維持管理者は、各種ソフトウェアの利用しない機能を無効化すること。
(エ) システムセキュリティ維持管理者は、定期的に端末のぜい弱性情報に係る対策、端末に導入したソフトウェアのバージョンアップ等の状況を記録し、これを確認及び分析すること。
ウ 端末の運用終了時の対策
システムセキュリティ責任者は、警察情報システムの更改又は廃棄を行う場合には、当該警察情報システムの端末が運用終了後に再利用された時又は廃棄された後に、運用中に保存していた管理対象情報が漏えいすることを防止するため、当該管理対象情報について、当該情報の分類及び取扱制限を考慮した上で、第5の2(4)に掲げる措置を適切に講ずること。
エ モバイル端末及び公用携帯電話機の導入及び利用時の対策
(ア) システムセキュリティ責任者は、モバイル端末について、盗難、紛失、不正プログラムの感染等により情報窃取されることを防止するための対策を講ずること。
(イ) システムセキュリティ責任者は、公用携帯電話機について、盗難、紛失、不正プログラムの感染等により情報窃取されることを防止するための対策を講ずること。
(ウ) システムセキュリティ責任者は、モバイル端末及び公用携帯電話機の導入及び利用時の対策について、第8に定める対策を講ずることのできるよう情報セキュリティ要件を検討すること。
(2) サーバ等
ア サーバ等の導入時の対策
(ア) サーバ等の導入時の対策については、上記(1)アの各号の対策を準用する。
(イ) システムセキュリティ責任者は、障害や過度のアクセス等によりサービスが提供できない事態となることを防ぐため、要安定情報を取り扱う警察情報システムについては、サービス提供に必要なサーバ等を2系統で構成する冗長化等により可用性を確保すること。
(ウ) システムセキュリティ責任者は、遠隔地からサーバ等に対して行われる保守又は診断の際に送受信される情報が漏えいすることを防止するための対策を講ずること。
イ サーバ等の運用時の対策
(ア) サーバ等の運用時の対策については、上記(1)イの各号の対策を準用する。
(イ) システムセキュリティ責任者は、サーバ等に係る情報セキュリティインシデントの発生を監視するため、当該サーバ等を監視するための措置を講ずること。
(ウ) システムセキュリティ責任者は、要安定情報を取り扱うサーバ等について、危機的事象発生時に適切な対処が行えるよう運用をすること。
ウ サーバ等の運用終了時の対策
サーバ等の運用終了時の対策については、上記(1)ウの対策を準用する。
(3) 複合機及び特定用途機器
ア 複合機
(ア) システムセキュリティ責任者は、複合機が備える機能、設置環境及び取り扱う管理対象情報の分類に応じ、適切な情報セキュリティ要件を満たすこと。
(イ) システムセキュリティ責任者は、複合機が備える機能について適切な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講ずること。
(ウ) システムセキュリティ責任者は、複合機の運用を終了する際には、複合機の電磁的記録媒体の全ての管理対象情報を抹消すること。ただし、情報セキュリティ管理者が別に定める場合にあっては、この限りでない。
イ IoT機器を含む特定用途機器
システムセキュリティ責任者は、特定用途機器について、取り扱う管理対象情報、利用方法、電気通信回線への接続形態等により脅威が存在する場合には、当該機器の特性に応じた対策を講ずること。
2 電子メール・ウェブ等
(1) 電子メール
システムセキュリティ責任者は、インターネットに接続された警察情報システムへの電子メールの導入時に次のアからエまでに掲げる対策を講ずること。
ア 電子メールサーバが電子メールの不正な中継を行わないように設定すること。
イ 電子メールの送受信時に主体認証を行う機能を設けること。ただし、シングルサインオン機能を利用することを妨げない。
ウ 電子メールのなりすましの防止策を講ずること。
エ 電子メールのサーバ間通信の暗号化の対策を講ずること。
(2) ウェブ
システムセキュリティ責任者及びシステムセキュリティ維持管理者は、インターネットに接続された警察情報システムへのウェブサーバ等の導入時等に次のアからキまでに掲げる対策を講ずること。
ア ウェブサーバが備える機能のうち、不要な機能を停止又は制限すること。
イ ウェブサーバからの不用意な情報漏えいを防止するための措置を講ずること。
ウ ウェブコンテンツの編集作業を担当する主体を限定すること。
エ 公開してはならない又は無意味なウェブコンテンツが公開されないように管理すること。
オ ウェブコンテンツの編集作業に用いる端末を限定し、識別コード及び主体認証情報を適切に管理すること。
カ インターネットを介して転送される管理対象情報の盗聴及び改ざんを防止するため、当該管理対象情報に対する暗号化及び電子証明書による認証を行うこと。
キ ウェブサーバに保存する管理対象情報を特定し、サービスの提供に必要のない管理対象情報がウェブサーバに保存されないことを確認すること。
(3) ドメインネームシステム(DNS)
システムセキュリティ責任者及びシステムセキュリティ維持管理者は、インターネットに接続された警察情報システムへのドメインネームシステム(DNS)の導入時等に次のア及びイに掲げる対策を講ずること。
ア DNSの導入時の対策
(ア) 要安定情報を取り扱う情報システムの名前解決を提供するコンテンツサーバにおいて、名前解決を停止させないための措置を講ずること。
(イ) キャッシュサーバにおいて、名前解決の要求への適切な応答するための措置を講ずること。
(ウ) コンテンツサーバにおいて、機関等のみで使用する名前の解決を提供する場合、当該コンテンツサーバで管理する情報が外部に漏えいしないための措置を講ずること。
イ DNSの運用時の対策
(ア) 系統間で同期をとるなどして情報の整合性を確保すること。
(イ) コンテンツサーバにおいて管理するドメインに関する情報が正確であることを定期的に確認すること。
(ウ) キャッシュサーバにおいて、名前解決の要求への適切な応答を維持するための措置を講ずること。
(4) データベース
システムセキュリティ責任者及びシステムセキュリティ維持管理者は、データベースの導入時等に次のアからオまでに掲げる対策を講ずること。
ア データベースに対する内部不正を防止するため、管理者権限を持つ識別コードの適正な権限管理を行うこと。
イ データベースに格納されているデータにアクセスした利用者を特定できるよう、措置を講ずること。
ウ データベースに格納されているデータに対するアクセス権を有する利用者によるデータの不正な操作を検知できるよう、対策を講ずること。
エ データベース及びデータベースへアクセスする機器等のぜい弱性を悪用した、データの不正な操作を防止するための対策を講ずること。
オ データの窃取、電磁的記録媒体の盗難等による管理対象情報の漏えいを防止する必要がある場合は、適切に暗号化すること。
3 電気通信回線
(1) 電気通信回線
ア 電気通信回線の導入時の対策
(ア) システムセキュリティ責任者は、要機密情報を送受信する電気通信回線の選定に当たっては、機密性のみならず、完全性及び可用性の確保の観点から、次のa及びbに掲げる順序で検討を行うこと。
a 庁舎内回線
有線回線、無線回線の順
b その他
専用回線(有線回線に限る。)、広域イーサネット(有線回線であって事業者閉域網のものに限る。)、IP-VPN(有線回線であって事業者閉域網のものに限る。)、携帯電話回線(事業者閉域網のものに限る。)の順
(イ) システムセキュリティ責任者は、必要に応じて、電気通信回線に接続される電子計算機をグループ化し、それぞれ電気通信回線上で論理的に分離すること。また、グループ化された電子計算機間での通信要件を検討し、当該通信要件に従ってネットワーク機器を利用しアクセス制御及び経路制御を行うこと。
(ウ) システムセキュリティ責任者は、要機密情報を取り扱う警察情報システムを電気通信回線に接続する際に、通信内容の秘匿性の確保が必要と考える場合は、通信内容の秘匿性を確保するための措置を講ずること。
(エ) システムセキュリティ責任者は、ネットワーク機器を警察が管理する区域に設置すること。ただし、警察が管理する区域への設置が困難な場合は、施錠可能なラック等に設置するなどの措置を講ずること。
(オ) システムセキュリティ責任者は、要機密情報を電子メール等で送受信するインターネット回線について、次のaからcまでの順序で導入を検討した上で、当該回線について各項目で示す事項を満たしていることについて情報セキュリティ管理者の確認を受けること。
a 一つの情報システムが単独で利用するインターネット回線(有線回線又は携帯電話回線)であること。
b 他の情報システムとインターネット回線を共有する場合は、論理的に他の情報システムと分離していること。
c 他の情報システムとインターネット回線を共有し、論理的に他の情報システムと分離できない場合は、次の(a)及び(b)に掲げる対策を講ずること。
(a) 情報システム内の他の機器への不正な接続を制限する。
(b) アクセス可能なウェブサイトを必要最小限に制限する。
(カ) システムセキュリティ責任者は、外部回線に接続された警察情報システムについて、メールサーバ、ファイアウォール、IDS/IPS等に係るアクセス等の履歴を管理するとともに、当該履歴の重要なイベントを検知後、直ちにネットワーク管理担当者等、監視を担当している者に自動的に伝達されるようにすること。
(キ) システムセキュリティ責任者は、多様なソフトウェアを利用することによりぜい弱性が存在する可能性が増大することを防止するため、ネットワーク機器で利用を認めるソフトウェア及び利用を禁止するソフトウェアを定めること。
(ク) システムセキュリティ責任者は、ネットワーク機器が動作するために必要なソフトウェアを定め、ソフトウェアを変更する際の許可申請手順を整備すること。ただし、ソフトウェアを変更することが困難なネットワーク機器の場合は、この限りでない。
(ケ) システムセキュリティ責任者は、遠隔地からネットワーク機器に対して行われる保守又は診断の際に送受信される情報が漏えいすることを防止するための対策を講ずること。
(コ) システムセキュリティ責任者は、警察情報システムで利用される内部ネットワークに情報システムが接続された際に、当該情報システムが接続を許可されたものであることを確認するための措置を講ずること。
(サ) システムセキュリティ責任者は、要安定情報を取り扱う警察情報システムが接続される電気通信回線について、当該電気通信回線の継続的な運用を可能とするための措置を講ずること。
イ 電気通信回線の運用時の対策
(ア) システムセキュリティ責任者は、ネットワークの監視を行うこと。また、監視により得られた結果は、消去や改ざんが行われないように管理すること。
(イ) 上記1(1)イ(イ)及び(エ)は、電気通信回線の運用時の対策に準用し、これらの規定中「端末」とあるのは「電気通信回線及び通信回線装置」と読み替える。
(ウ) システムセキュリティ責任者は、所管する警察情報システムの情報セキュリティの確保が困難な事由が発生した場合には、当該警察情報システムが他の情報システムと共有している電気通信回線について、共有先の情報システムを保護するため、必要に応じて、当該電気通信回線とは別に独立した閉鎖的な電気通信回線(論理的に他の情報システムと分離している場合を含む。)に構成を変更すること。
(エ) システムセキュリティ責任者は、経路制御及びアクセス制御を適切に運用し、電気通信回線や通信要件の変更の際及び定期的に、経路制御及びアクセス制御の設定の確認及び見直しを適宜行うこと。
(オ) システムセキュリティ責任者は、内部ネットワーク内の不正な通信の有無を監視するための措置を講じ、定期的に確認すること。
ウ 電気通信回線の運用終了時の対策
電気通信回線の運用終了時の対策については、上記1(1)ウの対策を準用する。
(2) 通信回線装置
ア 通信回線装置の導入時の対策
システムセキュリティ責任者は、物理的な通信回線装置を設置する場合、第三者による破壊や不正な操作等が行われないようにすること。
イ 通信回線装置の運用終了時の対策
通信回線装置の運用終了時の対策については、上記1(1)ウの対策を準用する。
(3) 無線LAN
システムセキュリティ責任者は、要保護情報を送受信するため、無線LAN技術を利用して電気通信回線を構築する場合は、電気通信回線の構築時共通の対策に加えて、通信内容の漏えいや改ざんを防止するための措置を講ずること。
(4) IPv6通信回線
ア IPv6通信を行う警察情報システムに係る対策
(ア) システムセキュリティ責任者は、IPv6技術を利用する通信を行う警察情報システムを構築する場合は、製品として調達する機器等について、IPv6 Ready Logo Programに基づくPhase-2準拠製品を可能な場合には選択すること。
(イ) システムセキュリティ責任者は、IPv6通信の特性等を踏まえ、IPv6通信を想定して構築する警察情報システムにおいては、次のaからdまでの事項を含む脅威又はぜい弱性に対する検討を行い、必要な措置を講ずること。
a グローバルIPアドレスによる直接の到達性における脅威
b IPv6通信環境の設定不備等に起因する不正アクセスの脅威
c IPv4通信とIPv6通信を情報システムにおいて共存させる際のIPv6通信の制御の不備に起因するぜい弱性の発生
d ソフトウェアにおけるIPv6アドレスの取扱いの不備に起因するぜい弱性の発生
イ 意図しないIPv6通信の抑止・監視
システムセキュリティ責任者は、サーバ等、端末及び通信回線装置をIPv6通信を想定していない電気通信回線に接続する場合には、自動トンネリング機能で想定外のIPv6通信パケットが到達する脅威等、当該通信回線から受ける不正なIPv6通信による情報セキュリティ上の脅威を防止するため、IPv6通信を抑止するなどの措置を講ずること。
4 警察情報システムの基盤を管理又は制御するソフトウェア
(1) 警察情報システムの基盤を管理又は制御するソフトウェアの導入時の対策
ア システムセキュリティ責任者は、情報セキュリティの観点から警察情報システムの基盤を管理又は制御するソフトウェアを導入する端末、サーバ等、通信回線装置等及びソフトウェア自体を保護するための措置を講ずること。
イ システムセキュリティ責任者は、利用するソフトウェアの特性を踏まえ、次の(ア)及び(イ)に掲げる実施手順を整備すること。
(ア) 警察情報システムの基盤を管理又は制御するソフトウェアの情報セキュリティ水準の維持に関する手順
(イ) 警察情報システムの基盤を管理又は制御するソフトウェアで発生した情報セキュリティインシデントを認知した際の対処手順
(2) 警察情報システムの基盤を管理又は制御するソフトウェアの運用時の対策
システムセキュリティ責任者は、警察情報システムの基盤を管理又は制御するソフトウェアを運用・保守する場合は、次のア及びイに掲げるセキュリティ対策を実施すること。
ア 警察情報システムの基盤を管理又は制御するソフトウェアのセキュリティを維持するための対策
イ 脅威や情報セキュリティインシデントを迅速に検知し、対応するための対策
5 アプリケーション・コンテンツ
(1) アプリケーション・コンテンツのセキュリティ要件の策定
ア システムセキュリティ責任者は、アプリケーション・コンテンツの提供時に自組織外の情報セキュリティ水準の低下を招かぬよう、セキュリティ要件を仕様に含めること。
イ システムセキュリティ責任者は、アプリケーション・コンテンツの開発・作成を業務委託する場合には、セキュリティ要件を仕様に含めること。
(2) アプリケーション・コンテンツの開発時の対策
システムセキュリティ責任者は、ウェブアプリケーションの開発において、セキュリティ要件として定めた仕様に加えて、既知の種類のウェブアプリケーションのぜい弱性を排除するための対策を講ずること。
(3) アプリケーション・コンテンツの運用時の対策
ア システムセキュリティ責任者は、利用者の情報セキュリティ水準の低下を招かぬよう、アプリケーション及びウェブコンテンツの提供方式等を見直すこと。
イ システムセキュリティ責任者は、運用中のアプリケーション・コンテンツにおいて、定期的にぜい弱性対策の状況を確認し、ぜい弱性が発覚した際は必要な措置を講ずること。
ウ システムセキュリティ責任者は、ウェブアプリケーションやウェブコンテンツにおいて、アプリケーションやコンテンツの改ざんを検知するための措置を講ずること。
(4) アプリケーション・コンテンツ提供時の対策
ア 政府ドメイン名の使用
(ア) システムセキュリティ責任者は、職員以外の者に電子メールを送信することを目的とした情報システム及びウェブサイト(業務委託する場合を含む。)については、クラウドサービスを利用する場合、公用携帯電話機を使用する場合又は特別な事情がある場合を除き、行政機関であることが保証されるドメイン名(「go.jp」、「lg.jp」等)を使用すること。
(イ) システムセキュリティ責任者は、自組織外に提供するウェブサイト等の作成を業務委託する場合には、特別な事情がある場合を除き、行政機関であることが保証されるドメイン名を使用するよう仕様に含めること。
イ 不正なウェブサイトへの誘導防止
システムセキュリティ責任者は、利用者が検索サイト等を経由して自組織のウェブサイトになりすました不正なウェブサイトへ誘導されないよう対策を講ずること。
ウ アプリケーション・コンテンツの告知
(ア) 職員は、アプリケーション・コンテンツを告知する場合は、告知する対象となるアプリケーション・コンテンツに利用者が確実に誘導されるよう、必要な措置を講ずること。
(イ) 職員は、警察以外の者が提供するアプリケーション・コンテンツを告知する場合は、告知するURL等の有効性を保つこと。
第7 警察情報システムのセキュリティ要件
システムセキュリティ責任者は、整備する警察情報システムについて、必要に応じてシステムセキュリティ維持管理者等に指示するなどして、次の1から3までに定める技術的要件を満たすこと。
1 警察情報システムのセキュリティ機能
(1) 主体認証機能
ア 主体認証機能の導入
(ア) システムセキュリティ責任者は、警察情報システムや管理対象情報へのアクセス主体を特定し、それが正当な主体であることを検証する必要がある場合、主体の識別及び主体認証を行う機能を設けること。
(イ) システムセキュリティ責任者は、国民・事業者と警察との間で申請、届出等のオンライン手続を提供する警察情報システムを整備する場合は、オンライン手続におけるリスクを評価した上で、主体認証に係る要件を策定すること。
(ウ) システムセキュリティ責任者は、主体認証を行う警察情報システムにおいて、主体認証情報の漏えい等による不正行為を防止するための措置及び不正な主体認証の試行に対抗するための措置を講ずること。
イ 識別コード及び主体認証情報の管理
(ア) システムセキュリティ責任者は、警察情報システムにアクセスする全ての主体に対して、識別コード及び主体認証情報を適切に付与し、管理するための措置を講ずること。
(イ) システムセキュリティ維持管理者は、主体が警察情報システムを利用する必要がなくなった場合は、当該主体の識別コード及び主体認証情報の不正な利用を防止するための措置を速やかに講ずること。
(2) アクセス制御機能
ア システムセキュリティ責任者は、警察情報システムの特性、当該警察情報システムが取り扱う管理対象情報の分類及び取扱制限等に従い、権限を有する者のみがアクセス制御の設定等を行うことができる機能を設けること。
イ システムセキュリティ維持管理者は、維持管理する警察情報システム及び管理対象情報へのアクセスを許可する主体が確実に制限されるように、アクセス制御機能を適切に運用すること。
(3) 権限の管理
ア システムセキュリティ責任者は、主体から警察情報システム及び管理対象情報に対するアクセスの権限を必要最小限の範囲に設定するよう適切に管理すること。
イ システムセキュリティ維持管理者は、主体に対して管理者権限を付与する場合、主体の識別コード及び主体認証情報が、第三者等によって窃取された際の被害を最小化するための措置及び内部からの不正操作や誤操作を防止するための措置を講ずること。
ウ システムセキュリティ維持管理者は、管理者権限を適正に運用すること。
エ システムセキュリティ維持管理者は、その管理する警察情報システムごとにシステム管理担当者を指名し、業務の責務に即した真に必要な範囲において、必要最小限の管理者権限を付与すること。
オ 上記エの指名に当たっては、システム管理担当者としての適格性について、あらかじめ情報セキュリティ管理者と協議して行うこと。ただし、情報セキュリティ管理者が認める警察情報システムにあっては、この限りでない。
カ システム管理担当者は、担当する警察情報システムに係るシステム管理に関する業務を行うものとする。
キ システムセキュリティ維持管理者は、その管理するネットワークごとにネットワーク管理担当者を指名し、業務の責務に即した必要な範囲において、管理者権限を付与すること。
ク ネットワーク管理担当者は、担当する通信回線装置に係るネットワーク管理に関する業務を行うものとする。
(4) ログの取得・管理
ア システムセキュリティ責任者は、警察情報システムにおいて、警察情報システムが正しく利用されていることの検証及び不正侵入、不正操作等がなされていないことの検証を行うために、ログを取得し、保管する機能を設けること。
イ システムセキュリティ責任者は、警察情報システムにおいて、その特性に応じてログを取得する目的を設定した上で、ログを取得する対象の機器等、ログとして取得する情報項目、ログの保存期間、要保護情報の観点でのログ情報の取扱方法等について定め、適切にログを管理すること。
ウ システムセキュリティ責任者は、警察情報システムにおいて、取得したログを定期的に点検又は分析する機能を設け、悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施すること。
(5) 暗号及び電子署名
ア 暗号化機能及び電子署名機能の導入
システムセキュリティ責任者は、警察情報システムで取り扱う情報の漏えいや改ざん等を防ぐため、次の(ア)から(オ)までに掲げる措置を講ずること。
(ア) 管理対象情報を取り扱う警察情報システムについては、暗号化機能を設けること。ただし、次のaからcまでに掲げるものについては、この限りでない。
a 内蔵された電磁的記録媒体に要機密情報を保存しない電子計算機
b サーバ等であって、技術的に又は運用上暗号化が困難であるもの
c 公用携帯電話機であって、技術的に暗号化が困難であるもの
(イ) 要保全情報を取り扱う警察情報システムについては、電子署名の付与及び検証を行う機能を設ける必要性の有無を検討し、必要があると認めたときは、当該機能を設けること。
(ウ) 暗号化又は電子署名の付与に当たって用いる暗号アルゴリズム及び鍵長については、警察庁情報セキュリティ管理者の許可を受けた場合を除き、暗号技術検討会及び関連委員会(CRYPTREC)により安全性及び実装性能が確認された「電子政府推奨暗号リスト」(以下「暗号リスト」という。)に基づき、警察情報システムで使用する暗号・電子署名のアルゴリズム及び鍵長並びにそれらを利用した安全なプロトコルを定めること。また、その運用方法について実施手順を定めること。
(エ) 警察情報システムの新規構築又は更新に伴い、暗号化機能又は電子署名機能を導入する場合には、やむを得ない場合を除き、暗号リストに記載されたアルゴリズム及び鍵長並びにそれらを利用した安全なプロトコルを採用すること。
(オ) 電子署名の目的に合致し、かつ、適用可能な公的な公開鍵基盤が存在する場合はそれを使用するなど、目的に応じた適切な公開鍵基盤を使用すること。
イ 暗号化・電子署名に係る管理
システムセキュリティ責任者は、暗号及び電子署名を適切な状況で利用するため、次の(ア)及び(イ)に掲げる措置を講ずること。
(ア) 電子署名の付与を行う警察情報システムにおいて、電子署名の正当性を検証するための情報又は手段を署名検証者に安全な方法で提供すること。
(イ) 暗号化を行う警察情報システム又は電子署名の付与若しくは検証を行う警察情報システムにおいて、暗号化又は電子署名のために選択された暗号アルゴリズムの危たい化及びプロトコルのぜい弱性に関する情報を定期的に入手すること。
(6) 監視機能
ア システムセキュリティ責任者は、警察情報システム運用時に必要となる監視に係る運用管理機能要件を策定し、監視機能を実装すること。
イ システムセキュリティ責任者は、警察情報システムの運用において、警察情報システムに実装された監視機能を適切に運用すること。
ウ システムセキュリティ責任者は、新たな脅威の出現、運用の状況等を踏まえ、警察情報システムにおける監視の対象や手法を定期的に見直すこと。
2 情報セキュリティの脅威への対策
(1) ソフトウェアに関するぜい弱性対策
システムセキュリティ責任者は、ソフトウェアに関するぜい弱性対策として次のアからエまでに掲げる措置を講ずること。
ア 警察情報システムの設置又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開されたぜい弱性についての対策を講ずること。
イ 公開されたぜい弱性情報がない段階においても、サーバ等、端末及び通信回線装置上で講じ得る対策がある場合は、必要な対策を講ずること。
ウ サーバ等、端末及び通信回線装置上で利用するソフトウェアにおけるぜい弱性対策の状況を定期的及び適宜に確認すること。
なお、状況確認の時間間隔については可能な限り短くすること。
エ ぜい弱性情報が所管する警察情報システムにもたらすリスクを分析した上で、脆弱性対策計画を策定し、必要な措置を講ずること。
(2) 不正プログラム対策
システムセキュリティ責任者は、不正プログラム対策として次のアからウまでに掲げる措置を講ずること。
ア 電子計算機には、当該電子計算機上で動作する不正プログラム対策ソフトウェアが存在しない場合を除き、不正プログラム対策ソフトウェアを導入すること。
イ 想定される不正プログラムの感染経路の全てにおいて、不正プログラム対策ソフトウェア等により対策を講ずること。この場合において、必要に応じて、既知及び未知の不正プログラムの検知及びその実行の防止の機能を設けること。
ウ 不正プログラム対策の実施を徹底するため、不正プログラム対策ソフトウェア等の導入状況、定義ファイルの更新状況等を把握し、必要な対処を行うこと。
(3) サービス不能攻撃対策
システムセキュリティ責任者は、サービス不能攻撃対策として次のアからウまでに掲げる措置を講ずること。
ア 要安定情報を取り扱う外部回線に接続された警察情報システムについては、サービス提供に必要なサーバ等、端末及び通信回線装置が装備している機能又は事業者等が提供する手段を用いてサービス不能攻撃への対策を講ずること。
イ 外部回線に接続する警察情報システムにおいて、要安定情報を取り扱う場合は、サービス不能攻撃を受けた場合の影響を最小とするため、下記ウ及び情報セキュリティ管理者が別途定める措置を講ずること。
ウ サーバ等、端末、通信回線装置又は電気通信回線から監視対象を特定し、監視すること。
(4) 標的型攻撃対策
システムセキュリティ責任者は、標的型攻撃対策として次のア及びイに掲げる措置を講ずること。
ア 標的型攻撃による組織内部への侵入を低減する対策(入口対策)を講ずること。
イ 外部回線に接続された警察情報システムにおいて、内部ネットワークに侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、及び外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講ずること。
(5) 外部記録媒体の利用に係る対策
システムセキュリティ責任者は、情報セキュリティ管理者が別途定めるところにより、外部記録媒体の利用を制限する機能を設けること。
3 ゼロトラストアーキテクチャ
(1) 動的なアクセス制御の実装時の対策
ア 動的なアクセス制御における責任者の設置
情報セキュリティ管理者は、複数の警察情報システム間で動的なアクセス制御を実装する場合は、複数の警察情報システム間で横断的な対策の企画・推進・運用に関する事務の責任者として、システムセキュリティ責任者を選任すること。
イ 動的なアクセス制御の導入方針の検討
システムセキュリティ責任者は、動的なアクセス制御を導入する場合、動的アクセス制御の対象とする警察情報システムのリソースを識別し、動的なアクセス制御の導入方針を定めること。
ウ 動的なアクセス制御の実装時の対策
(ア) システムセキュリティ責任者は、動的なアクセス制御の実装に当たり、リソースの信用情報の変化に応じて動的にアクセス制御を行うためのアクセス制御ポリシー(以下「アクセス制御ポリシー」という。)を作成すること。
(イ) システムセキュリティ責任者は、アクセス制御ポリシーに基づき、動的なアクセス制御を行うこと。
(2) 動的なアクセス制御の運用時の対策
ア 動的なアクセス制御の実装方針の見直し
システムセキュリティ責任者は、動的なアクセス制御の運用に際し、情報セキュリティに係る重大な変化等を踏まえ、アクセス制御ポリシーの見直しを行うこと。
イ リソースの信用情報に基づく動的なアクセス制御の運用時の対策
システムセキュリティ責任者は、動的なアクセス制御の運用に際し、リソースの信用情報の収集により検出されたリスクへの対処を行うこと。
第8 警察情報システムの利用
1 警察情報システムの利用
(1) 警察情報システム利用者の規定の遵守を支援するための対策
ア システムセキュリティ責任者は、職員による規定の遵守を支援する機能について情報セキュリティリスクと業務効率化の観点から支援する範囲を検討し、当該機能を持つ警察情報システムを構築すること。
イ 職員は、簿冊により管理することとされている事項その他の警察情報セキュリティポリシーに定める手続について、システム構築等の技術的措置による電子化を検討し、事務負担の軽減に努めること。
ウ 上記イの定めに基づき電子化する手続は、警察情報セキュリティポリシーに定める手続と同等以上の管理水準であることについて情報セキュリティ管理者の確認を受けることにより、警察情報セキュリティポリシーによらないことができる。
(2) 警察情報システム等の利用時の基本的対策
ア 警察情報システム
(ア) 職員は、定められた目的以外の目的で警察情報システムを不正に使用しないこと。
(イ) 職員は、外部回線に接続することを前提として整備された場合を除き、警察情報システムを外部回線に接続しないこと。
(ウ) 職員は、警察情報システムで利用される電気通信回線に、システムセキュリティ責任者の許可を受けていない警察情報システムを接続しないこと。
(エ) 職員は、システムセキュリティ責任者が制定した運用要領等に定められた範囲を超えた警察情報システムを構成する機器等の改造(新たな機器等の接続、ソフトウェア追加等)をシステムセキュリティ責任者の許可なく実施しないこと。
(オ) 職員は、警察情報システムにおいて管理対象情報を取り扱う場合には、システムセキュリティ責任者が定めた当該警察情報システムにおいて取り扱うことのできる機密性、完全性及び可用性の範囲を超えた管理対象情報を取り扱わないこと。
(カ) 職員は、情報セキュリティ管理者が別に定める場合を除き、機器を警察庁舎外に不正に持ち出さないこと。
(キ) 職員は、情報セキュリティ管理者が別に定める場合を除き、警察が管理する区域以外において外部回線に接続したことのある端末を、内部ネットワークに直接接続しないこと。
(ク) 職員は、警察情報システムの利用時には、利用環境に配意し、関係のない者に管理対象情報を視認されないよう留意すること。特に、主体認証情報を入力する際には、権限のない者に視認されていないことを確認すること。
(ケ) 職員は、警察情報システムの紛失又は盗難を防止するための措置を講ずること。
(コ) 職員は、他の者からアクセスさせる必要がない管理対象情報については、アクセスできないよう設定すること。
(サ) 職員は、電子計算機又はネットワーク機器の取扱いに当たっては、設置環境を踏まえ、障害等により可用性を損なわないよう配慮すること。
(シ) 職員は、この文書に定めるもののほか、取り扱う警察情報システムについて運用要領等の別に定められた文書や指示事項があるときは、それを遵守すること。
イ 公用携帯電話機
(ア) 職員は、共用で利用する公用携帯電話機を警察庁舎外への持ち出す場合は、運用責任者の許可を得ること。
(イ) 職員は、公用携帯電話機について、送受信メール履歴、電話帳等の情報のうち、要機密情報に当たるものを閲覧する場合には、主体認証情報入力等の主体認証を求められるよう設定すること。
(ウ) 職員は、公用携帯電話機に保存された管理対象情報が職務上不要となった場合には、速やかに当該管理対象情報を消去すること。
(エ) 職員は、公用携帯電話機を適正に管理すること。
ウ 外部記録媒体
(ア) 職員は、外部記録媒体を適正に管理すること。
(イ) 職員は、外部記録媒体を警察庁舎外に持ち出す必要がある場合には、外部記録媒体内の要機密情報を必要最小限にするとともに、運用責任者の許可を得ること。
なお、機密性3(高)情報を持ち出す場合は、運用管理者の許可を得ること。
エ 個人所有の機器
(ア) 職員は、情報セキュリティ管理者が別に定める場合を除き、個人所有の機器において管理対象情報を処理しないこと。
(イ) 運用管理者は、上記(ア)に基づく個人所有の機器等の利用について適切に管理すること。
(ウ) システムセキュリティ責任者は、上記(ア)に基づく個人所有の機器等の利用について情報セキュリティを維持するための環境を構築すること。
(3) 電子メール及びウェブの利用時の対策
ア 職員は、管理対象情報を含む電子メールを送受信する場合には、警察が管理及び運用(業務委託による場合を含む。)する電子メール機能又は公用携帯電話機の電子メール機能を利用すること。
イ 職員は、外部の者と電子メールにより情報を送受信する場合は、当該電子メールのドメイン名に行政機関であることが保証されるドメイン名を使用すること。ただし、上記第4の2に規定するクラウドサービスを利用する場合、公用携帯電話機を使用する場合又は特別な事情がある場合を除く。
ウ 職員は、不審な電子メールを受信したときは、開封せずにシステム管理担当者に連絡すること。
エ 職員は、ウェブクライアントの設定を見直す必要がある場合は、情報セキュリティに影響を及ぼすおそれのある設定変更を行わないこと。
オ 職員は、外部回線から電子計算機にソフトウェアをダウンロードする場合には、電子署名により当該ソフトウェアの配布元を確認すること(電子署名が付与されていないものを除く。)。
カ 職員は、閲覧しているウェブサイトに表示されるフォームに要機密情報を入力して送信する場合には、次の(ア)及び(イ)に掲げる事項を確認すること。
(ア) 送信内容が暗号化されること。
(イ) 当該ウェブサイトが送信先として想定している組織のものであること。
キ 職員は、機密性2(中)情報を外部に送信する場合には、当該情報を暗号化すること。暗号化が困難である場合は、主体認証を設定すること。また、機密性3(高)情報を送信しないこと。
ク 職員は、多数の者に電子メールを一斉送信するときは、受信者同士でメールアドレス情報を共有する必要がある場合を除き、Bcc(Blind carbon copy)等の機能を用いて、受信者のメールアドレスが漏えいすることのないようにすること。
ケ 職員は、要機密情報を電子メールにより外部に送信したときは、やむを得ない場合を除き、送信後、直ちに端末に内蔵された電磁的記録媒体から当該情報を消去すること。
コ 職員は、要機密情報を電子メールにより外部から受信したときは、当該情報を外部回線に接続された端末に内蔵された電磁的記録媒体に保存しないこと。やむを得ず一時的に保存したときは、外部記録媒体を用いて外部回線と接続されていない端末に取り込むなどして、可能な限り速やかに削除すること。
(4) 識別コード及び主体認証情報の取扱い
ア 職員は、自己の識別コード以外の識別コードを不正に用いて、警察情報システムを使用しないこと。
イ 職員は、自己に付与された識別コードを適切に管理すること。
ウ 職員は、自己の主体認証情報を権限のない者に知られないよう管理を徹底すること。
(5) 暗号及び電子署名の利用時の対策
ア 職員は、復号又は電子署名の付与に用いる鍵をインターネットに接続された電子計算機に保存しないこと。
イ 職員は、必要に応じて、鍵のバックアップを取得し、オリジナルの鍵と同等の安全管理を実施すること。
(6) 不正プログラム感染防止
ア 職員は、不正プログラム感染防止に関する措置に努めること。
イ 職員は、外部から受領した外部記録媒体又は外部の電子計算機に接続して利用した外部記録媒体を電子計算機に接続するときは、安全な方法によって外部記録媒体に不正プログラムが記録されていないことを確認すること。
(7) ウェブ会議サービスの利用時の対策
ア 職員は、職務上ウェブ会議サービスを利用しようとする場合には、上記第4の2(1)エ(ア)又は同(2)イ(ア)に定める手続を執り、ウェブ会議の参加者や取り扱う管理対象情報に応じた情報セキュリティ対策を実施すること。
イ 職員は、ウェブ会議を主催する場合、会議に無関係の者が参加できないよう対策を講ずること。
(8) クラウドサービスの利用時の対策
ア 職員は、業務の遂行において、利用承認を得ていないクラウドサービスを利用しないこと。
イ 職員は、部外の者と情報の共有を行うことを目的とし、クラウドサービス上に要保護情報を保存する場合は、情報の共有を行う必要のある者のみがクラウドサービス上に保存した要保護情報にアクセスすることが可能となるための措置を講ずること。
ウ 職員は、部外の者と情報の共有を行うことを目的とし、クラウドサービス上に要保護情報を保存する場合は、情報の共有が不要になった時点で、クラウドサービス上に保存した要保護情報を速やかに削除すること。
2 ソーシャルメディアサービスによる情報発信
職員は、ソーシャルメディアサービスによる情報発信時に次の(1)及び(2)に掲げる対策を講ずること。
(1) 職務上ソーシャルメディアサービスを利用し、情報発信をしようとする場合には、上記第4の2(2)イ(ア)に定める手続を執ること。また、当該サービスの利用において、要機密情報を取り扱わないこと。
(2) 要安定情報の県民への提供にソーシャルメディアサービスを用いる場合は、自組織のウェブサイトに当該情報を掲載して参照可能とすること。
3 テレワーク及びモバイル勤務
(1) 実施環境における対策
ア システムセキュリティ責任者は、テレワーク及びモバイル勤務の実施により外部回線を経由して警察情報システムにリモートアクセスする形態となる警察情報システムを構築する場合は、通信経路及びリモートアクセス特有の攻撃に対する情報セキュリティを確保すること。
イ システムセキュリティ責任者は、リモートアクセスに対し多要素主体認証を行うこと。
ウ システムセキュリティ責任者は、リモートアクセスする端末を許可された端末に限定する措置を講ずること。
(2) 実施時における対策
ア 職員は、テレワーク及びモバイル勤務の実施前並びに実施後にチェックすべき項目について確認すること。
イ 職員は、画面ののぞき見や盗聴を防止できるようテレワーク又はモバイル勤務の実施場所を選定すること。また、テレワーク又はモバイル勤務を実施する場合には、離席時の盗難に注意すること。
ウ 職員は、テレワーク及びモバイル勤務時に、警察情報システムへの接続に利用する回線については、情報セキュリティ管理者が別に定める回線を使用すること。
第9 その他
本通達の実施に必要な細部事項については、情報セキュリティ管理者が別に定める。
別表(第2関係)
福島県警察CSIRT構成表
班等 | 職名 | 任務 | |
運営責任者 | 情報管理課長 | 県警察CSIRTの運営の総括 | |
総括班 | 班長 | 情報管理課主幹 | ・ 情報の集約 ・ 被害拡大防止と証拠保全 ・ 警察庁CSIRTとの連携 |
班員 | 情報管理課課長補佐(電算企画) 情報管理課電算企画係 | ||
連絡班 | 班員 | 情報管理課課長補佐(電算指導) 情報管理課電算指導係 情報管理課情報照会係 | ・ 関係所属からの聞き取り ・ 関係所属に対する指示伝達 |
解析班 | 班員 | 情報管理課課長補佐(電算開発運用) 情報管理課電算開発運用係 運営責任者が指定する者 | 電磁的記録の解析と全体像の分析 |