建設現場における 情報セキュリティガイドライン 第1版 平成 20 年 11 月 社団法人 建 築 業 協 会 社団法人 日本土木工業協会 目 次 1.はじめに ............................................................... 1 1.1 何故、「建設現場における情報セキュリティガイドライン」が必要なのか . 1 1.2 本ガイドラインの利用の仕方 ........................................ 1.3 「JV現場ネットワークの構築と運用ガイドライン」との関係 3 ............ 4 2.情報セキュリティマネジメントシステムの構築と運用の手順 ................. 5 2.1 情報セキュリティマネジメントシステムの構築 ........................ 5 2.2 情報セキュリティマネジメントシステムの運用 ........................ 7 3.情報セキュリティ対策の実施 ............................................. 11 3.1 現場事務所のエリア分類と情報セキュリティ対策 ...................... 11 3.2 情報資産の管理 .................................................... 12 3.3 情報機器の維持管理 ................................................ 15 3.3.1 情報機器の運用管理 ........................................... 15 3.3.2 アクセス制御 ................................................. 18 3.3.3 ウィルス対策 ................................................. 19 3.3.4 ソフトウェアのインストール ................................... 19 3.3.5 ログ(記録)の管理 ............................................. 20 4.参考資料 ............................................................... 21 資料1:情報セキュリティ基本方針【例】 資料2:情報資産管理台帳【例】 ................................ 21 ........................................ 22 資料3:情報セキュリティチェックリスト【例】 あとがき .......................... 24 .................................................................. 26 1.はじめに 昨今、各種メディアで取り上げられている情報漏えい事件や情報セキュリティ事故の急 速な増加は、情報通信分野における技術的進歩に伴う情報セキュリティリスクの増大がそ の背景にある。これに加え、情報セキュリティリスクが顕在化した場合の影響を企業が正 しく認識していないため、適切な対策が実施されていないことも、要因のひとつになって いる。情報漏えい、コンピュータウィルスの感染、ソフトウェアの不正利用・違法コピー など、情報セキュリティ事故を発生させた企業は、被害者に対する損害賠償の負担だけで なく、「情報化社会に適用できない企業」というレッテルを貼られ、社会的な信用を失墜 し、企業の事業活動そのものにも大きな負の影響を受けることになる。 今やあらゆる組織において、業務と一体化した情報セキュリティ管理の仕組みが必要に なっており、業務遂行上どのような情報セキュリティリスクが存在するのかを理解した上 で、情報セキュリティ対策を実行していくことが求められているのである。 このような状況を鑑み、(社)建築業協会と(社)日本土木工業協会は他産業にはない建設 業特有の生産拠点である建設現場に焦点をあて、「建設現場における情報セキュリティガ イドライン」(以下「本ガイドライン」という)を作成した。本ガイドラインが、建設業界 の目指すべき情報セキュリティ対策の指針として活用され、建設業各社の建設現場におけ る情報セキュリティ事故発生防止に寄与することを期待している。 1.1 何故、「建設現場における情報セキュリティガイドライン」が必要なのか (1)IT の導入活用拡大に伴う情報セキュリティリスクの増大 建設現場においても IT の導入活用はますます拡大しており、パソコンをはじめとする IT 機器は業務で不可欠な存在となっている。現場事務所で作成される発注者および社内 向けの報告書類や事業所での管理資料は、文書作成ソフト・表計算ソフト・図面作成ソフ ト(CAD)などのソフトウェアを使用して作成している。発注者・協力会社・社内との情報 交換ではメールを利用し、天気や地図など何かを調べようとする場合はインターネットを 活用している。会社の業務システムやデジタルカメラによる建設現場の撮影・保存なども 日常的に行なわれており、IT は業務に密接なツールとなっている。 一方、IT の普及により情報漏えい、コンピュータウィルスの感染、ソフトウェアの不正 利用・違法コピーなどの情報セキュリティリスクも増大している。例えば、情報漏えいに 関しては、インターネットの普及、ウィニーなどのファイル共有ソフトに介在するウィル ス、記録媒体(USB メモリ、DVD、CD など)の大容量化が被害を増加させる一因となってい る。インターネットが普及する以前は情報を広く流布する手段が限られていたが、インタ ーネットが普及した今日では、不特定多数に簡単に情報発信ができるようになり、インタ ーネットによる情報漏えい被害は増加の一途をたどっている。また、記録媒体もフロッピ ーディスクなどの小容量の記録媒体しかなかった時期は、外に持ち出せるデータ容量も限 定されていたが、大容量の記録媒体の出現により漏えいにつながる情報量も大きくなって いる。 1 IT の進歩により、業務の効率化を支援する便利なツールが増え、ファイルサーバなどに よる情報の共有化が進んでいるが、それと同時進行で情報セキュリティリスクも高まって いることを認識しなければならない。IT を有効に活用していくためには、情報セキュリ ティ対策を実行することが必要な時代になっているのである。 (2)法的規制や各種ルールの強化に伴う法的リスクの増大 IT に関連した事故・犯罪・トラブルの増大という社会的背景を受け、遅れていた IT に 関連した法制度の新設・改正が進められており、法的規制や各種ルールが強化されてきた。 例えば、個人情報保護法(2005 年 4 月 1 日施行)の制定は、情報セキュリティ強化を推進 する大きな契機となり、 「作業員名簿」等の厳重な管理が求められるなど、個人情報を扱 っている建設現場においても身近な問題と感じられるようになった。また、近年、著作物 の違法複製物である「海賊版」も多く発生しており、著作権法の罰則が 2007 年 7 月 1 日 より改正された。具体的には、 「10 年以下の懲役若しくは 1,000 万円以下の罰金、または この併科」(著作権法第 119 条)に、また、企業などの法人等による侵害の場合も、 「3 億 円以下の罰金」刑(著作権法第 124 条)が科せられるよう罰則が強化された。 IT に関連する法やルールに背く利用を行った場合は、利用者個人だけでなく法人に対し ても罰則規定が適用される場合もあり、個人および企業が社会的制裁を受けることになる。 IT を利用する上では、これらの法やルールの遵守が必要となっているのである。 (3)建設現場の特殊性に起因する情報セキュリティ対策上の制約 建設現場においては、IT 技術の積極的な活用や情報共有の拡大・推進により、生産性を 向上させる動きが広がりつつあり、CI-NET(建設産業情報化ネットワーク)や電子マニュ フェストの利用は、その一例である。この動きをさらに発展させるためには、信頼性の高 い IT 活用環境を構築する必要があり、建設現場における情報セキュリティ対策の実施は 不可欠である。 しかし、建設現場は、一般的なオフィスとは異なる建設現場固有の下記のような条件が あり、情報セキュリティ対策を実施していくには、現場所長をはじめとする全ての従業員 により一層の負担を強いられるのが実情である。 ①建設工事による生産物は単品・個別生産であるため、用途・構造・規模・工法などの各 種条件が異なり、すべての建設現場に適用できる作業やルールの標準化がしにくい。 ②建設現場は工事期間という有期の利用を前提とした仮設仕様であるため、IT 設備も柔 軟に変更や撤去が可能な簡易なものを利用する。(恒久的なオフィスで常設する設備が 建設現場では常設しにくい) ③現場事務所の設置・運営費用は現場経費となるため、投入できる費用には大きな制約が ある。さらに工期途中で現場事務所を移転・増減する場合は、物理的・時間的・費用 的な制約はより一層大きくなる。 ④建設現場には元請施工者だけでなく、発注者や設計者、協力会社や資機材メーカー担当 2 者等、多くの関係者が出入りするうえ、工事の進捗情況により関係者が入れ替わって いくため、一般オフィスよりも情報漏えいのリスクが大きく、情報セキュリティ教育 の浸透に手間がかかる。 ⑤環境面では、埃が多く、電源も仮設電源を使用するため、情報機器の安定稼動が確保し にくい。図面や書類等は日々変更の連続であるため、原本や最新版の管理における負 担が大きい。 このように特殊性のある建設現場を取り巻く環境を正しく認識し、適切な情報セキュリ ティ対策を実施するには、情報セキュリティ水準の設定とその具体的実現方法に関するガ イドラインを示すことが有効であり、本ガイドラインを作成するに至った。 なお、作成に当たっては、ISMS(情報セキュリティマネジメントシステム)フレームワ ークの考え方を参考にしている。 1.2 本ガイドラインの利用の仕方 (1)利用対象者について 本ガイドラインの利用対象者は、各企業における情報セキュリティ体制の構築担当者、 各建設現場における情報セキュリティ対策を実施すべき現場所長または実施責任者であ る。 (2)利用方法について 本ガイドラインの第2章では、情報セキュリティマネジメントシステムの構築と運用手 順について述べており、第3章では実施すべき事項を分かり易く具体的に例示した。 まずは、第2章を参考に各企業において、情報セキュリティを推進・運用するための管 理体制を構築し、次に第3章を参考にして具体的な情報セキュリティ対策を実施していた だきたい。 (3)展開と個別対応について 本ガイドラインは、建設現場において実施される情報セキュリティ対策の方向付けとし て、建設業界全体に広く呼びかけるものである。しかしながら、個々の建設現場において は固有の条件が存在することに加え、発注者との合意が優先するため、各建設現場の状況 に応じて、本ガイドラインに示す情報セキュリティ対策を取捨選択して適用したり、追加 の対策を実施したりする等の適宜対応が必要である。 (4)権利関係について 著作権および関係するすべての権利は、(社)建築業協会、および(社)日本土木工業協会 に帰属し、両協会は本ガイドラインに含まれる著作物の使用(閲覧・複製・引用・配布・ 印刷)を以下の条件で許可する。 3 使用条件:1.情報セキュリティ啓発の目的での使用に限ること 2.営利目的ではない使用に限ること 3.複製・引用・配布に際しては、出典を明らかにすること 1.3 「JV 現場ネットワークの構築と運用ガイドライン」との関係 2005 年 4 月に第 2 版を発行した「JV 現場ネットワークの構築と運用ガイドライン」(以 下「ネットワークガイドライン」という)は、安価で信頼性が高い JV 現場ネットワークを 標準化して、広く建設現場に普及するために制定したものであり、(社)日本土木工業協会 と(社)建築業協会が共同して初版を 2001 年 4 月に発行した。その後、ネットワーク技術 と情報セキュリティ環境の変化に対応する補足版を 2002 年 7 月に発行し、さらに情報セ キュリティ対応を強化した第 2 版を 2005 年 4 月に発行した。また第 2 版発行時には併せ て、JV 現場で働く従業員の意識向上のための小冊子「利用者編」を、別冊として発行し ている。 「ネットワークガイドライン」の「4.JV 現場ネットワークのセキュリティ」でも情報 セキュリティ対策について記述されているが、この中では、JV での現場事務所ネットワ ークの構築方法を目的とし、情報セキュリティ対策はその利用に関する最低限のものだけ 記述した。 本ガイドラインは JV 現場に限らず、建設現場で守られるべき情報セキュリティの管理 方法を提示したものであり、「ネットワークガイドライン」の第 4 章を拡張したものと位 置付けられる。 4 2.情報セキュリティマネジメントシステムの構築と運用の手順 2.1 情報セキュリティマネジメントシステムの構築 情報セキュリティを維持するために、「情報セキュリティ基本方針」を制定し、情報セ キュリティ管理体制を整備し、情報資産を調査・分類して情報資産管理台帳を作成する。 ここで構築された体制が「情報セキュリティマネジメントシステム」となる。 下図に情報セキュリティマネジメントシステム構築におけるフローを示す。 (1) 情報セキュリティ基本方針の制定(情報セキュリティ対策の検討を含む) (2) 情報セキュリティ管理体制の整備 (3) 情報資産管理台帳の作成 (1)情報セキュリティ基本方針の制定 「情報セキュリティ基本方針」は、建設現場が情報セキュリティをどうとらえているか、 情報セキュリティ維持への取り組みをどのように行っていくかを宣言する公開文書であ る。また、情報セキュリティ維持を情報セキュリティマネジメントとして、建設現場運営 課題の一環として取り組むことを表明する文書でもある。そのため、文章は分かり易くイ ンパクトのあるものが望ましい。 ①情報セキュリティ基本方針の制定 現場所長は「情報セキュリティ基本方針」(参考資料-1 に一例を示す)を制定し、情報 セキュリティ対策として各項目の具体的な手順やルールを定め、従業員及び協力会社を 含めた現場構成員に周知する。 定期的に手順・ルールの見直しを行い、変更した場合はその都度、現場構成員に周知す る。 ②JV 現場時の制定方法 JV 現場においては構成会社ごとの情報セキュリティマネジメントシステムが異なるた め、状況に応じ以下の対応とする。 ・スポンサー会社に基本方針が設定されている場合は、スポンサー会社の基本方針を 用いる。この基本方針に異議等がある場合は、JV 協議会等にて調整する。 ・スポンサー会社に基本方針が設定されていない場合は、本ガイドラインの基本方針 (例)をベースとしてスポンサー会社が中心となって JV 構成会社と調整し、基本方針 を策定する。 5 (2)情報セキュリティ管理体制の整備 ①情報セキュリティ管理体制 建設現場の情報セキュリティ管理体制は、現場内の最高責任者である現場所長と現場所 長が任命する情報セキュリティ責任者、情報セキュリティ担当者、およびその他現場の 管理下で業務に従事する者で構成される。 なお、各担当の兼任は可能であるが、最終的な責任は現場所長にある。 最高責任者(現場所長) 情報セキュリティ責任者 情報セキュリティ担当者 現場構成員 ②最高責任者(現場所長)の役割 ・現場内の最高責任者として情報セキュリティの全体責任を負う。 ・必要な経営資源(人・物・金)の割り当てを行う。 ・情報セキュリティ責任者、情報セキュリティ担当者を任命する。 ・具体的なルールや手順の明文化を指示する。 ・情報セキュリティ責任者から遵守状況を把握し、改善指示を行う。 ③情報セキュリティ責任者の役割 ・情報セキュリティに関する具体的なルール、手順を明文化し開示する。 ・情報セキュリティに関するルール、手順の教育および周知徹底を行う。 ・定期的に遵守状況をチェックし、問題点や不備が発見された場合は必要な改善を行う。 ④情報セキュリティ担当者の役割 ・情報セキュリティ責任者を補佐し、情報セキュリティ責任者の指示に従って作業を実 施する。 ⑤JV 現場時の管理体制 ・最高責任者はスポンサー会社の現場所長とする。 ・情報セキュリティ責任者は現場所長が任命する者(基本はスポンサー会社)とする。 ・情報セキュリティ担当者は JV 各社より1名任命する。 ・情報セキュリティ担当者は各社間の調整、各社内の情報セキュリティ確保、各社の本 社との調整を行う。 6 (3)情報資産管理台帳の作成 情報資産管理台帳として整備する情報資産とは、建設現場で業務上取り扱う業務情報全 般、顧客や関係者の個人情報や情報を処理するパソコン・プリンタなどの情報機器全般を 指す。これらの情報資産を洗い出し、情報資産ごとに重要度を判断し、管理責任者・保管 場所・閉所時の取扱い等を決定し、情報資産管理台帳として整備する。参考資料-2に情 報資産管理台帳の一例を示す。 重要度の判定は、情報資産ごとに下表の3段階に分類し重要度に応じた取扱いを規定化し 運用を行う。参考資料-2に情報分類ごとの重要度の例を示すが、当然工事案件の個別要件 によっても見直しが必要である。さらに、情報分類ごとに分類内個々の情報について判定を 行う必要もある。 重要度 小 漏えいや喪失した場合、業務への影響が比較的小さい情報資産 重要度 中 漏えいや喪失した場合、業務に大きな影響を与える可能性のある情報資産 重要度 大 漏えいや喪失した場合、事業の継続に大きな影響を与える可能性のある情報資産 2.2 情報セキュリティマネジメントシステムの運用 構築された「情報セキュリティマネジメントシステム」を下図のフローで運用を行い、 情報セキュリティの維持・改善を図る。情報セキュリティ対策の実効性を確保していくた めには、定期的に運用状況の確認・改善を行っていくことが必要である。 (1) 開設前の対応 (2) 情報セキュリティ基本方針の宣言・周知 (3) 情報セキュリティ対策の実施 (4) 協力会社、委託先の管理 (5) 情報セキュリティ教育の実施 (6) 情報セキュリティマネジメントシステムの運用状況の確認 (7) 情報セキュリティ事故発生時の対応 (8) 関係者雇用終了時の対応 (9) 情報セキュリティマネジメントシステムの評価・見直しの実施 (10) 閉所時の対応 7 (1)開設前の対応 現場事務所開設前には、当該現場で要求される情報セキュリティレベルを勘案して下記 事項を行うことが必要である。 ・事務所レイアウトの検討 ・保安設備の手配 ・ネットワーク回線の手配 ・必要な情報機器の手配 (2)情報セキュリティ基本方針の宣言・周知 「2.1情報セキュリティマネジメントシステムの構築」で記載した通り、「情報セキ ュリティ基本方針」を制定し、宣言・周知する。 (3)情報セキュリティ対策の実施 具体的な実施方法については「3.情報セキュリティ対策の実施」で対策例を示しなが ら解説する。 (4)協力会社、委託先の管理 ・情報セキュリティ責任者は、協力会社・委託先が情報セキュリティ基本方針に基づき、 情報セキュリティに関する具体的なルールや手順を遵守できるかのチェックを行う。 ・基準を満たしていない場合は、改善要求し対応状況を確認する。 ・現場所長または情報セキュリティ責任者は、発注者と締結した契約書の秘密保持や情 報セキュリティ関連事項を確認し、その内容を協力会社との下請負契約または委託先 との業務委託契約の特記事項、条件書などに明記して契約を締結する。 (5)情報セキュリティ教育の実施 情報セキュリティ責任者は、関係者全員に情報セキュリティ教育を年1回以上の頻度で 実施する。 主な教育内容 ・(各社の)情報セキュリティポリシー概要 ・建設現場での情報セキュリティの必要性 ・現場事務所のルール、手順 ・情報セキュリティ事故の対応方法と再発防止策 ・利用者が行うこと、行ってはいけないこと (6)情報セキュリティマネジメントシステムの運用状況の確認 ・日常的に情報セキュリティマネジメントシステムの運用状況の確認を行う。 8 (7)情報セキュリティ事故発生時の対応 ①管理体制 ・関係者は情報セキュリティ事故が発生(可能性がある場合を含む)した場合、各社(JV の場合はスポンサー会社)で定められた連絡網に従って、速やかに現場所長または情 報セキュリティ責任者に報告する。 ・現場所長は本社等の関連部門へ連絡を行う。 報告内容の一例 ・発見者の氏名 ・発見の経緯 ・発見日時、場所 ・事故の内容 ・情報漏えいの場合、その情報の内容(重要度) ②原因調査と分析 ・現場所長または情報セキュリティ責任者は、情報セキュリティ事故を調査し、原因を 究明し、再発防止策を立案する。IT 面で専門的な知識を必要とする場合は、本社等の 関連部門へ支援を要請する。 ・現場所長は、再発防止策の進捗管理を図り、本社等の関連部門へ報告を行う。 ③再発防止策の周知 ・現場所長または情報セキュリティ責任者は、情報セキュリティ事故の原因と再発防止 策を現場関係者全員に周知する。 (8)関係者雇用終了時の対応 情報セキュリティ責任者は、関係者の雇用を終了する場合、以下の作業を実施する。 ・アクセス権の削除 ・貸与したパソコン、媒体などの返却 ・パソコンを持出す場合は、当該現場関係データを削除 ・秘密契約継続の確認 (9)情報セキュリティマネジメントシステムの評価・見直しの実施 ・情報セキュリティ責任者または情報セキュリティ担当者は定期的(年1回以上)に情報 セキュリティマネジメントシステムのチェックを実施し、結果を現場所長に報告する。 ・現場所長は遵守状況の適否を判断し、問題があれば改善策を情報セキュリティ責任者 に指示する。 ・情報セキュリティ責任者は改善の進捗や結果を現場所長に報告する。 ・チェック結果は記録に残す。 9 (10)閉所時の対応 現場事務所は通常の事務所とは違い「有期」という特徴がある。現場終了時をあらかじ め想定した取組みが必要となる。 具体的には、個別の情報資産について閉所時の取扱い状況(廃棄・返却等)を確認のうえ 「情報資産管理台帳」に明記し、閉所後の情報漏えいの発生がないようにする。 (11)JV 現場時の留意事項 JV 協議会等において、本ガイドラインを参考にして情報セキュリティ全般についての取 り決めを行い、関係各社了解のうえで現場運営を行う。また、 「JV 現場ネットワークの構 築と運用ガイドライン」に則ったネットワーク構成および情報セキュリティ対策を実施す る。特に下記事項には留意する必要がある。 ①他の JV 構成会社固有データの盗用・破壊・改ざんの禁止 ②JV 内固有情報の不正使用の禁止 ③他の JV 構成会社ネットワークへの侵入の禁止 10 3.情報セキュリティ対策の実施 本章では、建設現場における情報セキュリティ対策の実施にあたり、各社で具体化を検 討される際の参考として対策例を挙げる。 3.1 現場事務所のエリア分類と情報セキュリティ対策 現場事務所内は、必要な情報セキュリティレベルによって分類し、それに応じた対策を 実施する。 ■情報セキュリティエリアの分類(例) 分類 入室(館)の抑止機能があり、 レ ベ ル 1 かつ無断入室(館)禁止表示 エリア 等により、第3者の立ち入り が制限されているエリア。 必要な対策 例 利用目的を明確にする。エリア 現 場 事 務 所 内 の 出入り口に無断入室禁止等の 共有スペース、会 表示を行う。 議室、応接室等。 部屋の場合は、原則的に常時施 従業員以外の出入りが禁止 レ ベ ル 2 されているエリア。もしくは エリア 常時施錠されたキャビネッ ト・引き出し等。 錠する。専用の部屋でない場合 は、必ずパーティションなどで 区分けをし、従業員が常駐・監 視して、従業員以外の出入りを 禁止する。キャビネット・引き 従業員の執務ス ペースや、施錠さ れたキャビネッ ト・引き出し等。 出しの場合は常時施錠する。 入室する者が限定された部屋 アクセス権限が規定され、か では、常時施錠し、その鍵は特 レベル3 エリア つ許可された者以外が利用 定の個人が管理する。限定され 施 錠 さ れ た 所 長 する場合はアクセス記録が た者以外が入室する場合はア 室や、書庫・金庫 取られている常時施錠のエ クセス記録を取る。書庫・金庫 等。 リア、書庫・金庫等。 の場合も常時施錠し、その鍵は 特定の個人が管理する。 11 ■エリア例 鍵付キャビネット 応接室 パソコン 会議室 重要 サー バ (ログの 管 理) 書庫 金庫 共用スペース 保管スペース S2 受 付 給湯室 ★無断入室禁止の表示 トイレ ★入退出者監視装置の設置 S1 執務スペース S3 (施錠管 理) 配送 物の 集積 場所 玄関 レベル 1 エリア レベル 2 エリア レベル 3 エリア (アクセス記録を取る) 3.2 情報資産の管理 (1)情報資産の分類と分類に応じた取扱い 情報セキュリティ責任者は、「2.1情報セキュリティマネジメントシステムの構築」 の「(3)情報資産管理台帳の作成」で定めた情報資産の評価分類に応じて、各資産の管理 責任者を設定し、重要度別に適切なエリアで維持管理を行う。 ・重要度小の情報資産は、情報セキュリティレベル1以上のエリアに保管・保存する。 ・重要度中の情報資産は、情報セキュリティレベル2以上のエリアに保管・保存する。 ・重要度大の情報資産は、情報セキュリティレベル3以上のエリアに保管・保存する。 (2)情報資産の廃棄と再利用 現場事務所内のパソコンや共用のパソコン等情報機器を廃棄または再利用する場合は、 その重要度に合わせたルールを定めこれを実施する。また、情報機器によって作成・印刷 された文書等についても、その保存期間を明示するなどのルールを定めこれを実施する。 ■対策例 ・情報機器を廃棄する際は、機器(ハードディスクドライブ)を物理的に破壊する。 ・情報機器を再利用する際は、データ消去の専用ソフトウェアを使用する。 ・文書を廃棄する際はシュレッダ等を用い、情報漏えいを防止する。 ・情報漏えいに対して確実な情報セキュリティ対策を講じている信頼性の高い会社に 依頼して廃棄を行なう。この場合には、守秘義務等の必要な情報セキュリティ関連 要求事項を含んだ契約を締結するとともに、廃棄証明を取得する。 12 (3)配送物管理 現場事務所からの送付物、現場事務所への配送物に関するルールを定め、これを実施す る。 ■対策例 ・配送物の集積場所は、常に従業員の目が届く場所とする。 ・配送業者との受け渡しにおいては担当者が立会い、授受の記録をつける。 ・配送されてきた物に関しては、その場で本人に手渡しする。本人不在の場合は、机 等に放置せず、担当者が保管する。 (4)デジタル情報出力時の管理 FAX やプリンタ利用時は、情報流出防止のためのルールを定め、これを実施する。 ■対策例 ①FAX 利用時 ・誤送信の防止策として、送信前に再度相手先番号の確認を行う。特に重要な情報の 送信の場合は、複数名で確認し合う。 ・短縮番号等を利用する。ただし、相手先番号が変更されていないか等の定期的なチ ェックを行う。 ・送受信紙を FAX 上に放置しない。送信が終了するまで立会い、確認する。送信が完 了したらすぐに片付ける。 ・FAX 受信については、定められた担当者が受信文書を速やかに本人へ手渡しする。 本人不在の場合は、担当者が保管する。 ②プリンタ利用時 ・プリンタは、出力文書の重要度に応じて設置する情報セキュリティエリアを決定し 管理する。重要度の高い場合、ID カード等による認証出力機能つきプリンタの設置 も検討する。 ・プリンタから出力した用紙は、速やかに回収する。 ・近くにシュレッダを設置し、試し印刷など不要用紙をその場で廃棄できる環境とす る。 (5)現場事務所外での情報の取扱い 現場事務所外での情報の取扱いに関しては原則禁止とするが、業務上やむを得ず自宅等 での業務を許可する場合は、その取扱いルールを定め、これに沿った管理を行う。 13 ■対策例 ・現場事務所外での作業を行うときは、その上司および情報セキュリティ責任者の許 可を得なければならない。 ・取扱う情報機器は、会社貸与機以外の使用は禁止する。 ・外部からの現場事務所内ネットワークへの接続は、通信の暗号化および認証機能を 利用して実施する。 ・特に離席時の情報セキュリティ管理はスクリーンロック等の対策を講じ、家族や業 務に関係のない者がアクセスできないようにする。 ・情報機器の持出しに関しては、 「3.3.1 情報機器の運用管理」の「(3)情報機 器の持出し管理」を参照。 (6)関係者間での情報共有 現場事務所は、発注者や設計・監理者、協力会社等の社外関係者とデジタルデータ等の 情報共有(情報のやり取り)を行う場面が多い。その際の情報漏えいに十分留意し、取扱い ルールを定め、これに沿った管理を行う。 ■対策例 ・持ち出し可能な記憶媒体は原則利用しない。利用する場合は指紋認証、データの暗 号化等の情報セキュリティ対策を行なう。 ・電子メールにて情報のやり取りをする場合は、デジタルデータにパスワードロック をかける。また、送信宛先の間違いやデータの添付ミスがない様、十分留意する。 重要データを取り扱う場合は、複数人で管理する。 ・ASP 等の社外サーバを用いたサービスの利用については、取扱いルールを定め、こ れに沿った管理を行う。 (参考「JV 現場ネットワークの構築と運用ガイドライン」第2版) (7)従業員の識別と鍵の管理 従業員を一目で識別できるような方策を講じる。また、現場事務所内エリアの鍵は適切 に管理し、紛失時の対策も講じる。 ■対策例 ・現場内では制服を着用する。また、胸に社員証や名札を付けることを義務付ける。 ・鍵は、複数従業員の目の届くところにキーボックス等を設置し、格納する。 ・特に情報セキュリティレベル3エリアの鍵は担当者を決め厳重に管理する。 ・鍵の紛失が生じた場合は速やかに情報セキュリティ責任者に連絡し、早急に鍵の交 換を行う。 14 3.3 情報機器の維持管理 3.3.1 情報機器の運用管理 (1)情報機器の導入・利用時の管理 パソコン等情報機器を導入または利用する場合はそのルールを定め周知する。 ■対策例 ・情報機器を導入する場合は情報セキュリティ責任者の許可を得る。 ・申請および承認の記録は、申請書または台帳等の形式で管理する。 申請書または台帳で管理する項目の例 ・申請者 ・申請日 ・申請内容(パソコンの導入等) ・承認者 ・承認日 ・情報セキュリティ責任者は、業務上の必要性が認められる場合のみ承認する。また、 システム的な情報セキュリティ要件が満たされているかの確認を行う。 ・会社貸与機以外の使用は禁止する。 ・食事、トイレ、休憩、会議などで席を外す場合や、外出や退社の際には、第3者に よる不正な操作や盗み見を防止するため、ログアウトする、スクリーンロックを作 動させる、電源を落とすなどの対策を実施する。 ・重要な情報が格納された電子ファイルには、第3者による情報漏えいを防止するた め、パスワードによる開封制限機能や暗号化ソフトによる暗号化を利用するなどの 対策を実施する。 (2)情報機器の保護管理 パソコン等情報機器は、盗難・不正持ち出しの防止対策を行い実施する。 ■対策例 ・パソコン等情報機器は、情報セキュリティレベル2以上のエリアに設置する。特に 重要な情報を管理するサーバ等は、情報セキュリティレベル3エリアへの設置が望 ましい。 ・パソコンおよびサーバ等は、鍵付きのワイヤ等で事務机や床に固定する。 ・持出しが容易なノートパソコン等は、利用時以外は鍵のかかる引き出しやキャビネ ットに格納する。 (3)情報機器の持出し管理 パソコン等情報機器の現場事務所外への持出しは原則禁止とし、やむを得ず持出す必要 のある場合はそのルールを定め、これに沿った管理を行う。 15 ■対策例 ・情報機器を持出す場合は情報セキュリティ責任者の許可を得る。 ・情報セキュリティ責任者は、業務上の必要性が認められる場合のみ承認する。 ・申請および承認の記録は、申請書または台帳等の形式で管理する。 申請書または台帳で管理する項目の例 ・申請者 ・申請日 ・持出しが必要な期間 ・申請理由と主な保管情報 ・主な持出し場所 ・承認者 ・承認日(却下日) ・持出し終了確認日 ・情報セキュリティ管理者が遵守すべきルールを定め周知し、持出しを許可された者 がこれに沿った管理を行う。 遵守ルールの例 ・持出す場合には、常時携帯し、電車の網棚や車中に放置しない。 ・盗難、紛失、置き忘れ等に対する注意を払う。 ・持出しを行う情報機器や媒体には、必要な情報のみを保管する。 ・盗難や紛失等が発生した場合に備え、パスワード付きファイルの利用や暗号化 等の対策を行う。 ・飲酒時、または飲酒の可能性がある場合には、持ち運ばない。 ・破損を避けるため、梱包やパソコン用のカバンなどを利用して保護する。 ・予め許可された接続先以外のネットワークには接続しない。 ・他者に貸与しない。 ・第3者がのぞき見ることが可能な状況でパソコンを利用しない。 ・盗難・紛失が発生した場合、あるいはその可能性が疑われる場合には、速やか に情報セキュリティ責任者に連絡する。 (4)共有サーバの取扱い 現場事務所内に共有サーバを設置する場合は、サーバ管理者を決め、情報セキュリティ 対策を行い実施する。 ■対策例 ・共有サーバは、UPS(無停電電源装置)の導入やミラーリングなどの RAID(データ を複数のディスクに分散すること)を必要に応じて利用して、耐障害性の向上を図 る。 ・バックアップデータをメディアで保管する場合、鍵のかかるロッカー等に保管する。 16 ・共有サーバへのアクセスは、必要最低限の担当者に限定する。 利用者を限定するための対策例 JV 別、JV 構成会社別、役職別、協力会社別などのグループに分け、それぞれの グループに付与する権限を「参照」、「登録」、「変更」、「削除」などの単位で区 分する。また、それぞれのグループに対して、必要な権限のみを付与する。 ・アクセス制御に関わる承認は、情報セキュリティ責任者が行う。 ・アクセス制御に関するルールを定め、周知する。 ・ユーザ ID は、原則として個人単位に割り当て、共有 ID は利用しない。 ・やむを得ず、共有 ID を利用する場合には、共有 ID の利用者および利用期間を台帳 等に記録し、利用者が特定可能な状態にする。 ・関係者の異動、退職、契約の終了等がある場合には、アクセス権やユーザ ID の変 更、削除等の必要な手続きを可能な限り速やかに行う。 (5)取り外し可能な記憶媒体の管理運用 DVD、MO、USB メモリ、ポータブルハードディスク等持ち運びのできる記憶媒体の利用は 原則禁止とするが、業務上必要なときはそのルールを定め管理する。 ■対策例 ・持出し可能な記憶媒体を利用するときは、情報セキュリティ責任者の許可を得る。 ・情報セキュリティ責任者は、業務上の必要性が認められる場合のみ承認する。 ・利用媒体は、会社から貸与されるパスワードロック等のセキュリティ機能付き媒体 のみの利用とし、個人のものは利用しない。 ・申請および承認の記録は、申請書または台帳等の形式で管理する。 申請書または台帳で管理する項目の例 申請者記入欄: ・申請者 ・申請日 ・記憶媒体の利用期間 ・申請理由と主な保管情報 情報セキュリティ責任者記入欄: ・承認者 ・承認日 ・保管データの有無に関わらず、記憶媒体の保管場所は施錠するなど適切な管理を行 う。 ・媒体は、ラベル付けを行うなどの識別管理を行う。 ・USB メモリや MO などの繰り返し書き込みが可能な記憶媒体に書き込んだデータは、 利用後、速やかにデータを消去する。 17 ・盗難・紛失が発生した場合、あるいはその可能性が疑われる場合には、速やかに情 報セキュリティ責任者に連絡する。 ・情報セキュリティ責任者は、記憶媒体の紛失が発生していないかを確認するため、 定期的に棚卸しを実施する。 (6)記憶媒体の処分 利用済みの記憶媒体の処分はその重要度に合わせ処分方法をルール化し、これに沿った 管理を行う。 ■対策例 ・データ消去用の専用ソフトウェアを利用する。 ・媒体を物理的に破壊してから廃棄する。 ・設定を消去(初期化)する。 ・情報漏えいに対して確実な情報セキュリティ対策を講じている信頼性の高い会社に 依頼して廃棄を行う。この場合には、守秘義務等の必要な情報セキュリティ関連要 求事項を含んだ契約を締結するとともに、廃棄証明を取得する。 3.3.2 アクセス制御 (1)パスワードの管理 パソコン利用時のパスワードやデータフォルダ、ファイルのパスワードを必要に応じ設 定し、利用するルールを定めこれに沿った管理を行う。 ■対策例 ・パスワードは定期的な変更を義務付ける。 ・共有サーバ上のパスワードは、情報セキュリティ担当者が定期的に変更し、関係者 に伝える。 (2)共用機器の取扱い 現場事務所内での共有機器に関する情報セキュリティには特段の注意を払い、設定管理 する。 ■対策策 ・不特定多数が利用する共用パソコンは、フロッピーや CD 装置、USB 接続口等外部媒 体が接続できない機種を選択設置する。 ・現場事務所内 LAN 等への接続は、間にルータなどを設置し接続制御を行う。 18 3.3.3 ウィルス対策 ネットワークに接続されたパソコンがウィルスに感染すると、現場事務所内だけでなく 外部関係者や JV を構成している各社の情報システムを停止させてしまう恐れがある。ま た、ウィルス感染から情報漏えい事故につながることもあり、取引先の信用低下や感染 被害、情報漏えい事故による責任を問われることもあるので、ウィルス対策を確実に実 施することが極めて重要である。 ウィルス対策ソフトが導入できないサーバ(例えば Network Attached Storage 以下 NAS) やパソコンに対しては、ウィルスに感染しないよう現場ネットワーク全体で対策を行う。 このように多層的な情報セキュリティ対策を行うことで問題を発生させ難くすること ができるため、様々な方法を組み合わせて実施することが望ましい。 ■対策例 ・現場事務所内のパソコンおよびサーバには、ウィルス対策ソフト(自動更新できる 製品)を必ず導入する。 ・ウィルス対策ソフトでは、常に最新のパターンファイルおよび検索エンジンを使用 する ・メールソフトで、添付ファイルや html メールを自動的に開かないように設定する など、アプリケーションのセキュリティ機能を利用する。 ・知らない人からのメールに限らず、意味の分からない表題のメールは開封しない。 ・業務上必要のないホームページは閲覧しない。 ・情報セキュリティ担当者は、定期的に各パソコンのパターンファイルの更新が実施 されているかチェックする。 ・OS や利用ソフトウェアのセキュリティ修正プログラムについても、定期的に適用状 況をチェックする。 ・外部からのデータを利用する場合は、ウィルス感染がないことを確認し、利用する。 ・ウィルス対策ソフトが導入できない NAS 等は、ウィルス対策ソフトが導入されてい るパソコンからネットワークドライブとして割り当て、ウィルス対策ソフトの検索 対象にする。 3.3.4 ソフトウェアのインストール 現場事務所内の共有サーバや個人利用のパソコンには、各社で規定されているソフトウ ェア以外のプログラムをインストールすることや使用することは制限する。やむを得ない 場合は、情報セキュリティ責任者の了解のもと、セキュリティチェックなどを十分に行い インストール、使用する。 インストールするソフトウェアは、ライセンス違反を起こさないよう正規にライセンス されたものを導入する。 19 ■対策例 ・使用ソフトウェアを限定する。 ・定められたソフトウェア以外の使用・インストールは禁止する。 ・新規ソフトウェアの導入に関しては、情報セキュリティ責任者の許可を得て、情報 セキュリティ担当者の指示に従いインストールする。 ・ソフトウェアは、正規にライセンスされたものを利用し、違法コピーされたものは 利用しない。 ・ウィニーなどのファイル共有ソフトの使用・インストールは禁止する。(安易な利 用は、コンピュータウィルスの感染、情報漏えい事故の発生、著作権法違反等の危 険をはらんでいる。) 3.3.5 ログ(記録)の管理 (1)ログ(記録)の取得 現場事務所内サーバの正確なログを取得しておくことは、不正アクセスの発見や情報セ キュリティ事故が発生した場合の有力な証跡となることがあるので、その記録取得・保管 に努める。 ■対策例 ・現場事務所内の情報共有サーバのログを取得する。 ・各社の規定に従い、一定期間ログを保管する。 ・ウィルス対策ソフトのウィルス検索記録を取得する。 ・情報機器の設定情報を記録保管する。 ネットワーク機器などは、再起動を行うとログが消失する場合があるので機器 の管理者と相談のうえ再起動する。 (2) 現場事務所内のパソコンやサーバの内部時計の同期 現場事務所内での記録の正確性向上のために、現場事務所内の全てのパソコン・サー バなどの情報機器に対して、定期的に内部時計の時刻を合わせる。 ■対策例 ・インターネット時刻設定の出来る機種は、インターネットからの自動設定を行う。 ・各社のネットワークに Network Time Protocol Server(NTP サーバ)を設置し、その NTP サーバと時刻の同期を取る。 ・自動設定できない機器は、定期的に時刻の確認や時刻合わせを行う。 20 参考資料-1 情報セキュリティ基本方針【例】 情報セキュリティ基本方針 私たち建設業に携わる関係者は、建設現場での業務に関連する情報資産を情報漏え い事件や事故などの脅威から守るとともに、社会と発注者の信頼に応えるため、こ こに情報セキュリティ基本方針を定める。 1. 私たちは、建設現場での情報の管理にあたり、情報資産のセキュリティ確保を図 るための管理体制を構築し、定期的にその見直しを行うとともに必要に応じて改 善する。 2. 私たちは、物理的・人的・IT などの各側面からバランスよく情報セキュリティ対 策を講じ、情報漏えい等の問題を発生させない予防策を実施するとともに、万一 の問題発生に対しても迅速に対応する。 3. 私たちは、情報セキュリティ対策の推進について、運営体制を定め、役割と責任 者を明確にする。 4. 私たちは、現場事務所職員・協力会社職員、ならびに現場の管理下で業務に従事 する者に対して、本基本方針ならびに関連諸規程などの説明や教育を実施し、そ れに対する違反行為に対しては就業規則または契約に基づき明確な責任を求め る。 5. 私たちは、本基本方針ならびに関連諸規程などが周知・実行・維持され、かつ、 継続的改善が行なわれることを確実にするため、定期的にチェックを実施し、問 題点を明らかにし、これを解決する。 21 参考資料-2 情報資産管理台帳【例】 種別 記入日 作業所名 担当者名 重要度 *1 情報(代表例) 01一般共通事項 A_共通 工事請負契約書、工事発注覚書・・・ 大 B_官公署その他への届出手続き等 着工届、労働基準監督署(着工時/施工時/竣工時)、道路占用許可申請・・・ 中 A_品質管理 品質管理計画書、技術相談・品質不具合・クレーム対応・・・ 中 B_施工計画書 工事概要書、作業所長方針書・・・ 中 C_材料の品質・搬入・検査等 顧客支給品管理記録、顧客支給品検査記録・・・ 中 D_技能資格 技能資格者一覧表・・・ 小 E_施工確認報告 施工結果報告書、工事月報・・・ F_施工の検査等 試験・検査・記録または報告 中 02品質管理 中 G_工事・技術検査 躯体着工検査、竣工検査結果報告書(社内/設計/施主)、官公庁検査報告書・・・ 中 H_工法の提案 VE活動記録、VE提案書・・・ I_化学物質の濃度測定 シックハウス関連濃度測定結果報告書、 石綿除去作業届・・・ 中 A_工事の記録 質疑応答書、指示書・連絡書(施主・設計・諸官庁)、施主・設計打合せ記録・・・ 中 A_実施工程表 全体工程表、月間工程表、週間工程表・・・ 中 A_施工管理体制 施工体系図・施工体制台帳、作業所編成表(業務分担)・・・ B_施工管理技術者等 技術者届(監理・主任技術者等)、建設業許可届・現場代理人専任届・・・ 中 中 03工事関係記録 04工程表 05管理体制・施工条件 中 C_施工条件 近隣協定書、 近隣説明会および記録・・・ 中 D_ボーリング調査 地質調査報告書、地耐力試験記録・・・ 中 E_埋設物 文化財保護関連書類等・・・ 中 A_安全管理・環境保全 安全衛生管理計画書、安全衛生・品質・環境点検日誌、新規入場者記録・・・ 中 B_建設計画届 建設工事計画届・・・ 中 C_交通安全管理 工事材料搬送・通行計画書・・・ 小 D_災害時の安全確保 災害等の安全計画書、緊急連絡体制表・緊急時業務分担表・・・ 小 A_環境関連計画書・実施報告書 環境行動実施計画書・報告書、建設廃棄物処理計画書・報告書・・・ 中 A_完成時の提出書類 竣工届、竣工引渡書・部分引渡書、保守管理連絡先一覧表、竣工図・・・ 中 A_施工(生産設計)図等 仮設計画図、躯体図、施工図(設備含む)・・・ B_設計図 配置図および案内図、各階平面図、各立面図・・・ 中 C_完成図 配置図および案内図、各階平面図、各立面図、特記仕様書・・・ 中 ネガ、プリント、電子ファイル・・・ 中 06安全管理 07環境管理 08完成時提出書類 09図面 中 10工事写真 22 保管場所 管理責任者 閉所時の取扱い *2 備考 記入日 作業所名 担当者名 種別 重要度 *1 情報(代表例) 保管場所 管理責任者 閉所時の取扱い *2 備考 11各工種・科目毎の情報 A_計画 中 B_管理 中 C_報告 中 D_その他 中 予実管理資料、見積依頼書、見積書・・・ 大 パソコン サーバ プリンタ スキャナ 外付けハードディスク LANディスク 外部記憶メディア(DVD、MO、USBメモリ・・・) プロッタ コピー機 FAX 複合機 ネットワーク機器 携帯電話 中 大 小 小 中 中 パソコン サーバ 小 小 オフィス CAD 写真管理 文書管理 圧縮・解凍 セキュリティ Webブラウザ メール 社内業務ソフト 中 中 中 中 中 中 中 中 中 12原価管理情報 13OA機器 重要度は記録されている情報による 小 小 小 小 中 中 14OS 15ソフト *1 重要度の判定は以下の基準による。ただし、必要な場合は分類内個々の情報ごとに判定を行う。また、当然工事案件によっても見直しが必要である。 重要度 小 漏えいや喪失した場合、業務への影響が比較的小さい情報資産 重要度 中 漏えいや喪失した場合、業務に大きな影響を与える可能性のある情報資産 重要度 大 漏えいや喪失した場合、事業の継続に大きな影響を与える可能性のある情報資産 *2 「閉所時の取扱い」については、閉所時に情報資産をどのように取扱ったか(廃棄・返却・保管など)を記入し、備考欄に廃棄業者・返却先・保管場所等を記入して情報資産管理台帳を記録として保管する。 23 参考資料-3 情報セキュリティチェックリスト【例】 チェック項目 対応方法 時期 大項目 中項目 小項目 1 情報セキュリ ティマネジメン トシステムの 構築 1 基本方針の 制定 1 情報セキュリティ基本方針の制定 現場所長が本ガイドラインの「情報セキュリティ基本方針(例)」を参考に 作成する。会社の方針がある場合は、それを流用しても良い。 2 JV現場の場合 スポンサー会社の方針を用いる。方針がない場合は、本ガイドライン の「情報セキュリティ基本方針(例)」を参考にスポンサー会社が作成 し、JV協議会等にて調整する。 1 情報セキュリティ責任者、情報セ キュリティ担当者の選任 現場所長が任命し、役割を認識させる。「施工体制図」に情報セキュリ ティ上の役割を追記する。 2 事故発生時の連絡体制の制定 現場事務所内、および本支店との連絡体制を制定する。JVの場合は JV構成会社各社の本支店を含む。 1 情報資産管理台帳の作成 情報セキュリティ責任者が本ガイドラインの「情報資産管理台帳(例)」 を参考に、情報資産を洗い出し、重要度を決定する。 2 管理体制の 整備 現 場 開 設 時 3 情報資産管 理台帳の作 成 2 情報セキュリ ティ対策の実 施 1 情報セキュリ ティセキュリ ティマネジメン トシステムの 運用 1 情報セキュリ ティ教育の実 施 2 運用状況の 確認と改善 情報セキュリティ責任者が情報資産毎に、保管場所、管理責任者、閉 所時の取扱を決定し、情報資産管理台帳を完成させる。 1 事務所レイアウトの確定 情報漏えいや盗難などの対策を考慮した事務所レイアウトを確定し、 エリアのセキュリティレベルを明確にする。 2 保安設備の確定 「無断入室禁止」の表示や監視装置、施錠箇所等を確定する。 3 ネットワーク構成の確定・構築 ルータ、HUB等の設置場所は、情報漏えいや盗難などを考慮して決定 し、ネットワークを構築する。 1 「情報セキュリティ基本方針」の宣 言や「情報セキュリティ管理体制」 の周知 朝礼での口頭による伝達や、関係者が良く閲覧する掲示板等への掲 示を実施し、従業員や協力会社、委託先等に周知を行なう。 2 情報セキュリティ教育の定期的実 施 年1回以上の頻度で実施する。単独の実施に限らず、安全教育などと 一体で実施しても良い。また、集合教育だけでなく、状況のヒアリング や、チェックリストによる自己チェック、eラーニングを実施する方法もあ る。 図面の授受・廃棄の指示等を従業員、協力会社にヒアリングして確認 するなど、日常的に情報資産管理状況を確認する。 1 日常的な運用状況の確認 2 定期的な確認と問題点・不備の改 当チェックリストを活用し、定期的(年1回以上)に運用状況の確認を行 善 なう。問題点や不備が発見された場合は必要な改善を行なう。 3 協力会社・委 託先の管理 3 改善時の周知 改善した場合は、その都度、従業員や協力会社・委託先に周知する。 1 協力会社・委託先のチェック 協力会社・委託先が情報セキュリティに関する具体的なルールや手順 を遵守できるかのチェックを行う。 2 協力会社・委託先の実施状況確認 協力会社、委託先が情報セキュリティに関する具体的なルールや手順 を遵守しているかを確認し、基準を満たしていない場合は、改善要求し 対応状況を確認する。 4 秘密保持契 約 2 情報資産の 管理 3 配送物管理 施 工 中 4 デジタル情報 出力時の管 理 1 FAX利用時 2 プリンタ、コ ピー、スキャ ナ利用時 5 現場外での情 報資産の取 扱い 1 秘密保持契約締結の確認 発注者と締結した契約書の秘密保持条項や情報セキュリティ関連事 項を確認し、その内容が協力会社・委託先との下請負契約・業務委託 契約の特記事項や条件書などに付記されていることを確認する。 2 契約内容の遵守状況の確認 秘密保持契約内容を遵守しているか定期的に確認を行なう。 1 情報資産の管理状況確認 情報資産が「情報資産管理台帳」で定めた保管場所で保管されている かどうかを確認する。 2 情報資産台帳の維持管理 新たな資産の追加、廃棄資産の削除、担当者や保管場所の変更など を確認し、「情報資産管理台帳」を最新の状況に更新する。 3 情報資産の廃棄 守秘義務契約を結んだ委託先に情報資産の廃棄を委託し、廃棄証明 を取得する。 1 集配場所の設定 配送物の集配場所は、従業員の目が届く場所とする。 2 配送物の受渡し方法 配送業者との受渡しは、授受の記録をつけるが、宅配便の場合は伝 票で良い。本人へは手渡しを原則とし、不在の場合は保管する。 1 誤送防止策 短縮番号の利用と登録番号の定期的チェック、送信前の相手先番号 の確認と送信後の相手先への確認などを行なう。 2 送受信情報の管理 送受信の用紙をFAX上に放置しない。 送信時には送信完了を確認し、すぐ片付ける。 1 設置場所の選定 プリンタ、コピー、スキャナ等は第3者の出入りの少ない場所に設置す る。 2 利用方法 入出力情報を機器上に放置しない。 重要な情報が記載された書類を裏紙として利用しない。 3 不要用紙の廃棄 出力ミス等の不要な用紙はその場で廃棄させるため、近くにシュレッダ を設置するなど、廃棄しやすい環境を準備する。 1 情報資産の持出し 現場外への情報資産の持出しは、原則禁止とする。業務上やむを得 ず現場外に情報資産を持出す場合は、上司および所属長の許可を得 るなどの対応を行う。 重要な情報資産に関しては「情報資産持出記録」等を作成し持出し状 況を把握出来るようにする。 2 アクセス制限 現場外へ持出すパソコンは、本人以外には利用させないようにする。 1 記憶媒体の取扱い 持出し可能な記録媒体は原則利用禁止とする。利用可能とする場合 は、指紋認証、データの暗号化、パスワード設定等を行なう。 2 電子メールの利用 電子メールにて重要な情報をやり取りする場合は、添付ファイルにパ スワード設定を行なう。 3 ASP等のサービス利用 ASP等の社外サーバを用いたサービスを利用する関係者は、取扱 ルールを定めルールに沿った管理を行なう。 7 従業員の識 別 1 識別方法 従業員に制服・社員証・名札の着用の義務付けなど、従業員であるこ とが一目で識別出来る方法を定める。 8 鍵の管理 1 キーボックスの設置 複数従業員の目の届くところにキーボックス等を設置し、管理する。 2 重要度大の情報資産保管場所の 鍵管理 重要な情報資産を保管している鍵は、管理者を定めその他の鍵と分け て厳重に管理する。「鍵貸し出し記録」を付けることが望ましい。鍵が紛 失した場合、早急に鍵の付け替えを実施する。 6 社外関係者と の情報共有に ついて 24 チェ ック 備考 チェック項目 時期 対応方法 大項目 中項目 9 情報機器の 導入・利用時 の管理 10 情報機器の 保護管理 11 共有サーバ の取扱い 1 障害対策 2 アクセス権限 管理 12 取り外し可能 な記憶媒体の 管理運用 13 記憶媒体 (USBメモリ、 USB-HDD、 DVD、CDな ど)の処分 14 アクセス制御 施 工 中 1 パスワードの 管理 小項目 1 情報機器の導入 会社貸与機以外の使用は禁止。機器導入時は、申請書の記載、セ キュリティ要件の確認、承認等の手続きを定め、「情報資産管理台帳」 に記録する。 2 離席時の対応 離席時には、スクリーンセーバを作動させる、ログアウトする、電源を 落とす等の対策を実施する。 1 情報機器の設置 パソコン等の情報機器は、第3者が出入りできない場所に設置する。 サーバ等の重要な情報機器は、施錠できる場所に設置する。 2 情報機器の固定 情報機器は、鍵付きのワイヤ等で固定する。 3 ノートパソコン等の保管 ノートパソコン等は、利用時以外は鍵のかかる引き出しやキャビネット に保管する。 1 共有サーバの設定 共有サーバに、UPS(無停電電源装置)の導入やミラーリングなどの RAID(データを複数のディスクに分散すること)を設定する。 2 バックアップ 定期的にバックアップを実施し、バックアップメディアを鍵のかかるロッ カー等に保管する。 1 アクセス制御ルールの制定・周知 アクセス制御(参照、登録、変更、削除)に関するルールを定め、周知す る。 2 管理者の設定 アクセス制御の設定を実施するサーバ管理者を定め、サーバ管理者 以外の人がアクセス制御を変更出来ないようにする。 3 ユーザID管理方針 ユーザIDは、個人に割り当て、共有IDは利用しない。共有IDを利用す る場合は、台帳管理を行なう。 4 ユーザID管理手続き 関係者の異動、退職、契約の終了等がある場合には、アクセス権や ユーザIDの変更、削除等を速やか実施する。定期的な棚卸しと組み合 わせて実施してもよい。 1 記憶媒体の利用方針 持ち運びできる記憶媒体の利用は原則禁止とするか、業務上の必要 性を考慮した許可制とするか、パスワードロック等の情報セキュリティ 機能付の製品に限定するか、などの利用方針を定める。 2 記憶媒体の管理手続き 利用時の申請、承認、台帳への記録、定期的な棚卸し等の管理上の 手続きを定める。 3 利用上の遵守事項 保管場所の施錠、利用後の速やかなデータ消去、ラベルによる識別管 理等の遵守事項を行う。 1 媒体の廃棄 DVDやCDはカッターなどで傷をつけ読み取り不能にし、USBメモリや USB-HDDなどは、専用ソフトウェアで初期化したり、物理的に破壊し て廃棄する。 2 媒体廃棄の外部委託 媒体の廃棄を外部の委託先に委託する場合、会社(情報システム部 門等)が推奨する委託先に依頼する。 1 パスワード設定方法 8文字以上のパスワードを設定する、英字と数字を混在させる、誕生 日等の安易なパスワードを設定しない、など会社のルールに則り設定 する。 2 現場共有サーバのパスワード変更 実施のタイミングは、年1回、四半期に1回等、状況に応じてセキュリ ティ担当者が変更し、関係者に伝える。 2 共用機器の 取扱い 15 ウィルス対策 について 1 外部機器の接続 共用パソコンには、外部機器等の接続をさせない。(USBが利用出来な い設定とする。USBの接続口がない機種とするなどが考えられる。) 2 ネットワークへの接続 現場事務所内LAN等への接続にルータなどを設置し接続制御を実施 する。 1 ウイルス対策ソフトの導入・設定 パソコンおよびサーバには、ウィルス対策ソフト(自動更新できる製品) を導入し、パターンファイルを常に最新に維持する。自動更新が実施さ れていない場合は、定期的に担当者がチェックを行なう。 2 メールソフトの設定、利用方法 添付ファイルやhtmlメールを自動的に開かないように設定する。知らな い人からのメールや意味の分からない表題のメールは開封しない。 3 インターネットの利用方法 業務上必要のないホームページは閲覧しない。 4 OS等のバージョンアップ OSや利用ソフトは、最新バージョンを適用するよう定期的に確認する。 (WindowsUpdateの適用など) 5 外部から受領したデータの利用 外部から受領したデータを利用する場合、ウィルス感染がないことを確 認してから利用する。 6 ウィルス対策ソフトが導入できない ウィルス対策ソフトが導入できないNAS等を利用する場合、パソコン利 場合 用者はウィルス対策ソフトが導入されているパソコンからネットワークド ライブとして割り当て、ウィルス対策ソフトの検索対象とする。 16 ソフトウェアの インストール について 17 ログ(記録)の 管理 18 事故発生時 の対応 1 情報資産の 確認 現 場 閉 所 時 1 使用ソフトウェアの限定 定められたソフトウェア以外の利用は禁止する。または、利用禁止ソフ ト(特にウィニー等)を明確にする。 2 新規ソフトウェアの導入 新規ソフトウェアを導入する場合の手続きを明確化する。(申請書、承 認等) 3 ライセンス管理 正規にライセンスされたソフトウェアを利用し、違法にコピーしたソフト ウェアの利用を禁止する。また、ソフトウエアの管理台帳を作成する。 情報資産の管理台帳と分けてもよい。 1 ログ(記録)の 取得 1 サーバのログの管理 現場事務所内のサーバのログを取得し、ログの保管期間を定める。ま た、ウィルス対策ソフトのウィルス検索記録やネットワーク機器の設定 情報等についてもログ取得を検討する。 2 内部時計の 同期 1 パソコンやサーバの内部時計の設 インターネットからの自動設定や正しい時刻を送信するサーバ(NTP 定 サーバ)の設置を検討する。 2 定期的な確認 自動設定できない場合は、定期的に時刻を確認する。 1 再発防止策の実施 情報セキュリティ事故の原因を調査・分析し、再発防止策を実施する。 2 再発防止策の周知 新たに再発防止策を制定した場合は、関係者全員に周知する。 1 情報機器の廃棄・返却 「情報資産管理台帳」をもとに、廃棄・返却等の確認を行なう。廃棄す る場合は情報機器を物理的に破壊し、データを読み取り不能にする。 リース等の返却を行う場合はデータ消去ツールでデータを消去してか ら返却する。 次の建設現場に情報機器を転用する場合は、設定情報や不要なデー タを全て削除する。または初期化をしてもよい。 2 情報機器の転用 3 アクセス権の削除 サーバのユーザIDやアクセス権の設定を削除する。 4 協力会社からの回収 協力会社へ渡した情報等は、回収または廃棄するように指示する。ま た、必要に応じて削除報告書を提出させる。 25 チェ ック 備考 あとがき 本ガイドラインの編集にあたっては、(社)建築業協会および(社)日本土木工業協会にお いて長年建設業におけるIT利用の研究に携わってこられた方々、さらに社内において情報 ネットワークの企画・構築および情報セキュリティの確立に従事されている方々にご協力 を仰ぎ、それぞれの専門分野において執筆していただいた。 今後、建設現場においてはコンピュータネットワーク導入による受発注者間や自社内、 協力会社間、また、他業種間での情報共有が増加していくことは明かであり、そのような 環境下で作業所の情報セキュリティを如何に確保していくかを、本ガイドラインに記述さ れた内容を基本として整備促進されていくことが望まれる。また、これからのインターネ ットを中心とするITの目覚しい進歩を考えると、数年先には本ガイドラインの内容も陳腐 化してしまっている恐れが十分考えられる。 今後とも先進的なITの調査を継続しつつ、時機に即した建設現場でのISMS(情報セキュ リティマネジメントシステム)構築に有用な技術を本ガイドラインに反映すべく適宜改訂 を行っていく予定である。 執筆委員(敬称略、五十音順) 池端 裕之(戸田建設) 太田 忠宏(鹿島建設) 大山 信一(三井住友建設) 河崎 充(大林組) 北沢 孝宗(鹿島建設) 高馬 洋一(間組) 児山 満(前田建設工業) 柴田 耕作(三菱マテリアル) 高橋 均(竹中工務店) 田中 雄一(フジタ) 豆腐谷 洋一(竹中工務店) 友枝 幸一(戸田建設) 長谷 芳春(三井住友建設) 平井 明(大成建設) 平野 岳志(オリエンタル白石) 平原 昇(東亜建設工業) 藤野 芳徳(前田建設工業) 松本 善太(清水建設) 宮田 康弘(間組) ※無断での転載を禁じます。 本書に関する問い合わせ先: (社)建 築 業 協 会 E-mail: [email protected] http://www.bcs.or.jp/ (社)日本土木工業協会 E-mail: [email protected] http://www.dokokyo.or.jp/ 26
© Copyright 2024 Paperzz