External Supplier Control Requirements

外部サプライヤー管理要件
サイバーセキュリティー
低サイバーリスクに分類されたサプライヤー用
2015年7月付け第6.0版
サイバーセキュリ
ティー要件
1.資産保護とシステム設
定
説明
本件が重要である理由
Barclays Data
および資産、または、それを格納または処理するシステムは、
物理的改ざん、損失、損害または強制、および、不適切な設定
この原則が履行されない場合、不適切に保護されたBarclays Data
は危害を受ける可能性があり、法律上および規制上の制裁、または、名声の
毀損を招くおそれがあります。
同様に、Barclays Data
への不正アクセス、サービスの損失、または、他の悪意ある行為を可能にす
るセキュリティー上の問題に対して、サービスが脆弱になる可能性がありま
または変更から保護しなければなりません。
す。
2.変更とパッチの管理
Barclays Data
およびその格納または処理に使用されるすべてのシステムは、
有効性や整合性に危害を加える可能性がある不適切な変更から
この原則が履行されない場合、消費者データが危害を受けたり、サービスの
損失、または、他の悪意ある行為を可能にしたりする、セキュリテーィ上の
問題に対して、サービスが脆弱になる可能性があります。
保護することが必要です。
3.クラウド/インターネッ
トコンピューティング
公開インターネット接続のクラウドに格納された Barclays
Data
は、データ漏洩を防止するために、適切な管理によって保護し
この原則が履行されない場合、不適切に保護されたBarclays Data
は危害を受ける可能性があり、法律上および規制上の制裁、または、名声の
毀損を招くおそれがあります。
なければなりません。
4.サイバーセキュリティ
リスク管理
Barclays Data
および重要なインフラストラクチャーは、ふさわしい人員とテ
クノロジー管理によって適切に保護し、サイバー攻撃後のサー
ビス中断を防止しなければなりません。
サイバーリスク評価：
組織運営、資産および個人へのサイバーセキュリティリスクプ
ロフィールは、次の観点から理解しなければなりません
•
資産アクセスの脆弱性
•
内部および外部両方の脅威の特定；および
•
ビジネスへの影響の可能性評価
リスクと脅威を特定し、軽減するために、優先順位を付けてそ
2015年7月付け第6.0版
この原則が履行されない場合、秘密情報が曝露され、および/または、サー
ビスの損失が発生する可能性があり、法律上および規制上の制裁、または、
名声の毀損を招く場合があります。
れに従って措置を取らなければなりません。
サイバーセキュリ
ティー要件
4.サイバーセキュリティ
リスク管理（続き）
説明
本件が重要である理由
サイバーセキュリティーガバナンス：
適切なサイバーセキュリティーガバナンスを制定し、以下を担
保しなければなりません：
•
情報セキュリティーとサプライヤーのビジネスを統合
することに一貫した責任を負う、専門家情報/サイバ
ーセキュリティー機能が確立していること
•
サプライヤーの規制上、法律上、サイバーリスク上、
環境上、および、運用上の要件が、理解され、文書化
され、整備され、年1回のベースで上級経営陣により
承認されることを管理し、監視するポリシー、手順、
および、プロセス
インシデント対応：
セキュリティーインシデントやデータ侵害に対応し、Barclays
に報告しなければなりません。Barclays Data
および/あるいは Barclays
により使用されるサービスに関連する侵入を、タイムリーに処
理し報告する、インシデント対応プロセスを確立することが必
要です。これには、フォレンジック調査への適切なアプローチ
が含まれる必要があります。
5.マルウェア保護
6.ネットワークセキュリ
2015年7月付け第6.0版
ウィルスや他の形式のマルウェアなどの悪意あるソフトウェア
から適切に保護するために、マルウェア対策管理とツールを整
備しなければなりません。
この原則が履行されない場合、秘密情報が曝露され、法律上および規制上の
サービスの一部として、外部および内部ネットワークのすべて
を特定し、それを通した攻撃に対して、防御を行うため適切な
この原則が履行されない場合、外部または内部ネットワークは、その内部サ
ービスまたはデータにアクセスしようとする攻撃者により、弱体化されるお
制裁、または、名声の毀損を招く場合があります。
ティー
保護をしなければなりません。
それがあります。
外部接続：
ネットワークへのすべての外部接続は文書記録し、ファイヤー
ウォールを経由させ、接続が確立される前に検証し承認するこ
とで、データセキュリティー違反を防止しなければなりません
サイバーセキュリ
ティー要件
6.ネットワークセキュリ
ティー（続き）
説明
本件が重要である理由
無線アクセス：
ネットワークへのすべての無線アクセスは、セキュリティー違
反を防止するために、承認、認証、分離、暗号化プロトコルを
条件とし、Barclays による承認を受けなければなりません
侵入検知/防止：
侵入検知、防止システムおよびツールをネットワークの適切な
位置に配置し、持続的標的型攻撃（APT）を含む、サイバーセ
キュリティー違反を検知するために、アウトプットを監視しな
ければなりません。
分散サービス妨害（DDoS）：
多層防御アプローチを、ネットワークと主要システムに実装し
、サイバー攻撃によるサービス中断を常時、防止しなければな
りません。これには、サービス妨害（DoS）および分散サービ
ス妨害（DDoS）攻撃が含まれます。
7.セキュリティーの高い
開発
モバイルアプリケーションを含むサービスやシステムは、その
セキュリティーに関する脆弱性や脅威を軽減し、保護するよう
この原則が履行されない場合、消費者データが危害を受けたり、サービスの
損失、または、他の悪意ある行為を可能にしたりする、セキュリテーィ上の
に設計・開発しなければなりません。
問題に対して、サービスが脆弱になる可能性があります。
セキュリティーの高い開発の方法論：
すべての開発は、承認され文書化された「システム開発方法論
」に沿って取り組まれ、常時、セキュリティーの脆弱性を防止
し、脆弱性を修正しなければなりません。
2015年7月付け第6.0版
環境の分離：
すべてのシステム開発/構築は、非運用環境で取り扱い、任務
を強制的に分離して、データ漏洩や不意のデータ改ざん/削除
を防止しなければなりません。事前にBarclays
によって合意されていない場合、実データでテストすることは
できません。
サイバーセキュリ
ティー要件
7.セキュリティーの高い
説明
重要である理由
品質保証：
開発（続き）
品質保証機能は、すべての主要なセキュリティー活動がシステ
ム開発プロセスに組み込まれ、サービス中断やセキュリティー
脆弱性を防止していることを確認しなけれなりません。
8.セキュリティー評価
8.セキュリティー評価（
続き）
ソフトウェア、IT
システムおよびサービスは、脆弱性を、単独で、徹底的にテス
この原則が履行されない場合、秘密情報が曝露され、および/または、サー
ビスの損失が発生する可能性があり、法律上および規制上の制裁、または、
トしなければなりません。
名声の毀損を招く場合があります。
侵入試験
サプライヤーは、災害復旧サイトを含めた、 IT
インフラストラクチャーの単独の IT セキュリティー評価 /
侵入試験を保証しなければなりません。このことは、サイバー攻撃により
Barclays Data
のプライバシーを侵すために利用されるおそれがある脆弱性を特定するため
に、少なくとも年1回実施しなければなりません。すべての脆弱性は、解決
のために、優先順位を付けて追跡しなければなりません。テストは、業界の
適切な慣行に沿って、認知されたセキュリティー評価業者によって取り組ま
なければなりません。
2015年7月付け第6.0版
セキュリティー評価は、以下の目的で、サプライヤーのシステムで実行されるテストを意味します：
a) アプリケーション上、または、インフラストラクチャー上の設計および/または機能上の問題の特定；
b) アプリケーション、ネットワーク外縁、または、他のインフラストラクチャー要素の弱点、および、プロセスまたは技術的対策の
弱点の精査；
c) 不十分または不適切なシステム設定に起因する脆弱性、既知および/または未知のハードウェアの欠陥の特定。悪意ある活動による
サプライヤーまたは Barclays
のリスクを露呈させることができる、次の例のインフラストラクチャーおよびアプリケーションのテストを含みますが、これらに
限定されません；
i.
無効またはサニタイズされていない入力；
ii.
破損したアクセス管理；
iii.
破損した認証とセッション管理；
iv.
クロスサイトスクリプティング（XSS）欠陥；
v.
バッファオーバーフロー；
vi.
インジェクション欠陥；
vii.
不適切なエラー処理；
viii.
セキュリティーの低いストレージ；
ix.
サービス妨害；
x.
セキュリティーの低い設定管理；
xi.
SSL/TLSの適切な使用；
xii.
暗号化の適切な使用；および
xiii.
ウィルス対策の信頼性と試験。
この評価は、通常、一般に侵入試験と呼ばれる作業も含みます。
セキュリティー評価業者とは、セキュリティー評価を実行するために契約された、適切に認定されたサードパーティーを意味します。
2015年7月付け第6.0版
ITセキュリ
ティー要件
説明
本件が重要である理由
9.システム監
システムの監視、監査、ログ記録は、不適切または悪意あ
この原則が履行されない場合、サプライヤーは、彼らのサービスまたはデータの不適切また
視
る活動を検知するため、整備しなければなりません。
は悪意ある利用を、妥当なタイムスケール内に検知して対応することができません。
2015年7月付け第6.0版

Download Report