日本版DBS(こども性暴力防止法)-外部からの不正アクセス防止の基本措置

想定されるリスク

• 悪意のある第三者による不正アクセスで情報が漏えいする
• 不正アクセスによる情報改ざん
• ビジネスメール詐欺による情報窃取（例：こども家庭庁を装った情報取得）

標準的な対策

• 犯罪事実確認記録等を扱う情報システムのOSやアプリケーションは、サポート期限切れにならない製品を利用し、常に最新のバージョンを維持する
• PC等の端末にアンチウイルスソフトウェアを導入し、不正ソフトの有無を確認する
• 業務上不要なインターネット通信を制限する
• ログの定期分析により、不正アクセスの兆候を検知する

具体的な措置例

• 情報システムと外部ネットワーク接続箇所にファイアウォールを設置
• OS標準のフィルタリング機能や通信キャリア・プロバイダのセキュリティサービスを活用
• 複数ネットワークを構築し、犯罪事実確認記録等を扱う回線は専用ネットワークにしてアクセス制限を実施
• 多層防御の実施例：
  • ファイアウォール設置
  • ネットワーク分離・アクセス制限
  • ファイルや通信データの暗号化
  • IDS/IPSによる不正アクセス検知・遮断
  • DLPによる情報漏えい防止

情報システム利用時の漏えい防止

想定されるリスク

• マルウェア感染による情報漏えい
• 従事者の過失による組織内情報共有ツールへの漏えい
• クラウドサービスへの不正アクセスや設定不備による情報漏えい

標準的な対策

• 情報システムの設計段階から安全性を確保し、継続的に見直す
• 犯罪事実確認記録等を含む通信の経路や内容を暗号化する
• 移送時のデータにパスワード等で保護を施す
• クラウドサービスを利用する場合、国内法が適用される拠点かつISMAP基準を満たすサービスを選定する
• 海外拠点でデータ保存する場合には、現地の個人情報保護制度を確認し、必要かつ適切な対策を講じる

アクセス管理

• 犯罪事実確認記録等を保存する場合、保存場所を分離し、アクセス権を持つ者のIDからのみアクセス可能とする
• 情報システムへのアクセスにはユーザーIDによる識別を行い、パスワード、磁気・ICカード、生体認証、ワンタイムパスワード、PIN入力などを組み合わせた多要素認証を実施する

多層防御による組織的対策

• 組織全体で管理されるネットワークを設置し、外部からの不正アクセス防止策を複数組み合わせた多層防御を行う
• 不正アクセスやウイルス感染が1つのネットワークで発生しても、他のネットワークや犯罪事実確認記録等への影響を最小化する