コンピュータウイルス対策基準

コンピュータウイルス対策基準(通商産業省告示第４２９号抜粋）

Ⅳ．システムユーザ基準

１．ソフトウェア管理
（１）ソフトウェアは、販売著又は配布責任著の連絡先及ぴ更新情報が明確なものを入手すること。
（２）オリジナルプログラムは、ライトプロテクト措置、バックアップの確保等の安全な方法で保管すること。

２．運用管理
（１）外部より入手したファイル及び共用するファイル媒体は、ウイルス検査後に利用すること。
（２）ウイルス感染の被害が最小となるよう、システムの利用は、いったん初期状態にしてから行うこと。
（３）ウイルス感染を早期に発見するため、システムの動作の変化に注意すること。
（４）ウイルス感染を早期に発見するため、最新のワクチンの利用等により定期的にウイルス検査を行うこと。
（５）不正アクセスによるウイルス被害を防止するため、パスワードは容易に推測されないように設定し、その秘密を保つこと。
（６）不正アクセスによるウイルス被害を防止するため、パスワードは随時変更すること。
（７）不正アクセスによるウイルス被害を防止するため、システムのユーザＩＤを共用しないこと。
（８）不正アクセスによるウイルス被害を防止するため、アクセス履歴を確認すること。
（９）不正アクセスによるウイルス被害を防止するため、機密情報を格納しているファイルを厳重に管理すること。
（１０）システムを悪用されないため、入力待ちの状態で放置しないこと。
（１１）ウイルス感染を防止するため、出所不明のソフトウェアは利用しないこと。
（１２）ウイルスの被害に備えるため、ファイルのバックアップを定期的に行い、一定期間保管すること。

３．事後対応
（１）ウイルスに感染した場合は、感染したシステムの使用を中止し、システム管理者に連絡して、指示に従うこと。
（２）ウイルス被害の拡大を防止するため、システムの復旧は、システム管理者の指示に従うこと。
（３）ウイルス被害の拡大を防止するため、感染したプログラムを含むフロッピーディスク等は破棄すること。

４．監査
（１）ウイルス対策の実効性を高めるため、ウイルス対策についてのシステム監査の報告を受け、必要な対策を講ずること。

Ｖ．システム管理者基準

１．コンピュータ管理
（１）ウイルス対策を円滑に行うため、コンピュータの管理体制を明確にすること。
（２）ウイルス感染を防止するため、機器を導入する場合は、ウイルス検査を行うこと。
（３）ウイルス感染を防止するため、コンピュータにソフトウェアを導入する場合は、ウイルス検査を行うこと。
（４）ウイルス被害に備えるため、システムにインストールした全ソフトウェアの構成情報を保存すること。
（５）オリジナルプログラムは、ライトプロテクト措置、バックアップの確保等の安全な方法で保管すること。
（６）不正アクセスによるウイルス被害を防止するため、システムのユーザ数及ぴユーザのアクセス権限を必要最小限に設定すること。
（７）ウイルス被害を防止するため、共用プログラムが格納されているディレクトリに対するシステムのユーザの書き込みを禁止すること。
（８）ウイルス被害を防止するため、システム運営に必要のないプログラムは削除すること。

２．ネットワーク管理
（１）ウイルス対策を円滑に行うため、ネットワークの管理体制を明確にすること。
（２）ウイルスに感染した場合の被害範囲を特定するため、ネットワーク接続機器の設置状況をあらかじめ記録し、管理すること。
（３）ウイルス被害に備えるため、緊急時の連絡体制を定め、周知・徹底すること。
（４）不正アクセスによるウイルス被害を防止するため、ネットワーク管理情報のセキュリティを確保すること。
（５）不正アクセスによるウイルス被害を防止するため、外部ネットワークと接続する機器のセキュリティを確保すること。

３．運用管理
（１）システムの重要情報の管理体制を明確にすること。
（２）不正アクセスからシステムの重要情報を保護するため、システムが有するセキュリティ機能を活用すること。
（３）パスワードを容易に推測されないようにするため、安易なパスワード設定を排除すること。
（４）ウイルスの被害に備えるため、運用システムのバックアップを定期的に行い、一定期間保管すること。
（５）ウイルスの被害を防止するため、匿名で利用できるサービスは限定すること。
（６）不正アクセスを発見するため、アクセス履歴を定期的に分析すること。
（７）ウイルス感染を早期に発見するため、システムの動作を監視すること。
（８）ウイルス感染を早期に発見するため、最新のワクチンの利用等により定期的にウイルス検査を行うこと。
（９）システムの異常が発見された場合は、速やかに原因を究明すること。

４．事後対応
（１）ウイルス感染の拡大を防止するため、感染したシステムの使用を中止すること。
（２）ウイルス感染の拡大を防止するため、必要な情報をシステムユーザに、速やかに通知すること。
（３）ウイルス被害の状況を把握するため、ウイルスの種類及び感染範囲の解明に努めること。
（４）安全な復旧手順を確立して、システムの復旧作業にあたること。
（５）ウイルス被害の再発を防止するため、原因を分析し、再発防止対策を講ずること。
（６）ウイルス被害の拡大及ぴ再発を防止するため、必要な情報を通商産業大臣が別に指定する者に届け出ること。

５．教育・啓蒙
（１）ウイルス対策のレベルアップを図るため、ウイルス関連情報を収集して周知・徹底すること。
（２）セキュリティ対策及ぴウイルス対策について、システムユーザの教育・啓蒙を行うこと。

６．監査
（１）ウイルス対策の実効性を高めるため、ウイルス対策についてのシステム監査の報告を受け、必要な対策を講ずること。

Ⅵ．ソフトウェア供給者基準

ｌ．開発管理
（１）開発ツールからウイルスが開発システムに感染するのを防ぐため、開発ツールの管理体制を明確にすること。
（２）パスワードの漏えいを防ぐため、パスワードを厳重に管理すること。
（３）不正利用によるウイルス被害を防止するため、開発システムを厳重に管理すること。
（４）不正アクセスによるウイルス被害を防止するため、ネットワーク等を利用した開発システムへのアクセスに対しては、セキュリティを強化すること。
（５）不正アクセスによるウイルス被害を防止するため、開発者のアクセス権限を必要最小限に設定すること。
（６）開発段階のプログラムに対して開発者、修正者及ぴ責任者を明確にし、厳重に管理すること。
（７）ウイルス被害に備えるため、開発段階のプログラムのバックアップを行い保存すること。
（８）不正利用を防止するため、開発終了時にプログラム内のデバック機能を確実に取り除くこと。
（９）ウイルス感染を早期に発見するため、最新のワクチンの利用等により定期的にウイルス検査を行うこと。

２．製品管理
（１）製品の製造段階でのウイルス感染を防止するため、専用のシステム又は機器を用いて複製を行うこと。
（２）ウイルス感染を防止するため、製品の原本は、厳重に管理すること。
（３）製品の流通段階でのウイルス感染を防止するため、ライトプロテクト、密封包装等の対策を施すこと。

３．事後対応
（１）製品のウイルス感染を発見した場合は、流通を停止し、製品のユーザに情報を通知するとともに製品の回収を行うこと。
（２）ウイルス感染の拡大を防止するため、感染した開発システムの使用を中止すること。
（３）ウイルス感染の拡大を防止するため、必要な情報を関連する全てのソフトウェア供給者に、速やかに通知すること。
（４）ウイルス被害の状況を把握するため、ウイルスの種類及ぴ感染範囲の解明に努めること。
（５）安全な復旧手順を確立して、開発システムの復旧作業にあたること。
（６）ウイルス被害の再発を防止するため、原因を分析し、再発防止対策を講ずること。
（７）ウイルス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が別に指定する者に届け出ること。

４．教育・啓蒙
（１）ウイルス対策のレベルアップを図るため、ウイルス開連情報を収集して周知・徹底すゑこと。

５．監査
（１）ウイルス対策の実効性を高めるため、ウイルス対策についてのシステム監査の報告を受け．必要な対策を講ずること。