○人吉市CSIRT要項
令和5年12月26日
告示第155号
(設置)
第1条 人吉市情報セキュリティポリシーの及ぶ範囲に関わる情報セキュリティインシデント(以下「インシデント」という。)に、関係機関と連携し、迅速かつ適切に対応するため、インシデント対応への即応力、専門的知見、人吉市情報化推進委員会(人吉市情報化推進及び電算システムの運営管理に関する規程(平成6年人吉市訓令第6号)第3条第1項に定める委員会をいう。)において迅速かつ的確な意思決定を行うために必要な情報の収集力等を備えた緊急即応チームとして、人吉市CSIRT(Computer Security Incident Response Team。以下「CSIRT」という。)を設置する。
(役割)
第2条 CSIRTの役割は、次のとおりとする。
(1) インシデント発生時の対応
ア 検知・連絡受付 インシデントの発生に係る予兆等の検知及び発見並びに内部又は外部からのインシデントに関わる連絡、報告等の受付を行う。
イ トリアージ 事実関係を確認の上、インシデントが発生したかどうかを検査及び分析により判断し、並びに被害状況や影響範囲等事態の全体像を把握した上で、インシデントの処理に優先順位を付ける。
ウ インシデントレスポンス 初動対応(対応方針の検討、証拠の取得、保全、確保及び記録並びにインシデントの封じ込め及び根絶)の実施、復旧措置(暫定対策)の実施及び再発防止策(恒久対策)の検討を行う。
エ 報告・公表 被害状況、影響範囲等に応じ、内外の関係者(最高情報セキュリティ責任者(Chief Information Security Officer。以下「CISO」という。)、総務省、熊本県、内閣サイバーセキュリティセンター(NISC)、熊本県警察本部等をいう。)への報告及び対外的な対応(報道発表及び関係住民への連絡)を行う。
オ 事後対応 インシデントの収束宣言を行い、報告書をまとめる。
(2) 平常時の事前準備、予防等
ア インシデント発生時の対応に必要な事前準備、予防等
イ インシデントの発生を想定した訓練及び演習の定期的な実施
ウ インシデントレスポンスに係る手順等の定期的な評価及び見直し(自己点検)
(CSIRTの体制等)
第3条 CSIRTの構成は、別表第1のとおりとする。
2 CSIRTの支援体制は、必要に応じ、CSIRT責任者が外部委託事業者、外部の専門家等関係機関に依頼、要請等し、その構成及び役割は、別表第2のとおりとする。
3 インシデント発生時におけるCSIRTの体制は、別表第3のとおりとする。
(対象インシデント等)
第4条 CSIRTは、次に掲げるインシデントを取り扱うものとする。
(1) 情報システムの停止等(情報システム、ネットワーク、サーバ、端末等の利用に支障を来す状態をいう。)
(2) 外部からのサイバー攻撃(コンピュータウイルス、不正アクセス、Dos(Denial of Service)攻撃、DDos(Distributed Denial of Service)攻撃、標的型攻撃及びホームページ等の改ざんが発生し、又は発生が疑われる状態をいう。)
(3) 盗難及び紛失(市が管理する重要な情報(住民情報、企業情報、入札情報、技術情報等)の盗難及び紛失又はこれらの可能性が疑われる状態(内部犯行に起因するものを含む。)をいう。)
(PoCの整備等)
第5条 CSIRTに、インシデントについて庁内外の者からの連絡受付の役割を担う情報セキュリティに関する統一的窓口(Point of Contact)(以下「PoC」という。)を別表第5のとおり整備し、庁内外に周知及び公表するものとする。
(補則)
第6条 この要項に定めるもののほか、この要項の施行に関し必要な事項は、市長が別に定める。
附則
この要項は、告示の日から施行する。
別表第1(第3条関係)
構成 | 役割 | |
CSIRT責任者 | 統括情報セキュリティ責任者(復興政策部長)をもって充てる。 | インシデント対応の責任者として、インシデント対応の作業を監督し、評価する責任を負い、CISOや他の組織との調整役となり、危機を打開し、チームに必要な要員・リソース及び技能を確保する。 |
CSIRT副責任者 | 政策統括監をもって充てる。 | CSIRT責任者が不在の場合に権限を引き継ぐ。 |
CSIRT管理者 | 情報政策課長をもって充てる。 | インシデント対応の統括リーダーとして、インシデントハンドラーの作業を調整し、インシデントハンドラーから情報収集し、及びインシデントに関する最新情報を必要な関係者に報告するとともに、チーム全体の技術的な作業品質を監督し、その品質に最終的な責任を持つ。 |
インシデント対応管理者 | インシデントが発生したシステムの情報セキュリティ管理者(各課長)をもって充てる。 | インシデント対応の実務管理者として、CSIRT管理者からの支援を受けながらインシデントハンドラーの作業を調整し、インシデントハンドラーから情報収集し、及びインシデントに関する最新情報をCSIRT責任者等の関係者に提供する。 |
インシデントハンドラー | 情報システム係長をもって充てる。 | インシデント対応の実務リーダーとして、インシデント分析及び対処法の検討、関係部署との調整を行う等、インシデントに対応するCSIRTを実務的な観点から中核として支え、対応方針を検討し、インシデントハンドリング全体に係るプロジェクトマネジメント等を行う。 |
CSIRT要員 | 情報システム担当者の中からCSIRT管理者が指名する者をもって充てる。 | インシデントハンドラーを補助し、ともにインシデントハンドリングに当たる。 |
別表第2(第3条関係)
構成 | 役割 | |
外部委託事業者 | システムベンダー(開発、運用・保守事業者等)、クラウド事業者等契約関係のある外部の事業者に対しCSIRT責任者が支援を依頼する者 | インシデントハンドラーを補助し、ともにインシデントハンドリングに当たる。 |
外部の専門家 | セキュリティベンダー、日本産業標準調査会(JISC)、独立行政法人情報処理推進機構(IPA)、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)及び熊本県警察本部に対しCSIRT責任者が支援を要請する者 | インシデントに係る検査及び分析並びに証拠の取得、保全、確保及び記録並びにインシデントの封じ込め及び根絶並びに復旧措置、再発防止策の検討等に係る作業を行う。 |
その他 | 外部委託事業者及び外部の専門家のほかCSIRT責任者が支援を依頼、要請等する者 | 左記にて依頼、要請等された内容を行う。 |
別表第3(第3条関係)
情報セキュリティ推進の組織体制
別表第4(第4条関係)
1 情報システムの停止等に係る影響度の判定基準
影響度 | 判定基準 | 事例 |
レベル0 | 情報セキュリティインシデントの影響がない | 過誤検知等含むヒヤリハット |
レベル1 | 情報セキュリティインシデントの影響が軽微な場合 | ・端末機の障害 ・システムの一時的な障害 ・ネットワーク障害で、通信回線業者側の一時的な障害 ・機器の電源障害 ・コンセントプラグの接続ミス ・ブレーカ遮断 |
レベル2 | 情報セキュリティインシデントの影響が一部に限定されている場合 | ・一部部署のネットワーク機器の障害 ・サーバ、ネットワーク、端末機等の障害で、他の情報資産に影響を及ぼすことがない一時的な障害 ・フロア又は建物全体の電源障害 ・一部の電源系統の障害 |
レベル3 | 情報セキュリティインシデントが住民の生活や行政運用に重大な影響を与える場合 | ・基幹ネットワークの重大な障害 ・サーバ、ネットワーク等の障害で、他の情報資産に影響を及ぼす可能性のある重大な障害 ・長期間に渡りシステム又はネットワークを停止する必要がある重大な障害 ・広範にわたる停電 ・市庁舎全体又は地域的に長時間の停電 |
2 外部からのサイバー攻撃に係る影響度の判定基準
影響度 | 判定基準 | 事例 |
レベル0 | 情報セキュリティインシデントの影響がない | 過誤検知等含むヒヤリハット |
レベル1 | 情報セキュリティインシデントの影響が軽微な場合 | ・スタンドアロンで利用している端末機へのウイルス感染 ・記録媒体内のウイルス感染 |
レベル2 | 情報セキュリティインシデントの影響が一部に限定されている場合 | ・ネットワーク接続している端末機がウイルス感染したが、他のシステム及び端末機に影響していないもの ・CD、FD、USB等の記録媒体を介して、業務系ネットワークにウイルス感染が拡大するおそれがある場合 |
レベル3 | 情報セキュリティインシデントが市民の生活や行政運用に重大な影響を与える場合 | ・ネットワーク接続の情報機器にウイルス感染し、広範な情報機器に感染又は感染のおそれがある場合 ・長期間にわたりシステム又はネットワークを停止する必要がある場合 ・情報漏えいの可能性がある場合 |
3 盗難及び紛失に係る影響度の判定基準
影響度 | 判定基準 | 事例 |
レベル0 | 情報セキュリティインシデントの影響がない | 過誤検知等含むヒヤリハット |
レベル1 | 情報セキュリティインシデントの影響が軽微な場合 | ・情報を保管していない情報機器又は記録媒体の盗難紛失が発生した場合 ・業務システム又はネットワークの稼働に影響が軽微な機器の盗難及び紛失が発生した場合 ・重要でない情報であるが、知る必要のない職員等がアクセスできる。 ・重要でない情報を含んだ記録媒体を職員等が持ち出した。 |
レベル2 | 情報セキュリティインシデントの影響が一部に限定されている場合 | ・暗号化等の情報漏えい対策がされている情報機器又は記録媒体の盗難紛失が発生した場合 ・一部の業務システム又はネットワークの稼働に影響がある機器の盗難及び紛失が発生した場合 ・職員等の機微でない個人情報の漏えい ・重要な情報だが、暗号化されている情報の漏えい |
レベル3 | 情報セキュリティインシデントが市民の生活や行政運用に重大な影響を与える場合 | ・暗号化していない個人情報等、重要な情報を保管している情報機器又は記録媒体の盗難及び紛失が発生した場合 ・広範な業務システム又はネットワークの稼働に影響がある機器の盗難及び紛失が発生した場合 ・市民の個人情報が漏えい・重要なシステム又はネットワークの設計書等の漏えい |
別表第5(第5条関係)
PoC | |
所在地 | 人吉市西間下町字永溝7番地1(人吉市復興政策部情報政策課内) |
対応時間 | 平日午前8時30分から午後5時15分まで |
電話番号 | 0966―22―2111 |
FAX番号 | 0966―24―7869 |
メールアドレス | jyouhouseisaku@hitoyoshi.kumamoto.jp |