○江東区情報セキュリティインシデントに関する緊急即応体制(CSIRT)管理運営要綱
令和2年12月16日
2江政情第1330号
(目的)
第1条 この要綱は、区の情報システムにおける情報セキュリティインシデント(以下「インシデント」という。)に、迅速かつ適切に対応するためのインシデントに関する緊急即応体制(Computer Security Incident Response Team。以下「CSIRT」という。)の構築及びCSIRTの管理運営について、江東区情報セキュリティ対策基準(平成28年2月5日27江政情第861号)で定めるもののほか、必要な事項を定めることを目的とする。
(1) インシデントハンドラー インシデントの発生又は発生の恐れがある情報(以下「インシデント情報」という。)を収集及び分析し、インシデントによる被害状況等の把握、初動対応及び復旧措置の実施、再発防止策の検討及び実施、関係機関等への報告、公表等の一連の対応(以下「インシデント対応」という。)を行う上で、中心的な役割を担う者をいう。
(2) 関係機関等 国の行政機関及び組織(総務省、警察庁、内閣サイバーセキュリティセンター(NISC)等)、他の地方公共団体その他情報セキュリティに係る公的機関並びに民間の機関(地方公共団体情報システム機構(J-LIS)、情報処理推進機構(IPA)、JPCERTコーディネーションセンター(JPCERT/CC)等)をいう。
(3) ISP(Internet Service Provider) 公衆通信回線などを経由して契約者にインターネットへの接続を提供する事業者をいう。
(4) ASP(Application Service Provider) アプリケーションソフト等のサービスをネットワーク経由で提供する事業者をいう。
(所掌事項)
第3条 CSIRTは、次に掲げる事項を所掌する。
(1) インシデント情報の収集及び分析に関すること。
(2) インシデント対応の実施に関すること。
(3) 平常時におけるインシデントの発生の予防に関すること。
(4) 前3号に掲げるもののほか、インシデントに関する重要事項に関すること。
(対象インシデント)
第4条 CSIRTが扱うインシデントは、次の表のとおりとする。
情報システムの停止等 | 情報システム、ネットワーク、サーバ、端末等の利用に支障を来す状態 |
外部からのサイバー攻撃 | コンピュータウイルス、不正アクセス、Dos(サービス拒否)攻撃、DDoS(分散型サービス拒否)攻撃、標的型攻撃及びホームページ等の改ざんの発生又は発生が疑われる状態 |
盗難、紛失等 | 区が管理する重要な情報(住民情報、企業情報、入札情報、技術情報等)の盗難、紛失又はこれらの可能性が疑われる状態(内部の犯行に起因するものを含む。) |
(体制)
第5条 CSIRTは、CSIRT責任者、CSIRT管理者、インシデントハンドラー、CSIRT要員、外部委託事業者、外部の専門家等をもって構成し、その体制及び役割は、別図及び別表第1のとおりとする。
2 CSIRT責任者は、統括情報セキュリティ責任者をもって充てる。
3 CSIRT管理者は、情報セキュリティ責任者をもって充てる。
4 CSIRT管理者は、PoCを別表2のとおり設置し、PoC担当者を政策経営部情報システム課の職員の中から指名する。
(運営)
第6条 CSIRT責任者は、次に掲げる事項を所掌する。
(1) CSIRTの所掌事項の総括に関すること。
(2) 重大インシデントの発生及び対応に係るCISOへの報告、協議等に関すること。
(3) インシデント対応の計画及びインシデント対応に係る教育・訓練計画の策定及び実施に関すること。
(4) 情報セキュリティ管理者へのインシデント対応の指示に関すること。
2 CSIRT管理者は、次に掲げる事項を所掌する。
(1) インシデントハンドラーの指名に関すること。
(2) インシデント対応の指示及び進行管理
(3) インシデント対応にあたる技術的な関係者(以下「タスクフォース」という。)の統括に関すること。
3 インシデントハンドラーは、次に掲げる事項を所掌する。
(1) CSIRT管理者の補佐に関すること。
(2) インシデント発生時のインシデントの分析、対処法の検討及び関係部署との調整に関すること。
(3) インシデント対応全体にかかる執行管理等に関すること。
4 PoCは、次に掲げる事項を所掌する。
(1) インシデントについての連絡の受付に関すること。
(2) インシデント情報の迅速かつ確実な収集に関すること。
(3) インシデント情報のCSIRT管理者への報告に関すること。
2 CSIRT管理者は、前項の規定によりインシデントをレベル2又は3に区分したときは、速やかにCSIRT責任者に報告するとともに、総務部危機管理課に報告の上、当該インシデントに係る危機管理対応について協議するものとする。
(再発防止措置の実施)
第8条 CSIRT管理者は、インシデント復旧措置後、速やかにインシデントが発生した情報システムを所管する情報セキュリティ管理者と協議の上、インシデントの再発防止に必要な措置を講じるものとする。
(報告及び公表)
第9条 CSIRT管理者は、レベル3に区分したインシデントについて、関係機関等への報告方法及び報道機関等への公表の有無を、当該インシデントが発生した情報システムを所管する情報セキュリティ管理者と協議の上、決定する。
2 情報セキュリティ管理者は、公表を行う場合は、政策経営部広報広聴課に協議の上、その結果をCSIRT責任者に報告し、承認を得るものとする。
(委任)
第10条 この要綱に定めるもののほか、CSIRTの管理運営に関し必要な事項は、CSIRT責任者が別に定める。
別表第1 CSIRT構成
構成 | 担当 | 役割 | |
CSIRT責任者 | 統括情報セキュリティ責任者をもって充てる。 | 政策経営部長 | インシデント対応の責任者。インシデント対応の作業を監督し、評価する責任を負う。また、CISO、他の組織等との調整役となり、危機を打開し、タスクフォースに必要な要員、各種資源及び技能を確保する。 |
CSIRT管理者 | 情報セキュリティ責任者をもって当てる。 | 政策経営部情報システム課長 | タスクフォースのリーダー。インシデントハンドラーの作業調整及び情報収集を行い、インシデントに関する最新情報を必要な関係者に提供する。また、高い技術的な技能及びインシデント対応経験を持ち、タスクフォース全体の技術的な作業品質を監督して、その品質に最終的な責任を持つ。 |
インシデントハンドラー | 情報システム担当者の中からCSIRT責任者が指名する者 | 政策経営部情報システム課管理係長 | インシデント発生時のインシデントの分析及び対処法の検討、関係部署との調整を行う等、インシデントに対応するCSIRTを実務的な観点から中核として支え、対応方針を検討し、インシデント対応全体に係る執行管理等を行う。 |
CSIRT要員 | 情報システム担当者の中からCSIRT責任者が指名する者 | 政策経営部情報システム課職員 | インシデントハンドラーを補助し、ともにインシデント対応にあたる。 |
外部委託事業者 | システムベンダー(システム開発事業者、システム運用・保守事業者等をいう。)、ISP、ASP、クラウド事業者等契約関係のある外部の事業者に対しCSIRTが支援を依頼する者 | 検査及び分析、証拠の取得、保全、確保及び記録、インシデントの封じ込め、根絶、復旧措置、再発防止策の検討等に係る一部作業を行う。 | |
外部の専門家 | セキュリティベンダー(ウイルス対策ソフト開発事業者等をいう。)、NISC、J-LIS、IPA、JPCERT/CC、警察等からCSIRTが支援を要請する者 | 検査及び分析、証拠の取得、保全、確保及び記録、インシデントの封じ込め、根絶、復旧措置、再発防止策の検討等に係る一部作業を行う。 | |
その他 | 上記のほかCSIRTが支援を要請する者 | 左記にて要請された作業を行う。 | |
別表2 江東区PoC
PoC | 政策経営部 情報システム課 |
所在地 | 〒135―8383 東京都江東区東陽四丁目11番8号 |
対応時間 | 平日 午前8時30分から午後5時15分まで |
電話番号 | 03―3647―2922 緊急時(休日・夜間等)03―3647―9111 |
FAX番号 | 03―3467―4581 |
メールアドレス | joho@city.koto.lg.jp |
別表3 インシデント判定基準
レベル | 判定基準 |
0 | 被害が存在しないと判断した場合 |
1 | 被害が軽微であると判断した場合 |
2 | 被害が限定的かつ特定されており、それ以上の被害の可能性がないと判断した場合 |
3 | 被害が広範にわたる、又は被害の範囲が特定できない場合 |
別図 CSIRT体制
