[通商産業省告示第429号]  コンピュータウイルス対策基準を次のように定める。  平成7年7月7日               通商産業大臣 橋本 龍太郎 1.主旨   本基準は、コンピュータウイルスに対する予防、発見、駆除、復旧等について  実効性の高い対策をとりまとめたものである。 2.用語の定義   本基準に用いられる主な用語の定義は、以下のとおりである。 (1)コンピュータウイルス(以下「ウイルス」とする。)    第三者のプログラムやデータべースに対して意図的に何らかの被害を及ぼす   ように作られたプログラムであり、次の機能を一つ以上有するもの。   (1)自己伝染機能    自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利   用して自らを他のシステムにコピーすることにより、他のシステムに伝染する   機能   (2)潜伏機能    発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病   するまで症状を出さない機能   (3)発病機能    プログラム、データ等のファイルの破壊を行ったり、設計者の意図しない動   作をする等の機能 (2)ソフトウェア    システムプログラム、アプリケーションプログラム、ユーティリティプログ   ラム等のプログラム (3)システム    ハードウェア、ソフトウェア若しくはネットワーク又はこれらの複合体 (4)ワクチン    ウイルスの検査、予防又は修復のいずれかの機能を含むソフトウェア (5)バックアップ    プログラム、データ等と同一の内容を別の媒体に記録すること。 (6)ファイル    記憶装置又は記録媒体上に、電子的又は光学的に記録されているプログラム   、データ等 (7)保守機能    システムを正常な状態に維持するための機能 (8)セキュリティ機能    プログラム、データ等の機密性、保全性及び可用性を確保するための機能 3.構成   本基準は、システムユーザ基準、システム管理者基準、ソフトウェア供給者基  準、ネット ワーク事業者基準及び システムサービス事業者基準から成り、そ  の構成及び内容は、以下 のとおりである。 (1)システムユーザ基準(18項目)    システムを利用する者(以下「システムユーザ」とする。)のための対策を   まとめたもの。   (1)ソフトウェア管理(2項目)    システムユーザが導入するソフトウェアに対する対策についてまとめたもの   。   (2)運用管理(12項目)    システムユーザがシステムを利用する上での対策についてまとめたもの。   (3)事後対応(3項目)    システムユーザがウイルスを発見した場合の対策についてまとめたもの。   (4)監査(1項目)    ウイルス対策が適切に実施されていることを監査する項目についてまとめた   もの。 (2)システム管理者基準(31項目)    システムを導入、維持及び管理する者(以下「システム管理者」とする。)   のための対策についてまとめたもの。   (1)コンピュータ管理(8項目)    システム管理者がハードウェア及びソフトウェアを導入及び更新する場合の   対策についてまとめたもの。   (2)ネットワーク管理(5項目)    システム管理者がネットワークを導入及び更新する上での対策についてまと   めたもの。   (3)運用管理(9項目)    システム管理者がシステムを維持及び管理する上での対策についてまとめた   もの。   (4)事後対応(6項目)    システム管理者がウイルスを発見した場合及びシステムユーザから発見の連   絡を受けた場合の対策についてまとめたもの。   (5)教育・啓蒙(2項目)    システム管理者及びシステムユーザに対して行うウイルス対策の教育・啓蒙   についてまとめたもの。   (6)監査(1項目)    ウイルス対策が適切に実施されていることを監査する項目についてまとめた   もの。 (3)ソフトウェア供給者基準(21項目)    ソフトウェアの開発並びにソフトウェア製品の開発、製造及び出荷を行う者   (以下「ソフトウェア供給者」とする。)のための対策をまとめたもの。   (1)開発管理(9項目)    ソフトウェア及びソフトウェア製品の開発並びに開発環境の導入、更新及び   管理に関する対策についてまとめたもの。   (2)製品管理(3項目)    ソフトウェア製品の製造及び出荷をする場合の対策についてまとめたもの。   (3)事後対応(7項目)    ソフトウェア供給者がウイルスを発見した場合及び製品のユーザから発見の   連絡を受けた場合の対策についてまとめたもの。   (4)教育・啓蒙(1項目)    ソフトウェア供給者に対して行うウイルス対策の教育・啓蒙についてまとめ   たもの。   (5)監査(1項目)    ウイルス対策が適切に実施されていることを監査する項目についてまとめた   もの。 (4)ネットワーク事業者基準(15項目)    パソコン通信等のネットワークを介して情報を提供する事業者(以下「ネッ   トワーク事業者」とする。)のための対策をまとめたもの。   (1)システム管理(2項目)    ネットワーク事業に用いるシステムを導入及び更新する上での対策について   まとめたもの。   (2)運用管理(4項目)    ネットワーク事業に用いるシステムを維持及び管理する上での対策について   まとめたもの。   (3)事後対応(6項目)    ネットワーク事業者がウイルスを発見した場合及びネットワークのユーザか   ら発見の連絡を受けた場合の対策についてまとめたもの。   (4)教育・啓蒙(2項目)    ネットワーク事業者及びネットワークのユーザに対して行うウイルス対策の   教育・啓蒙についてまとめたもの。   (5)監査(1項目)    ウイルス対策が適切に実施されていることを監査する項目についてまとめた   もの。 (5)システムサービス事業者基準(19項目)    システムの管理、保守、レンタル等のサービスを行う事業者(以下「システ   ムサービス事業者」とする。)のための対策をまとめたもの。   (1)システム管理(5項目)    サービスに用いるシステムを導入及び更新する上での対策についてまとめた   もの。   (2)運用管理(6項目)    サービスに用いるシステムを維持及び管理する上での対策についてまとめた   もの。   (3)事後対応(6項目)    システムサービス事業者がウイルスを発見した場合及びサービスを受けてい   るユーザから発見の連絡を受けた場合の対策についてまとめたもの。   (4)教育・啓蒙(1項目)    システムサービス事業者に対して行うウイルス対策の教育・啓蒙についてま   とめたもの。   (5)監査(1項目)    ウイルス対策が適切に実施されていることを監査する項目についてまとめた   もの。 4.システムユーザ基準 a.ソフトウェア管理 (1)ソフトウェアは、販売者又は配布責任者の連絡先及び更新情報が明確なもの   を入手すること。 (2)オリジナルプログラムは、ライトプロテクト措置、バックアップの確保等の   安全な方法で保管すること。 b.運用管理 (1)外部より入手したファイル及び共用するファイル媒体は、ウイルス検査後に   利用すること。 (2)ウイルス感染の被害が最小となるよう、システムの利用は、いったん初期状   態にしてから行うこと。 (3)ウイルス感染を早期に発見するため、システムの動作の変化に注意すること   。 (4)ウイルス感染を早期に発見するため、最新のワクチンの利用等により定期的   にウイルス検査を行うこと。 (5)不正アクセスによるウイルス被害を防止するため、パスワードは容易に推測   されないように設定し、その秘密を保つこと。 (6)不正アクセスによるウイルス被害を防止するため、パスワードは随時変更す   ること。 (7)不正アクセスによるウイルス被害を防止するため、システムのユーザIDを   共用しないこと。 (8)不正アクセスによるウイルス被害を防止するため、アクセス履歴を確認する   こと。 (9)不正アクセスによるウイルス被害を防止するため、機密情報を格納している   ファイルを厳重に管理すること。 (10)システムを悪用されないため、入力待ちの状態で放置しないこと。 (11)ウイルス感染を防止するため、出所不明のソフトウェアは利用しないこと   。 (12)ウイルスの被害に備えるため、ファイルのバックアップを定期的に行い、   一定期間保管すること。 c.事後対応 (1)ウイルスに感染した場合は、感染したシステムの使用を中止し、システム管   理者に連絡して、指示に従うこと。 (2)ウイルス被害の拡大を防止するため、システムの復旧は、システム管理者の   指示に従うこと。 (3)ウイルス被害の拡大を防止するため、感染したプログラムを含むフロッピー   ディスク等は破棄すること。 d.監査 (1)ウイルス対策の実効性を高めるため、ウイルス対策についてのシステム監査   の報告を受け、必要な対策を講ずること。 5.システム管理者基準 a.コンピュータ管理 (1)ウイルス対策を円滑に行うため、コンピュータの管理体制を明確にすること   。 (2)ウイルス感染を防止するため、機器を導入する場合は、ウイルス検査を行う   こと。 (3)ウイルス感染を防止するため、コンピュータにソフトウェアを導入する場合   は、ウイルス検査を行うこと。 (4)ウイルス被害に備えるため、システムにインストールした全ソフトウェアの   構成情報を保存すること。 (5)オリジナルプログラムは、ライトプロテクト措置、バックアップの確保等の   安全な方法で保管すること。 (6)不正アクセスによるウイルス被害を防止するため、システムのユーザ数及び   ユーザのアクセス権限を必要最小限に設定すること。 (7)ウイルス被害を防止するため、共用プログラムが格納されているディレクト   リに対するシステムのユーザの書き込みを禁止すること。 (8)ウイルス被害を防止するため、システム運営に必要のないプログラムは削除   すること。 b.ネットワーク管理 (1)ウイルス対策を円滑に行うため、ネットワークの管理体制を明確にすること   。 (2)ウイルスに感染した場合の被害範囲を特定するため、ネットワーク接続機器   の設置状況をあらかじめ記録し、管理すること。 (3)ウイルス被害に備えるため、緊急時の連絡体制を定め、周知・徹底すること   。 (4)不正アクセスによるウイルス被害を防止するため、ネットワーク管理情報の   セキュリティを確保すること。 (5)不正アクセスによるウイルス被害を防止するため、外部ネットワークと接続   する機器のセキュリティを確保すること。 c.運用管理 (1)システムの重要情報の管理体制を明確にすること。 (2)不正アクセスからシステムの重要情報を保護するため、システムが有するセ   キュリティ機能を活用すること。 (3)パスワードを容易に推測されないようにするため、安易なパスワード設定を   排除すること。 (4)ウイルスの被害に備えるため、運用システムのバックアップを定期的に行い   、一定期間保管すること。 (5)ウイルス被害を防止するため、匿名で利用できるサービスは限定すること。 (6)不正アクセスを発見するため、アクセス履歴を定期的に分析すること。 (7)ウイルス感染を早期に発見するため、システムの動作を監視すること。 (8)ウイルス感染を早期に発見するため、最新のワクチンの利用等により定期的   にウイルス検査を行うこと。 (9)システムの異常が発見された場合は、速やかに原因を究明すること。 d.事後対応 (1)ウイルス感染の拡大を防止するため、感染したシステムの使用を中止するこ   と。 (2)ウイルス感染の拡大を防止するため、必要な情報をシステムユーザに、速や   かに通知すること。 (3)ウイルス被害の状況を把握するため、ウイルスの種類及び感染範囲の解明に   努めること。 (4)安全な復旧手順を確立して、システムの復旧作業にあたること。 (5)ウイルス被害の再発を防止するため、原因を分析し、再発防止対策を講ずる   こと。 (6)ウイルス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が   別に指定する者に届け出ること。 e.教育・啓蒙 (1)ウイルス対策のレベルアップを図るため、ウイルス関連情報を収集して周知   ・徹底すること。 (2)セキュリティ対策及びウイルス対策について、システムユーザの教育・啓蒙   を行うこと。 f.監査 (1)ウイルス対策の実効性を高めるため、ウイルス対策についてのシステム監査   の報告を受け、必要な対策を講ずること。 6.ソフトウェア供給者基準 a.開発管理 (1)開発ツールからウイルスが開発システムに感染するのを防ぐため、開発ツー   ルの管理体制を明確にすること。 (2)パスワードの漏えいを防ぐため、パスワードを厳重に管理すること。 (3)不正利用によるウイルス被害を防止するため、開発システムを厳重に管理す   ること。 (4)不正アクセスによるウイルス被害を防止するため、ネットワーク等を利用し   た開発システムへのアクセスに対しては、セキュリティを強化すること。 (5)不正アクセスによるウイルス被害を防止するため、開発者のアクセス権限を   必要最小限に設定すること。 (6)開発段階のプログラムに対して開発者、修正者及び責任者を明確にし、厳重   に管理すること。 (7)ウイルス被害に備えるため、開発段階のプログラムのバックアップを行い保   存すること。 (8)不正利用を防止するため、開発終了時にプログラム内のデバッグ機能を確実   に取り除くこと。 (9)ウイルス感染を早期に発見するため、最新のワクチンの利用等により定期的   にウイルス検査を行うこと。 b.製品管理 (1)製品の製造段階でのウイルス感染を防止するため、専用のシステム又は機器   を用いて複製を行うこと。 (2)ウイルス感染を防止するため、製品の原本は、厳重に管理すること。 (3)製品の流通段階でのウイルス感染を防止するため、ライトプロテクト、密封   包装等の対策を施すこと。 c.事後対応 (1)製品のウイルス感染を発見した場合は、流通を停止し、製品のユーザに情報   を通知するとともに製品の回収を行うこと。 (2)ウイルス感染の拡大を防止するため、感染した開発システムの使用を中止す   ること。 (3)ウイルス感染の拡大を防止するため、必要な情報を関連する全てのソフトウ   ェア供給者に、速やかに通知すること。 (4)ウイルス被害の状況を把握するため、ウイルスの種類及び感染範囲の解明に   努めること。 (5)安全な復旧手順を確立して、開発システムの復旧作業にあたること。 (6)ウイルス被害の再発を防止するため、原因を分析し、再発防止対策を講ずる   こと。 (7)ウイルス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が   別に指定する者に届け出ること。 d.教育・啓蒙 (1)ウイルス対策のレベルアップを図るため、ウイルス関連情報を収集して周知   ・徹底すること。 e.監査 (1)ウイルス対策の実効性を高めるため、ウイルス対策についてのシステム監査   の報告を受け、必要な対策を講ずること。 7.ネットワーク事業者基準 a.システム管理 (1)ウイルスに感染した場合の被害範囲を特定するため、ネットワーク事業に用   いるシステムの設定状況をあらかじめ記録し、管理すること。 (2)ウイルス被害に備えるため、緊急時の連絡体制を定め、周知・徹底すること   。 b.運用管理 (1)不正アクセスによるウイルス被害を防止するため、ネットワークのユーザの   アクセス権限を必要最小限に設定すること。 (2)ウイルス被害を防止するため、ファイルを公開する前に、最新のワクチンの   利用等によりウイルス検査を行うこと。 (3)不正アクセスによるウイルス被害を防止するため、パスワード等のネットワ   ーク管理情報を厳重に管理すること。 (4)ウイルス被害に備えるため、利用状況の履歴を常に記録し、一定期間保存す   ること。 c.事後対応 (1)ウイルス被害の拡大を防止するため、ウイルスを含むファイルの公開を停止   すること。 (2)ウイルス感染の拡大を防止するため、必要な情報をネットワークのユーザ及   び他のネットワーク事業者に、速やかに通知すること。 (3)ウイルス被害の状況を把握するため、ウイルスの種類及び感染範囲の解明に   努めること。 (4)安全な復旧手順を確立して、その情報をネットワークのユーザに通知するこ   と。 (5)ウイルス被害の再発を防止するため、原因を分析し、再発防止対策を講ずる   こと。 (6)ウイルス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が   別に指定する者に届け出ること。 d.教育・啓蒙 (1)ウイルス対策のレベルアップを図るため、ウイルス関連情報を収集して周知   ・徹底すること。 (2)セキュリティ対策及びウイルス対策について、ネットワークのユーザの教育   ・啓蒙を行うこと。 e.監査 (1)ウイルス対策の実効性を高めるため、ウイルス対策についてのシステム監査   の報告を受け、必要な対策を講ずること。 8.システムサービス事業者基準 a.システム管理 (1)ソフトウェアは、販売者又は配布責任者の連絡先及び更新情報が明確なもの   を入手すること。 (2)不正利用を防止するため、保守機能を含むソフトウェア及びその情報は厳重   に管理すること。 (3)オリジナルプログラムは、ライトプロテクト措置、バックアップの確保等の   安全な方法で保管すること。 (4)サービスに用いるディスクは、初期化したディスクを用いて、オリジナルプ   ログラムから作成すること。 (5)ウイルス被害に備えるため、サービスに用いるディスクの構成情報を保存す   ること。 b.運用管理 (1)ウイルス被害に備えるため、サービスに用いるシステムの管理体制を明確に   すること。 (2)ウイルス感染を防止するため、サービスに用いるシステムは、最新のワクチ   ンの利用等により事前にウイルス検査を行うこと。 (3)ウイルス被害に備えるため、ウイルス検査履歴等を一定期間保管すること。 (4)ウイルス感染を防止するため、一度サービスに用いたシステムは、続けて他   のサービスに利用しないこと。 (5)ウイルス被害を防止するため、サービスに必要としない機器は切り離すこと   。 (6)サービスに用いるディスクへのウイルス感染を防止するため、ライトプロテ   クト措置を行うこと。 c.事後対応 (1)ウイルス感染の拡大を防止するため、サービスに用いている感染したシステ   ムの使用を中止すること。 (2)ウイルス感染の拡大を防止するため、必要な情報をサービスを受けているユ   ーザに、速やかに通知すること。 (3)ウイルス被害の状況を把握するため、ウイルスの種類及び感染範囲の解明に   努めること。 (4)安全な復旧手順を確立して、サービスに用いているシステムの復旧作業にあ   たること。 (5)ウイルス被害の再発を防止するため、原因を分析し、再発防止対策を講ずる   こと。 (6)ウイルス被害の拡大及び再発を防止するため、必要な情報を通商産業大臣が   別に指定する者に届け出ること。 d.教育・啓蒙 (1)ウイルス対策のレベルアップを図るため、ウイルス関連情報を収集して周知   ・徹底すること。 e.監査 (1)ウイルス対策の実効性を高めるため、ウイルス対策についてのシステム監査   の報告を受け、必要な対策を講ずること。 9.留意事項 (1)本基準は、コンピュータの種類、システムの形態又はソフトウェアの相違等   の実態に則して活用すること。 (2)ソフトウェア供給者基準、ネットワーク事業者基準及びシステムサービス事   業者基準は、各事業者特有の観点からまとめた基準であることから、各事業に   用いるシステムの導入に当たっては、システム管理者基準を活用すること。 (3)システム自体の安全対策については、「情報システム安全対策基準」を活用   すること。 (4)システム監査の実施については、「システム監査基準」を活用すること。 (5)本基準は、原則として、企業等の組織を対象としているが、個人ユーザも活   用することができる。 [通商産業省告示第430号]  コンピュータウイルス対策基準(平成7年6月通商産業省告示第429号)に基 づき、通商産業大臣が別に指定する者を次のように定める。  平成7年7月7日               通商産業大臣 橋本 龍太郎 1.名称       情報処理振興事業協会 2.主たる所在地   東京都港区芝公園三丁目一番三十八号