17.3.24　ITサービスに対する脅威対策

OISTは、ITリソースにアクセスして利用しようとする外部の攻撃者から絶えず攻撃を受けています。ITディビジョン及びシステム管理者は、OISTとそのユーザーを保護するために、次の要件を満たす必要があります。

17.3.24.1 ソフトウェアに関する脆弱性対策
システム管理者は、ソフトウェアを使用する前に、公表されている脆弱性に対するパッチ又は回避策を確実に適用しなければなりません。

システムの本番稼働後は、システム管理者は引き続きシステムのアップデートやパッチを評価し、システムやそのユーザーに与える潜在的な影響を考慮しながらそれを適時に適用しなければなりません。

OISTの情報資産を危険にさらす可能性がある脆弱性が検出された場合、システム管理者は直ちにCIO及びびCISOに連絡し、OIST情報資産を保護するための適切な措置を取る必要があります

17.3.24.2 不正プログラム対策
システム管理者は、サーバ又は他のデバイスに、マルウェア対策ソフトウェアや同等の機能を持ったソフトウェアをインストールする必要があります。

システム管理者は、マルウェア対策ソフトウェアの状態を監視し、必要な措置を取る必要があります。システム管理者は、マルウェア対策ソフトウェアとその定義ファイルを最新の状態に維持します。システム管理者のみが、マルウェア対策ソフトウェアの構成を変更できる権限を持ち、そのような権限は他のユーザーには付与されません。

システム管理者は、マルウェア対策ソフトウェアによるシステムの定期的なスキャンを設定します。