PHYSICAL SECURITY
• All gateway components should be physically secured and be placed in a restricted area.
• The computer room with these equipments placed should be well equipped to protect against physical or natural disasters.
• Lockable racks should be used to store these components.
• Regular monitor and review on the current physical protection e.g. examine site entrance or access logs, check cables for unauthorised taps, check door locks of racks and any sticking labels.
• Remove and erase all storage media before disposal, especially those containing system configuration.
LOGGING
• Enable logging functions wherever applicable in firewall, router, OS, web server and mail server.
・すべてのゲートウェイコンポーネントは、物理的に安全で、制限されたエリアに配置される必要があります。
・これらの機器が設置されたコンピュータルームは、物理的や自然災害から保護するための設備が整っている必要があります。
・これらのコンポーネントを格納するために、施錠可能なラックを使用する必要があります。
・敷地の入り口やアクセスログを調べたり、不正なタップのケーブルを調べたり、ラックのドアロックや付着ラベルなど、現在の物理的な保護について定期的にモニターとレビューしてください。
・ストレージメディア、特にシステム構成を含むものは、処分前に取り出して、消去してください。
ロギング
・ファイアウォール、ルーター、OS、Webサーバとメールサーバの適切な箇所でログ機能を有効にします。
・すべてのゲートウエイ機器は、物理的に安全で、制限された場所に設置されるべきである。
・これらの装置が設置されたコンピュータ室は、物理的にまた自然災害に対して防御できるようよく整備されているべきである。
・これらの機器を保管する棚は、固定可能なものであるべきである。
・現状の物理的保護―つまり、サイトへの入場やサーバの動作記録の検査、認可されていないタップ配線のチェック、棚のドアロックや貼り付けラベルのチェック―の定期的なモニター及び審査。
・記憶媒体を廃棄する前には、特にシステム設定を含むものについて、全て内容を移動、消去すること。
ロギング
・当てはまる場合は、ファイアーウオール、ルーター、OS、ウエブサーバー及びメールサーバーのロギング機能を有効にすること。
• Keep logs such as the error logs, system logs, access logs, web server and mail server logs with adequate storage capacity available.
• Endeavor to log information such as invalid account login attempts, account misuse in websites, illegal or unauthorised attempts to websites, administrative and configuration updates, or specific information of requests, including requestor's IP address, host name, URL and names of files accessed.
• Logs should be reviewed regularly and kept for at least a week in a secure place. Write-once device such as optical disk may be used to record those log files.
• Logs showing intrusions and attacks should be kept properly for investigation and record.
・無効なアカウントのログイン試行、ウェブサイトでのアカウント誤用、ウェブサイトへの違法または不正な試行、管理および設定の更新、または要求元のIPアドレス、ホスト名、URLとアクセスされたファイルの名前を含む要求の具体的な情報などの情報を記録するように努めてください。
・ログは定期的にレビューし、安全な場所に少なくとも1週間分を保管してください。
これらのログファイルを記録するために、光ディスク等の追記型デバイスを使用することができます。
・侵入や攻撃を示すログは、調査と記録のために適切に保管する必要があります。
・次のような情報を記録するよう努めること。無効なアカウントでのログインの試み、ウエブサイトでのアカウントの誤使用、ウエブサイトへの違法なまたは許可されていないアクセスの試み、管理や設定のアップデート、依頼者のIPアドレス、ホスト名、アクセスされたURL、ファイル名を含む特定の依頼情報
・運用記録は定期的に審査され、安全な場所に少なくとも一周間は保管されるべきである。これらのログファイルを記録するには、光学ディスクのような1回書込形媒体を使用してもよい。
・侵入や攻撃を示す運用記録は、調査や記録の為に適切に保管されるべきである。
• Consideration on privacy should be made when designing the types and details of information to be logged.
BACKUP AND RECOVERY
• Formal backup and recovery procedures should be established and well documented.
• All gateway components' configuration, log files, system files, programs, data and other system information should be backup regularly and whenever there is configuration change. Encryption may be applied to the backup if necessary.
• Backup copies should be kept in a secure place. Two backup copies for system configuration are preferably to be kept with one on-site and one off-site.
バックアップとリカバリ
・正式なバックアップおよびリカバリの手順が確立され、十分に文書化される必要があります。
・すべてのゲートウェイコンポーネントの構成、ログファイル、システムファイル、プログラム、データ、およびその他のシステム情報は、定期的および構成変更ががあるたびにバックアップする必要があります。
必要であれば、バックアップに暗号化を適用することができます。
・バックアップコピーは安全な場所に保管する必要があります。
システム構成は、一つをオンサイトで、もう一つをオフサイトで保管するために、二つのバックアップコピーが好ましいです。
バックアップとリカバリー
・正式なバックアップ及びリカバリー手順を確立して、文書化されるべきである。
・ゲートウエイ・コンポーネント、設定、ログファイル、システムファイル、プログラム、データ及び他のシステム情報は定期的に、また設定変更の度にバックアップされるべきである。必要であればバックアップを暗号化してもよい。
・バックアップのコピーは、安全な場所に保管されるべきである。システム設定のバックアップのコピーは、できればシステム内とシステム外の二か所に保管されるべきである。
Fantastic!