04 平成28年度情報セキュリティ監査等業務 仕様書 20161115

(別添2)
平成 28 年度
情報セキュリティ監査等業務
仕様書
環 境
省
目
次
第 1 章 総論 ............................................................ 1
1. 目的 ............................................................................................................................ 1
2. 背景 ............................................................................................................................ 1
3. 請負業務概要 ............................................................................................................ 1
4. 業務履行期限 ............................................................................................................ 2
5. 成果物 ........................................................................................................................ 2
6. 知的財産権の帰属 .................................................................................................... 3
7. 情報セキュリティの確保 ........................................................................................ 3
8. その他 ........................................................................................................................ 4
第2章 業務内容 ........................................................ 5
1. プロジェクト管理 .................................................................................................... 5
2. 情報セキュリティ監査実施計画書の作成 ............................................................ 5
3. 情報セキュリティ監査実施通知書の作成 ............................................................ 7
4. 情報セキュリティ監査の実施 ................................................................................ 7
5. 監査調書の作成 ........................................................................................................ 9
6. 監査の報告 .............................................................................................................. 10
(別添) ............................................................... 11
1.報告書等の仕様及び記載事項 ......................................... 11
(別紙1) ............................................................. 12
(別紙2) ............................................................. 14
第1章
総論
1. 目的
「政府機関の情報セキュリティ対策のための統一基準」(平成 28 年 8 月 31 日改定 情報
セキュリティ政策会議決定)(以下「統一基準」という。)に基づく「環境省情報セキュリ
ティポリシー(平成 28 年 10 月 11 日改定 環境省情報セキュリティ委員会決定)」(以下
「ポリシー」という。)で求められるPDCAサイクルを推進するため、情報セキュリティ
対策の実施状況について、第三者による独立かつ専門的な立場から点検・評価し、問題点の
確認、改善方法等について検討、助言、報告を行うことによって、環境省の情報セキュリテ
ィ対策の継続的な向上に資することを目的とする。
2. 背景
環境省においては、ポリシー及びその実施手順書となる情報セキュリティマニュアルに基
づき各種セキュリティ対策を講じているところである。しかしながら、サイバー攻撃は近年
ますます高度化、巧妙化しており、重大なセキュリティ事故の発生が危惧される事態となっ
ている。
このような状況を鑑み、ポリシーの遵守およびサイバー攻撃への対策のためのPDCAサ
イクルを推進し継続的に向上していくことを最重要課題と位置付け、各種セキュリティ対策
を効果的に実施するためにポリシーに基づく情報セキュリティ監査を定期的に実施すること
が必要と考えている。
更には、本年度はポリシーの改定及び環境省ネットワークシステムの更改という2つのイ
ベントを踏まえ、以下の内容に関する監査等が必要と考えている。
・改定したポリシー(対策マニュアル含む)の統一基準への準拠性
・更改後の環境省ネットワークシステム(以下「次期シス」という。)の診断
3. 請負業務概要
本仕様書に基づいて請負する業務(以下「請負業務」という。)の概要は、以下のとお
りである。各業務の詳細は「第 2 章 業務内容」を参照すること。
(1) プロジェクト管理
請負業務全体の実施に係るプロジェクト管理を実施すること。請負業務の進め方、
実施体制、役割分担、スケジュールを含めたプロジェクト実施計画を策定し、業務実
施計画書を作成すること。また、プロジェクトの進捗管理、課題管理等を実施し、定
期的に報告を実施すること。更には、本業務終了時には業務実施報告書を作成するこ
と。
(2) 情報セキュリティ監査実施計画書の作成
請負業務にて実施する情報セキュリティ監査の実施方法等について検討し、情報セ
キュリティ監査実施計画書を作成すること。
1
検討及び作成に当たっては、統一基準及びポリシー及び対策マニュアル及び自己点
検票を参照し、ポリシーの統一基準への準拠性監査、ポリシーの遵守状況・対策の実
施状況が効果的に点検・評価できる計画とすること。加えて、次期シスを対象とした
システム診断を実施すること。(※「対策マニュアル」及び「自己点検票」について
は、請負者決定後に開示する。)
(参考)環境省情報セキュリティポリシー(第 8 版)
http://www.env.go.jp/other/gyosei-johoka/sec-policy/full.pdf
(3) 情報セキュリティ監査実施通知書の作成
情報セキュリティ監査実施計画書に基づき監査対象の担当者への情報セキュリティ
監査実施通知書を作成すること。
(4) ポリシーの準拠性監査の実施
改定したポリシー及び対策マニュアルが統一基準に準拠しているか精査すること。
(5) 職員へのポリシーの遵守性監査の実施
情報セキュリティ監査実施計画書に基づきポリシーの遵守状況について監査等を実
施すること。
(6) システム診断の実施
次期シスを対象に、システム診断(ペネトレーションテスト)を実施すること。
(7) 監査調書の作成
監査実施の記録として、監査証拠及び関連資料等を含む監査調書を作成すること。
(8) 監査の報告
監査結果及び監査結果に基づく改善案については、監査報告書により報告するとと
もに、報告会を実施し、監査結果の概要を説明すること。
なお、監査結果については、報告書とりまとめ前に環境省と事実確認等を実施する
こと。
4. 業務履行期限
平成 29 年 3 月 24 日(金)まで
5. 成果物
本業務の請負者は、業務結果を取りまとめ、下記に定めるとおり納入するものとする。
なお、各種報告書及びその電子データの仕様及び記載事項は、別添によること。
①
業務実施計画書
②
情報セキュリティ監査実施計画書
③
情報セキュリティ監査実施通知書
④
情報セキュリティ監査業務実施報告書(監査報告書)
⑤
情報セキュリティ監査結果のまとめ(監査調書)
⑥
打ち合せ議事録
納入場所:環境省大臣官房総務課環境情報室
2
納入期限:① 契約締結後 7 日以内
②~③ の計画に基づく作成期限(監査・診断の実施の 7 日以前)
④~⑥ 平成 29 年 3 月 24 日(金)
納入媒体:①~⑥ の書類 正副2部
成果物の電子データを収納した電子媒体(DVD-R 等) 正副2式
6. 知的財産権の帰属
(1) 本業務における成果物の原著作権及び二次的著作物の著作権(「著作権法」(昭和
45 年法律第 48 号)第 21 条から第 28 条に定める全ての権利を含む。)は、請負者が
本業務の実施の従前から権利を保有していた等の明確な理由によりあらかじめ提案書
にて権利譲渡不可能と示されたもの以外は、全て環境省に帰属するものとする。
(2) 環境省は、成果物について、第三者に権利が帰属する場合を除き、自由に複製し、
改変等し、及びそれらの利用を第三者に許諾することができるとともに、任意に開示
できるものとする。また、請負者は、成果物について、自由に複製し、改変等し、及
びこれらの利用を第三者に許諾すること(以下「複製等」という。)ができるものと
する。ただし、成果物に第三者の権利が帰属するときや、複製等により環境省がその
業務を実施する上で支障が生じるおそれがある旨を契約締結時までに通知したときは、
この限りでないものとし、この場合には、複製等ができる範囲やその方法等について
協議するものとする。
(3) 本業務に関する権利(「著作権法」(昭和 45 年法律第 48 号)第 21 条から第 28 条
に定める全ての権利を含む。)及び成果物の所有権は、環境省から請負者に対価が完
済されたとき請負者から環境省に移転するものとする。
(4) 納品される成果物に第三者が権利を有する著作物(以下「既存著作物等」とい
う。)が含まれる場合には、請負者は、当該既存著作物等の使用に必要な費用の負担
及び使用許諾契約等に関わる一切の手続を行うこと。この場合、本業務の請負者は、
当該既存著作物の内容について事前に環境省の承認を得ることとし、環境省は、既存
著作物等について当該許諾条件の範囲で使用するものとする。成果物の納品に際し、
請負者は、第三者が二次利用できる箇所とできない箇所の区別がつくように留意し、
第三者が二次利用をできない箇所についてはその理由についても付するものとする。
(5) 請負者は環境省に対し、一切の著作者人格権を行使しないものとし、また、第三者
をして行使させないものとする。
7. 情報セキュリティの確保
請負者は、下記の点に留意して、情報セキュリティを確保するものとする。
(1) 請負者は、請負業務の開始時に、請負業務に係る情報セキュリティ対策とその実施方
法及び管理体制について環境省に書面(別紙1)で提出すること。
(2) 請負者は、環境省から要機密情報を提供された場合には、当該情報の機密性の格付け
に応じて適切に取り扱うための措置を講ずること。
3
また、請負業務において請負者が作成する情報については、環境省からの指示に応じ
て適切に取り扱うこと。
(3) 請負者は、ポリシーに準拠した情報セキュリティ対策の履行が不十分と見なされると
き又は請負者において請負業務に係る情報セキュリティ事故が発生したときは、必要に
応じて環境省の行う情報セキュリティ対策に関する監査を受け入れること。
(4) 請負者は、環境省から提供された要機密情報が業務終了等により不要になった場合に
は、確実に返却し、又は廃棄すること。
また、請負業務において請負者が作成した情報についても、環境省からの指示に応じ
て適切に廃棄すること。
(5) 請負者は、請負業務の終了時に、本業務で実施した情報セキュリティ対策を書面(別
紙2)で報告すること。
8. その他
請負者は、本仕様書に疑義が生じたとき、本仕様書により難い事由が生じたとき、あ
るいは本仕様書に記載のない細部については、環境省と速やかに協議しその指示に従う
こと。
4
第2章
業務内容
1. プロジェクト管理
本業務全体のプロジェクト管理を実施すること。
(1) 業務実施計画書の作成
ア
請負業務の進め方、実施体制、スケジュールを含めた実施計画を策定し、業務実
施計画書を作成すること。
イ
業務実施計画書は、契約締結後 7 日以内に環境省の承認を得ること。
(2) 業務進捗報告の実施
ア
業務期間中の請負業務の進捗管理を実施すること。
イ
請負業務の実施状況について、定期的に進捗報告会を開催(7 回程度、霞が関)し、
環境省に報告を行うこと。(開催タイミングは業務実施計画書にて提案し、環境省
と協議すること。)
ウ
進捗報告会の議事録を作成し、開催後 3 営業日以内に環境省に提出し、確認を依
頼すること。
また、進捗報告会以外においても、環境省と打ち合せを実施した場合には議事録
を作成すること。(事前に議事録を作成しない旨について、環境省と合意を得てい
る場合にはこの限りではない。)
エ
業務期間中は、請負業務を実施する上で発生した課題についても管理し、状況、
対応方針及び対応期限等も踏まえて進捗報告会にて報告すること。
(3) 情報セキュリティ監査業務実施報告書の作成
請負業務終了時には、請負業務の実施結果を取りまとめた情報セキュリティ監査
業務実施報告書を取りまとめ報告すること。
2. 情報セキュリティ監査実施計画書の作成
本業務にて実施する情報セキュリティ監査の実施方法等について検討し、情報セキュ
リティ監査実施計画書を作成すること。
情報セキュリティ監査実施計画書の作成に当たっての方針を以下に示す。
(1) 情報セキュリティ監査実施計画書の事項
情報セキュリティ監査実施計画書は、環境省と事前に協議を行い、承認を得た上で、
個別監査業務ごとに以下の事項を記載し作成すること。
①
監査目的
②
背景
③
監査対象
5
④
被監査部門及びその責任者と担当者
⑤
監査の判断の尺度とする基準
⑥
実施概要
⑦
監査実施責任者及び実施担当者
⑧
監査実施時期
⑨
監査実施場所
⑩
その他必要とする事項
(2) 監査方針
ア
改定したポリシー(第 8 版)と対策マニュアル等を対象に、統一基準(平成 28 年
度版)への準拠性の評価と妥当性の評価の実施方法について検討し、計画を作成す
ること。
イ
本監査では、職員に対して、以下の役割毎に最小限の対象で効果的に点検・評価
が可能な内容を検討し、計画を作成すること。
ウ
①
「課室情報セキュリティ責任者」
②
「情報システムセキュリティ責任者(管理者)」
③
「行政事務従事者」
本監査では、次期の環境省データセンタで運用する次期シスの運用状況について
も監査対象として計画に含めること。また、次期シスの基幹LANや基幹サーバに
対してのシステム診断(ペネトレーションテスト)を計画に含めること。
エ
本仕様書にて示す業務内容に加えて、ポリシーに基づく情報セキュリティ対策を
効果的に推進するために点検すべき事項などがある場合には、その内容や実施方法
等について提案すること。
オ
情報セキュリティ監査計画は、業務実施計画書のスケジュールに従い環境省に提
出し、承認を得ること。
(3) 監査事項
本監査では、以下の事項について調査、点検等を実施することにより、統一基準へ
の準拠性、ポリシー及び対策マニュアルの遵守状況・対策の実施状況を点検・評価す
る。
ア
ポリシーと統一基準の査読調査
対象の文書の記載事項について、査読により統一基準に準拠しているかの調査を
実施する。
なお、対象の文書は下記の通りである。
①
環境省情報セキュリティポリシー(第8版)
②
環境省情報セキュリティ対策マニュアル
1. (最高情報セキュリティ責任者)
2. (統括情報セキュリティ責任者)
3. (情報セキュリティ責任者)
4. (区域情報セキュリティ責任者)
6
5. (課室情報セキュリティ責任者)
6. (情報システムセキュリティ責任者)
7. (情報システムセキュリティ管理者)
8. (行政事務従事者)
9. (情報セキュリティ監査責任者)
10. (情報セキュリティ監査実施者)
イ
③
例外措置実施手順書
④
別添:外部委託における情報セキュリティ対策
⑤
環境省 CSIRT 運用手順書
自己点検票の確認及びヒアリング調査
自己点検票の内容を確認し、調査対象の選定を行った上で、ヒアリング調査を実
施する。
自己点検票の確認及びヒアリングにより、ポリシーの遵守状況・対策の実施状況
を確認し、リスク対応状況をも含め運用の妥当性を点検・評価する。
ウ
実地検査
現場調査(執務室、機器設置場所、アーカイブ媒体保管場所)による実地検査を
実施し、ポリシーの遵守状況・対策の実施状況を点検・評価する。
エ
追加精査
上記イ~ウの検証を踏まえ、追加で必要な資料の点検・質問票による確認やヒア
リングを実施する。
オ
運用管理状況確認
環境省ネットワークシステムを運用管理している外部の委託先で、ポリシー及び
対策マニュアルを遵守した運用が行われていることを点検・評価する。
カ
前年度の指摘事項のフォローアップ
前年度の監査での指摘事項について、その対策計画や対策の実施状況を点検・評
価する。
3. 情報セキュリティ監査実施通知書の作成
監査の実施に際して、各監査対象の管理者及び担当者に監査の実施内容、スケジュー
ル、準備事項等を事前に通知するため、必要事項を記載した情報セキュリティ監査実施
通知書を作成すること。
4. 情報セキュリティ監査の実施
監査実施計画書に基づき以下の監査を実施すること。
(1) ポリシーの統一基準への準拠性監査
ポリシー及び対策マニュアルの改定版について、統一基準への準拠性監査を実施す
る。
なお、監査の対象の文書は上記の通りである。
監査の結果として、ポリシーの修正が必要と認められた場合は、改訂の文案とその
7
理由を監査報告書にまとめて提案すること。
(2) 職員へのポリシーの遵守性監査
ア
自己点検票の確認及びヒアリング調査
① 環境省が提供する以下の自己点検票の内容を確認し、調査対象の選定を行った
上で、ヒアリング調査を実施する。
課室情報セキュリティ責任者自己点検票
情報システムセキュリティ責任者自己点検票
行政事務従事者自己点検票
② 対象数は、以下の 10 部局等から各 3 名程度を想定している。
大臣官房秘書課(霞が関)
大臣官房総務課(霞が関)
大臣官房会計課(霞が関)
大臣官房廃棄物・リサイクル対策部(霞が関)
総合環境政策局(霞が関)
総合環境政策局環境保健部(霞が関)
地球環境局(霞が関)
水・大気環境局(霞が関)
自然環境局(霞が関)
自然環境局生物多様性センター(山梨県富士吉田市)
③ 自己点検票の確認及びヒアリングにより、ポリシー及び対策マニュアルの遵守
状況・対策の実施状況を確認し、リスク対応状況をも含め運用の妥当性を点
検・評価する。
④ 監査の対象範囲は、環境省ネットワークシステムに関わる環境省職員全体とす
るが、適切かつ効果的な評価手法によることとする。
⑤ ヒアリングの実施に当たっては、ポリシー及び対策マニュアルを基に、当該監
査の基準及びヒアリングシートを作成すること。また、特に以下の事項に関し
ては重点的に監査を行うこと。
⑥ ヒアリングシートの作成に当たっては、質問が単調にならないように注意し、
必要な情報が収集できるように工夫すること。
情報セキュリティ体制に関する事項
情報の格付け及び取扱いに関する事項
情報システムの利用に関する事項
外部委託先の管理に関する事項
セキュリティ研修の実施に関する事項
サイバー攻撃対策の実施に関する事項
ソフトウェア脆弱性対策の実施に関する事項
イ
実地検査
現場調査(執務室、機器設置場所、アーカイブ媒体保管場所)による実地検査を
実施し、ポリシーの遵守状況・対策の実施状況を点検・評価する。
実施対象は、アの対象とする。
8
ウ
追加精査
上記ア及びイの検証を踏まえ、追加で必要な資料の点検・質問票やヒアリングに
より、問題点の確認、改善方法等について検討、助言、報告に必要な検査を実施す
る。
エ
運用管理状況確認
環境省ネットワークシステムを運用管理している外部の委託先(関東近隣の1業
者)の作業調査、証跡管理の記録情報調査により、ポリシーを遵守した運用が行わ
れていることを点検・評価する。
オ
前年度の指摘事項のフォローアップ
前年度の監査での指摘事項について、その対策計画や対策の実施状況を点検・評
価する。
カ
緊急改善事項の提示
上記の監査において、緊急に改善すべきセキュリティ上の問題点が発見された場
合には、以下の監査の報告等を待たず、発見された段階で緊急改善事項として速や
かに提示すること。
(3) 次期シスのシステム診断の実施
次期シスについてシステム診断(ペネトレーションテスト)を実施し、点検・評価
を行う。
ペネトレーションテストで緊急性の高い問題が発見された場合には、以下の監査の
報告等を待たず、発見された時点で速やかに報告すること。
ア
次期シスは平成 28 年度内に稼働予定であり、外部に向けたネットワーク基盤が一
新され、ブラウザの内外分離が実現する。そのネットワーク構成図を踏まえてペネ
トレーションテストを実施する。
イ
診断は、机上と実機の二段階に分けて実施する。実機診断は構築中の次期シスの使
用可能度に依存するため、スケジュールは環境省と協議の上、決定する。
ウ
机上診断は、次期シスのネットワーク構成図をもとに評価し、診断する。
エ
実機診断では、ウの結果よりテスト計画を作成し、実際に侵入テストを行って評
価・診断する。
オ
ペネトレーションテストを実施するシステムの対象範囲は以下の通りとする。
グローバル IP アドレスの個数
10~15 個
対象のセグメント数
10 個以内
5. 監査調書の作成
監査実施に当たっては、監査実施の記録として監査証拠及び関連資料等を含む監査調
書を作成すること。監査調書には、以下の事項を記載すること。
9
①
表題
②
監査実施者氏名
③
実施期間
④
被監査部門及び責任者
⑤
発見された問題点
⑥
発見された問題点についての意見
⑦
確認した遵守事項
⑧
確認した対策の内容
⑨
サンプルの件数及び抽出方法
⑩
評価方法及び結果
⑪
監査証拠としての形態(文書、口頭、視察等)
⑫
監査証跡の入手元
⑬
関連資料番号
⑭
その他必要な事項
6. 監査の報告
監査結果については監査報告書により、監査の実施結果、問題点と各問題点に対する
改善案を報告すると共に、報告会を実施し監査結果の概要を説明すること。
なお、監査結果については、報告書とりまとめ前に環境省と事実確認等を実施するこ
と。
監査報告書には、実施した監査に関する全ての事項について、正確かつ漏れなく必要
な事項を整然と分かるように工夫して結果を取りまとめ、以下の事項を記載した監査報
告書を作成すること。
また、監査対象システムごとの監査報告書及び実施した監査全般を総括する監査報告
書を作成すること。
①
報告書の名称
②
報告書の日付
③
報告書の宛名
④
監査人の氏名
⑤
監査実施期間
⑥
監査対象範囲
⑦
監査の基準
⑧
総合的所見
⑨
監査意見
⑩
発見された問題点とリスク
⑪
具体的な改善提案
⑫
遵守事項の整備状況の妥当性及び運用状況の準拠性に関する監査を実施した
旨及びその結果
⑬
監査報告書の取扱い
⑭
添付資料
⑮
その他必要な事項
10
(別添)
1.報告書等の仕様及び記載事項
報告書等の仕様は、「環境物品等の調達の推進に関する基本方針」(平成 28 年 2 月 2 日
閣議決定。以下「基本方針」という。)の「印刷」の判断の基準を満たすこと。
なお、「資材確認票」(基本方針 204 頁、表3参照)及び「オフセット印刷又はデジタ
ル印刷の工程における環境配慮チェックリスト」(基本方針 205 頁、表4参照)を提出す
るとともに、印刷物にリサイクル適性を表示する必要がある場合は、以下の表示例を参考
に、裏表紙等に表示すること。
リサイクル適性の表示:印刷用の紙にリサイクルできます
この印刷物は、グリーン購入法に基づく基本方針における「印刷」に係る判断の基準にしたがい、
印刷用の紙へのリサイクルに適した材料[Aランク]のみを用いて作製しています。
なお、リサイクル適性が上記と異なる場合は環境省と協議の上、基本方針
(http://www.env.go.jp/policy/hozen/green/g-law/kihonhoushin.html)を参考に適切
な表示を行うこと。
2.電子データの仕様
(1)Microsoft 社 Windows7 SP1 上で表示可能なものとする。
(2)使用するアプリケーションソフトについては、以下のとおりとする。
・文章:Microsoft 社 Word(ファイル形式は Word2010 以下)
・計算表:表計算ソフト Microsoft 社 Excel(ファイル形式は Excel2010 以下)
・画像:BMP 形式又は JPEG 形式
(3)(2)による成果物に加え、「PDF ファイル形式」による成果物を作成すること。
(4)以上の成果物の格納媒体は DVD-R 等とする。事業年度及び事業名称等を収納ケース及び
DVD-R 等に必ずラベルにより付記すること。
(5)文字ポイント等、統一的な事項に関しては環境省担当官の指示に従うこと。
3.その他
成果物納入後に請負者側の責めによる不備が発見された場合には、請負者は無償で速や
かに必要な措置を講ずること。
11
(別紙1)
平成
年
月
日
環境省大臣官房総務課環境情報室長 殿
株式会社○○○○
代表取締役社長 ○○ ○○
印
平成 28 年度情報セキュリティ監査等業務に係る
情報セキュリティ対策の実施方法等について
平成 28 年度情報セキュリティ監査等業務に係る情報セキュリティ対策とその実施方法及
び管理体制について、下記のとおり届け出ます。
記
1.情報セキュリティ対策とその実施方法
環境省情報セキュリティポリシーを遵守し、情報セキュリティの確保のため別添の通り
対策を実施する。
2.情報セキュリティの管理体制
情報セキュリティ管理責任者
氏 名
所 属
連絡先
TEL:
役
E-mail:
職
情報セキュリティ管理担当者
氏 名
所 属
連絡先
TEL:
役
E-mail:
職
体制
別添:
12
(1) 取り扱う環境省の情報の秘密保持等
【実施方法】
※仕様書の内容を確認し、実施方法を記述。以下の各項目も同様
(2) 情報セキュリティが侵害された場合の対処
【実施方法】
(3) 情報セキュリティ対策の履行状況の確認
【実施方法】
(4) 情報セキュリティ対策の履行が不十分であると思われる場合の対処
【実施方法】
(5)再請負に関する事項
【実施方法】
13
(別紙2)
平成
年
月
日
環境省大臣官房総務課環境情報室長 殿
株式会社○○○○
代表取締役社長 ○○ ○○
印
平成 28 年度情報セキュリティ監査等業務で実施した情報セキュリティ対策について
平成 28 年度情報セキュリティ監査等業務で実施した情報セキュリティ対策を下記のとお
り報告します。
記
情報セキュリティ対策の実施内容
(1) 体制
「平成 28 年度情報セキュリティ監査等業務に係る情報セキュリティ対策の実施方法等
について」により示した体制で、対策を実施した。
(2) 取り扱う環境省の情報の秘密保持等
「平成 28 年度情報セキュリティ監査等業務に係る情報セキュリティ対策の実施方法等
について」に従い、以下の各対策を実施した。
※以下の各項目についても個別対策について実施報告を記述願います。
(3) 情報セキュリティが侵害された場合の対処
(4) 情報セキュリティ対策の履行状況の確認
(5) 情報セキュリティ対策の履行が不十分であると思われる場合の対処
14