メルマガコラム - 現場のセキュリティ対策 - TBCソリューションズ

tbcソリューションズ
tbcソリューションズの実績

最大50%OFFが可能!! 割引制度割引制度詳細    サポーター会員なら受講料がお得サポーター会員詳細

現場のセキュリティ対策

A.9 アクセス制御(A.9.1アクセス制御に対する業務上の要求事項)

“アクセス制御”には、物理的なものと、技術的なものがありますが、“アクセス制御=パスワード”といった式を連想される方が多いように、一般的にアクセス制御は、技術的なものを指すことが多いです。A.9のアクセス制御も、一般的に言われている技術的なものを指しています。ちなみに、施錠管理や入退室管理といった物理的なものは、A.8資産の管理にある媒体の取扱いであったり、A.11物理的及び環境的セキュリティで要求されています。

 

■管理目的「A.9.1アクセス制御に対する業務上の要求事項)
ここでは、情報及び情報を保管又は利用等による処理をするための設備について、アクセスを制限し、管理することを目的としています。アクセス制御は、情報セキュリティにおいてたいへん重要な対策の一つであり、アクセスを制限するための確実なルールを定める必要があるでしょう。

 

□管理策「A.9.1.1アクセス制御方針」
ここでは、アクセスを制限するためのアクセス制御のルールを、組織の業務や求められるセキュリティのレベルに基づき、確立し、文書化すること、文書化したルールをレビューすることを求めています。アクセス制御のルールの文書化では、資産の情報分類や契約における秘密保持義務との整合性、利用者の知る必要性、業務に使用するアプリケーションのセキュリティ機能等を考慮する必要があります。これを踏まえ、情報処理施設(メールやファイルサーバー等の各サーバー、パソコン等)やこれに保管される情報へのアクセスをどのように制限するのかといった枠組みを定めます。
例えば『ファイルサーバーの管理者権限は部門長に付与し、部門長以外の従業者にはユーザー権限を付与する。いずれの権限もID及びパスワードによる利用者認証を行い、これらの権限は年度初めに見直しを行う。』といったことを定めます。ここで登場するIDやパスワードの管理、アクセス権限の管理等については、A.9.2以降の該当する管理策で具体的な管理を定めていきます。

 

□管理策「A.9.1.2ネットワーク及びネットワークサービスへのアクセス」
ここでは、利用者が必要なネットワークだけをその利用者に提供することを求めています。この管理策は、先の管理策(アクセス制御方針)よりも少々具体的に、ネットワークのアクセスを制限するための枠組みを定めます。
例えば、『社外の公衆ネットワークから社内ネットワークへのアクセスは禁止する。当社拠点間の通信はVPN接続とする。無線LANを設置する場合には、WPA2以上の暗号化機能を採用する。』等々といったことを定めていきます。

 

アクセス制御は、情報セキュリティにおいてたいへん重要な対策の一つです。それぞれの情報処理施設及び社内外を含めたネットワークへのアクセスを制限する方法を漏れのないように定めていきます。この管理策を確実なものとするためには、社内ではどのような情報処理施設があるの、どのようなアプリケーションを利用しているのか、どことネットワーク接続をしているのか、どのようなネットワーク環境があるのか、等々といったことをしっかりと把握することが重要であります。皆さんの会社では、漏れなくこれらを把握されていますか。今一度、見直しをしてみてください。

 

このお話が皆さんの取組みの再確認にご活用いただければと思います。

【無料】TBCSメールマガジン

「TBCソリューションズ メールマガジン【無料】」は最新の研修・セミナー情報や、コンサルタントによるISO規格の解説情報、コンサルタント コラムやお得なキャンペーン情報や割引制度などをお届けするメールサービスです。
登録したメールマガジンは、すべて【無料】でご覧いただけます。

【TBCSメールマガジン(無料)の登録】

お問い合せ先

お問い合せはこちら 03-5259-7181 電話での受付時間:平日9:00~18:00 お問い合せ

このページのトップへ