メルマガコラム - 現場のセキュリティ対策 - TBCソリューションズ

tbcソリューションズ
tbcソリューションズの実績

最大50%OFFが可能!! 割引制度割引制度詳細    サポーター会員なら受講料がお得サポーター会員詳細

現場のセキュリティ対策

A.9 アクセス制御(A.9.2利用者アクセスの管理、2/3)

“利用者アクセス”って何?
なんとなくイメージは沸きますが、いわゆる“アカウントの管理”のことを指しているといっても良いでしょう。世間では“アカウント”という言葉は、“利用者+アクセス権=アカウント”という意味合いで使われていることが多いように思います。この管理目的では、アカウントを管理するための管理策についてのお話です。

 

□管理策「A.9.2.3特権的アクセス権の管理」
ここでは、特権的アクセス権の権限付与及び利用は制限し、管理することを求めています。“特権的アクセス権”とは、その情報システムにおいて何でもできる権限のことであって、root権限やadministrator権限等のいわゆる管理者権限を指しています。管理者権限は、その情報システムにおいて何でもできる権限ですから、様々な設定の変更ができます。設定の変更ができるということは、皆さんのご想像どおり、不正な処理を実行させることもできてしまうのです。大きなリスクです。
よって、この管理者権限は、しっかりと管理する必要があります。例えば、“誰に管理者権限を付与しているのか”ということは最低限の管理として、“当該責任者の承認のもと管理者権限を付与する”、“定期的に管理者権限を付与された者の力量を評価する”、“管理者権限の終了時の対応”等々、対象となる情報システムの重要度とリスクに応じた対応が必要でしょう。

 

□管理策「A.9.2.4利用者の秘密認証情報の管理」
ここでは、利用者が使用する秘密認証情報は、組織として管理するための手順を整え、その手順に従い管理することを求めています。規格で要求されている“正式な管理プロセス”とは、組織として準備している管理するための手順のことであり、秘密認証情報を管理するための手順をしっかりと整えておく必要があります。(以前の規格では、パスワードという表現が使われていましたが、昨今の生態認証の普及により秘密認証情報と表現が変わっています。)
秘密認証情報を管理するための“正式な管理プロセス”には、“秘密認証情報を秘密に保つことを雇用契約に含める”、“デフォルト(初期設定)の秘密認証情報は最初の利用時に変更する”、“一人一人個別の秘密認証情報を発行する”等々を含めることが望ましいですが、これも、先の『特権的アクセス権の管理』と同様にリスクに応じた対応が必要です。

 

管理者権限や秘密認証情報の管理、皆さんの会社ではどのように行っていますか。とくにWindowsの管理者権限は、多くの会社で従業員に管理者権限を付与しています。厳密にいえば、本来は管理者権限を付与することの適切性を評価が必要でしょうが、中小企業においては、そこまでの管理をやり切れないのが実情かもしれません。このような場合には、業種にもよりますが、必要最低限の“誰がどのパソコンの管理者なのか”といった管理を行っておけば必要十分といえるでしょう。
情報セキュリティは、機密性、完全性、可用性のバランスです。機密性最優先の考えから可用性へ少々シフトし、効率の良い情報セキュリティの実践が、いま求められていると思います。今一度、社内の手順を確認してみてください。

 

このお話が皆さんの取組みの再確認にご活用いただければと思います。

【無料】TBCSメールマガジン

「TBCソリューションズ メールマガジン【無料】」は最新の研修・セミナー情報や、コンサルタントによるISO規格の解説情報、コンサルタント コラムやお得なキャンペーン情報や割引制度などをお届けするメールサービスです。
登録したメールマガジンは、すべて【無料】でご覧いただけます。

【TBCSメールマガジン(無料)の登録】

お問い合せ先

お問い合せはこちら 03-5259-7181 電話での受付時間:平日9:00~18:00 お問い合せ

このページのトップへ