メルマガコラム - 現場のセキュリティ対策 - TBCソリューションズ

tbcソリューションズ
tbcソリューションズの実績

最大50%OFFが可能!! 割引制度割引制度詳細    サポーター会員なら受講料がお得サポーター会員詳細

現場のセキュリティ対策

A.9 アクセス制御(A.9.3利用者の責任)

前回までの3回にわたって情報システムやネットワークの利用者の管理についてお話をしましたが、今回のこの管理目的は、その利用者のやるべきこと=責任をもたせるための管理策についてのお話です。

 

■管理目的「A.9.3利用者の責任)
ここでは、情報システムやネットワークの利用者に対して、パスワードや生体認証等の秘密認証情報の管理を徹底させること(責任をもたせること)を目的としています。情報セキュリティにおける“利用者の責任”となると、パスワード等の秘密認証情報の管理以外にも、規定の順守をはじめ様々ありますが、ここは、あくまでも「A.9アクセス制御」における利用者の責任でありますので、秘密認証情報の管理が求められています。

 

□管理策「A.9.3.1秘密認証情報の利用」
ここでは、情報システムやネットワークにアクセスする利用者が、パスワードや生体認証等の秘密認証情報を利用する際には、会社の決めた正式なルールに従うことを、会社が利用者に要求することを求めています。もう少々簡単に言うと、情報システムやネットワークにアクセスする際のパスワードは、使用する文字の種類や文字数を決め(設定ルール)、他人と共有しないことや付箋等にメモしてパソコンに貼り付けること等によって第三者が容易に閲覧できるような取扱いをしない(管理ルール)といった会社の正式なルールを決めること、この決めたルールを確実に社内に周知することを求めています。指紋や声紋、虹彩や静脈といった生体認証は、パスワードの設定や管理とは異質なものでありますため、自身の権限外の情報システムやネットワークにアクセスすることを試みない等の悪意ある行動をとらないといったルールくらいにとどまるでしょう。

 

管理策の規範となるISO/IEC 27002では、秘密認証情報について以下を推奨しています。

 

・管理ルール
 ①秘密認証情報は秘密とし、他社に漏洩しないこと
 ②秘密認証情報を紙やソフトウェア上等に記録しないこと
 ③秘密認証情報に危険な兆候がみられる場合には、変更すること
 ④業務用と業務用でないものには、同じ秘密認証情報を設定しないこと
 ⑤自動ログオン等により保管するパスワードは保護すること
 ⑥個人の秘密認証情報を他人と共有しないこと

 

・設定ルール
 ①十分な文字数であって、覚えやすいもの
 ②名前、電話番号、誕生日等の当人との関連情報は使わないこと
 ③他人が容易に推測できないようなもの
 ④辞書に含まれる言葉は使用しないこと
 ⑤アルファベットのみ、数字のみといった同一文字列だけにしないこと
 ⑥仮のパスワードは速やかに変更すること

 

また、シングルサインオンや秘密認証情報の管理ツール等の利用は、秘密認証情報の保護といった観点では、管理の負荷が減り、この管理策の有効性を向上させるものでありますが、秘密認証情報の漏洩時の影響も大きくなるため、注意を促しています。

 

秘密認証情報のうち、身近なものであるパスワードの取り扱いは、ここ最近変化が見られます。10数年前には、パスワードは管理者が不規則な文字列で設定し、管理者が管理することが望ましいとされていましたが、最近の主流は、利用者自身が管理することが求められています。また、パスワードは定期的な更新が求められていましたが、これも最近では、パスワードは更新するほうがリスクが高いとされています。まあ、これは、パスワードの設定が安易になりがちだという理由もあるのですが。。。
皆さんの会社では秘密認証情報の設定や管理のルール、どこまで定められていますか。秘密認証情報は、アクセス制限における要です。今一度、社内の手順を確認してみてください。

 

このお話が皆さんの取組みの再確認にご活用いただければと思います。

【無料】TBCSメールマガジン

「TBCソリューションズ メールマガジン【無料】」は最新の研修・セミナー情報や、コンサルタントによるISO規格の解説情報、コンサルタント コラムやお得なキャンペーン情報や割引制度などをお届けするメールサービスです。
登録したメールマガジンは、すべて【無料】でご覧いただけます。

【TBCSメールマガジン(無料)の登録】

お問い合せ先

お問い合せはこちら 03-5259-7181 電話での受付時間:平日9:00~18:00 お問い合せ

このページのトップへ