メルマガコラム - 現場のセキュリティ対策 - TBCソリューションズ

tbcソリューションズ
tbcソリューションズの実績

最大50%OFFが可能!! 割引制度割引制度詳細    サポーター会員なら受講料がお得サポーター会員詳細

現場のセキュリティ対策

A.9 アクセス制御(A.9.4システム及びアプリケーションのアクセス制御、2/2)

前回「A.9.4システム及びアプリケーションへのアクセス制御」の前半のお話をしましたが、今回後半は残り3つの管理策についてのお話です。
 
□管理策「A.9.4.3パスワード管理システム」
ここでは、パスワードの管理システムは、利用者自身が設定を変更することが可能なことが望ましく、使用する文字の種類や文字数を一定以上に要求する等の安全なものであることを求めています。とはいうものの、自社のシステムを開発しない限り、OSやパッケージソフトウェアのデフォルト機能を使用することがほとんどで、利用者自身がパスワードの設定を変更することは可能であったりしますが、使用する文字の種類や文字数の制限については、システム上での管理が不可能なことがあると思います。
この場合には、使用する文字の種類や文字数をルールとして決め、運用すると良いでしょう。(規格上はかなりグレーな対応ですが。。。)ただ、これもそのシステムで取扱う情報の価値によって、リスクは異なりますため、リスクに応じた対応であれば問題ないレベルといえるでしょう。
 
□管理策「A.9.4.4特権的なユーティリティプログラムの使用」
ここでは、一般的に便利ツールの類とされるユーティリティプログラムは、便利な反面、リスクも高いことから、その使用を制限し、管理することを求めています。ひとつポイントといえることは、要求事項上の表現で、その管理を“厳しく”と強調している点でしょう。よって、少なくとも社内で使用するPCを含むシステムのユーティリティプログラムは何があるのかを明確にし、その使用ルールをしっかりと定める必要があるでしょう。
一般的には、パスワード管理ツール、自動バックアップツール等がユーティリティプログラムに含まれます。PCについては、これらはデフォルトの機能として実装されていることがほとんどですので、これらの取扱いをルール化する必要があるでしょう。
 
□管理策「A.9.4.5プログラムソースコードへのアクセス制御」
ここでは、プログラムソースコード、いわゆるプログラムそのものへのアクセスを制限することを求めています。一般的に、パッケージソフトウェアのプログラムはアクセスが不可能でありますし、プログラムを書き換えられては、不正な処理のやりたい放題になってしまう可能性もあります。よって、この管理策も“A.9.4.3”と同様に、自社のシステムを開発しない限り、とくに問題になることはないでしょう。
 
パスワード管理システムやプログラムへのアクセス制限は、市販のシステムを使用する場合には、大きな問題にとらえることはないかもしれませんが、ユーティリティプログラムの使用は、どの会社でも当てはまり、PC導入時にデフォルト機能として実装されているものも多いです。皆さんの会社では、いかがでしょうか。ユーティリティプログラムは明確でしょうか、利用ルールや利用者の制限はありますでしょうか。
 
今一度、社内の状況を確認してみてください。このお話が皆さんの取組みの再確認にご
活用いただければと思います。

【無料】TBCSメールマガジン

「TBCソリューションズ メールマガジン【無料】」は最新の研修・セミナー情報や、コンサルタントによるISO規格の解説情報、コンサルタント コラムやお得なキャンペーン情報や割引制度などをお届けするメールサービスです。
登録したメールマガジンは、すべて【無料】でご覧いただけます。

【TBCSメールマガジン(無料)の登録】

お問い合せ先

お問い合せはこちら 03-5259-7181 電話での受付時間:平日9:00~18:00 お問い合せ

このページのトップへ