 |
||||||||||||||||
|
||||||||||||||||
| 前のページ 1 2 3 | ||||||||||||||||
|
||||||||||||||||
| アクセス制御 | ||||||||||||||||
|
ここでは、アクセス制御の基本的な考え方を説明する。情報資産に対するアクセス制御については、情報資産のライフサイクル上の各フェーズで共通的に重要な事項である。 情報資産に対するアクセス制御の実施検討にあたっては、まずは管理の対象(情報/システム/業務プロセス/設備など)に関するアクセス制御の規則を定める。アクセス制御の規則には、情報資産分類や業務上の要求事項に応じた対象へのアクセス権や、アクセス権の変更ルールなどが含まれる。 アクセス制御の規則が明確でない場合は、セキュリティ事件・事故などが発生する可能性がある。例えば重要な情報に対し、業務上無関係な者にのぞき見されたり、内容を改竄されたり、必要な人がアクセスする際にアクセスできなくなる可能性などがある。 アクセス制御の手段としては、建物/室/機器類などへの物理的なアクセス制御や、ネットワーク・システム・ソフトウェアなどへのアクセス制御に大別される。後者としては、システムの利用者を識別するIDと、利用者が本人であることを確認するパスワードを組み合わせて行うのが一般的である。表3にIDとパスワードの管理において実施すべき事項を説明する。
表3:IDとパスワードの管理における実施事項例
|
||||||||||||||||
| 情報のバックアップ対策 | ||||||||||||||||
|
続いて、情報や情報システムを利用した業務の可用性と完全性を維持するための重要な対策として、情報のバックアップ対策の基本的考え方を説明する。 システム障害などの情報セキュリティ事故によりデータが消失してしまった時などのいざという時に、バックアップデータの復旧により業務を回復するために許容される時間や、過去のどの時点のデータを取り戻す必要があるのかなどを元に、表4にあげた項目に関する検討を行い、決定する。
表4:バックアップ対策における検討事項
また、実際にバックアップデータを復旧する際の手順を定めておく必要がある。さらに、手順が有効であり復旧の手順により定められた時間内に復旧完了できることを確認するために、復旧の訓練を行うことをルールとしておくことも重要である。 |
||||||||||||||||
| 次回は | ||||||||||||||||
|
今回は、情報の取得・保管管理について、具体例をあげながらその方法を説明してきた。次回は、情報の交換や廃棄に関して、今回と同様に具体例をあげながらその方法を説明する。 |
||||||||||||||||
|
前のページ 1 2 3 |
||||||||||||||||
|
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
|
|
||||||||||||||||
|
||||||||||||||||
-
-
連載
