TOP
>
情報セキュリティ
> アクセス制御
企業の社会的責任に必要な情報セキュリティマネジメント
第6回:情報資産のライフサイクル上のセキュリティ管理(前編)
著者:
みずほ情報総研 牛尾 浩平
2006/7/27
前のページ
1
2
3
アクセス制御
ここでは、アクセス制御の基本的な考え方を説明する。情報資産に対するアクセス制御については、情報資産のライフサイクル上の各フェーズで共通的に重要な事項である。
情報資産に対するアクセス制御の実施検討にあたっては、まずは管理の対象(情報/システム/業務プロセス/設備など)に関するアクセス制御の規則を定める。アクセス制御の規則には、情報資産分類や業務上の要求事項に応じた対象へのアクセス権や、アクセス権の変更ルールなどが含まれる。
アクセス制御の規則が明確でない場合は、セキュリティ事件・事故などが発生する可能性がある。例えば重要な情報に対し、業務上無関係な者にのぞき見されたり、内容を改竄されたり、必要な人がアクセスする際にアクセスできなくなる可能性などがある。
アクセス制御の手段としては、建物/室/機器類などへの物理的なアクセス制御や、ネットワーク・システム・ソフトウェアなどへのアクセス制御に大別される。後者としては、システムの利用者を識別するIDと、利用者が本人であることを確認するパスワードを組み合わせて行うのが一般的である。表3にIDとパスワードの管理において実施すべき事項を説明する。
IDの登録や削除のための正式な手順の整備
IDとパスワードを利用者に付与する際には、IDとパスワードを付与する登録手順、アクセスが不要になったときの削除手順などを正式な手順を定めて利用者のアクセス管理を行う必要がある。
アクセス権の付与状況の確認
アクセス権の付与状況のチェックを定期的に行うことにより、従業員の部署異動や退職時のIDの削除漏れや、不正なアクセス権付与の早期発見につながる。
特権の管理
アクセス権の種類としては、データの参照のみ許可される権限、データの参照・登録・変更・削除が許可される権限、さらにはそれらに加えデータを提供するシステムの設定変更が許可される権限(特権)などがある。
特権は一般の利用者に付与されるIDよりも、不正行為を行われた場合に与える影響が大きいため、より厳しい管理が必要である。具体的には、特権を付与する人数を最小限にすることや、一般の権限よりも頻繁に付与状況を確認することによる管理を行う。
表3:IDとパスワードの管理における実施事項例
情報のバックアップ対策
続いて、情報や情報システムを利用した業務の可用性と完全性を維持するための重要な対策として、情報のバックアップ対策の基本的考え方を説明する。
システム障害などの情報セキュリティ事故によりデータが消失してしまった時などのいざという時に、バックアップデータの復旧により業務を回復するために許容される時間や、過去のどの時点のデータを取り戻す必要があるのかなどを元に、表4にあげた項目に関する検討を行い、決定する。
バックアップの対象や範囲(データ、ソフトウェア、システム全体など)
バックアップの形態や保管場所(ローカル拠点やリモート拠点にて可搬媒体にて保存、リモート拠点にてディスクコピーなど)
バックアップの頻度やタイミング
バックアップデータの保管期限
バックアップ手法(フルバックアップ、差分バックアップ、増分バックアップなど)
表4:バックアップ対策における検討事項
また、実際にバックアップデータを復旧する際の手順を定めておく必要がある。さらに、手順が有効であり復旧の手順により定められた時間内に復旧完了できることを確認するために、復旧の訓練を行うことをルールとしておくことも重要である。
次回は
今回は、情報の取得・保管管理について、具体例をあげながらその方法を説明してきた。次回は、情報の交換や廃棄に関して、今回と同様に具体例をあげながらその方法を説明する。
前のページ
1
2
3
著者プロフィール
みずほ情報総研株式会社 システムコンサルティング部
コンサルタント 牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
INDEX
第6回:情報資産のライフサイクル上のセキュリティ管理(前編)
はじめに
情報の保管など
アクセス制御
