アクセス制御
アクセス制御
ここでは、アクセス制御の基本的な考え方を説明する。情報資産に対するアクセス制御については、情報資産のライフサイクル上の各フェーズで共通的に重要な事項である。
情報資産に対するアクセス制御の実施検討にあたっては、まずは管理の対象(情報/システム/業務プロセス/設備など)に関するアクセス制御の規則を 定める。アクセス制御の規則には、情報資産分類や業務上の要求事項に応じた対象へのアクセス権や、アクセス権の変更ルールなどが含まれる。
アクセス制御の規則が明確でない場合は、セキュリティ事件・事故などが発生する可能性がある。例えば重要な情報に対し、業務上無関係な者にのぞき見されたり、内容を改竄されたり、必要な人がアクセスする際にアクセスできなくなる可能性などがある。
アクセス制御の手段としては、建物/室/機器類などへの物理的なアクセス制御や、ネットワーク・システム・ソフトウェアなどへのアクセス制御に大別 される。後者としては、システムの利用者を識別するIDと、利用者が本人であることを確認するパスワードを組み合わせて行うのが一般的である。表3にID とパスワードの管理において実施すべき事項を説明する。
- IDの登録や削除のための正式な手順の整備
- IDとパスワードを利用者に付与する際には、IDとパスワードを付与する登録手順、アクセスが不要になったときの削除手順などを正式な手順を定めて利用者のアクセス管理を行う必要がある。
- アクセス権の付与状況の確認
- アクセス権の付与状況のチェックを定期的に行うことにより、従業員の部署異動や退職時のIDの削除漏れや、不正なアクセス権付与の早期発見につながる。
- 特権の管理
- アクセス権の種類としては、データの参照のみ許可される権限、データの参照・登録・変更・削除が許可される権限、さらにはそれらに加えデータを提供するシステムの設定変更が許可される権限(特権)などがある。
特権は一般の利用者に付与されるIDよりも、不正行為を行われた場合に与える影響が大きいため、より厳しい管理が必要である。具体的には、特権を付与する人数を最小限にすることや、一般の権限よりも頻繁に付与状況を確認することによる管理を行う。
情報のバックアップ対策
続いて、情報や情報システムを利用した業務の可用性と完全性を維持するための重要な対策として、情報のバックアップ対策の基本的考え方を説明する。
システム障害などの情報セキュリティ事故によりデータが消失してしまった時などのいざという時に、バックアップデータの復旧により業務を回復するた めに許容される時間や、過去のどの時点のデータを取り戻す必要があるのかなどを元に、表4にあげた項目に関する検討を行い、決定する。
- バックアップの対象や範囲(データ、ソフトウェア、システム全体など)
- バックアップの形態や保管場所(ローカル拠点やリモート拠点にて可搬媒体にて保存、リモート拠点にてディスクコピーなど)
- バックアップの頻度やタイミング
- バックアップデータの保管期限
- バックアップ手法(フルバックアップ、差分バックアップ、増分バックアップなど)
また、実際にバックアップデータを復旧する際の手順を定めておく必要がある。さらに、手順が有効であり復旧の手順により定められた時間内に復旧完了できることを確認するために、復旧の訓練を行うことをルールとしておくことも重要である。
次回は
今回は、情報の取得・保管管理について、具体例をあげながらその方法を説明してきた。次回は、情報の交換や廃棄に関して、今回と同様に具体例をあげながらその方法を説明する。
関連記事
バックナンバー
この記事の筆者
筆者の人気記事
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
