9.アクセス制御に関する基本原則

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅲ.情報システム室の職務」の

「9.アクセス制御に関する基本原則」について紹介します。

情報セキュリティマニュアル全体の構成については、以下をご参照ください。

情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ
認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。
スポンサーリンク

Ⅲ.情報システム室の職務

9.アクセス制御に関する基本原則

9.1 アクセス制御方針(全社ネットワーク及び情報システム)

情報システム室は、社内ネットワーク(ネットワーク機器を含む)及びその責任範囲の情報システム(ハードウェア、ソフトウェア、システム・データ等を含む)についての機密性・完全性・可用性を維持するため、次のアクセス制御方針を遵守する。

(1)社内ネットワークに関する情報資産(例:ネットワーク機器及びネットワーク構成に関する情報)及び当該情報システムに対し、管理・運用などの操作を許可する者の条件を定義し、許可された者のみが当該ネットワークの情報資産を管理・運用できるよう適切な処置を行う。

(2)社内ネットワーク及び当該情報システムの中で、特に利用者を限定するネットワーク領域については、利用する従業員の条件及び申請手続きを定め、許可された従業員のみが当該ネットワーク領域を利用できるよう適切な処置を行う。

(3)社内ネットワークに関する情報資産及び当該情報システムに対し、不正なアクセスが行われないよう適切な保護対策を行う。

(4)社内ネットワークに関する情報資産及び当該情報システムに対する不正なアクセスが検出された場合は、「情報セキュリティ事故管理ガイドライン」に従い、ただちに情報セキュリティ事故報告を行い、情報システム室の指示に従って対応する。

スポンサーリンク

9.2 利用者のアクセス管理

9.2.1 利用者登録

情報システム室は、その責任範囲の情報システムのユーザ・アカウントの登録・管理について、次の事項を遵守する。

(1)情報システムのユーザ・アカウント登録

情報システムのユーザ・アカウント(ユーザID)の登録は、原則として、情報システム室が行うユーザ情報管理の仕組みとの連携に基づいて行う。

  • 原則として、利用者毎に一意のユーザ・アカウント(ユーザID)を割当てる。
  • ある利用者に対して作成されたユーザ・アカウント(ユーザID)を、他の利用者に再割当てしない。
  • 複数の利用者が1つのユーザ・アカウントを利用するグループ・アカウント(グループID)の使用は、次のすべての条件を満たす場合に限定する。
    • 業務上又は情報システムの機能上やむを得ない
    • グループ・アカウント(グループID)の利用責任者が定められている
    • 「システム運用責任者」の事前承認を得ている

(2)ユーザ・アカウントの削除

退職、契約終了又は異動等により情報システムを利用する必要がなくなった従業員のユーザ・アカウントは、原則として、情報システム室が行うユーザ情報管理の仕組みと連携し、自動的に削除されるように実装する。

  • 退職、契約終了又は異動等により情報システムを利用する必要がなくなった従業員のユーザ・アカウントの削除手続きを定め、「システム運用責任者」の承認を得る。
  • 不要なユーザ・アカウントの有無を定期的に(半年に1度)検査する。

(3)不要なアカウントの対処

情報システム組込みの不要なアカウント(例:ゲストアカウント)は無効にする。

9.2.2 管理者アカウントの管理

情報システム室は、管理者アカウントの割当て及び使用に関して、次の事項を遵守する。

(1)管理者アカウントの承認手続き(申請、承認、アカウントの作成・割当ての手順等)を定める。

(2)個人に対する管理者アカウントの割当ては、役割上の必要性に基づき、必要とされる権限のみを割当てる。必要以上の権限を割当てない。

(3)管理者アカウントの使用は、前号で定められた承認手続きの完了後に許可する。

(4)管理者アカウントには、通常の業務に使用されるユーザIDとは別の管理者アカウント用のIDを割当てる。

(5)管理者アカウントの使用を許可された者が、業務上の役割変更等で管理者アカウントを使用する必要がなくなった際は、すみやかに管理者アカウントの割当てを解除する。

(6)管理者アカウントの使用の許可状況を台帳管理する。

(7)管理者アカウントの使用が適切に行われていること、及び承認していない管理者アカウントが取得されていないことを定期的に(半年に1度)検査する。

9.2.3 利用者のパスワードの管理

情報システム室は、その責任範囲の情報システムの利用者のパスワードの取扱いについて、次の事項を遵守する。

(1)必須事項

  • パスワードを秘匿する。
  • パスワードが、保護された状態で情報システム上に保管されている。

(2)選択事項(セキュリティレベルに応じて実施)

  • 新規、更新、又は仮のパスワード(例:初期パスワード)を発行する前に利用者の身元を確認する手段を確立する。
  • 仮のパスワードは、セキュリティが確保された方法で利用者に通知する。
  • 仮のパスワードは、利用者毎に都度一意とし、容易に推測されないものである。

9.2.4 利用者のアクセス権の見直し

(1)情報システム室は、その責任範囲の情報システムに対する利用者のアクセス権設定の申請・変更・削除の手順を定め、情報セキュリティ管理責任者の承認を得る。

(2)情報システム室は、その責任範囲の情報システムに対する利用者のアクセス権を定期的に(半年に1度)検査する。

(3)情報セキュリティ管理責任者は、「9.2.2 管理者アカウントの管理」に従い、定期的に(半年に1度)管理者アカウントの割当て及び使用状況を検査する。

スポンサーリンク

9.3 サーバールーム利用者の責任:クリアデスク及びクリアスクリーンの方針

情報システム室は、情報への許可されていないアクセス、情報の消失及び損傷のリスクを軽減するため、ネットワーク機器等を設置している場所(サーバールーム等)では次の事項を遵守する。

(1)離席時の処置

離席等で一時的にネットワーク機器のモニタ等から離れる場合、許可されていない者がモニタを盗み見たり、当該ネットワーク機器を利用したりすることができない状態にする。

(2)退室時の処置

  • 持ち込んだ文書やメディアは、忘れず持ち帰る。
  • サーバールーム等で使用した文書やメディアは、予め定められた保管場所に戻す。
スポンサーリンク

9.4 ネットワークのアクセス制御

9.4.1 ネットワークサービスの使用についての方針

情報システム室は、次の事項を遵守する。

(1)社内ネットワーク及びその責任範囲の情報システムのセキュリティ要件を明確にする。

(2)社内ネットワークの中で特に利用者を限定するネットワーク領域及びネットワークサービス(情報システムを含む)に対しては、利用資格及び申請手続きを定め、適切なアクセス制御対策を実施する。

(3)正当な利用権限を持つ従業員のみが当該ネットワーク及び当該ネットワークサービス(情報システムを含む)を利用できるように適切にアクセス権制御を実施する。

9.4.2 外部から接続する利用者の認証

情報システム室は、リモートアクセス環境を提供する場合、特定の接続ポイントを設け、端末の自動認識による有効な利用者認証を行わなければならない。

9.4.3 自動の端末識別

情報システム室は、その責任範囲の情報システムに対し、端末を特定したアクセス制御を行う必要がある場合は、IPアドレス(Internet Protocol Address)やMACアドレス(Media Access Control Address)等による端末認証を行わなければならない。

9.4.4 リモート診断用ポートの保護

情報システム室は、必要に応じ、次の事項を遵守する。

  • リモート診断等を行う場合は、診断ポートへのアクセスを確実に制御する。
  • リモート診断等を行うポートは通常時には閉じておき、必要な時だけポートを開くようポートの開閉を管理する。

9.4.5 ネットワークの領域分割

(1)情報システム室は、関連会社を含む当社以外の組織内からの社内ネットワークへの接続をファイアウォールにより制限し、ネットワークの安全確保に努める。

(2)情報システム室は、当社以外の組織との間で、社内ネットワーク内にアクセスさせずに電子的な情報交換の仕組みが必要である場合は、DMZ(DeMilitarized Zone)を設ける等の対策を実施した上で、必要最小限の機能に限定し、セキュリティ上の取決めをする。

9.4.6 ネットワークの接続制御(11.4.6)

9.4.6.1 従業員

従業員は、通信プロトコルの使用に関して、次の事項を遵守する。

  • 社内ネットワーク内で使用する通信プロトコルは、情報システム室が許可した通信プロトコルを使用する。
  • 業務上やむを得ず、情報システム室が許可していない通信プロトコルを使用する必要がある場合は、情報システム室に事前に使用許可を申請し、情報セキュリティ管理責任者の許可を得る。

9.4.6.2 ファシリティ管理責任者

ファシリティ管理責任者は、会議室等の通常無人領域に設置された情報コンセントが正当な使用権を持たない者に使用され、当社のネットワークに接続される危険を回避するために、次の対策を実施する。

(1)情報コンセントのポート開閉制御が可能な場合

  • 通常時は、情報コンセントを閉じておく。
  • 利用申請があった場合のみポートを開き、利用終了後、すみやかにポートを閉じる。

(2)情報コンセントのポート開閉制御ができない場合

情報コンセントが許可なく利用されることがないよう必要な安全対策(例:会議室の施錠管理)を実施する。

9.4.6.3 情報システム室

情報システム室は、次の事項を遵守する。

  • 社内ネットワークと外部ネットワークの接続ポイントを管理し、許可のない外部接続が構築されないよう監視する。
  • 社内ネットワークの拠点間接続経路を管理し、許可のない拠点間接続経路が構築されないよう監視する。
  • 求めるセキュリティレベルを明確にした上で、使用する回線、通信サービス、プロバイダ等の接続先を選択する。

9.4.7 ネットワーク経路を指定した制御(外部との接続)

情報システム室は、社内ネットワークのネットワークルーティング制御方針を定め、プロキシ及びネットワークルーティング制御を方針に従い、適切に設定する。

外部と接続する場合は、次の事項を遵守する。

  • 当該外部接続の責任者は、部署長とする。
  • 社内ネットワークへの接続の有無にかかわらず、情報システム室に事前申請とし、情報セキュリティ管理責任者の承認を得る。
  • 当該申請の許可にあたり、接続条件を指示する場合は、当該接続条件を遵守させる。
  • 第三者の提供する外部のネットワークサービス(ASP(Application Service Provider)サービスを含む)を利用する場合は、「8.2.1 第三者が提供するサービス」の定めを遵守する。
スポンサーリンク

9.5 オペレーティングシステムのアクセス制御

9.5.1 セキュリティに配慮したログオン手順

情報システム室は、情報システムへのログオン処理において、次の機能を提供する。

(1)必須機能

  • 情報システムへのログオン処理中に、承認されていないユーザによる不正アクセスの手助けになるような情報を表示しない。
  • 情報システムへのログオン処理中に、ユーザの入力誤り等によりログオンが拒否された場合、どの情報に誤りがあるかをエラーメッセージ等で指摘しない。

(2)推奨機能

  • 許容されるログオンの試みの失敗回数を制御する。
  • ログオンの失敗時には、失敗した試みをログとして記録する。
  • ログオンが成功した時点で、前回ログオンした日時を表示する。

9.5.2 利用者の識別及び認証

情報システム室は、その責任範囲の情報システムの利用者の識別及び認証について、次の事項を遵守する。

(1)「9.2.1 利用者登録」及び「9.2.2 管理者アカウントの管理」に従い、ユーザ・アカウント(ユーザID)及び管理者アカウントを適切に運用・管理する。

(2)当該情報システムに求める認証の強度を明確にし、その強度に応じた認証機能を実装する。

9.5.3 パスワード管理システム

情報システム室は、その責任範囲の情報システムにおいて、次のパスワード管理機能を提供する。

(1)必須機能

  • 最低パスワード長の設定
  • 定期的なパスワード強制変更
  • 空パスワード(パスワード無し)を拒否

(2)推奨機能

  • パスワードの履歴の記録(同じパスワードの再利用制限)
  • 英字、数字、及び記号が混ざったパスワードを要求
  • アカウントのロックアウトまで(ログオン試行回数)のしきい値設定

9.5.4 システムユーティリティの使用

情報システム室は、その責任範囲の情報システムに対し、不適切な変更や修正が行われないように、次の事項を参考に、システムユーティリティプログラムの使用を制限及び管理する。

(1)不必要なシステムユーティリティの削除

  • 当該情報システムにとって必要のないシステムユーティリティプログラムをインストールしない。
  • OS及びパッケージソフトのインストール時に自動でインストールされるシステムユーティリティプログラムのうち、当該情報システムに不必要なものは、可能であれば、インストール後に削除する。
  • 当該情報システムに不要なシステムユーティリティプログラムのうち、OSの制約等により削除できないものは、可能であれば、停止状態にする。

(2)システムユーティリティ使用の制限

当該情報システムを運用・管理するために必要なシステムユーティリティプログラムは、情報セキュリティ管理責任者が使用を許可した者のみが利用できるよう適切な処置を行う。

(3)システムユーティリティ使用に関する定期検査

情報システム室は、その責任範囲の情報システムに対し、次の検査を定期的に実施する。

  • 当該情報システムに不必要なシステムユーティリティプログラムがインストールされていないか。
  • 当該情報システムに不必要なシステムユーティリティプログラムのうち、当該情報システム上の制約等により削除できないシステムユーティリティプログラムは、停止状態に設定されているか。
  • システムユーティリティプログラムに対し、不正なアクセスがないか。

9.5.5 セッションのタイムアウト機能

情報システム室は、リスクの高い場所に設置された情報機器に対して、承認されない不正なアクセスから保護するために、一定時間経過後、自動的にシャットダウンするよう設定する。

9.5.6 接続時間の制限

情報システム室は、リスクの高い情報システムに対して、必要に応じ、利用者に提供するサービスの利用時間を制限する等の処置を講じる。

スポンサーリンク

9.6 業務用ソフトウェア及び情報のアクセス制御

9.6.1 情報へのアクセス制限

情報システム室は、社内ネットワークのネットワーク機器等及びその責任範囲の情報システムに対して、「9.1 アクセス制御方針(全社ネットワーク及び情報システム)」に従い、情報へのアクセス制御を行う。

9.6.2 取扱いに慎重を要する情報システムの隔離

情報システム室は、「情報資産一覧(情報資産目録)」で特定された情報資産の中で取扱いに慎重を要する情報システムに対して、当該情報システムに求められるセキュリティレベルに応じて、次の事項を実施する。

  • 他の情報システムから分離した専用のコンピュータ環境に構築する。
  • 隔離した環境に設置する。
  • 「9.1 アクセス制御方針(全社ネットワーク及び情報システム)」に従い、適切なアクセス制御を行った上で運用する。

まとめ

ここでは、「情報セキュリティマニュアル 管理者編」のうち、

「Ⅲ.情報システム室の職務」の

「9.アクセス制御に関する基本原則」について、以下の内容を説明しました。

  • アクセス制御方針(全社ネットワーク及び情報システム)
  • 利用者のアクセス管理
  • サーバールーム利用者の責任:クリアデスク及びクリアスクリーンの方針
  • ネットワークのアクセス制御
  • オペレーティングシステムのアクセス制御
  • 業務用ソフトウェア及び情報のアクセス制御
タイトルとURLをコピーしました