「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。
「9.アクセス制御に関する基本原則」では、以下について説明します。
- 業務上のアクセス制御方針
- 利用者のアクセス管理
- 利用者の責任
- ネットワークサービスの使用についての方針
- オペレーティングシステムのアクセス制御
- 業務用ソフトウェア及び情報へのアクセス制限
- モバイル・コンピューティング及び在宅勤務等のテレワーク
9.アクセス制御に関する基本原則
9.1 業務上のアクセス制御方針
従業員は、情報資産へのアクセス制御に関し、次の事項を遵守する。
(1)パスワードの設定
従業員は、個人使用情報機器に対して以下に挙げるパスワードを設定する。ただし、代替手段として同等以上の情報漏えい防止処置を実施する場合には、事前に情報システム室に申請する。
- ハードディスク・パスワード
- ハードディスク・パスワードの設定が可能な機器は、起動時にパスワード入力なしには起動できないよう、ハードディスク・パスワードを設定する。
- ユーザ・アカウント・パスワード
- PC等にログオンするためのユーザ・アカウントには、「9.3.1 自己のパスワードの管理」に従い、適切なパスワードを設定する。
- スクリーンロックのパスワード
- 「9.3.3 クリアデスク及びクリアスクリーンの方針」に従い、スクリーンロックのパスワードを設定する。
- 電子メールのパスワード
- 電子メールサーバー上に格納されている自分用のメールボックスに接続するためのパスワードを「9.3.1 自己のパスワードの管理」に従い設定する。
(2)共用情報機器の保護
共用情報機器には、利用を許可されたメンバー以外の者が当該情報機器を利用できないように適切な対策を実施する。
(3)個人使用情報機器上でのアクセス管理
個人使用情報機器内の秘密情報・個人情報を安全に保管するため次の事項を実施する。
- 秘密情報・個人情報を保管する際は、許可された者以外からのアクセスを防ぐため、アクセス制御可能な情報システムに保管し、必要最小限のメンバーに対してのみアクセス権を設定する。
- アクセスの必要がなくなったメンバーのアクセス権はただちに抹消する。
(4)ファイル共有サービス
- ①個人使用情報機器によるファイル共有
- 必要最小限の領域(共有する情報が格納されたディレクトリ、フォルダ)のみを共有するものとし、ドライブ全体を共有設定しない。
- 「9.3.1 自己のパスワードの管理」に従い、適切な共有パスワードを設定する。
- 共有の必要性がなくなった時点ですみやかに共有設定を解除する。
- ②サーバーによるファイル共有
- サーバー上の特定領域(特定のディレクトリ、フォルダ)を、システム管理側ではなく利用者側でアクセス制御を管理する場合は、アクセス権設定の担当者を定める。
- アクセス権設定の担当者は、秘密情報・個人情報は必要最小限のメンバーに対してのみアクセス権を設定する。
- アクセス権設定の担当者は、アクセスの必要がなくなったメンバーのアクセス権を、すみやかに抹消する。
- アクセス権設定の担当者は、定期的に(最低半年に1度)、アクセス権の設定を見直し、不必要なアクセス権の設定がないように管理する。
9.2 利用者のアクセス管理
9.2.1 利用者登録
従業員は、個人使用情報機器及び情報システムのユーザ・アカウントの管理に関し、次の事項を遵守する。
(1)個人使用情報機器のアカウントの管理
- 自分専用の個人用アカウントを作成し、通常業務(管理作業以外の一般業務)に利用する。
- 自分専用の個人用アカウントを他者と共有して使用しない。
- 情報システム組込みの管理者アカウント(例:Windows系OSのadministrator)を使って、通常業務を行わない。ただし、個人用アカウントを管理者用グループ(例:Windows系OSのadministrators)のメンバーに追加して使用する利用形態は可とする。
- 情報システム組込みの不要なアカウント(例:ゲストアカウント)は無効にする。
(2)電子メールシステムの利用者登録
- 業務上、電子メールを利用する必要のある従業員は、情報システム室に、電子メールシステムの利用者登録を申請する。
- 会社から割当てられたメールアドレスを利用している従業員が退職や契約終了等で電子メールシステムを利用する必要がなくなった場合、当該従業員の部署長は、情報システム室に、すみやかにメールアドレスの削除申請を行う。
- 部署長は、「6.3 アクセス権の削除」に従い、監督下にある従業員が退職又は契約終了した場合、当該従業員に割当てたメールアドレスの削除を含め、必要な確認を行う。
(3)情報システムの利用者登録
- 業務上必要な情報システムのみを利用する。
- 新たに情報システムを利用する場合、情報システム室に申請し、利用者登録を行う。
- 業務上やむを得ずグループ・アカウント(グループID)を使用する場合、情報システム室に事前申請し、情報セキュリティ管理責任者の承認を得た後で、次の事項を遵守する。
- グループ・アカウント(グループID)を使用する者は、必要最小限にする。
- アクセスが許される範囲を必要最小限にする。
- 当該グループ・アカウント(グループID)の利用責任者(利用者側の責任者)を定める。
- グループ・アカウント(グループID)のパスワードの管理は、「9.3.1 自己のパスワードの管理」に従う。
- 異動等で情報システムを利用する必要がなくなった場合、「6.2 情報資産の返却」に従い、情報システム室にユーザ・アカウント(ユーザID)の削除申請を行う。
9.2.2 管理者アカウントの管理
従業員は、業務で使用する個人用使用情報機器の管理者アカウント(例:Windows系OSのadministrator)を、使用を許可しない他者に利用されることがないよう適切に管理する。
9.3 利用者の責任
9.3.1 自己のパスワードの管理
従業員は、パスワードの設定・使用に際して、次の事項を遵守する。
(1)パスワードの秘匿
- 個人毎に使用するパスワード(例:利用者アカウントのパスワード)は、本人のみの秘密とし、パスワードを他者に教えたり、パスワードを紙等に記して見える所に貼らない。
- 特定メンバーで使用するグループ・アカウント(グループID)のパスワードは、メンバー内のみの秘密とする。メンバー以外の人に教えたり、パスワードを紙等に記して見える所に貼らない。
(2)パスワードの選択
パスワードを設定するにあたっては、次の事項(一例です)に従い、適切なパスワードを選択する。
- ①適切なパスワード
- 【必須】 6文字以上の文字列
- 【必須】 英字、数字が混ざった文字列
- 【推奨】 英字、数字、及び記号が混ざった文字列
- ②不適切なパスワード
- 【推測されやすいパスワード】
- ・単純な文字列、ユーザIDそのものや社員番号等の個人に関連する情報、辞書に存在する単語をパスワードとして設定しない。このような推測されやすいパスワードは簡単に破られ危険である。
- ・不適切な例:ABC、AAAAA
- 【解読されやすいパスワード】
- ・5文字以下の短い文字列や数字のみのパスワードを設定しない。このようなパスワードは、パスワード解析ツールによって解読されやすいため危険である。
- ・不適切な例:12345
- 【入力しにくいパスワード】
- ・入力しにくいパスワード(例:普段タイプしない特殊キーを多く含むパスワード)を設定しない。入力しにくいパスワードは入力時肩越しにパスワードを見られやすいため危険である。
- ③同じパスワードの再利用禁止
- ・パスワードの変更時、古いパスワードを再利用したり、循環させて使用しない。
- ・不適切な例:2つのパスワードを交互に使用する
(3)パスワードの変更
従業員は、次の事項に従い、パスワードを変更する。
- 製品出荷時等に初期設定されたパスワードは、初回利用時に変更する。
- サーバーの管理者アカウント(例:Windows系OSのadministrator)のパスワードは、最低でも3ヵ月に1度変更する。
- 個人使用情報機器のアカウントのパスワードは、最低でも3ヵ月に1度変更する。
- 特定メンバーで使用するグループ・アカウントの利用メンバーから脱退者が出た際は、すみやかにグループ・アカウント(グループID)のパスワードを変更する。
- パスワードを他者に知られた時、又は知られたと思われる時には、すみやかにパスワードを変更する。
- 例1:パスワードを他者に聞かれ、うっかり教えてしまった時
- 例2:人が見ている前でパスワード入力をしてしまった時
(4)パスワードの使用
パスワードをOS及びソフトウェアに記憶(保存)しない。
OS及びソフトウェアに記憶(保存)する不適切な例
ログオン処理画面で、「パスワードを記憶する」を設定し、次回以降のログオン時にパスワード入力なしにログオンできる状態にする。
9.3.2 利用者領域にある無人運転の情報機器
従業員は、会議室等の通常常勤者のいない領域には、情報機器(例:PC等)を設置してはならない。
業務上やむを得ず設置する必要がある場合は、事前に情報システム室に申請し、情報セキュリティ管理責任者の承認を得なければならない。
9.3.3 クリアデスク及びクリアスクリーンの方針
従業員は、情報への許可されていないアクセス、情報の消失及び損傷のリスクを軽減するため、次の事項を遵守する。
(1)離席時の処置
- 従業員は、離席等で個人用使用情報機器から離れる際は、スクリーンセーバにパスワードを設定したり、ログアウトする等の処理を実施し、許可されていない者が画面を盗み見たり、当該情報機器を利用したりすることができない状態にする。
- 顧客や社員の個人情報又は秘密情報を記載した文書は、使用していないときは、不用意に人目に触れることがないよう、適切に施錠されたキャビネット等に収納する。
(2)帰宅時の処置
従業員は、帰宅時には、個人用使用情報機器の電源を切る。
ただし、当該情報機器を終夜運転する必要がある際は、ログアウト等の処置を実施し、許可されていない者が当該情報機器を利用できない状態にしてから帰宅する。
(3)会議終了時の処置
会議等の主催者は、会議終了後、会議室からの退出時に次の事項を確認する。
- 資料が放置されていないこと。
- 「8.6.1 情報交換の方針及び手順」に従い、会議中にホワイトボードに書いた情報が消去されていること。
- ホワイトボードにコピー機能がある場合には、追加コピー機能等による情報漏えい(情報流出)を防止するためにホワイトボードの電源を切る。
9.4 ネットワークサービスの使用についての方針
従業員は、ネットワークサービスの使用について、次の事項を遵守する。
- 業務上利用が認められたネットワーク及びネットワークサービス(情報システムを含む)のみを利用する。
- 正当な利用権限を持たないネットワーク及びネットワークサービス(情報システムを含む)に対し、不正なアクセスを行わない。
- 「4.2 情報処理設備の導入手続き」に従い、会社貸与外の情報機器を社内ネットワークに接続しない。
9.5 オペレーティングシステムのアクセス制御
従業員は、使用する情報機器(例:PC)にパスワードを管理する機能がある場合、当該機能を利用し、「9.3.1 自己のパスワードの管理」に従い、適切なパスワードを設定する。
次にパスワードを管理する機能の例を示す。
- 最低パスワード長の設定
- 定期的なパスワード強制変更
- パスワードの履歴の記録(同じパスワードの再利用制限)
- 英字、数字、及び記号が混ざったパスワード設定を要求
- アカウントのロックアウトまで(ログオン試行回数)のしきい値設定
9.6 業務用ソフトウェア及び情報へのアクセス制限
従業員は、情報システムの利用にあたり、当該情報システムに対して定められた運用ルールを理解し、遵守する。
9.7 モバイル・コンピューティング及び在宅勤務等のテレワーク
9.7.1 モバイル・コンピューティング
従業員は、モバイル環境で業務を行う場合、事前に情報システム室に申請し、情報セキュリティ管理責任者の承認を得る。
リモートアクセスサービス(以下、リモートアクセスという)の利用について、次の事項を遵守する。
- 社外から公衆回線等を経由して社内情報へのアクセスを行う際には、情報システム室が指定するリモートアクセス環境を利用する。
- リモートアクセスの利用時は、社内にいるとき以上にセキュリティに留意する。
- 「8.6.4 電子メールのセキュリティ」に従い、社内のメールアドレス宛に届いた電子メールを社外のアドレス(例:携帯電話の個人メールアドレス)に自動転送しない。
社内のメールアドレス宛に届いた電子メールに外出先等からアクセスする(受信する)場合、情報システム室が指定するリモートアクセス環境を利用する。
9.7.2 在宅勤務等のテレワーク
従業員は、「4.2 情報機器等の導入及び管理」に従い、自宅等で業務を行う際は、会社貸与の情報機器・備品・ソフトウェアを使用しなければならない。
自宅にある個人所有のPC、外部記憶メディア、及びソフトウェアを使用して会社情報を取り扱うことは禁止とする。
まとめ
「情報セキュリティ規定 利用者編」は、ISMSの付属書Aの内容のうち、利用者に関するルールをまとめています。
「9.アクセス制御に関する基本原則」では、以下について説明しました。
- 業務上のアクセス制御方針
- 利用者のアクセス管理
- 利用者の責任
- ネットワークサービスの使用についての方針
- オペレーティングシステムのアクセス制御
- 業務用ソフトウェア及び情報へのアクセス制限
- モバイル・コンピューティング及び在宅勤務等のテレワーク
