セキュリティ入門Web講座

アクセス制御及び認証 その1 ~ セキュリティ関連規程の記載事項について ~

4回前から「情報セキュリティ規程には何を書くか?」の各項目のお話をしています。
今回は第4回の「アクセス制御及び認証」その1です。

情報セキュリティ関連規程

広告枠・・・広告やリンク先の保証はしません

目次

情報セキュリティ関連規程」には、次の項目があります。

  1. 組織的対策
  2. 人的対策
  3. 情報資産管理
  4. アクセス制御及び認証
  5. 物理的対策
  6. IT機器利用
  7. IT基盤運用管理
  8. システム開発及び保守
  9. 委託管理
  10. 情報セキュリティインシデント対応及び事業継続管理

アクセス制御及び認証

アクセス制御及び認証の内容

利用者によるアクセスの制御と認証について決めています。
具体的には次のとおりです。


アクセス制御方針

アクセス制御の基本方針を決定します。
どのような情報資産を誰が使え、どう守るか?を決めます。
具体的には次の項目を決めます。

  1. 対象となる情報資産
  2. 利用者の範囲
  3. アクセス権の方針

対象となる情報資産

アクセス制御を行う必要のある情報資産を決めます。
具体的には、前回お話をした「情報資産管理」で決めた資産の中から選ぶことになります。

利用者の範囲

情報資産にアクセスできる利用者の範囲です。
ここでは、内部犯による漏洩等を防止する意味合いで「できるだけ最低限の範囲になるように・・・」という方針を決めます。
また、従業員以外に利用者アカウントを発行するかの方針も決めます。

アクセス権の方針

アクセス権を付与する方針です。
方針なので、具体的な内容というよりは、「漏洩しないように気を付ける内容」を決めます。

認証方法

次のようなことを決めます。

  1. 利用者の認証を行うこと
  2. 認証の方法
  3. 認証するアカウントの方針

利用者の認証を行うこと

今回の内容は、利用者の認証を決める部分なので、当たり前のことです。
ただ、規程なので、当たり前のことでも、記載します。

認証の方法

システムごとの認証方法を定めます。
複数ある場合は、どの方法を使用するかを決めます。

認証するアカウントの方針

発行方針や禁止方針など、アカウントの方針を決めます。
次の「利用者アカウントの登録」で決める場合もあります。

広告枠・・・広告やリンク先の保証はしません

利用者アカウントの登録

利用者アカウントの登録についての規定です。
次の2つを決めます。
  1. アカウント登録の承認者
  2. アカウントの設定条件

アカウント登録の承認者

組織的対策で定めた責任者などに承認が必要である旨を決めます。
「責任者の役職名」か「実際に承認する人名」の「どちらか」または「双方」を明記します。

アカウントの設定条件

現状の多くのシステムでは、IDとパスワードで認証します。
このため、IDを設定する条件を決めます。

次回は、残りの「パスワードの設定」「利用者アカウントの管理」「従業員以外に関する利用者アカウントの発行」「機器の識別による認証」「端末のタイムアウト機能」をお話します。

タグ:, , , , , , ,


参考記事(一部広告含む)


このページの記事についてちょっと質問!