「ISMS規格をわかりやすく解読する」シリーズの14回目は、「A.9 アクセス制御」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.9.1アクセス制御に対する業務上の要求事項

ここでは、まず「アクセス制御方針」を確立、文章化することを求めています。アクセス制御方針には、従業員や外部の人に、所有している資産へのアクセス権を与える時の方針を盛り込みます。例えば、必要となる情報以外の情報にはアクセスできないようにすることや、資産を利用する業務が終了した場合、その資産へのアクセス権を速やかに見直す、などといった内容です。また、この方針には、以下A.9.2で定める内容と整合性がとれているべきでしょう。

また、ネットワークやネットワークサービスへのアクセスに関しても、何らかの方針を定めておくべきでしょう。例えば、社内ネットワークにはどのような手段で接続するのか、誰が接続できるのかといったことや、WebメールやSNSなどのネットワークサービスを利用するときにはどのようなことに注意するべきなのかといった内容などです。

A.9.2利用者アクセスの管理

ここでは、社内のシステムや、ネットワークサービスを利用する上での、より具体的な管理策について述べられています。

組織には、アカウントの発行や削除、そのアカウントに何らかのアクセス権を割り当てるときなどの手順(プロセス)を定めることが求められます。具体的には、共有IDの利用(複数の人が同じアカウントを共有利用すること)を禁止したり、定期的に登録されているアカウントを確認したりするなどといった内容を定めておくと良いでしょう。

A.9.3利用者の責任

秘密認証情報とは、パスワードや暗号鍵のことをさします。それらは、それを利用する各従業員などが適切に管理する必要があります。そのために組織は、パスワード管理のルールを定め、それらを利用者に周知させる必要があります。パスワード管理のルールには、例えば、パスワードは8文字以上にするといったことや、3ヶ月毎にパスワードを変更するなどといった内容を盛り込むと良いでしょう。

A.9.4システム及びアプリケーションへのアクセス制御

社内サーバなどのシステムには、必ずパスワードなどを設置し、アクセスを制御する必要があります。その時のログインについても、例えばログインのログを取ることや、総当りでのログインの試みを拒否するなどといった、セキュリティに配慮したログイン設定をしておいたほうが良いでしょう。

ISMS規格をわかりやすく解読する【A.9 アクセス制御】

Posted in 規格解説

「ISMS規格をわかりやすく解読する」シリーズの14回目は、「A.9 アクセス制御」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.9.1アクセス制御に対する業務上の要求事項

ここでは、まず「アクセス制御方針」を確立、文章化することを求めています。アクセス制御方針には、従業員や外部の人に、所有している資産へのアクセス権を与える時の方針を盛り込みます。例えば、必要となる情報以外の情報にはアクセスできないようにすることや、資産を利用する業務が終了した場合、その資産へのアクセス権を速やかに見直す、などといった内容です。また、この方針には、以下A.9.2で定める内容と整合性がとれているべきでしょう。

また、ネットワークやネットワークサービスへのアクセスに関しても、何らかの方針を定めておくべきでしょう。例えば、社内ネットワークにはどのような手段で接続するのか、誰が接続できるのかといったことや、WebメールやSNSなどのネットワークサービスを利用するときにはどのようなことに注意するべきなのかといった内容などです。

A.9.2利用者アクセスの管理

ここでは、社内のシステムや、ネットワークサービスを利用する上での、より具体的な管理策について述べられています。

組織には、アカウントの発行や削除、そのアカウントに何らかのアクセス権を割り当てるときなどの手順(プロセス)を定めることが求められます。具体的には、共有IDの利用(複数の人が同じアカウントを共有利用すること)を禁止したり、定期的に登録されているアカウントを確認したりするなどといった内容を定めておくと良いでしょう。

A.9.3利用者の責任

秘密認証情報とは、パスワードや暗号鍵のことをさします。それらは、それを利用する各従業員などが適切に管理する必要があります。そのために組織は、パスワード管理のルールを定め、それらを利用者に周知させる必要があります。パスワード管理のルールには、例えば、パスワードは8文字以上にするといったことや、3ヶ月毎にパスワードを変更するなどといった内容を盛り込むと良いでしょう。

A.9.4システム及びアプリケーションへのアクセス制御

社内サーバなどのシステムには、必ずパスワードなどを設置し、アクセスを制御する必要があります。その時のログインについても、例えばログインのログを取ることや、総当りでのログインの試みを拒否するなどといった、セキュリティに配慮したログイン設定をしておいたほうが良いでしょう。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする