前項では、情報資産に対するアクセス制御の情報セキュリティからの管理策を見てきました。
これらの管理策は利用者のアクセス権管理と密接な関係があります。
ISO/IEC27001では、利用者のアクセス権管理に対する管理策も「A.9.2利用者アクセスの管理」、「A.9.3利用者の責任」の二つの項目でまとめられています。
利用者アクセスの管理
利用者登録、削除
- 利用者情報の登録・変更・削除に対するプロセスの定義。具体的には利用者情報の登録変更削除の申請者、申請項目、承認者、申請・承認ルート及び実際の実施者の定義
利用者アクセスの提供
- アクセス権の割り当て・変更・削除に対するプロセスの定義。具体的にはアクセス権の割り当て・変更・削除に対する申請者、申請項目、承認者、申請・承認ルート及び実際の実施者の定義
特権的アクセス権の管理
- 特権的アクセスの特定とその利月範囲、割り当て利用・変更・削除プロセスの定義。特権アクセスとは、それが侵害、あるいは誤って使用された場合に情報資産に甚大な損害を与えるもの
利用者の秘密認証情報の管理
- 情報資産にアクセスする際に用いられる秘密認証情報(パスワード等)を守るためシステム側で実施すべき管理策の特定
- パスワードでいえば、文字の種類、桁数、一定周期での変更等のパスワードの利用に関する制限を設け、システムとして実装する
利用者アクセス権のレビュー
- 情報資産の管理者が一定の間隔で利用者アクセス権のレビューを行なう。そのためのレビュー実施者、頻度等を定義する。これらは、情報資産の重要度に応じて定義する
アクセス権の削除または修正
- 利用者アクセス権は雇用、契約等それが変更もしくは不要になった場合速やかに修正、削除する必要がある。そのための修正、削除のプロセスを定義し、正しく運用されるための手順チェックリスト及び定期的監査を行なう必要がある
秘密認証情報の利用
- 秘密認証情報の利用時に、組織の慣行に従うことを、利用者に要求しなければならない
利用者に対するアクセス権付与の前提として、まず利用者の登録や削除の管理策が要求されます。
利用者の所属、職位、業務内容に対応した利用者の識別可能な情報の登録、削除です。
この段階で、具体的な情報資産に対するアクセス権の設定は行なわれず、利用者アクセスの提供で行なわれます。
この段階でもさまざまな管理策が要求されます。
アクセス権を設定する際の個々の識別情報、パスワードに対する管理策、及びアクセス権の登録や削除のプロセスに対する管理策、特にセキュリティ上重要な特権管理に対する管理策も示されています。
これらは、組織として対処すべきアクセス制御に対する管理ですが、利用者に対する責任も要求され「A.9.3利用者の責任」に対応します。
利用者自らの秘密情報がポイントで、具体的にはパスワードの保護に対するものです。
パスワードの保護に関して下記のようなルールを明確にし、利用者の責任としての運用することを要求する必要があります。
① 推測可能なパスワード(辞書攻撃などを含む)を利用しない
② パスワードの使い回しをしない
③ パスワードを不用意に目につくところに記録したり、他人に教えたりしない
④ 定期的に変更する