前項までで、情報システムのアーキテクチャから見た情報セキュリティ対策を見てきました。
これを具体化する重要な対策として、アクセス制御の実装と運用及び暗号化技術の実装と運用の二つが挙げられます。
この二つは、ISO/IEC27001 A.9アクセス制御、A.10暗号でもセキュリティ管理の要件としてまとめられています。
アクセス制御の実装
アクセス制御は、利用者が業務上必要な情報資産にアクセスを可能にするとともに、不必要な利用者や外部者からのアクセスを行なわせないことによって、情報資産のセキュリティを確保する手段です。
情報資産には、利用者が利用する情報機器、内部ネットワーク、内部情報システム及びこれらを管理する運用管理システムがあります。
運用管理システムには運用管理者が存在し、物理的な施設の中に設置、保護されています。
情報は情報機器やネットワークを介して蓄積・処理されます。
施設の外部にある情報資産も利用されます。
これには外部ネットワークを介して接続します。
外部資産はクラウドサービスや外部ストレージといった共同利用型のものと他社の情報システムを介する場合とが考えられます。
アクセス管理は利用者が情報資産にどのようにアクセス可能か、あるいはアクセスが禁止されているかを、アクセス制御方針・規定とそれに基づくアクセス制御システムの運用によって実装、実現されることになります。
利用者はPCやスマートフォンなど各種の情報機器を使い、ネットワークを介して情報システムにアクセスすることで、必要な業務を行ないます。
アクセス制御を管理するにあたっては、職位や業務、役割などにしたがった利用者の識別を行ないます。
利用者には社員、経営者・管理職といった組織の内部者ほのか、委託先の社員や派遣社員、一般の訪問者といった識別もあります。
営業職生産に携わる者、人事、経理、総務といった役割による識別もあります。
いずれにしてもISO/IEC27001では、この利用者の識別情報に基づいて、物理施設への入退室、ネットワーク及び情報システムと情報へのアクセス制御方針を明確に文言化し、レビューを受けて運用に入ることをA.9.1.1で要求するとともに、「A.9. l .2ネットワーク及びネットワークサービスへのアクセス」、「A.9.4システム及びアプリケーションのアクセス制御」に対する管理策をまとめています。
管理項目と管理策
ネットワーク及びネットワークサービスへのアクセス
- アクセスが許可されるネットワーク/サービスの明確化
- 利用者へのアクセス権の認可手順の明確化
- アクセスを保護するための運用管理面での管理策/手順
- アクセスに利用される手段(端末等)の明確化
情報へのアクセス制御
- 利用者の業務遂行にとって不必要なシステム及び情報へのアクセスを制限する。具体的にはシステムへのログオン、情報の出力制限、参照権限等の制限
セキュリティに配慮したログオン手順
- 重要なシステム、情報へのログオン手順に対しては厳しい制限を行なう。具体的にはログオン失敗回数、ログオンにかかる時間による制限パスワード非表示、ログオン可能な期間の制限2人以上の認証等
パスワード管理システム
- 常にID、パスワードの入力を求める
- 仮のパスワードは最初の利用時に変更させる
- 定期的にパスワードの変更を求める、有効期限が切れた場合はログオンさせない
特権的なユーティリティプログラムの使用
- システム横断的に影響を与える可能性のあるユーティリティープログラム(バリクアップ/復旧ソフト、ディスク最適化ツール等)の利用制限を行なう
プログラムソースコードへのアクセス制御
- システムで利用されているソフトウェアのソースコードは運用管理システム等で保持しない
- ソースコードはシステムとは切り離して厳重に管理する