No.237 ISO情報セキュリティマネジメントシステム その7-2/2

ITコラム
2017年12月18日

ISO 飛鳥 石橋一史によるITコラム
~帝国ニュースに掲載されたものを紹介していきます~

 

先週は、管理すべき情報の「機密性」「完全性」「可用性」を解説したが、今週は、箇条9:アクセス制御の本論に入る。

組織情報の喪失を防ぐための手段の一つにアクセスの制御がある。

これは、システム機器とか電子媒体への不正アクセスを防ぐ施策を検討し、ルールを定めなければならない。方法として一般的には、アクセスを許可する個人ごとにユーザーID[個別認証記号]を割り当て、PW(パスワード)で制御するが、退職や異動、外部関係者などの場合は契約終了などでIDを無効にするなど、確実な管理が実施されるように手順を定めなければならない。

組織における情報セキュリティ管理者(サーバ管理・ネットワーク管理など)は、IDの発行を必要最小限とし、不正が起きないよう各端末からのアクセスログ(記録)を定期的に監視する必要もある。

また、パスワードの文字数や複雑さ、推測されやすい平文(名前、生年月日など類推可能な文書)を禁止し、定期的に変えるなどのルールを決める。余談だが、筆者がプライバシーマーク審査員時代、「PWは3ヶ月ごとに変えるべき」と行き過ぎた指導が横行し、その結果、PWの失念が多発、業務に支障を来した現場を観てきた。

このように情報セキュリティの管理は、組織規模、業務の複雑さ、情報管理の重要性に見合った合理的な枠組みで構築しなければならない。次回は、暗号…