A.5.1 情報セキュリティのための経営陣の方向性
情報セキュリティ方針を最上位とし、個々の対策として個別方針が含まれる。
情報セキュリティ方針
- モバイル機器の方針 A.6.2.1
- アクセス制御方針 A.9.1.1
- 暗号による管理策の利用方針 A.10.1.1
- クリアデスク、クリアスクリーン方針 A.11.2.9
- 情報転送の方針及び手順 A.13.2.1
- セキュリティに配慮した開発のための設計 A.14.2.1
- 供給者関係のための情報セキュリティの方針 A.15.1.1
以下、A.9 アクセス制御についてのみ記載する。
A.9 アクセス制御
A.9.1 アクセス制御に対する業務上の要求事項
資産や情報へのアクセスについて、資産価値に見合ったアクセス制御を行う。
A.9.1.1 アクセス制御方針
従業員が担当する業務や職責により、"知る必要性"と"使用する必要性"の原則に従い、情報へのアクセス制御方針を決定して文書化する。
A.9.1.2 ネットワーク及びネットワークサービスへのアクセス
外部からの侵入対策だけでなく、組織内でのアクセス範囲を制限する。
この時、A.9.1.1 アクセス制御方針に基づき、以下4項目をを明確化する。
1, 管理するネットワークやサービスへのアクセスを保護する運用管理手順
2, ネットワークへのアクセス手段(WiFiなど)や暗号化など、用いる管理作を明確にする
3, 安全なネットワークへの接続やサービスへのアクセス認可手順
4, ネットワークやサービス利用の監視方法
A.9.2 利用者アクセスの管理
認可によるアクセスを確実にする。
A.9.2.1 利用者登録及び登録削除
利用者IDの登録と削除につき、正式な手順を定める。
具体的には、以下の5つを明確化する。
1, 一意な利用者IDで利用者が対応付けできる
2, 共有IDの利用は業務運用上での必要な場合に限定する
3, 不要な利用者IDは即座に無効化する
4, 定期的に利用者IDを見直し、適宜無効化や削除を行う
5, 重複する利用者IDを発行しないことを確実にする
A.9.2.2 利用者アクセスの提供
利用者のアクセス提供について、以下を明確化する。
1, 情報システム利用に関する利用者からの認可手続き
2, 利用者IDに与えられたアクセス権の一元的な記録の維持
3, 役職や職務を変更した利用者のアクセス権の、即座の解除や停止
4, "A.9.1.1 アクセス制御方針"と整合性が取れているか、定期的なレビュー
A.9.2.3 特権的アクセス権の管理
多くの権限を持つ管理者IDについて、明確化する。
特権的アクセス権の管理には、以下の8つを明確化する。
1, 特権的アクセス権の割当は、アクセス制御方針(A.9.1.1)に従う
2, 情報システムの使用の必要性に応じて、利用者に特権的アクセス権を割り当てる
3, 特権的アクセス権は、認可されるまで使用させない
4, 特権的アクセス権は、通常業務に用いる利用者IDとは別に割り振る
5, 割り当てた特権的アクセス権の認可や内容について記録を維持する
6, 特権的アクセス権の終了(異動・退職など)について、特権的IDの削除やパスワードの変更などを定める
7, 特権的アクセス権を与えられた利用者の力量が、その職責に見合っているか定期的に確認し評価する
8, 特権的IDを共有する場合は、パスワードを頻繁に変更するなどの対策を実施する
A.9.2.4 利用者の秘密認証情報の管理
秘密認証情報とは、いわゆるパスワードであり、生体認証なども含まれる。
秘密認証情報の機密性が確保されるよう、以下の4つに留意する。
1, 秘密認証情報を秘密に保ち、成約書類への署名を利用者に要求する
2, 利用者に借りの秘密認証情報を発行し、最初の使用時に変更を要求する
3, 仮の秘密認証情報は、一人一人に対して一意とする
4, 業者が予め設定した秘密認証情報を、システムのインストール後に変更する
A.9.2.5 利用者のアクセス権のレビュー
利用者のアクセス権を定期的に見直す。
以下の5項を満たすことが望ましい。
1, アクセス権を、定期的な間隔及び異動・退職・契約終了時に見直す
2, 利用者の役割変更の際、アクセス権を見直す
3, 特権的アクセス権は、利用者のアクセス権よりも頻繁に見直す
4, 認可されていない特権が無いか定期的に見直す
5, 特権IDの変更は、見直すために記録を残す
A.9.2.6 アクセス権の削除または修正
従業員の異動や退職時に、アクセス権を適切に削除・修正する。
以下の6項目を満たすことが望ましい。
1, 退職時や契約終了時に、確実にアクセス権を削除する
2, 業務変更の際、新たな業務に不要なアクセス権は削除する
3, オートロック扉の利用メンバーに変更があった際、パスワードを変更する
4, 共有の利用者IDについて、メンバーに変更がある際にパスワードを変更する
5, 退職や契約終了する者と、関係者の間で情報共有しないよう通知する
6, 異動の前に、アクセス権の縮小や削除が必要か判断する
A.9.3 利用者の責任
利用者が秘密認証情報を用いて情報システムを利用する際、利用に関する組織のルールを遵守させる。
A.9.3.1 秘密認証情報の利用
利用者には、秘密認証情報を保護する責任を持たせる。
A.9.4 システム及びアプリケーションのアクセス制御
情報システムに保存されている情報への、認可されていないアクセスを防止する。
A.9.4.1 情報へのアクセス制限
個々のシステム機能へのアクセス制限のため、以下の5つの対策を取る。
1, アプリケーションシステムには、アクセス制御できるメニューがある
2, A.9.1.1 アクセス制御方針 に従い、利用者がアクセスできるデータを制限する
3, 利用者のアクセス権(読み、書き、削除、実行)を制御する
4, アプリケーションへのアクセス権を制御し、出力する情報(閲覧できる情報)を制御する
5, 取り扱いに身長を要するアプリケーションやシステムは、物理的に隔離する
A.9.4.2 セキュリティに配慮したログオン手順
ログオン時にセキュリティに配慮し、以下の3つを明確化する。
1, 適切な認証技術で、利用者が提示する識別情報を検証する
2, 強い認証が必要な場合は、ワンタイムパスワードや生体認証などを用いる
3, ログオン時に、認可されていない利用者に無用な情報を表示しない
A.9.4.3 パスワード管理システム
パスワード管理システムには、良質なパスワードが必要である。
パスワードの変更期限通知や、パスワードが組織の規定を満たすかを確認する、"対話式パスワード管理システム"を使用する。
パスワード管理システムは、以下の4つの条件をを満たすようにする。
1, 質の良いパスワードを選択する
2, パスワードは、定期的や最初のログイン時など、必要に応じ変更する
3, 以前に用いられたパスワードを記録し、再使用を防止する
4, パスワードは入力時に画面に表示させないようにする。仮に*(アスタリスク)などを表示する
A.9.4.4 特権的なユーティリティプログラムの使用
ユーティリティプログラムには、実務の輔助を行う、エディタやシステム保守ツールやメンテナンスツールが該当する。
システムに含まれるユーティリティプログラムは、設定ミスや登録情報の変更などによる、誤用や不正利用のリスクをはらんでいる。
A.9.4.4では、ユーティリティプログラムの、使用制限・厳格な管理が求められる。
A.9.4.5 プログラムソースコードへのアクセス制御
プログラムのソースコードは厳重に管理する。
プログラムソースコードを管理するシステムをプログラムソースライブラリと呼び、以下の7つの事項を考慮する
1, プログラムソースライブラリは、運用システムの中に保持しない
2, プログラムソースコード・ライブラリは、確立した手順に従い管理する
3, いかなる関係者にも、プログラムソースライブラリへの無制限のアクセスを許可しない
4, プログラマへのプログラムソースの発行には、適切な認可を必要とする
5, プログラムリストは、セキュリティが保たれた環境で保持する
6, プログラムソースライブラリへのアクセスについて、監査ログを維持する
7, プログラムソースライブラリの保守及び複製は、厳しい変更管理手順に従う
参考書籍