| 毎週発行されているパートナーNewsより選り抜きの記事をご紹介! |
|
第二十五回 『セキュリティマネージメント運用』
|
● アカウントの管理と情報公開用サーバの設置基準(その1)
|
■ セキュリティマネージメント運用
■ アカウントの管理と情報公開用サーバの設置基準(その1)
● アカウント管理標準
アカウントは必要なユーザのみに発行され、必要最小限の権限が与えられていなければなりません。しかし、現実の組織運営においては、組織変更や人員異動などが頻繁に行なわれることが少なくありません。変化に迅速に追従しながら、セキュリティを保つ為に、遵守することを規定します。
・ 対象者
アカウントの発行対象については以下のメンバとします。
-アカウントを管理するシステム管理者
-アカウントを使用している全利用者
-人事管理を行なっている人事部
-人事権を持っているマネージメント
・ 対象システム
対象システムとしては、アカウントを使用している全システムとします。
・ 遵守事項
アカウントの運用に必要な遵守事項をアカウント運用の各タイミングで以下に定めることとします。
1. 新規アカウントの発行
(1)新規のアカウントが必要になった場合には、必要な権限と共に人事権を持った管理者に申請します。
(2)申請を受けた人事権を持った管理者は、必要な権限と必要性を検討し、妥当と判断した場合には、システム管理者に新規アカウントの発行を申請します。
(3)申請を受けたシステム管理者は、申請を受けたアカウントに必要最小限のアクセス権を設定します。
(4)アカウントに対応したパスワードは、別途定める認証標準に従って慎重に設定する必要があります。
(5)メール送受信、ファイル共有、インターネットアクセスなど、基本的なアクセス権限については、別途定めるアクセス権限のマトリックスにしたがって、運用する必要があります。
2. アカウントの変更
(1)アカウントに与えられている権限を変更する場合には、新規アカウントの発行と同様に人事権をもつマネージメントを通して、システム管理者に申請する必要があります。
(2)人事権を持つマネージメントは、現在部下に与えている権限に変更があった場合には、速やかに申請を行なうように担当者に指示しなければなりません。
特に、権限の縮小が行なわれた場合には、業務上の不都合とは関係なく、セキュリティ上の理由から、速やかにアクセス権限の変更の申請を行なわなければなりません。
3. 不要となったアカウントの削除
(1)人事異動などで不要となったアカウントは、速やかに削除・停止行わなければなりません。
(2)人事管理部門は、退職や休職などでアカウントが不要になったという情報を得た場合には、速やかにシステム管理者に通知し、アカウントを削除・停止しなければなりません。
● 情報公開用サーバ設置基準
情報公開用システムをインターネットネットワークに接続する場合に、ネットワーク犯罪の被害者や加害者、あるいは踏み台になることなく、円滑かつ効率的なビジネスを継続できることが重要となってきます。
インターネットネットワークへの接続は、業務効率の向上をもたらす反面、インターネット上の脅威にさらされる可能性もあります。そのためインターネットネットワークへの接続にあたっては、接続そのものの企画から、管理、運用まで慎重に行なければなりません。
外部へ公開する情報、情報システムに関して、セキュリティレベルの維持、向上、管理を目的として、以下の情報公開用サーバに関する基準を設定します。
・ 対象者
遵守義務対象者としては以下のものを対象とします。
−情報公開用サーバの設置申請者
−システムおよびセキュリティ対策の設計者
−情報セキュリティ委員会
−システム構築担当者
−情報公開用サーバのシステム管理者、オペレータ
−利用者(パスワード認証不要のアカウント利用者は除きます)
・ 対象システム
インターネットネットワークに接続し、不特定多数のインターネットユーザにIPアドレス及び情報を公開する情報システム、情報機器などを対象とします。
対象システムの例としては外部公開サーバ(Webサーバ、メールサーバ、ftpサーバ、DNSサーバ、プロキシサーバなど)、ルータ、ファイアウォール及び情報公開用サーバに情報を提供するDBサーバなどがあります。
|
|
|
|
