【アクセス管理.001】アクセス管理について
佐藤@IT雑貨屋です。
ここまでテクノロジー(技術)の側面で、アクセス関連の事を紹介してきました。しかし技術やテクノロジーがあったとしても、それを如何に管理していくのか、そこを車の両輪として動かしていかなければ、セキュリティ対策は出来ません。
ここでは管理的な側面の事として、アクセス管理についてまとめてみます。
◆アクセス管理について
組織などで内部不正を防止するためには、内部不正対策の体制を構築する事が重要です。IPAセキュリティセンタが発行している「組織における内部不正防止ガイドライン」によると、内部不正防止には5つの基本原則があります。
・内部不正防止の基本原則
1.犯罪を難しくする(やりにくくする)
2.捕まるリスクを高める(やると見つかる)
3.犯罪の見返りを減らす(割りにあわない)
4.犯行の誘因を減らす(その気にさせない)
5.犯罪の弁明をさせない(言い訳をさせない)
基本的な内部不正対策としては、以下の対策が必要になります。
①資産管理
それぞれの情報資産にアクセス権を指定し、アクセス管理を行います。機密情報には秘密指定を行い、外部に漏洩しないように管理を行います。
②情報機器や記憶媒体の持込、持出管理
持出可能なノートPCやスマートフォンなどの情報機器、USBメモリ、CD-Rなどの記憶媒体について、持出の承認、記録などの管理を行います。個人の情報機器や記憶媒体の業務利用や持込は制限し、持ち出すときに情報を暗号化するなどの対策を講じます。
➂業務委託時の確認
業務委託をする場合には、セキュリティ対策について事前に確認・合意してから契約し、委託先が契約とおりに情報せきゅrティ対策を実施しているか、定期的に確認します。
④証拠の確保
アクセス履歴や操作履歴のログ、証跡を残します。システム管理者のログや証跡も残し、システム管理者以外のモノが定期的に確認する必要があります。
⑤雇用終了時の手続き
雇用終了時には必要に応じて秘密保持義務を課す誓約書の提出を求めるなど、地食後に重要情報を漏洩するといった不正行為を防止する必要があります。雇用終了時には、情報資産を全て返却させ、情報システムの利用者IDや権限を削除する必要があります。
⑥適正な労働環境の推進
労働環境が悪く、コミュニケ^ションが十分に図れていない場合、従業員にストレスが溜まり、そこに内部不正を発生する要因を醸成する事があります。それを防止するために、適正な労働環境の推進を図り、コミュニケーションが図れる環境を作る必要があります。
⑦相互監視
単独作業では不正が発生しやすいため、相互監視できない環境での仕事を制限します。具体的には休日や深夜などの単独作業を制限する必要があります。
◆物理的アクセス管理
アクセス管理には、規約などのソフトウェアだけでなく、機器などを用いて物理的に管理する方法があります。物理的アクセス管理には以下のものがあります。
①監視カメラ
設備の入り口やサーバルームなどに関しカメラを設置し、映像を記録する事によって不正行為の証拠を確保します。この監視カメラ設置は不正行為への抑止効果も期待できます。
②施錠管理
重要な設備や書類の置いてある部屋には施錠をすることによって、情報資産への物理アクセスを困難にする事ができます。この際には施錠した鍵の管理も厳密に行わなければなりません。
➂クリアデスク・クリアスクリーン
盗難を防止するとともに、自席に置かれているノートPCなどを帰宅時にロッカーなどに保管して施錠するクリアデスクという対策があります。また食事などで離席する時、他人がPCにアクセスできない様にスクリーンロックなどを掛けるクリアスクリーンなどがあります。
◆入退室管理
扱う情報資産のレベルに応じて、情報セキュリティ区域(安全区域)など、情報保護のための区域を設定します。その区域には認可された人だけが入室できるようなルールを策定し、必要な入退室管理を行います。
ICカードによる入退室管理では、機械的にログを取得し、入退出管理を行う事ができます。さらに訪問者の入退出の日時、記録なども保管し、ログなどと照合する事により厳密な入退出管理が可能になります。
また直前に入退出する人の後ろについて認証を擦り抜ける「共連れ(ビギーバック)」が行われると、ログの記録が残りませんので、そこはルールを徹底して教育するなど、対策が必要となります。