Aegis Wall

特権IDの個人認証/アクセス管理を低コストで実現

お電話でのお問い合わせ 受付:平日10:00-18:00 03-6263-1830 お問い合わせ お問い合せ
メニュー MENU

要点3「職務に応じた権限設定をする」

アクセス権限は、各ユーザーの職務に必要な最小限の権限を付与するのが理想です。

各ユーザーのアカウントがアクセス可能なサーバー、操作可能なコマンド、閲覧可能なデータをできる限り制限することで、内部不正や外部からの侵入者による権限奪取の被害を極小化することができます。

権限の制約方法には以下のようなパターンがあります。

  1. 特権IDによるログインを禁止する
  2. データベースの特定のテーブルへのアクセスを禁止する
  3. ポイントなど金銭的価値を持つデータを書き換えるコマンドの使用を禁止する
  4. 個人情報やクレジットカード情報などの重要データをマスキングする
  5. 作業内容を申請して承認を受けた時間帯のみアクセスを許可する

各アカウントの権限を必要最小限に抑え、権限を複数のアカウントに分散させればさせるほど、侵入者や内部犯行者が重要なデータの搾取や改ざんといった不正行為を実行しづらくなります。

以下のようなアクセス管理に関する様々なガイドラインでも、重要データへのアクセスを業務上必要な範囲内に制限すること、前項の「ログの適切な記録と監視をする」でご説明した「ログの記録と監視」は、どちらも重要なポイントとして定義されています。

 

PCI DSS
要件7: カード会員データへのアクセスを業務上必要な範囲内に制限する
要件8: システムコンポーネントへのアクセスを識別・認証する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

個人情報保護法
4.技術的対策
(1)個人データへのアクセスにおける識別と認証
(2)個人データへのアクセス制御
(3)個人データへのアクセス権限の管理
(4)個人データのアクセスの記録

経済産業省・情報セキュリティ管理基準
9.2 利用者アクセスの管理
9.4 システム及びアプリケーションのアクセス制御
12.4 ログ取得及び監視

ISO/IEC 27001
A.9 アクセス制御
1. アクセス制御に対する業務上の要求事項
2. 利用者アクセスの管理
3. 利用者の責任
4. システム及びアプリケーションのアクセス制御

とはいえ、権限を制限・分散しすぎて日常の業務に支障をきたすようでは本末転倒になりますので、業務効率とのバランスを見ながら落とし所を探していく必要があります。

その際、重要データの保管されたサーバー/データベースにアクセスする担当者に、アクセス管理の重要性とインシデント発生時の証拠保全の必要性について理解を求めることも重要です。

これらの証拠は担当者にとっては自らの潔白を証明する証拠にもなるため、そのメリットを伝えることも関係者の理解・協力を得るためには有効です。

PAGE
TOP