ISO27002で見る適切な利用者アクセス権

ISO27001 は情報資産を守る情報セキュリティマネジメントシステム でありますが、その情報が価値を持っていなければそのマネジメントシステムは有効であるとは言えません。ここで言う価値とは、情報が情報セキュリティの三大要素である可用性・機密性 ・ 完全性 を維持している状態のことを指します。

では、WEBサービスなどにおいて利用者に対して与えるアクセス権はどのような形が望ましいのでしょうか？

情報アクセス権のあるべき姿とは

事業者や企業が扱う情報というのは、ユーザーから与えられた情報も含みます。ーー例えば、ある顧客のクレジットカード情報を他のユーザーがアクセスできる状態というのは好ましくありません。また、社内情報であったとしても、管理者がアクセスできる情報と、一般社員がアクセスできる情報が共通であったほうが好ましい場合と好ましくない場合もあります。

このため、その情報の利用者に与えるアクセス権は適切に管理し、一定のプロセスを踏んで与えられるべきであります。

ISO27002では、利用者のアクセス権に関して以下のような管理策を行うことが望ましいとしています。

全ての種類の利用者について，全てのシステム及びサービスへのアクセス権を割り当てる又は無効化するために，利用者アクセスの提供についての正式なプロセスを実施することが望ましい。
ISO27002

実際にはどのように運用すべきか

さて、情報セキュリティ上の観点から、アクセス権は正式なプロセスを踏んで与えられるべきであるとしていますが、実際の現場ではこういったプロセスを踏むだけでは十分なセキュリティを担保することができないでしょう。

例えば管理職の人間にしかアクセスできない情報が実務上必要になる場合、管理職の人間が部下にIDやパスワードを教えて運用してしまうかもしれません。こういったずさんな管理を行ってしまうと、情報が流出した時にその原因を特定するのが遅くなってしまったり、二次災害に発展していく可能性もあります。

情報セキュリティマネジメントシステムは、完璧なセキュリティを構築するのではなく、完璧に近いセキュリティ体制を整えます。またインシデントが発生した際には素早くその原因を究明し、対策を取るためのものです。こういった考えに基づいて、以下のような取り組みを実施することが望ましいでしょう。

特別アクセス権の管理

一概に「一定の役職を持っていないものはアクセスできない」としてしまうと、現場で実際に行わている作業とのギャップが発生してしまい、インシデントに発展する可能性があります。このため、特別アクセス権というものを発行し、例外を認めることも仕方ない時もあります。

こういった特別アクセス権を制定しておけば、正式なプロセスを踏んでアクセスするユーザーを管理することができるようになるでしょう。ーーただし、特別アクセス権の割当は、管理が必要になります。

記録の維持

アクセス権が誰に対して与えられたのかということについては、しっかりと記録を取っておく必要があります。インシデントが発生した場合に備える意味でも一元的な記録の維持を行いましょう。

アクセス権の定期的なレビュー

情報アクセス権については、組織の状況の変化や外部環境の変化によって定期的なレビューが必要になるでしょう。不正なアクセスがあった場合の対策や制裁の要件などは定期的に情報システム責任者によってレビューされるべきです。

物理的なアプローチも

マネジメントシステムによるセキュリティ対策というのは、どうしてもソフト面に寄ってしまいがちです。しかしマネジメントシステムのみによって防止することができるインシデントには限界があります。

このため、物理的なセキュリティ対策も視野に入れておくべきでしょう。

Webサービスなどの場合はIPアドレスによる制御を行うことも視野に入れましょう。ただし、IPアドレスによる制御を行うということは、個々に管理するということにもなるため、運用方法や権限の数によっては不適切な管理方法となりますので、注意しましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。