サンプルを用いたセキュリティポリシー策定
問 題 《情報セキュリティアドミニストレータ午後対策》
第3回 サンプルを用いたポリシー策定方法
http://www.atmarkit.co.jp/fsecurity/rensai/policy13/policy01.html
を読んで下記問いに答えよ。
(1)企業のネットワークのアカウントにはどのようなものがあるか。
(2)アカウントごとに管理方法が異なる場合、留意しなければならな
いことは何か。
(3)感想・調べたこと
情報セキュリティアドミニストレータ午後対策の解説を何度も読みましょう。
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)企業のネットワークのアカウントにはどのようなものがあるか。
>・メールアカウント
>・そのほかの社内システムのアカウントなど
> ・人事システム
> ・給与システム
> ・出退勤システム
> ・経費清算システム
> ・物品管理システム
> etc.
>●メールアカウント
いくつか例を挙げていただいたように、企業によっていろいろなシステムがあります。
セキュリティポリシを策定する場合、自組織に適合したものとする必要があります。
アカウントはなぜあるのでしょうか?
アカウントは、情報資産に対して、アクセス権やアクセスレベルを決めて、
それに基づいて管理するためにあるのです。
ここで重要なポイントは、当該情報資産に対して、業務上アクセスする必要性によって、
最小限のアクセス権、アクセスレベルを設定するということです。(「need to know」の原則)
(2)アカウントごとに管理方法が異なる場合、留意しなければならな
いことは何か。
>明記する必要がある。
>例として、
>・人事担当者は、人事システムに社員情報の登録、更新、削除を行わなければならない。
>・人事担当者は、社員情報に変更があった場合には、人事システムへの社員情報の
> 登録、更新、削除すると同時に、Webサーバ管理者、メールサーバ管理者、
> および社内システム管理者にアカウントの登録、更新、削除依頼を行わなければならない。
>・社員が退社する場合は、退社日から1週間以内に人事システムから退社する社員のアカウントを
> 削除すると同時に、Webサーバ管理者、メールサーバ管理者、
> および社内システム管理者にアカウントの削除依頼を行わなければならない。
アカウントのライフサイクルを考える必要があります。
セキュアド午後試験でも出題されるポイントでもありますので、
しっかりと押さえておきましょう。
まず、組織としてアクセス制御の方針、規則が定められている必要があります。
そして、以下のようにアカウントのライフサイクルがあります。
ライフサイクルに応じて適切に管理されていなければなりません。
・アカウントの登録(設定と付与)
・アカウントの変更(人事異動時の変更手続)
・アカウントの停止(休職時の手続)
・アカウントの削除(退職時、人事異動時の変更手続)
定期的にアカウントのチェックを行う必要があります。
また、ユーザの観点からはどうでしょうか。
複数のアカウントを別々に管理しなければならないとしたら、覚えられますか?
その解決策の1つとしてシングルサインオンがあります。
◇シングルサインオン とは。。。
認証を必要とする複数のアプリケーションを使用する際、1回の認証のみで、
許可されているすべてのシステム資源に適切にアクセスできるようにするものです。
複数のシステム資源に対して、それぞれユーザIDとパスワードを設定することが
理想的ではありますが、利用者にとって複数のユーザIDとパスワードを
覚えなければならず負荷がかかります。
パスワードを覚えられないため、メモで残したり、単純なパスワードを
設定したりしてしまう恐れがあります。
シングルサインオンを利用することによって利用者の利便性を高めることができます。
しかし、認証方式が非常に安易で脆弱なものだとセキュリティレベルが
低下してしまいます。
sponsored link
このページ
のTOPへ
