|
セキュリティで重要なことは、リスク認識です。
| このためには、 |
 |
身の回りにあるリスクの認識 |
 |
セキュリティ対策を行う目的の理解 |
 |
リスクに対する対策を考える力を身に付ける |
|
ことが必要です。 |
本誌では、職場に潜む危険度チェックとして、日常事務の一例を御紹介しております。前号では「情報セキュリティ技術(アクセス制御・認証技術)」の御紹介をしました。
技術(製品)を使用(運用)するのは人です。いくら高価なセキュリティ製品を導入しても適切に運用しなければ、無効になってしまいます。
普段の仕事の流れ、そして行動パターンの中に、思わぬ危険が含まれていることもあります。何気ない振る舞いの中で思いつくことがないか、気懸かりとなっていることがないのか、読者の皆様にも一緒に考えていただきたいと思います。
日常事務のなかで利用者IDは、専決事項や事務分掌に基づき業務上必要な職員(要員)に与えられています。
外部への対策は容易ですが、正規のアクセス権を持った職員には対策は困難です。この利用者IDが適切に運用されない場合のリスクを認識する必要があり、アクセス管理は重要となります。
重要な情報を扱うシステムでは、通常アクセスログを記録しています。利用者IDは個人を特定するためのもので、このアクセスログにより、誰が何時に何を参照・異動したか分かります。これが利用者IDを同じ権限があるからと言って共有したり、ログインしたまま放置したりすると誰が操作したか分からなくなります。内部関係者が業務以外に不正アクセスしても、個人を特定することができません。
IDの登録・削除、アクセス範囲の設定などシステム上の重要な操作が可能な特権管理を、1人の職員しか登録していない、反対にどの職員でも特権権限を使用することができる、委託業者に任せたままなど、安易な管理になっていませんか。特権管理者のIDは、情報システムを自由に操作できてしまいますので、一般利用者IDより厳格な管理が必要です。
アクセスについての業務上及びセキュリティの要求事項に基づいて、アクセス制御規則(利用者登録、特権管理、アクセスログの監視等)を定め、関係職員へ周知徹底しましょう。
具体的には、例えば特権管理について、特定の1人のみで事故等があって勤務が不能となった場合に、情報システムをコントロールできなくなる、また、職務権限を超える多数の職員に付与することは問題があるので、付与する基準を定め最小限にすることなどです。 |
