JIS Q 27001:2014の管理策について-18
今回は、「9.4 システム及びアプリケーションのアクセス制御」から、 9.4.3、9.4.4、9.4.5です。
9.4.3 パスワード管理システムは、対話式とすること、また、良質なパスワードを確実にするものとする。
パスワードの管理システムでは、良質なパスワードを提供するため次の対策が考えられます。
- パスワードの定期的な変更を促す
- 入力誤りのロック機能
- 初回ログオン時のパスワード変更
- 再使用の防止機能
ネットバンキング等のネットワークサービスを利用する場合は、サービス提供者側でセキュリティ対策が施されています。
利用者側では、簡単にログオンできるようなシステムを利用しないことが一番の対策となります。
9.4.4 システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムの使用は、制限し、厳しく管理する。
システム及びアプリケーションによる制御を無効にすることのできるユーティリティプログラムは、使用・管理を厳格化する必要があります。
1台のPCを共有する場合は、管理者権限を特定のユーザーに限って付与する。個人の場合は、出所不明なフリーソフト等をむやみにインストールしない、ウイルスチェックを確実にする等の対策が考えられます。
9.4.5 プログラムソースコードへのアクセスは、制限する。
プログラムソースコードの管理に関する対策ですので、利用者側はあまり意識する必要はあります。
世の中に出回っているプログラムのソースコードが開示された場合、脆弱性を発見し不正アクセスを試みる可能性があります。(フリーソフトなどでは、開示を前提としたものもあります。)
開発に関わる設計書、仕様書、ソースコードなどを厳格に管理するための対策が必要となります。
次回は、「10 暗号」です。
