セキュリティポリシー実装のガイドライン(2)

  1. 情報システムアクセス規制

    1. システムアクセス

      コンピューターシステムに物理的にアクセス可能な場合、リソースへのアクセスを防止できるのはユーザーIDパスワードである。ユーザー認証アクセス制限で、登録された者を許可された時間のみにアクセスを許可することをシステムアクセス管理の目標とする。


      1. ユーザー認証

        多くのコンピューターシステムではユーザーIDパスワード認証する。

        1. アカウントパスワード
          □ 簡単には推測不能なものか
          □ 最低長の文字数を設定しているか
          □ 定期的に変更しているか
          □ 初回ログオン時にパスワード変更を求められるか
          □ 一度使用したパスワードの再利用を禁止しているか
        2. 古いアカウント
          □ 一定期間使用しないアカウントは無効にしているか
          □ rootやAdministratorといった特権アカウントは一時的使用のみにしているか
          □ 退職した従業員のアカウントは無効にしているか
        3. 共有アカウント
          □ 共有アカウントを使用していない

      2. モデム
        □ ダイアルアップアクセスにもユーザー認証をしているか
        □ 共有アカウントを使用していない
        □ モデムの接続が絶たれた場合に接続していたユーザーはシステムからログオフしているか

      3. 無人ワークステーション
        □ 離席する時にコンソールをロックしているか
        □ 離席する時にコンソールをログオフしているか
        □ コンソールをロックせずに離席すると、一定時間後、自動的にコンソールがロックするか

      4. 故意の不正アクセス行為
        □ ログインメッセージで不正アクセスを警告しているか
        □ ログインイベントを記録しているか

      5. アクセス規制
        業務の遂行に必要十分なアクセスと特権のみを許可しているか
        □ 全てのユーザーアカウントは必要な時間だけアクセスを許可する。
        □ 全てのユーザーアカウントは必要なアクセス方式を許可する。
| ← 戻る | ↑ TOP ↑ | 次へ → |