メインフレーム基盤ソリューション

システム評価改善

汎用機セキュリティ管理のポイント「論理アクセス管理」

論理アクセス管理

情報処理資源に対する論理アクセス管理を適切に行わないと、情報処理資源の不正流出や破壊、無許可者による情報閲覧や改ざん、不正使用、および情報処理サービス自体の中断が起こる危険性があります。データ保全や機密保護の観点から、ユーザーの識別と認証、資源定義と保護、アクセスのロギングなどの項目において適切な管理が必要です。

[1]ユーザーの識別と認証

個々のユーザーをユーザーIDなどによって識別可能にする。さらに、ユーザーがシステムを利用する際には、パスワードなどでユーザーが本人であることを確認するしくみが必要である。

  • ユーザーID登録、変更、削除プロセスの確立
  • ユーザーIDのたな卸し、見直しを定期的に実施
  • ユーザーIDの共有 (共用) の禁止
  • パスワードルールの設定
  • パスワード有効期間の設定および無効パスワードによる試行の禁止

[2]資源の定義と保護

システムの各資源を定義し、許可されたユーザーの権限に応じて資源へのアクセスを許可する。また許可されていないユーザーからのアクセスを拒否する。

  • アクセスポリシーの確立
    システム資源 (OS、プロダクトなど) (1) 一般ユーザーには開示しない資源、
    (2) 読み取りアクセスを許可する資源、
    (3) 更新アクセスを許可する資源、
    などに分類される。
    ユーザー資源基本的には一般ユーザーには開示しない資源であるが、
    (1) 許可されたユーザーのみに許可されたアクセス (読み取り、更新、作成 / 削除) を与える資源や、
    (2) 資源オーナーのみがユーザーのアクセスを許可できる資源、
    などに分類される。
  • アクセス管理 (登録、変更、削除) プロセスの確立

[3]システムおよびセキュリティ管理特権の管理

システムのセキュリティ機能の設定、変更、または無効化を許可されたユーザーだけが行えるようにする。特権管理 (登録、変更、削除) プロセスの確立などが必要である。

[4]アクセスのロギング

監査情報として、システム内の保護された資源へのアクセスの成功 / 失敗を記録する。

[5]アクセス違反の報告

システムや情報に対するアクセス違反が認識できるようにする。

[6]セキュリティ事故管理

セキュリティ事故発生時の体制、対応手順などをプロセスとして確立する。

このページの先頭へ