JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範 | ページ 6

                                                                                             23
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
関連情報
  認可されておらず,セキュリティが保たれていないネットワークサービスへの接続は,組織全体に影響
を与える可能性がある。これに対する制御は,取扱いに慎重を要する及び重要な業務アプリケーションへ
のネットワーク接続,又はリスクの高い場所(例えば,組織の情報セキュリティの管理外にある公共の場
所又は外部の区域)にいる利用者からのネットワーク接続の場合には,特に重要である。

9.2 利用者アクセスの管理

目的 システム及びサービスへの,認可された利用者のアクセスを確実にし,認可されていないアクセス
を防止するため。
9.2.1  利用者登録及び登録削除
管理策
  アクセス権の割当てを可能にするために,利用者の登録及び登録削除についての正式なプロセスを実施
することが望ましい。
実施の手引
  利用者IDを管理するプロセスには,次の事項を含むことが望ましい。
a) 利用者と利用者自身の行動とを対応付けすること,及び利用者がその行動に責任をもつことを可能に
    する,一意な利用者IDの利用。共有IDの利用は,業務上又は運用上の理由で必要な場合にだけ許可
    し,承認し,記録する。
b) 組織を離れた利用者の利用者IDの,即座の無効化又は削除(9.2.6参照)
c) 必要のない利用者IDの定期的な特定,及び削除又は無効化
d) 別の利用者に重複する利用者IDを発行しないことの確実化
関連情報
  情報又は情報処理施設へのアクセスの提供又は無効化は,通常,次の二段階の手順からなる。
a) 利用者IDの割当て及び有効化,又は無効化
b) 利用者IDに対するアクセス権の提供又は無効化(9.2.2参照)
9.2.2  利用者アクセスの提供(provisioning)
管理策
  全ての種類の利用者について,全てのシステム及びサービスへのアクセス権を割り当てる又は無効化す
るために,利用者アクセスの提供についての正式なプロセスを実施することが望ましい。
実施の手引
  利用者IDに対するアクセス権の割当て及び無効化のプロセスには,次の事項を含むことが望ましい。
a) 情報システム又はサービスの利用についての,その情報システム又はサービスの管理責任者からの認
    可の取得(8.1.2参照)。アクセス権について,管理層から別の承認を受けることが適切な場合もある。
b) 許可したアクセスのレベルが,アクセス制御方針に適していること(9.1参照),及び職務の分離など
    のその他の要求事項と整合していること(6.1.2参照)の検証
c) 認可手順が完了するまで,(例えば,サービス提供者が)アクセス権を有効にしないことの確実化
d) 情報システム又はサービスにアクセスするために利用者IDに与えられたアクセス権の,一元的な記
    録の維持
e) 役割又は職務を変更した利用者のアクセス権の変更,及び組織を離れた利用者のアクセス権の即座の
    解除又は停止

――――― [JIS Q 27002 pdf 26] ―――――

24
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
f)  情報システム又はサービスの管理責任者による,アクセス権の定期的なレビュー(9.2.5参照)
関連情報
  利用者のアクセス役割を,業務上の要求事項に基づいて確立することを考慮することが望ましい。利用
者のアクセス役割とは,多くのアクセス権を典型的な利用者アクセス権限プロファイルとして要約したも
のである。アクセスの要求及びレビュー(9.2.5参照)の管理は,個々の権限レベルで行うよりも役割レベ
ルで行うほうが容易である。
  職員又は契約相手が認可されていないアクセスを試みた場合の制裁を明記する条項を,要員との契約及
びサービスの契約に含めることを考慮することが望ましい(7.1.2,7.2.3,13.2.4及び15.1.2参照)。
9.2.3  特権的アクセス権の管理
管理策
  特権的アクセス権の割当て及び利用は,制限し,管理することが望ましい。
実施の手引
  特権的アクセス権の割当ては,関連するアクセス制御方針(9.1.1参照)に従って,正式な認可プロセス
によって管理することが望ましい。この管理策の実施については,次の段階を考慮することが望ましい。
a) 各々のシステム又はプロセス(例えば,オペレーティングシステム,データベース管理システム,各
    アプリケーション)に関連した特権的アクセス権,及び特権的アクセス権を割り当てる必要がある利
    用者を特定する。
b) 特権的アクセス権を,アクセス制御方針(9.1.1参照)に沿って,使用の必要性に応じて,かつ,事象
    に応じて,利用者に割り当てる。すなわち,利用者の職務上の役割のための最小限の要求事項に基づ
    いて割り当てる。
c) 割り当てた全ての特権の認可プロセス及び記録を維持する。特権的アクセス権は,認可プロセスが完
    了するまで許可しない。
d) 特権的アクセス権の終了に関する要求事項を定める。
e) 特権的アクセス権は,通常業務に用いている利用者IDとは別の利用者IDに割り当てる。特権を与え
    られたIDからは,通常業務を行わないほうがよい。
f)  特権的アクセス権を与えられた利用者の力量がその職務に見合っていることを検証するために,その
    力量を定期的にレビューする。
g) 汎用の実務管理者IDの認可されていない使用を避けるため,システムの構成管理機能に応じて,具
    体的な手順を確立及び維持する。
h) 汎用の実務管理者IDに関しては,共有する場合に秘密認証情報の機密性を維持する(例えば,頻繁
    にパスワードを変更する,特権を与えられた利用者が離職する又は職務を変更する場合はできるだけ
    早くパスワードを変更する,特権を与えられた利用者の間で適切な方法でパスワードを伝達する)。
関連情報
  システムの管理特権(システム又はアプリケーションによる制御を利用者が無効にすることを可能とす
る情報システムの機能又は手段)の不適切な使用は,システムの不具合又はシステムへの侵害の主要因で
ある。
9.2.4  利用者の秘密認証情報の管理
管理策
  秘密認証情報の割当ては,正式な管理プロセスによって管理することが望ましい。
実施の手引

――――― [JIS Q 27002 pdf 27] ―――――

                                                                                             25
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
  正式な管理プロセスには,次の事項を含むことが望ましい。
a) 個人の秘密認証情報を秘密に保ち,グループの(すなわち,共用の)秘密認証情報はグループのメン
    バ内だけの秘密に保つ旨の文書への署名を,利用者に要求する。この署名文書は,雇用契約の条件に
    含める場合もある(7.1.2参照)。
b) 利用者に各自の秘密認証情報を保持することを求める場合,最初に,セキュリティが保たれた仮の秘
    密認証情報を発行し,最初の使用時にこれを変更させる。
c) 新規,更新又は仮の秘密認証情報を発行する前に,利用者の本人確認の手順を確立する。
d) 仮の秘密認証情報は,セキュリティを保った方法で利用者に渡す。外部関係者を通して渡すこと又は
    保護されていない(暗号化していない)電子メールのメッセージを利用することは避ける。
e) 仮の秘密認証情報は,一人一人に対して一意とし,推測されないものとする。
f)  利用者は,秘密認証情報の受領を知らせる。
g) 業者があらかじめ設定した秘密認証情報は,システム又はソフトウェアのインストール後に変更する。
関連情報
  パスワードは,一般に用いられている秘密認証情報の一つで,利用者の本人確認の一般的な手段である。
その他の秘密認証情報には,認証コードを作成するハードウェアトークン(例えば,スマートカード)に
保管された暗号鍵及びその他のデータがある。
9.2.5  利用者アクセス権のレビュー
管理策
  資産の管理責任者は,利用者のアクセス権を定められた間隔でレビューすることが望ましい。
実施の手引
  アクセス権のレビューでは,次の事項を考慮することが望ましい。
a) 利用者のアクセス権を,定められた間隔で及び何らかの変更(例えば,昇進,降格,雇用の終了)が
    あった後に見直す(箇条7参照)。
b) 利用者の役割が同一組織内で変更された場合,そのアクセス権についてレビューし,割当てをし直す。
c) 特権的アクセス権の認可は,利用者のアクセス権より頻繁な間隔でレビューする。
d) 特権の割当てを定められた間隔で点検して,認可されていない特権が取得されていないことを確実に
    する。
e) 特権アカウントの変更は,定期的なレビューのためにログをとる。
関連情報
  この管理策は,9.2.1,9.2.2及び9.2.6の管理策の遂行において生じ得る弱点を補う。
9.2.6  アクセス権の削除又は修正
管理策
  全ての従業員及び外部の利用者の情報及び情報処理施設に対するアクセス権は,雇用,契約又は合意の
終了時に削除し,また,変更に合わせて修正することが望ましい。
実施の手引
  雇用の終了時に,情報並びに情報処理施設及びサービスに関連する資産に対する個人のアクセス権を削
除又は一時停止することが望ましい。このためにも,アクセス権を削除する必要があるかどうかを決定す
る。雇用を変更した場合,新規の業務において承認されていない全てのアクセス権を削除することが望ま
しい。削除又は修正が望ましいアクセス権には,物理的な及び論理的なアクセスに関するものを含む。ア
クセス権の削除又は修正は,鍵,身分証明書,情報処理機器又は利用登録の,削除,失効又は差替えによ

――――― [JIS Q 27002 pdf 28] ―――――

26
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
って行うことができる。従業員及び契約相手のアクセス権を特定するあらゆる文書に,アクセス権の削除
又は修正を反映することが望ましい。辞めていく従業員又は外部の利用者が引き続き有効な利用者IDの
パスワードを知っている場合,雇用・契約・合意の終了又は変更に当たって,これらのパスワードを変更
することが望ましい。
  情報及び情報処理施設に関連する資産へのアクセス権は,雇用の終了又は変更の前に,次に示すリスク
因子の評価に応じて,縮小又は削除することが望ましい。
a) 雇用の終了又は変更が,従業員若しくは外部の利用者の側によるものか又は経営側によるものかどう
    か,及び雇用の終了の理由
b) 従業員,外部の利用者,又は他の利用者の現時点の責任
c) 現在アクセス可能な資産の価値
関連情報
  ある特定の状況においては,利便性の点から,辞めていく従業員又は外部の利用者よりも多くの者にア
クセス権が割り当てられている場合がある(例えば,グループID)。そのような状況では,辞めていく者
は,いかなるグループアクセスリストからも削除することが望ましい。さらに,関係する他の従業員及び
外部の利用者の全てに,辞めていく者とこの情報を共有しないように通知することを取り決めることが望
ましい。
  経営側による解雇の場合には,解雇に不満な従業員又は外部の利用者が故意に情報を改ざんしたり,情
報処理施設を破壊したりすることがある。辞職する人又は解雇される人の場合には,将来利用するために
情報を集めたがることがある。

9.3 利用者の責任

目的 利用者に対して,自らの秘密認証情報を保護する責任をもたせるため。
9.3.1  秘密認証情報の利用
管理策
  秘密認証情報の利用時に,組織の慣行に従うことを,利用者に要求することが望ましい。
実施の手引
  全ての利用者に,次の事項を実行するように助言することが望ましい。
a) 秘密認証情報を秘密にしておき,関係当局の者を含む他者にこれが漏えいしないことを確実にする。
b) 秘密認証情報を,例えば,紙,ソフトウェアのファイル,携帯用の機器に,記録して保管しない。た
    だし,記録がセキュリティを確保して保管され,その保管方法が承認されている場合には,この限り
    ではない[例えば,パスワード保管システム(password vault)]。
c) 秘密認証情報に対する危険の兆候が見られる場合には,その秘密認証情報を変更する。
d) 秘密認証情報としてパスワードを用いる場合は,十分な最短文字数をもつ質の良いパスワードを選定
    する。質の良いパスワードとは,次の条件を満たすものとする。
  1) 覚えやすい。
  2) 当人の関連情報(例えば,名前,電話番号,誕生日)から,他の者が容易に推測できる又は得られ
      る事項に基づかない。
  3) 辞書攻撃にぜい弱でない(すなわち,辞書に含まれる語から成り立っていない。)。
  4) 同一文字を連ねただけ,数字だけ,又はアルファベットだけの文字列ではない。
  5) 仮のパスワードの場合,最初のログオン時点で変更する。

――――― [JIS Q 27002 pdf 29] ―――――

                                                                                             27
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
e) 個人用の秘密認証情報を共有しない。
f)  自動ログオン手順において,秘密認証情報としてパスワードを用い,かつ,そのパスワードを保管す
    る場合,パスワードの適切な保護を確実にする。
g) 業務目的のものと業務目的でないものとに,同じ秘密認証情報を用いない。
関連情報
  シングル サインオン(SSO)又はその他の秘密認証情報管理ツールを用いると,利用者に保護を求める
秘密認証情報が減り,これによって,この管理策の有効性を向上させることができる。しかし,秘密認証
情報の漏えいの影響も大きくなり得る。

9.4 システム及びアプリケーションのアクセス制御

目的 システム及びアプリケーションへの,認可されていないアクセスを防止するため。
9.4.1  情報へのアクセス制限
管理策
  情報及びアプリケーションシステム機能へのアクセスは,アクセス制御方針に従って,制限することが
望ましい。
実施の手引
  アクセスへの制限は,個々の業務用アプリケーションの要求事項に基づき,定められたアクセス制御方
針に従うことが望ましい。
  アクセス制限の要求事項を満たすために,次の事項を考慮することが望ましい。
a) アプリケーションシステム機能へのアクセスを制御するためのメニューを提供する。
b) 利用者がアクセスできるデータを制御する。
c) 利用者のアクセス権(例えば,読出し,書込み,削除,実行)を制御する。
d) 他のアプリケーションのアクセス権を制御する。
e) 出力に含まれる情報を制限する。
f)  取扱いに慎重を要するアプリケーション,アプリケーションデータ又はシステムを隔離するための,
    物理的又は論理的なアクセス制御を提供する。
9.4.2  セキュリティに配慮したログオン手順
管理策
  アクセス制御方針で求められている場合には,システム及びアプリケーションへのアクセスは,セキュ
リティに配慮したログオン手順によって制御することが望ましい。
実施の手引
  利用者が提示する識別情報を検証するために,適切な認証技術を選択することが望ましい。
  強い認証及び識別情報の検証が必要な場合には,パスワードに代えて,暗号による手段,スマートカー
ド,トークン,生体認証などの認証方法を用いることが望ましい。
  システム又はアプリケーションへログオンするための手順は,認可されていないアクセスの機会を最小
限に抑えるように設計することが望ましい。したがって,ログオン手順では,認可されていない利用者に
無用な助けを与えないために,システム又はアプリケーションについての情報の開示は,最小限にするこ
とが望ましい。良いログオン手順として,次の条件を満たすものが望ましい。
a) システム又はアプリケーションの識別子を,ログオン手順が正常に終了するまで表示しない。

――――― [JIS Q 27002 pdf 30] ―――――

次のページ PDF 31