5.15アクセス制御

概要

情報資産に対する適切なアクセスを実現するための予防的な位置づけの管理策です。なお、本管理策から「5.18アクセス権」までの管理策は、アクセス関連のひとまとめの管理策と考えると分かり易いです。

アクセス制御とは

アクセス制御と言えば、許可されていないアクセスの防止を想定されるかもしれませんが、許可されたアクセスが滞らないようにするといった意図もあることにご注意ください。本管理策は、意図した通りにアクセスを制御するという意図の管理策です。

対象は？

電子データへの論理的なアクセスだけではなく、紙媒体その他の物理資産への物理的アクセスも対象となります。

一般的な原則は？

アクセス権限は必要最低限にするという原則が前提となります。また、その必要性が明確であることも重要です。「必要かもしれない」程度であれば権限は付与せず、はっきりと必要になった際に権限を付与しましょう。

具体的には？

以下のような対応が考えられます。

1. どの情報資産に誰・何のアクセスを許可するかを決定しましょう。裏を返せば、誰・何のアクセスは許可しないか決定するということです。

⇒ 一般的には、情報資産の一覧上で決定することが多いです。

2. 1で決定した権限に基づいて、必要な領域や機器の制御を実施しましょう。

⇒ アカウントIDに権限を設定する、セキュリティカード等に権限を設定する、物理鍵を渡す、キーボックス等の暗証番号を伝えるといった具合です。なお、受付や警備員を配置して侵入できないようにするといった対応のように、入退室管理等の他の管理策と連動するような対策が多く含まれます。

不採用の可能性があるか？

管理策の内容的に不採用とする理由が見当たらないため、全ての組織において採用されるべき管理策と考えられます。