こんにちは、saeです。
今回は、前回に続いて情報セキュリティ対策基準の5章の管理基準について解説します。
5.4 システムの利用および管理
システムへのアクセスについては、情報漏洩や不正利用などセキュリティ上のリスクへの対策を行う。具体的には、必要に応じて以下の対策を行う。
・重要アプリケーション機能へのアクセス制御の強化(認証の追加)
・アプリケーション機能の利用履歴(アクセスログ)の採取と保管
・一般ユーザからのシステム管理機能へのアクセス禁止
・一定期間未使用端末のシステムからの遮断
・一定期間未使用IDの利用停止
・重要機能への接続時間制限または再認証の実施
5.5 情報基盤の利用と取り扱い
情報基盤の利用に際しては、情報漏洩などセキュリティ上のリスクへの対策を行う。具体的には、必要に応じて以下の対策を行う。
・電子媒体による情報受け渡し(搬送)の持ち運びの制限と、データの暗号化・機器の施錠(パスワードロック)
・電子メール、または通信回線(含インターネット)経由での情報受け渡しの制限と、電文およびデータの暗号化
・外部からの不正アクセスやウィルス侵入に対する予防と監視
・外部集配サービス利用時の管理
・情報機器の修理、再利用、廃棄時における、データの完全削除・破壊
5.6 ネットワークの利用および管理
ネットワーク利用に関しては、情報漏洩や不正アクセス・ウィルス侵入などのセキュリティ上のリスクへの対策を行う。具体的には、必要に応じて以下の対策を行う。
・データセンターサービス用ネットワークと、社内ネットワークの分離。または接続ポイントへのファイアウォールの設置。
・ネットワーク接続時の個人ID/パスワードによる認証
・リモートアクセス(データセンター外からのアクセス)に対する接続先の制限、認証、または利用場所の制限・施錠
・ネットワーク接続機器の認証と、管理外情報機器の接続制限
・サービスまたはユーザ毎のネットワークの物理的・論理的分割。または接続ポイントへのファイアウォールの設置。
・不正アクセスおよびウィルス対策の実施
・利用する外部ネットワークサービスのセキュリティ環境(セキュリティレベル)の把握
