5.5 リモートアクセス利用者の管理
 リモートアクセスを利用する人に対しては通常の人的な管理の他に、リモートアクセス固有の管理が必要になります。
 
5.5.1 セキュリティ権限と責任の規定化

組織はすべて人で動くので、正規の従業員あるいはその他の臨時従業員も含めて、業務単位あるいは職位単位でセキュリティの権限と責任を明確にし、文書化しておくことが重要です。一般に職務定義書などと呼ばれる文書類がそれにあたりますが、その内容については情報セキュリティの面からの検討が必要になります。

 また、情報を取り扱うという観点から職務を分類すると以下のように分類されます。

@ 情報の所有者:情報を管理する責任者で、情報管理者とも言えます。情報の重要性や情報へのアクセス権を決める権限を持ちます。通常は各業務の管理者が該当します。
A 情報利用者:情報を実際に利用して業務をする担当者で、例えば営業部員であったり、総務部員であったりします。セキュリティポリシーに従う義務があります。
B  情報サービス提供者:いわゆる情報システム部門で、情報の利用者に情報を利用しやすいように提供します。ネットワークの管理やアクセス権限の設定などの業務を行い、情報システムのセキュリティを確保します。
 

 

セキュリティ権限

セキュリティ責任

情報所有者

 

情報資産の価値・重要性の判定
情報の機密レベルを指定
バックアップ要件の定義
利用審査とアクセス権の付与

情報資産に関する監視と監査

情報利用者

利用目的の限定
担当者・部門間の相互監視

セキュリティ要件・規定の遵守

情報サービス提供者

情報システムのセキュリティを確保するために必要な処置、対策を行う(ウィルス感染時のネットワーク切断、システムログの取得・分析など)
セキュリティ要件の定義と実施
セキュリティ違反の監視と報告

情報システムのセキュリティを確保する
教育・訓練の計画・実施

 

コース (A  B  C  D  E

5.5.2 リモートアクセス開始時・終了時の管理
1) リモートアクセス開始時

人的資源といった場合、組織の正規な従業員のほかに、同じプロジェクトで働く派遣社員や契約社員、出向者、アルバイト、およびパートなどが考えられます。これらの人も含めてリモートアクセス環境で業務を行う場合には、事前にそれぞれの業務に必要とされるセキュリティレベルを明確にし、そのセキュリティレベルを遵守させることが必要です。
 リモートアクセスで業務を行う場合は、オフィス内における業務と異なり、管理監督者の目が届きにくくなり、セキュリティの監視が緩くならざるをえません。セキュリティ責任は本人の自覚に依存するところが大きくなるため、本人の能力・資質を考慮した業務の割り当てを行うとともに、業務開始にあたっては、その行動基準を決め、トラブル発生時における処置なども含めて、事前に十分な教育を行う必要があります。
 
2) リモートアクセス利用の終了時

今までリモートアクセスを利用していた個人が、リモートアクセスの利用を終了する場合には、個人として行うべきことと組織として行うべきことがあります。

 個人として行うべきことは

@ 使用していたパソコン内のデータを全て削除すること
A 組織から借り受けていた資産類を全て返却すること
B 組織の資料類は返却またはシュレッダーにかける
などがあります。

一方、組織として行うべきことは

@ リモートからのアクセス権の削除
A 貸し出し資産類の返却の確認
B 不正使用や事件・事故が無かったことの確認
などがあります。

組織としては上記の処置を自ら行うと共に、個人に対しても終了時の処置がきちんと行われたことを確認する必要があります。
 

コース (A  B  C  D  E

5.5.3 ユーザー管理
人的資源の管理のなかでユーザー管理は直接的に情報セキュリティに影響します。特にリモートアクセス環境では、オフィス内のような上司に監視されているという環境がなくなるので、緊張も緩みやすくセキュリティの面からは脆弱性が増す可能性があり、そのことを考慮したユーザー管理が必要になります。
 
1) アクセス制御

 5.4.1で情報や資産へのアクセス権と取り扱い手順について述べましたが、このアクセス権の管理を行うことをアクセス制御といい、これを厳重に行う必要があります。アクセス制御の基本的な考えは、適切なユーザーに最小限必要なアクセス権限のみを与えることを原則とします。また組織内での異動や業務の変更の場合については必ずアクセス権の見直しを行わなければなりません。リモートアクセスにおけるアクセス制御は情報資産の価値とネットワークの特性およびユーザーの特性とから決めますので、それぞれの特性を正しく理解し分類しなければなりません。

 例を以下に示します。

 

経営情報

営業情報

技術情報

管理者用

NW

営業用

NW

一般用

NW

職位

 

上級管理者

R/W

R/W

R/W

R/W

R/W

R/W

一般管理者

R/W

R/W

一般従業員

NA

職務内

職務内

NA

職務内

R/W

職務

 

企画・経理部門

NA

R/W

人事・総務部門

NA

R/W

営業部門

R/W

R/W

R/W

技術部門

R/W

NA

R/W
R:アクセス権限、W:書き込み権限、NA:アクセス権限なし
―:職務は無関係


 
2) ログイン権限とパスワードの管理

ネットワークへ接続するためには、適切なログイン権限を設定し管理する必要があります。これはオフィス内における接続でもリモートアクセス環境における接続でも同じです。特にリモート接続においては必要以上にログイン権限を与えないことが重要です。具体的なログイン権限はユーザー毎にアカウント(あるいはユーザーID)を設定してこのアカウントを管理するので、同じアカウントを複数のユーザーが共有するとアカウントからユーザーが特定できなくなります。また退職時やリモートアクセス業務終了時には直ちにこのアカウントは削除します。

 ユーザーのパスワードを管理することも重要です。パスワードがクラッカー(5.7.1参照)により破られると、簡単にシステムにアクセスされてしまいます。パスワードを破る方法はパスワードクラックキングと言われ、その方法は大きく3種類あります。

@ 辞書攻撃:辞書にある単語を総当たりで試してみるもの
A 総当たり攻撃:文字数字の組み合わせを総当たりで試してみるもの
B 盗聴:ネットワークをモニターしたり、入力を盗み見する方法

したがって、これらの攻撃に耐えうるようなパスワードの設定や管理が必要になります。
 例えば、

@ に対しては辞書に載っているような意味のある単語は使用しない。
A に対してはパスワードの桁数を増やしたり、大文字・小文字・記号などを組み合わせる。
B に対しては入力時に盗み見されないように注意したり、キーボードから直接入力せずに、画面上にキーを表示しそこから入力する。
 @〜Bに共通な対策である、パスワードを頻繁に変更するなどの対策をとるような管理を行います。また、不正アクセスを検知するため、誤ったパスワードが何回もトライされていないかチェックすることも必要です。これらの管理が正しく行われるようにサーバー側で検出する仕組みを組み込んでおくべきです。
 

コース (A  B  C  D  E

5.5.4 セキュリティ教育

正規の従業員、臨時の従業員(外注、パート、アルバイトなど)にかかわらず、組織に新規に採用されたり、新たな業務に従事することになった人に対して必ずセキュリティ教育を行います。その内容は、以下が考えられます。
@ 情報セキュリティの重要性

ほんのわずかな不注意から組織に対して重大な損害を与える可能性があること
現実に起きている実例を述べると実感しやすい
A セキュリティを危うくする事例

例えばウィルス対策の不備、パスワードの管理不備、
特にリモートアクセスを利用する場合の脆弱性
B 遵法の重要性(法律、規則など)
著作権の保護、懲罰
C 所属組織のセキュリティポリシー

情報セキュリティ基本方針
従業員が守るべき規則

教育は新規採用時に一度行えば済むものではありません。組織内外の情報セキュリティに関する環境の変化に応じて教育内容も変えて行うことが必要です。さらに同じ内容でも何度でも根気よく教育を行うことが効果をあげます。従っていろいろな機会を捉えて、例えば毎週のミーティングがあればそのときを利用して、いろいろな角度から情報セキュリティに関しての情報を提供することが従業員の意識向上に役立ちます。
 教育の形態は従来からの集合教育のほかに、リモートアクセス環境においては個人の業務時間に合わせてフレキシブルに教育を受けられるeラーニングの手法が有効です。どれかひとつの手法に頼ることなく、いろいろな手法の組み合わせにより、マンネリ化しない教育方法を考えて続けることが教育効果を高める近道です。
  また、従業員が辞める場合、あるいは他の業務に異動する場合などには、従来の業務に関係して得た情報に取り扱いに関して、はっきりとした規則を決めておき、それを守らせることが重要です。
 

コース (A  B  C  D  E