推奨される取り組み

21 業務アプリへのアクセス

設問

情報(データ)や情報システム、業務アプリケーションなどに対するアクセス権の付与と、アクセス制御を適切に実施していますか。

(適切なアクセス権の管理には、アクセスできる情報システムを利用者ごとに限定すること、利用できる機能を制限すること、利用者のアクセス権をレビューすることなどがあります。)

説明

適切なアクセス権の管理には、あらかじめ方針を定めておき、その方針に基づいてアクセスできる情報システムを利用者ごとに限定すること、利用できる機能を制限すること、利用者のアクセス権をレビューすることなどがあります。

対策のポイント

1.アクセスを管理する方針を定め、利用者ごとにアクセス可能な情報(データ)、情報システム、業務アプリケーション、サービスなどを適切に設定しているか
2.適切な権限付与が行われているか、必要以上の権限付与がないかなど、利用者に与えたアクセス権を定期的にレビューしているか
3.特に重要な情報を格納した情報システムについては、一度のアクセスでの利用時間の制限などのアクセス条件による制御を行っているか
4.全てのシステム又はサービスへのアクセス権の割り当て又は無効化のために、全ての正規利用者に対するアクセス権の提供を実施しているか

解説

たとえば人事データを閲覧できる利用者を制限する、あるいは派遣社員と正従業員の利用できるサービスを区分するなど、利用者ごとに利用可能なサービスに制限を設けることが必要です。職務と権限に見合ったサービスを利用できるようにするとともに、権限のない者に対する制限を行う必要があります。業務アプリケーションについても、利用の可否だけでなく、同じ業務アプリケーションの中でも参照権限や変更権限などの権限区分を含めて、アクセス制御を行うことが必要です。また参照権限の中でも、一度に参照できるデータの件数を区別するなどの権限区分を設定することも考えるべきです。役職上の権限に合わせてコンピュータの提供する業務アプリケーションのサービスの利用権限を管理するために、アクセス制御を行います。

職務の変更や異動によって、本来アクセス権限を失ったはずの利用者が、異動前のアクセス権で元の部署の情報や業務アプリケーションにアクセスできてしまう事態を防止するためには、職務の変更や異動に際しては、利用者のアクセス権限を適切に変更するとともに、アクセス権を付与した利用者の範囲が適切か、定期的に見直す必要があります。

サービスへのアクセス中に離席し周囲の監視の目がないような時、不正行為が発生する可能性があります。また、必要以上に長時間の利用は、不正行為を増長させる可能性もあります。したがって、重要情報を格納した情報システムについては、一度のアクセスに対する利用時間を制限して、不正行為の発生を防止することも有効です。