A.5.18 アクセス権

管理策

アクセス権は、アクセス制御に関するトピック固有の方針及び規則に従って、提供、レビュー、変更及び削除しなければならない。

情報及びその他の関連資産へのアクセスが認可され、認可されていないアクセスが防止されることを確実にするため。

当社は、情報資産への不正アクセスを防止するため、業務上必要な範囲に限定したアクセス権管理を行う。アクセス権は、最小権限の原則に基づき付与・管理する。

アクセス権の付与、変更および削除は、業務上の必要性に基づき、情報セキュリティ責任者の承認を得たうえで実施する。入退社、異動等により不要となったアクセス権は、速やかに変更または削除する。

アクセス権の見直しは、年次等の定期イベントではなく、実運用におけるイベント駆動型（入退社、役割変更等）で実施する。当該運用は、権限変更の即時性および実効性を重視したものである。

特権アカウントについては、利用目的および利用者を明確にしたうえで、必要最小限の権限を付与する。特権アカウントの利用状況についても、イベント駆動型で見直しを行い、権限の付与・変更・削除は都度承認を得て実施する。

共有アカウントの使用は原則として禁止する。ただし、業務上の必要性がある場合に限り、承認を得たうえで、限定的に利用を認める。共有アカウントについては、利用状況の見直しおよびパスワードの変更を適宜行い、利用可能者を必要最小限の範囲に制限する。

当社では、少人数体制での運用を前提としており、形式的な定期的アクセス権レビュー（一覧点検）は実施していない。その代替として、入退社、業務内容変更、委託開始・終了時にアクセス権を即時見直す運用を行っている。

Microsoft Entra IDを中心としたID管理により、変更履歴を記録・追跡可能としており、クラウドサービス上の監査ログにより事後確認が可能である。

原則として、各従業員に一意のアカウントを付与し、個人アカウントによるアクセス制御を実施している。共有アカウントについては、業務上の必要性がある場合に限り承認制で利用しており、適宜見直しおよびパスワード変更を行っている。