A.8.2 特権的アクセス権
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.8.2 |
| 分類 | 技術的管理策 |
特権的アクセス権の割当て及び利用は、制限し、管理しなければならない。
特権的アクセス権の認可されていない使用による損害を防止するため。
実施の手引き
Section titled “実施の手引き”特権的アクセス権の管理には、以下を含める必要がある。
- 特権アカウントの特定
- 最小権限の原則の適用
- 使用の監視と記録
- 定期的なレビュー
特権アカウントの種類
Section titled “特権アカウントの種類”| 種類 | 例 |
|---|---|
| システム管理者 | root、Administrator |
| データベース管理者 | DBA、sa |
| ネットワーク管理者 | ネットワーク機器の管理者 |
| アプリケーション管理者 | アプリの管理者権限 |
| 対策 | 内容 |
|---|---|
| 最小権限 | 必要最小限の権限のみ付与 |
| 分離 | 通常業務と特権業務の分離 |
| 認証強化 | 多要素認証の適用 |
| 監視 | 特権操作のログ記録 |
| レビュー | 定期的な権限レビュー |
特権アクセスの利用規則
Section titled “特権アクセスの利用規則”- 特権アカウントは必要な場合のみ使用
- 通常業務には一般アカウントを使用
- 特権操作は記録・監視される
- 特権アカウントの共有禁止
当社における実施状況
Section titled “当社における実施状況”当社では、システムへのアクセスには情報セキュリティ責任者の承認を得た上で、最小権限の原則に基づいてアクセス権限を付与している。特権アクセスは必要最小限に制限している。
-
- アクセス制御及び認証