A.8.3 情報へのアクセス制限
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.8.3 |
| 分類 | 技術的管理策 |
情報及びその他の関連資産へのアクセスは、アクセス制御に関する確立されたトピック固有の方針に従って、制限しなければならない。
認可されたアクセスのみを確保し、情報及びその他の関連資産への認可されていないアクセスを防止するため。
実施の手引き
Section titled “実施の手引き”情報へのアクセス制限には、以下を含める必要がある。
- アクセス制御方針に基づく制限
- 役割に基づくアクセス制御
- 機密性レベルに基づく制限
- アクセスログの記録
アクセス制御モデル
Section titled “アクセス制御モデル”| モデル | 説明 |
|---|---|
| RBAC | 役割に基づくアクセス制御 |
| MAC | 強制アクセス制御 |
| DAC | 任意アクセス制御 |
| ABAC | 属性に基づくアクセス制御 |
| レベル | 制限方法 |
|---|---|
| ネットワーク | ファイアウォール、セグメンテーション |
| システム | OSのアクセス制御 |
| アプリケーション | アプリ内の権限管理 |
| データ | 暗号化、アクセス制御リスト |
アクセス制御の原則
Section titled “アクセス制御の原則”- Need-to-know:知る必要がある者のみ
- 最小権限:必要最小限の権限
- 職務分離:相反する権限の分離
- デフォルト拒否:明示的に許可されない限り拒否
当社における実施状況
Section titled “当社における実施状況”当社では、「12. 情報資産の定義と管理ルール」に基づき、情報へのアクセスを制限している。機密性に応じたアクセス制御を実施し、不正アクセスを防止している。
-
- アクセス制御及び認証
-
- 情報資産管理