4. アクセス制御及び認証
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 情報資産の利用者および情報処理施設 |
1. アクセス制御方針
Section titled “1. アクセス制御方針”社外秘または極秘の情報資産を扱う情報システムおよびクラウドサービスに対するアクセス制御は、以下の方針に基づいて運用する。
- 「12. 情報資産の定義と管理ルール」に定める利用者範囲および業務内容に基づき、必要最低限のアクセス権を付与する
- 不要となったアクセス権は、速やかに削除または無効化する
- 業務上必要な場合を除き、特権的な権限の付与は行わない
2. 利用者の認証
Section titled “2. 利用者の認証”社外秘または極秘の情報資産を扱う情報システムおよびクラウドサービスは、以下の方針に基づいて利用者認証を行う。
- 利用者1名につき1つのアカウントを発行する
- アカウントの共有および複数人による共用を禁止する
3. 利用者アカウントの登録
Section titled “3. 利用者アカウントの登録”利用者認証に用いるアカウントは、情報セキュリティ責任者の承認を得た上で登録する。
4. 利用者アカウントの管理
Section titled “4. 利用者アカウントの管理”利用者認証に用いるアカウントが不要となった場合、システム管理者は、当該事実を確認後、速やかにアカウントの削除または無効化を行う。
5. パスワードおよび認証情報の管理
Section titled “5. パスワードおよび認証情報の管理”利用者認証に用いるパスワードおよび認証情報は、以下を遵守する。
- 推測されにくい十分な強度のものを設定する
- 他者に知られないよう適切に管理する
- サービス側で認証ポリシーが提供されている場合は、それに従う
6. 従業員以外の者に対するアカウント発行
Section titled “6. 従業員以外の者に対するアカウント発行”当社従業員以外の者に情報システムまたはクラウドサービスのアカウントを発行する場合は、情報セキュリティ責任者の承認を得た上で、機密保持に関する合意を行う。
7. 端末に関する認証および制御
Section titled “7. 端末に関する認証および制御”私物端末(BYOD)を含む端末から情報システムまたはクラウドサービスへアクセスする場合は、以下を遵守する。
- 利用者認証を必須とする
- 端末自体の識別による認証(MACアドレス認証等)は原則として用いない
8. アクセス制御対象情報システムおよび認証方法
Section titled “8. アクセス制御対象情報システムおよび認証方法”8.1 対象情報システム
Section titled “8.1 対象情報システム”| 情報システム・サービス | アクセス制御方法 |
|---|---|
| Microsoft Entra ID | アカウント管理の中心。Google WorkspaceおよびAWS SSOと連携 |
| Google Workspace | Entra IDと連携したsptr.jpドメインのGoogle認証 |
| AWS | Entra IDと連携したAWS SSOによるシングルサインオン |
| Slack | Google Workspaceアカウントによる認証(SSO) |
| GitHub | Google Workspaceアカウントによる認証(SSO) |
| GCP(gryffindor等) | sptr.jp Google認証 |
| 業務用SaaS | サービス提供者のユーザー認証 |
8.2 利用者認証方法
Section titled “8.2 利用者認証方法”| 情報システム・サービス | 利用者認証方法 |
|---|---|
| Microsoft Entra ID | IDおよびパスワードによる認証 |
| Google Workspace | Entra IDからのアカウント同期による認証 |
| AWS | AWS SSO(Entra ID連携)によるシングルサインオン |
| Slack・GitHub | Google Workspaceアカウントによるシングルサインオン |
| GCP | sptr.jpドメインのGoogle認証 |
| 業務用SaaS | IDおよびパスワード等による認証 |
制定日: 2024年4月1日
改訂日: 2024年4月1日