■ データや社内ネットワークへのアクセスについて利用者の制限やIDの管理を行う
■ 職務や業務、役割によってもIT機器や情報に対してアクセスの管理・制限を行う
<ネットワークなどへのアクセス管理>
- 社内のパソコンやIT機器、ネットワークなどへアクセスする場合、職務を実施するために必要な情報に限定したり利用者を制限したりする。
- 職務の変更や人事異動があったら、利用者のアクセス権限を見直す。
<情報へのアクセス管理>
- 会社の重要情報を機密性※1、完全性※2、可用性※3の観点から評価し、情報資産の重要度を仕分ける。
- 情報ごとにアクセス権を設定する。
- アクセス権の設定ではID・パスワードの使い回しを禁止する。
※1 アクセスを許可された者だけが必要な情報にアクセスできること
※2 情報および処理方法が正確であること、かつ完全であること
※3 認可された利用者が必要なときに情報および関連する資産にアクセスできること
何が防げるの?
例えば「社外秘」の情報はアクセスできる利用者も制限する必要があります。
つまり、この情報を利用できるのは誰かを決め、それ以外の人は利用不可とするのがアクセス権の設定です。
ネットワーク上の共有フォルダーやWebページにアクセス権を設定すると、特定のユーザーだけが利用するので、重要なデータを保護できます。
<無線LANのアクセスに注意だ>
社内で無線LAN(Wi-Fi)を使う会社が飛躍的に増えている。しかし「簡単に接続できる」「社内の人しか使わないから」といった理由で、接続時のパスワードを設定していない企業も少なくない。無線LANが社内ネットワークに直結している場合、誰でも簡単に侵入できる可能性がある。無線LANには必ずパスワードを設定し、接続できる権限を持った人間と端末を決めておくべきだ。