3.1 ACCESS CONTROL(アクセス制御)

はじめに

アクセス制御で、書かれている全般の意図は、アクセス、活動、手続きの範囲を最小化し、限定する事です。
基本的な事が書かれています。
このガイドラインで求められるアクセス制御の要件から始まり、要件の具体的な説明や各要件のアクセス制御の対象や、するべき事が何であるかを出来る限り分かりやすく説明します。

そもそもアクセス制御って？

皆さんの中には、「そもそもアクセス制御とは何？」と思われている方も少なからずいると考えています。
会社内で話をしていても、メンバーの頭の上に「？」マークが浮かんでいるのが想像できます。

日常生活で考えてみてましょう。
日常生活の中に、結構、アクセス制御は溢れています。
ドアに鍵をかけずに誰もいない（誰かがいても）家を出ることはないです。
合法的な年齢であることを証明しなければ、お酒を買うことができないです。
適切なIDと鍵を提示しなければ銀行の貸金庫を開けることはできません。
TVのBS、CSも契約してお金を払わなければ、見ることができません。
BS、CSのアクセス制御を可能にしているのがB-CASカードです。
B-CASは、ビーエス・コンディショナル・アクセス・システム
正当な権限を持った人が、そのリソースを使えたり、サービスを受けたりできる仕組みです。各局の有料放送やWOWOW、スカパーなどは、この仕組みを利用して、アクセス制御しています。
正当な権利、権限を持った人が、許されたリソースを使ったり、サービスを受けたりできるなどの仕組みとなります。

構成

アクセス制御に関する要件事項は、全部で、２２あります。
内容としては以下の通りです。
記事の公開方針になりますが、基本セキュリティ要件は、どの組織にも基礎要件であるため、無料公開です。
派生セキュリティ要件は、組織によって、要不要や、踏み込んだ内容があるため、課金閲覧とさせて頂きます。

基本セキュリティ要件１，２

派生セキュリティ要件３－２２

1. 認可（許可）された利用者、認可（許可）された利用者に変わって処理するプロセス、及び他のシステムを含むデバイスに対するシステムアクセスを限定する

2. 認可（許可）された利用者が実行することを許可されている処理や機能の種類に対して、システムアクセスを限定する

3. 承認された権限に従って重要情報のフローを制御する

4. 共謀のない悪意ある行動のリスクを減らすために個人の義務を別々にする

5. 特定のセキュリティ機能及び特権アカウントを含む、最小特権の原理原則を採用する

6. セキュリティが、施されていない機能にアクセスする場合、特権のないアカウント或いは、特権のないロールを使う

7. 特権を割り当てていない利用者による特権を割り当てられた機能の実行を防止し、監査ログで特権を割り当てられた機能の実行を捕捉する

8. ログイン試行回数を限定する

9. 適切な重要情報の規則に従いプライバシー及びセキュリティの通知を提供する

10. 一定時間、未使用状態経過後、データのアクセス及び閲覧を防止するためにパターン隠蔽表示とともにセッションロックを行う

11. 定義された条件成立後に利用者セッションを(自動的に)終了する

12. リモートアクセスのセッションを監視及び制御する

13. リモートアクセスのセッションの秘匿性を保護するために暗号化メカニズムを採用する

14. 管理されたアクセス制御ポイント経由のリモートアクセスの経路を定める

15. 特権コマンドの遠隔からの実行及びセキュリティに関わる情報に遠隔からアクセスを認可（許可）する

16. 接続を許可する前に無線アクセスを認可（許可）する

17. 認証及び暗号を使って無線アクセスを保護する

18. モバイルデバイスの接続制御する

19. モバイルデバイス及びモバイルコンピュータプラットフォーム上の重要情報を暗号化する

20. 外部システムに対する接続及び外部システムの利用を検証、制御、限定する

21. 外部システムでのポータブルストレージ装置の利用を限定する

22. 公開アクセスシステムに投函或いは処理された重要情報を管理する

２２項目、アクセス制御っぽい内容もあれば、一見すると、これは、アクセス制御？という内容のものがありますが、アクセス制御になります。
アクセス制御での基本セキュリティ要件は、１と２です。これが基本となります。他は、各企業によって、適、或いは、不適となります。
一つ一つ吟味していきましょう。
かなり、最初の要件から、ボリュームがありますが、お付き合いができる方は、読み進めてください。