3.1.1　アクセス元／アクセス先の限定

はじめに

原文見出し：
「Limit system access to authorized users, processes acting on behalf of authorized users, and devices (including other systems).」
見出し訳：
「認可（許可）された利用者、認可（許可）された利用者に変わって処理するプロセス、及び他のシステムを含むデバイスに対するシステムアクセスを限定する。」
この要件は、基本セキュリティ要件です。
組織にて必ず実施すべき共通的な基礎要件となります。
アクセス先となるリソース、重要情報などや、そのリソースを利用したり、重要情報に何らかの操作をするアクセス元を限定する事を要求しています。

図１．アクセス制御の構成

図１を使って説明すると、左が、アクセス元です。
アクセス元というと分かり難いですが、図にある通り、送信元です。
その送信元としては何があるのでしょうか？
イメージし易い様に、アクセス元とアクセス先について、いくつか例をあげてみましょう。

• アクセス元：IPアドレス

• アクセス元：通信ポート

• アクセス元：メールアドレス

• アクセス元：端末（PC、モバイルデバイスなど）

• アクセス元：クライアントとしてのアプリケーションまたはプロセス

• アクセス元：人・・・など

• アクセス先：IPアドレス

• アクセス先：通信ポート

• アクセス先：メールアドレス

• アクセス先：端末（サーバなど）

• アクセス先：サーバとしてのアプリケーションまたはプロセス

• アクセス先：人・・・など

原文要約

雑な訳になりますが、要件の原文訳は次の通りです。
-------------------------------------------------------------------------------------
アクセス制御ポリシーは、システムで、能動的な実体或いは目標間　及び　受動的な実体或いは目標間のアクセスを制御（管理）する。
アクセス実行メカニズムは、強化されてきた情報セキュリティに提供するためにアプリケーション及びサービス・レベルで採用されることがある。
他のシステムは、組織内外のシステムを含む。
この要件は、システム及びアプリケーションに対するアカウント管理に着目している。
アクセス権限の定義及び強制、アカウント種別によるアクセス制御の決定より他は、要件3.1.2に取り扱われている。
-------------------------------------------------------------------------------------

• アクセス制御ポリシー例：

  • 個人識別子(ID)

  • ロール（役割）ベースのポリシー

  • 制御基盤

  • 暗号化・・・など

• 能動的な実体或いは目標例：

  • 利用者

  • 利用者の代わりに処理するプロセス・・・など

• 受動的な実体或いは目標例：

  • デバイス

  • ファイル

  • 記録

  • 領域・・・など

• アカウント種別例：

  • 特権　対　非特権・・・など

この要件でするべき事

作業の流れは次の通り

1. アクセス制御を実施する対象の特定

2. 設計

   1. アクセス元の特定（今回の要件対象）

   2. アクセス先の特定（今回の要件対象）

   3. アクセス制御ポリシーの特定（3.1.2参照）

3. 設定

4. 試験

5. 実装

6. 監視

7. 改善

3.1.1としては、以上となります。
次は、「3.1.2　処理、機能の範囲限定」です。
親は、「3.1　アクセス制御」です。