セキュリティポリシー実装のガイドライン(2)
-
-
コンピューターシステムに物理的にアクセス可能な場合、リソースへのアクセスを防止できるのはユーザーIDとパスワードである。ユーザー認証とアクセス制限で、登録された者を許可された時間のみにアクセスを許可することをシステムアクセス管理の目標とする。
-
多くのコンピューターシステムではユーザーIDとパスワードで認証する。
-
アカウントパスワード
| □ | 簡単には推測不能なものか |
| □ | 最低長の文字数を設定しているか |
| □ | 定期的に変更しているか |
| □ | 初回ログオン時にパスワード変更を求められるか |
| □ | 一度使用したパスワードの再利用を禁止しているか |
-
古いアカウント
| □ | 一定期間使用しないアカウントは無効にしているか |
| □ | rootやAdministratorといった特権アカウントは一時的使用のみにしているか |
| □ | 退職した従業員のアカウントは無効にしているか |
-
共有アカウント
-
モデム
| □ | ダイアルアップアクセスにもユーザー認証をしているか |
| □ | 共有アカウントを使用していないか |
| □ | モデムの接続が絶たれた場合に接続していたユーザーはシステムからログオフしているか |
-
無人ワークステーション
| □ | 離席する時にコンソールをロックしているか |
| □ | 離席する時にコンソールをログオフしているか |
| □ | コンソールをロックせずに離席すると、一定時間後、自動的にコンソールがロックするか |
-
故意の不正アクセス行為
| □ | ログインメッセージで不正アクセスを警告しているか |
| □ | ログインイベントを記録しているか |
-
アクセス規制
業務の遂行に必要十分なアクセスと特権のみを許可しているか
| □ | 全てのユーザーアカウントは必要な時間だけアクセスを許可する。 |
| □ | 全てのユーザーアカウントは必要なアクセス方式を許可する。 |
|
← 戻る
|
↑ TOP ↑
|
次へ →
|
|