ファイルサーバーのアクセス権限設定は、ISMSのどの管理策に該当しますか?
「管理策」の考え方について教えてください。
社内の特定のグループ員だけがアクセスできる、ファイルサーバに保管された情報資産があるとします。
この場合、ファイルサーバに設けられた共有フォルダには適切なグループ毎のアクセス権限が設定されていなければなりません。
しかし、このアクセス権限設定が不適切であった場合は、関係ないグループ員などからアクセスされる機会を与えることになります。
この、適切なアクセス権限を設定することの管理策は、付属書Aのどの管理策が該当するのでしょうか?
JIS Q 27002を読んでも、どれが該当するのかよくわかりません。
ご質問ありがとうございます。ご提示いただいた「特定のグループのみにアクセスを制限する」という運用は、ISMSにおける「機密性」を維持するための核心的な対策です。
最新のJIS Q 27001:2023(ISO/IEC 27001:2022)において、この運用を支える主要な管理策は以下の3つに整理されます。
1. 該当する主要な管理策(最新規格対応)
ご質問の「適切なアクセス権限を設定すること」そのものや、その運用ルールについては、以下の管理策が深く関連します。
- 5.15 アクセス制御:
業務上の要求事項に基づいて、情報及びその他の関連資産へのアクセスを制限するためのルールを確立し、導入する項目です。今回のケースにおける「特定のグループ員だけがアクセスできる」という基本的な仕組み作りの根拠となります。 - 5.18 アクセス権:
アクセス制御のルールに基づき、具体的に「誰にどの権限を与えるか」を付与・変更・削除・レビューする運用項目です。 - 8.3 情報へのアクセス制限:
設定されたアクセス制御方針に基づき、システムやフォルダに対して「論理的な制限」を実際にかける実装項目です。
2. 「不適切な設定」というリスクをどう管理するか
ご質問にある「設定が不適切であった場合」というリスクに対しては、単に「設定する」だけでなく、以下のプロセスを組み合わせた多層的なアプローチが求められます。
- 「5.18 アクセス権」による定期的なレビュー:
設定が今も正しいか(異動者はいないか、不要な権限が残っていないか)を定期的にチェックすることを求めています。 - 「8.3 情報へのアクセス制限」:
「Need-to-Know(知る必要のある人だけに知らせる)」の原則に基づき、物理的または論理的にアクセスを制限する実装レベルの対策です。
3. 実務的なアドバイス:管理策をどう使い分けるか
JIS Q 27002を読んでも迷われるのは、一つの対策が「ルール(5.15)」「権限の割り当て(5.18)」「具体的な制限手法(8.3)」と、複数の側面にまたがっているためです。
- 「5.15(アクセス制御)」で、「このフォルダはAグループのみ閲覧可能とする」というルールを決めます。
- 「5.18(アクセス権)」で、実際にAさんのアカウントに権限を付与し、定期的に見直します。
- 「8.3(情報へのアクセス制限)」で、OSやサーバーの機能を使って、システム的に他者が入れないよう構成します。
4. 弊社サンプル文書集の活用
弊社の「ISMSサンプル文書集(JIS Q 27001:2023対応版)」では、これら複数の管理策をバラバラに管理するのではなく、体系的に整理できるよう設計されています。
- リスクマネジメント管理規程:
情報資産を評価し、「機密性」のランクが高い資産に対して、どのようなアクセス制御を施すべきかの基準を定めています。 - 情報資産台帳:
資産ごとに「利用者の範囲」を明確に記録することで、5.18(アクセス権)のレビューをスムーズに行えるよう支援します。
まずは、組織としてのルールである「5.15 アクセス制御」に基づき、個別の「5.18 アクセス権」および「8.3 情報へのアクセス制限」が正しく運用されているかを確認されることをお勧めいたします。
