① 「標準的な統制」 : ネットワーク管理統制に於ける基礎的な制約条件
1.社内ネットワークの管理方針
・ 社内ネットワークの管理方針(ユーザIDとパスワードの付与基準、
パソコン接続時の制約など)が明文化され、利用者に周知されている。
2.社内ネットワークのユーザID一覧リスト
・ 社内ネットワークのユーザID一覧がシステムから出力できる。
付帯情報として、最終更新日、利用者、権限内容が分かる。
3.ネットワーク設計書
・ ネットワーク機器(FW、ルータ、スイッチ等)で実現すべきアクセス制御の方針、
設定値のあるべき姿を表した文書があり、設計どおりに設定が行われる。
4.ネットワーク機器の設定変更履歴ログ
・ ネットワーク機器の設定変更の履歴(設定変更日が分かるもの、
手作成の履歴情報で可)が取得できる。
② 「標準的な統制」 : ネットワーク管理に於ける標準的な統制
1.社内ネットワークへのログイン制限
・ 社内ネットワークのユーザIDは、個人単位に割り当てられており、
ログイン時にはパスワードとともに入力が要求される。
2.パスワード守秘の仕組み
・ 社内ネットワークのパスワードには、最少桁数、禁止文字列の設定、
定期的な変更要求など、パスワード守秘のためのシステム的または人的な仕組みが存在する。
3.社内ネットワークのユーザID改廃手続
・ 社内ネットワークのユーザIDの付与、変更、削除に際しては、
事前承認を含む所定の手続が存在する。
4.社内ネットワークのユーザ管理権限の制限(職務分掌)
・ 社内ネットワークのユーザIDの登録作業を行えるものは職務上必要な者のみに制限されている。
5.社内ネットワークの利用ログのモニタリング
・ 社内ネットワークの利用ログが取得されており、
不正なアクセスがないかどうかが定期的にモニタリングされている。
6.N/W機器の設定変更の承認
・ ネットワーク機器(ルータ、F/W、スイッチ等)のアクセス制御に関する
設定値を変更する際には、承認を含む所定の手続がある。
7.N/W機器の変更権限の制限(職務分掌)
・ ネットワーク機器のアクセス制御に関する設定値を変更できるのは、
職務上必要な者のみに制限されている。
8.N/W機器の管理者IDの改廃手続
・ ネットワーク機器のアクセス制御に関する設定値を
変更できる権限を付与、変更、削除する際には、事前承認を含む所定の手続がある。
9.N/W機器の設定内容のモニタリング
・ ネットワーク機器によるアクセス制御が意図したとおりに機能しているかどうかを
定期的にテストする手続がある。
③ 「ネットワーク管理に於けるリスク」 : 統制が効かない場合に於いて以下のリスクがある
1.社内ネットワーク管理
・ 職務上不要な者でも社内ネットワークにログインできる
・ 誰がログインしているか分からない(本人確認)
2.N/W機器管理
・ N/W機器によるセキュリティ設定の誤りに気づかない
・ N/W機器のセキュリティ設定を不正に変更できる