logo_cissp

誤解を恐れずにいうと、CISSPの考え方として、人は悪いことをするものだ
、といったような考え方をします。性悪説というやつですね。

そのため、とある企業や団体が社員、職員を雇用する際、それから在籍時、
退職時に行わなければならないとされるセキュリティ対策があります。

それぞれ箇条書きで列記します。

雇用時

・従業員の「素性」・「人物」調査を行う
過去に「不正」を行ったことがないか
・同業種を転々としていないか(他社への情報提供被疑)
・「推薦状」や「学歴」など信頼性の確認
・「雇用同意書」へのサイン
・PCや携帯電話などのITリソースの「適切な利用」
・秘密保持契約(NDA)
・非競争契約(NCA):退職後に他社に情報を伝えない
・倫理規定の順守確約

といった形で徹底的な調査を行う事が推奨されています。

在籍時

・仕事「内容」の説明。マニュアルによる「標準化」が重要
・「役割」と「責任」の明確化
・「最少特権」の原則
「アクセス権」を必要以上に与えない
ユーザーには「知る必要性(Need-to-Know)」に基づくアクセス権限「のみ」を与える。
これにより最小限の制約で最大限の管理「効果」を上げることができる。
・「職務の分離」(Separation of duty)
一つの業務を「複数」の従業員に分担させること
・「定期的配置転換」
各自の割り当て業務を「定期的に変更」する
「ジョブローテーション」とも呼ばれる
何人かが「共謀」して不正行為を働くことを防ぐ。
※「職務の分離」と組み合わせると効果が大きくなります。
ネガティブなイメージもありますが、「後継者の育成」などのメリットも存在します。
・休暇取得義務
休ませて、その間に不正行為をしていないかを「チェック」する

もはや人間不信の領域ですが、現在はセキュリティを確保していくためには、やら
ねばならない(らしい)です。

退職時

「ID カード」など貸与物の回収

特に退職時は、悪いことをしてドンズラする可能性も高いですから、念入りに
行うべきでしょう。
貸与物の中にはIDなどの認証権限も含まれます。

目次
次回の記事へ
前回の記事へ