パンフレット
パンフレット

データセキュリティアクセス

多くの企業は現在、ネットワークサーバー、PC、ノートパソコン、モバイルデバイス、そしてクラウドサービスプロバイダーに保存されているデータに完全に依存しています。これらのデータの中には、個人情報や企業の機密情報が含まれている可能性があります。

ここでは、アクセス制御に関してコンピュータシステムのセキュリティを見直す際に考慮すべきいくつかの問題について見ていきます。一般データ保護規則(GDPR)は、個人データを安全に処理する際に「適切な技術的および組織的措置」を講じなければならないというセキュリティ原則を定めています。これは、GDPRを補完する2018年データ保護法(DPA)の第6原則にも反映されており、「個人データが安全な方法で処理されることの要件」も規定されています。

このため、処理する個人データへの不正アクセスや偶発的なアクセスを防止することは、コンプライアンスに向けた重要なステップとなります。

アクセスセキュリティ

コンピューターとネットワークへの適切なアクセス制御により、データの盗難や不正使用のリスクを最小限に抑えることができます。

アクセス制御は主に 2 つの領域に分けられます。

  • 物理的なアクセス – 敷地内に誰が入ることができるか、誰が個人データにアクセスできるのかを制御する
  • 論理アクセス - 従業員が特定の役割を遂行するために必要な適切なソフトウェア、データ、デバイスにのみアクセスできるようにするための制御。

物理的なアクセス

ロック、アラーム、セキュリティ照明、CCTV などの物理的なアクセス制御に加えて、建物へのアクセスを制御する方法など、他の考慮事項もあります。

厳重な監視がない限り、訪問者は歩き回ることは許可されません。

コンピューターの画面が外部から見えないようにしてください。

ネットワーク ポリシーを使用して、ワークステーションやモバイル デバイスが無人または使用されていないときにロックされるようにします。

モバイル デバイスを紛失した場合に、リモートでデバイスを固定できることを確認します。

モバイル デバイスは小型であるためリスクが高いため、機密データは常に暗号化し、サービスへのアクセスは PIN 番号またはパスワードで制御する必要があります。

USB デバイスや光学リーダー/ライターへのアクセスを無効にしたり制限したりする必要がある場合があります。

不正な機器がケーブル経由でネットワークに接続されるのを防ぐには、Radius サーバーまたはその他のネットワーク ハードウェアを使用してネットワーク ポートをブロックする必要がある場合があります。

最後に、ハードコピーの情報は安全に廃棄する必要があります。

論理アクセス

担当者が役割を遂行するために必要なアクセス権以上を持たないようにするために、論理アクセス技術を採用する必要があります。

機密データは暗号化する必要があり、このデータへのアクセスはネットワーク セキュリティ、アクセス制御リスト、およびユーザー プロファイルを通じて制御される必要があります。

特定のアプリケーションや特定のフォルダーへのアクセスも、ユーザーごとに制限する必要がある場合もあります。

最後に、Windows のグループ ポリシーまたはサードパーティの管理アプリケーションを使用して、特定のマシン上の特定のデバイスをロックダウンする必要がある場合があります。

パスワード

ユーザー名とパスワードで構成されるパスワード ポリシーは良い方法です。

これらは、ネットワーク上のユーザーを識別し、適切な権限を割り当てるのに役立ちます。

ただし、パスワードが効果的であるためには、次の条件を満たす必要があります

  • 比較的長い(つまり8文字以上)
  • 英数字と特殊文字(&^など)が混在している
  • 自動パスワード更新オプションを通じて定期的に変更される
  • 従業員が退職したときに削除または変更される
  • 個人情報が含まれるスプレッドシートやワードプロセッサ文書などの個別のファイルに使用される
  • 強力な暗号化アルゴリズムを使用してシステム内で暗号化される

そしてすべきではない

  • 包括的なパスワード(つまり、すべてのアプリケーションまたはすべてのユーザーに対して同じ)であること
  • キーボードや画面に貼り付ける「ポストイット」に書き込む
  • 一般的な単語やフレーズ、または会社名で構成されます。
  • 一時的なパスワード(パスワードの用途やユーザー名などの補足情報なし)でない限り、メールで送信されます。
  • システム内にプレーンテキストとして保存しないでください。

アクセス監査

GDPR の法的要件ではありませんが、データ (およびそれに対して行われた変更) のログ記録と監視は、GDPR の第 32 条への準拠をサポートするのに大いに役立ちます。

データ処理を監査することで、次の事項を確認、報告、証明できます。

  • 誰がいつデータにアクセスしたか
  • データへのアクセス頻度と、そのアクセス量が適切かどうか
  • 偶発的なデータ損失が発生した場合は、どのような変更が誰によって行われたかを確認します。

GDPR と DPA 2018 のどちらも、実行する必要がある具体的な対策を規定していませんが、ニーズと処理するデータに適した技術的ソリューションの使用を検討する必要があります。

 

8 + 14 =

連絡先情報

メールアドレス: info@facadecreations.co.uk

T: +44 (0) 116 289 3343