ISMS構築:情報資産のリスク分析と管理策について

前へ 次へ
このQ&Aのポイント
  • 情報資産のリスク分析と管理策について教えてください。ファイルサーバに保管された電子情報のリスク分析で、フォルダへのアクセス権限付与が適正に行われていない場合の管理策について教えてください。
  • A.11.2.1の「利用者登録」はネットワークアクセスの利用者登録と考えているのですが、ファイルサーバへのアクセスもこれに該当すると考えてよいのでしょうか?
  • ISMS構築において、情報資産のリスク分析は重要な要素です。ファイルサーバに保管された電子情報のリスク分析では、フォルダへのアクセス権限付与の適正な管理が必要です。不正アクセスから情報資産を守るためには、適切な管理策の導入が必要です。
回答を見る
  • ベストアンサー

ISMS構築:情報資産のリスク分析と管理策について

情報資産のリスク分析と管理策について教えてください。 社内のサーバの1つを「ファイルサーバー」として使用しております。 当然のことながら、グループごと、プロジェクトごとといったように設けられたフォルダにアクセス権限が付けられております。 今回情報資産の洗い出しで、ファイルサーバに保管された電子情報のリスク分析で、どう考えたらよいのかわからない事があります。 フォルダへのアクセス権限付与が適正に行われていない、或いは行っていない場合は不正アクセスという脅威にさらされることになるわけですが、このような場合の管理策はどの管理策となるのでしょうか?? A.11.2.1の「利用者登録」はネットワークアクセスの利用者登録と考えているのですが、ファイルサーバへのアクセスもこれに該当すると考えてよいのでしょうか?? 大変お手数をおかけしますが、このあたりの考え方を教えてください。 宜しくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • Brian12
  • ベストアンサー率25% (187/723)
回答No.2

1.フォルダへのアクセス権限付与が適正に行われていない管理策  アクセスログによる事後確認をルーチン化することではないでしょうか。 2.A.11.2.1の「利用者登録」はネットワークアクセスの利用者登録と考えているのですが、・・・  利用者登録は業務寄りですから、ネットワークよりファイルサーバーへのアクセス権が優先されるべきです。  実務的にはネットワークと業務が関係しますので、複雑に絡む場合は相互を縦横にとった表を作成するなどの工夫が必要です。  質問が「リスク分析」と関連するのか理解ができてないので、期待する回答になっているのか分かりませんが、ご容赦ください。

komorebi99
質問者

お礼

お礼が大変遅くなり、申し訳ありませんでした。 ご回答ありがとうございました

その他の回答 (1)

  • aokii
  • ベストアンサー率23% (5210/22062)
回答No.1

ファイルサーバへのアクセスは、ネットワークアクセスの利用者登録とは別に、ファイルサーバへのアクセス者登録になります。

  1. カテゴリ
  2. ビジネス・キャリア
  3. 職種
  4. コンサルティング

関連するQ&A

  • ISMS情報資産の洗い出しについて

    こんにちわ。 30人程度の小規模な企業に勤務しておりますが、業務上ISMSの取得が必須となりそうなので今回取得を試みる事になりました。 現在、情報資産の洗い出し作業を行っている所なんですが、どこまで掘り下げて洗い出しをすればいいか訳がわからなくなってきました。 今、問題となっているのは原材料や消耗品についてなんですが、例えばA4のコピー用紙やプリンターのトナーカートリッジについては どのように考えればいいのでしょうか? 情報資産の洗い出しを考える際、情報やデータのみを情報資産として考えればいいのかもしれませんが、コピー用紙を使えば、その情報を 印刷して持ち出す事ができると考えると、資産として管理しておくべきなのかというところにたどり着いてしまいました。 この考え方でいくと会社のあらゆるものを資産として考えておかなければいけなくなるような気がします。 また簡単に考えるのであれば、住所録は資産として考え、コピー用紙やトナーなどについては漏洩時のリスク対策として管理するように した方が簡単なような気もします。 みなさんの会社では情報資産の洗い出しについてどのようにお考えなのか教えて頂け無いでしょうか? 宜しくお願いします。

  • 個人情報保護に関するリスク分析での資産評価について

    個人情報保護でのリスク分析をやろとしています。それで、資産価値の中で、社員情報の評価方法について迷っていますので、ご助言をお願いします。 履歴書や人事・給与情報などは価値が高いと思いますが、タイムカードや休暇届け、住所変更届けなどは低いのではと個人的には思っていますが、客観的にはどうなのかと迷います。参考となるような資料がないか探しています。 紹介していただけませんでしょうか。

  • 情報セキュリティのためのリスク分析で対象とするのは、純粋リスクだけである理由について

    いつもお世話になっております。 H21SCのAM2の問8に以下の問題があります。 -----------------------------------------------------------------------  情報システムのリスク分析に関する記述のうち、もっとも適切なも のはどれか。  ア リスクには、投機的リスクと純粋リスクとがある。情報セキュ   リティのためのリスク分析では対象とするのは、投機的リスクで   ある。  イ リスクの予想損失額は、損害予防のために投入されるコスト、   損害の復元に要するコスト、及び他の手段で業務を継続するため   の代替コストの合計で表される。  ウ リスク分析とは、現実に発生すれば損失をもたらすリスクが、   情報システムのどこに、どのように潜在しているかを識別し、そ   の影響の大きさを測定することである。  エ リスクを金額で測定するリスク評価額は、損害が現実のものに   なった場合の1回当たりの予想損失額で表される。 ----------------------------------------------------------------------- 答えがウであることは納得しているのですが、 アが不正解である理由を教えてもらいたいです。 問題集の解説を読むと、 「情報セキュリティのためのリスク分析で対象とするのは、純粋リスクだけである」 と書かれていました。 これはなぜでしょうか? 純粋リスクはどのように管理するのでしょうか? もしよろしければ、教えて頂けませんか? よろしくお願い致します。

  • 情報セキュリティマネジメントシステム(ISMS/ISO 27001/JIS Q 27001)のリスクアセスメントについて

    私の会社では、情報セキュリティマネジメントシステム(ISO 27001:2005)を取得・運用しております。 リスクアセスメントを実施していくにあたって、つじつまが合わないというか困ったことが出てきました。 わかりやすくするため 財団法人 日本情報処理開発協会の 「ISMSユーザーズガイド-リスクマネジメント編-」 http://www.isms.jipdec.jp/doc/JIP-ISMS113-11.pdf を使って運用するものとします。 ユーザーズガイド P32によると リスク値=「情報資産の価値」×「脅威」×「ぜい弱性」 等となります。 そして例えば「受容可能なリスク値」を9未満と決めたとします。 そうすると、P33の表の水色部分において、対策を行うこととなります。 ------------------------ここまでは良いのですが… 弊社では、同じような方式を採用して なおかつ定期的にリスクアセスメントを行うこととしました。 もちろん今までのリスク(ぜい弱性)に対する対策は取ってあるとします。 そうすると、「情報資産の価値」=3以上、「脅威」=3、の資産の場合 「ぜい弱性」がいくつであろうとも、リスク値は9以上になってしまうのです! 自らコントロールできる値は「ぜい弱性」のみですから、 ありとあらゆる対策を取り、ぜい弱性を下げてあったとしても いつまでたっても「受容可能なリスク値」(9未満)を満足できない …というおかしな事になってしまうのです… このユーザーズガイドの点数は、あくまで便宜的な数値、ということはわかっているのですが じゃあどのようにリスクアセスメント手法を直せばいいか、良い方法が思いつきません… うまく運用されている例がありましたらぜひご教示ください!

  • PC(IT)資産管理ソフトを探しています

    こんにちは。 PC(IT)資産管理ソフトを探しています。 「PC(IT)資産管理ソフト」をネットで検索すると、 色々なソフトがヒットしますが、どれが一番いいのか判断つきません。 もし、自社でPC(IT)資産管理ソフトを導入している方や PC(IT)資産管理ソフトの詳しい方がいましたら、 お勧めの製品を教えてください。 【必須機能】 ・クライアントOSのバージョン、プロダクトID、パッチ等の確認が出来る。 ・MS OfficeやVisual Studio、ウィルス対策ソフト等のバージョン、パッチ、  プロダクトIDが確認できる。 ・PCのメーカ名、機種名等が確認できる。 ・クライアントのIPアドレス、コンピュータ名、MACアドレス等の確認が出来る。 【出来れば欲しい機能】 ・リースの場合は、リース期間等のリース情報を登録できる。 ・サーバーへのアクセスログ、サーバー内のファイルやフォルダへの  アクセスログが取れる。 ・ネットワークプリンタやルータ等の管理も出来る。 ・ネットワークのトラフィック情報や不正アクセス監視機能など、  社内LANの監視機能もできれば欲しい。 ・クライアントへのソフトのインストールを不要で、  資産管理サーバーのみインストールする。 上記の機能を出来るだけ備えていて、価格も抑えられる製品を探しています。 機能が少ない割りに高額な製品が多くて、なかなか導入できなくて困っています。 よろしくお願いします。

  • お勧めのPC(IT)資産管理ソフトはありませんか?

    こんにちは。 PC(IT)資産管理ソフトを探しています。 「PC(IT)資産管理ソフト」をネットで検索すると、 色々なソフトがヒットしますが、どれが一番いいのか判断つきません。 もし、自社でPC資産管理ソフトを導入している方や PC資産管理ソフトの詳しい方がいましたら、 お勧めの製品を教えてください。 【必須機能】 ・クライアントOSのバージョン、プロダクトID、パッチ等の確認が出来る。 ・MS OfficeやVisual Studio、ウィルス対策ソフト等のバージョン、パッチ、  プロダクトIDが確認できる。 ・PCのメーカ名、機種名等が確認できる。 ・クライアントのIPアドレス、コンピュータ名、MACアドレス等の確認が出来る。 【出来れば欲しい機能】 ・リースの場合は、リース期間等のリース情報を登録できる。 ・サーバーへのアクセスログ、サーバー内のファイルやフォルダへの  アクセスログが取れる。 ・ネットワークプリンタやルータ等の管理も出来る。 ・ネットワークのトラフィック情報や不正アクセス監視機能など、  社内LANの監視機能もできれば欲しい。 ・クライアントへのソフトのインストールを不要で、  資産管理サーバーのみインストールする。 上記の機能を出来るだけ備えていて、価格も抑えられる製品を探しています。 機能が少ない割りに高額な製品が多くて、なかなか導入できなくて困っています。 よろしくお願いします。

  • 情報資産の取り扱いについて

    稚拙な質問で申し訳ございません。 情報資産というのは、PCで管理しているファイル(Excel、Wordなど)も情報資産とみなしていいのでしょうか? 情報資産を管理するにあたって勉強していきたいと思っています。 ご回答宜しくお願い致します。

  • ファイルサーバーの共有権限について

    いつもお世話になっております。 ファイルサーバーの共有フォルダの権限設定で分からないことがあり、 登録させて頂きました。 ファイルサーバ (win 2003server) ワークグループ HOME1 共有フォルダ(管理) アクセス権限は 端末1というように、 許可するユーザーのみ追加しています。 端末1(win xp) ワークグループ HOME1 端末2(win xp) ワークグループ HOME2 お伺いしたいのは、 ユーザー指定のみでアクセス許可をしているのですが、 共有フォルダ(管理)にここに登録していない端末でアクセス(端末2)すると なぜかファイルサーバに入れてしまいます。 そもそも異なるワークグループなのに、 共有に入れるものなのでしょうか。 なにか原因で思い当たることがありましたらお教え頂ければと 思っております。 以上よろしくお願い致します。

  • フォルダのアクセス権の付与の仕方

    共有ファイルサーバの運用を行っているのですが フォルダのアクセス権で困っている点があります。 (本業の片手間にサーバの管理は行っていますがPCの知識は初心者に毛が生えた程度です・・・) 個人用フォルダへのアクセス権の付与をサーバ管理者の私も行えないようにしたい。 理由は上司の個人用フォルダには私(要は部下)に見られては困る書類もあるため サーバ管理者だがフォルダの中を見られないようにしたいということです。 ただ、上司ごとにフォルダを作ると上司の数が複数あるため今後管理が非常に難しくなると想像できます。 今のところそのような管理をしているのはその上司のみなので・・・ また、その上司にアクセス権の変更権限を与えているため サーバ管理者の私の権限をも変更できてしまうのは管理上よくないかと思ってます。 サーバ上のフォルダにのみ上司にアクセス権の変更権限を与えることは可能ですか? また全体的な管理としてどのようにしていけばいいかアドバイスいただければと思います。

  • W2k Serverのユーザ管理情報はバックアップ可能?

    Windows2000Serverをファイルサーバとして使用しています。 クライアントはそれぞれ自分の名前をユーザ名にして、サーバ内でも同様のユーザを作成し、フォルダ毎のセキュリティタブにユーザを設定してアクセス権をコントロールしています。 この度、マシンが不調でファイルサーバを交換することになりました。 新しいマシンに再度全員分のユーザ登録を行わなければいけないのですが、今の設定をそのまま引き継ぐことはできないのでしょうか? クライアントのユーザ名とパスワードの組み合わせと、全く同様の情報でファイルサーバにも登録しなければなりません。 ドメイン管理はおこなってなくワークグループ設定です。理由はまだ使いこなせないのと、クライアントの半数はWindowsXP HomeEditionだからです。 今回は手動で一人一人登録するとしても今後のことを考えてもっと良い方法はないでしょうか。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する