Hitachi

Cosminexus V11 アプリケーションサーバ 機能解説 セキュリティ管理機能編


4.4 システムの使用者の検討

セキュアなシステムを検討するには,まず,システムの使用者を定義します。システムの使用者にはどのようなユーザがいるかを洗い出して,それぞれの使用者の目的や作業範囲を明確に定義します。これが,システムの監査を実施する観点の一つである,正しいユーザがそれぞれの操作を実行したかどうかを検証する根拠になります。

なお,それぞれの使用者の作業手順は,作業手順書を作成して定義する必要があります。作業手順書には,「システム構築手順書」,「システム運用手順書」,「エンドユーザ操作手順書」,「入退室手順書」などが考えられます。作業手順書の検討については,「4.9 作業手順の検討」を参照してください。

このシステムでは,次に示す使用者を定義します。

システム管理者

システム管理者は,「システム構築手順書」に従って,システムの構築,および管理を実施します。具体的には,主に次の作業を実施します。

  • サーバエリア内のハードウェア,ソフトウェア,ネットワークの設置・設定

  • ソフトウェアのアップデート

  • システムの起動と停止

システム管理者は,組織内の情報システム部門から選ばれたユーザが担当します。

システム運用者

システム運用者は,「システム運用手順書」に従って,サーバエリア内でエンドユーザの登録・削除などのシステムの運用作業を実施します。システム運用者は,社内の情報システム部門から委託されたユーザが担当します。

エンドユーザ

エンドユーザは,「エンドユーザ操作手順書」に従って,システムが提供するサービスを利用します。サービスの利用には,社内LANに接続されたクライアント端末上のWebブラウザを使用します。

監査者

監査者は「入退室手順書」に従ってサーバエリアに入室して,監査ログを取得します。取得した監査ログを調査して,信頼できるシステム管理者が「システム構築手順書」に従った正しい方法でシステムを構築しているかどうかを確認します。また,正しい方法で構築されたシステムが,「システム運用手順書」および「エンドユーザ操作手順書」に従った正しい方法で運用,および利用されているかどうかを監査します。監査者は,社内の内部監査を実施するコンプライアンス部門から選ばれたユーザが担当します。