お問い合わせ

INFORMATION お役立ち情報

2025.02.04 ISMS情報セキュリティ

ISO 27001の管理策 5.16「識別情報の管理」とは? 安全な情報識別のポイントを解説!

1. はじめに

ISO 27001は、情報セキュリティマネジメントシステム(ISMS)の国際規格であり、組織の情報資産を適切に保護するためのフレームワークを提供しています。その中でも、**管理策5.16「識別情報の管理」**は、システムやネットワークを利用するユーザーやデバイスを適切に識別し、不正アクセスやなりすましを防ぐための重要な管理策です。
適切な識別情報の管理を行わないと、不正なユーザーが機密情報にアクセスするリスクや、内部不正による情報漏えいの危険性が高まります。
本記事では、管理策5.16の目的、識別情報の管理方法、実施のポイントについて詳しく解説します。

2. 管理策5.16「識別情報の管理」の目的

識別情報とは、システムやネットワークにアクセスする際にユーザーやデバイスを一意に特定するための情報のことを指します。一般的には、ユーザーID、社員番号、デバイス識別番号(MACアドレス)、生体認証情報などが該当します。
識別情報の管理の主な目的は、以下の3つです。

➤ 適切なアクセス制御を実施する
認証と組み合わせることで、**「正当なユーザーのみが情報にアクセスできる」**状態を確保する。
➤ なりすましや不正アクセスを防止する
個別の識別情報を適切に管理し、第三者による不正利用を防ぐ。
➤ 監査証跡を確保し、セキュリティインシデントを追跡可能にする
誰が、いつ、どの情報にアクセスしたかを記録し、不正行為の発見を容易にする。

3. 識別情報の管理の実施方法

ISO 27001の管理策5.16では、識別情報を適切に管理するために、以下のような具体的な手順を推奨しています。
(1) ユーザー識別情報の適切な管理
推奨される管理手法:
各ユーザーに一意の識別情報(ユーザーID)を割り当てる(「user001」「admin01」などの汎用的なIDは避ける)。
共通アカウントの使用を禁止し、個人ごとのIDでアクセスさせる。
退職者や異動者のアカウントを速やかに削除または更新する。
(2) デバイス識別情報の管理
組織が使用するPC、スマートフォン、IoT機器などのデバイス識別情報を管理し、不正な端末が接続できないようにする。
端末ごとに識別番号(MACアドレス、シリアル番号)を記録し、許可リストを作成。
会社支給のデバイスと個人デバイスの使用ルールを定め、未登録の端末からのアクセスを制限。
(3) 強固な認証と識別情報の組み合わせ
識別情報だけではなく、認証情報(パスワード、生体認証、セキュリティキーなど)を組み合わせることで、不正アクセスのリスクを低減する。
二要素認証(2FA)または多要素認証(MFA)を必須化。
パスワードポリシーを定め、定期的な変更を義務付ける(例:90日ごと)。
(4) ログ管理と監査証跡の確保
識別情報を適切に管理し、アクセス履歴を記録することで、不正アクセスの発見やインシデント発生時の調査を容易にする。
**SIEM(Security Information and Event Management)**などのツールを活用し、アクセスログを自動記録・分析。
不審なアクセスが発生した際に自動アラートを送信する仕組みを導入。

4. 識別情報管理の重要なポイント

(1) 共通IDの使用を禁止する
「admin」「user」などの共通IDの使用は禁止し、個人ごとに固有のIDを付与する。
共有アカウントが必要な場合でも、誰が使用したか記録できる仕組みを導入する。
(2) 定期的な棚卸しを実施する
半年または1年ごとに**「使用されていないアカウントがないか?」をチェック**し、不要なIDを削除。
退職者のアカウントが残ったままになっていないかを確認。
(3) 生体認証やスマートカードの活用
指紋認証、顔認証、スマートカードなどの手法を導入し、識別情報の信頼性を向上。
パスワード単体よりも、物理的な要素(スマートカードなど)と組み合わせた認証が推奨される。
(4) 内部監査を実施し、不正アクセスを防ぐ
「どのユーザーが、どのシステムに、いつアクセスしたのか?」を定期的に確認。
アクセス権限を適切に管理し、不要な権限が付与されていないかチェック。

5. まとめ

ISO 27001の管理策5.16「識別情報の管理」は、ユーザーやデバイスを適切に識別し、なりすましや不正アクセスを防ぐための重要な管理策です。
適切な識別情報の管理を行うことで、情報の機密性を保ち、不正利用を防止し、セキュリティインシデントの追跡を容易にすることができます。
組織の情報セキュリティを強化するために、以下の対策を徹底しましょう。

✅ 一意の識別情報を割り当て、共通IDの使用を禁止
✅ 強固な認証(MFA)を導入し、不正アクセスを防止
✅ 定期的に識別情報を棚卸しし、不要なIDを削除
✅ SIEMなどのツールを活用し、アクセスログを監視

情報セキュリティの基盤を強化するために、本記事を参考にして識別情報管理の仕組みを確立しましょう!

一覧へもどる

CONTACT お問い合わせ

お電話、お問い合せフォームから随時ご相談を受け付けております。
事前のご予約で、夜間・土日祝日でも対応可能です。

\ 事前のご予約で、夜間・休日も対応可能 /

06-6355-4788

営業時間:9:30~19:00定休日:日曜日

お問合せフォームはこちら(24時間受付)