ITのGeneral controls -PasswordでAccess control

投稿者 投稿日:

General controls

IT function 全体のコントロール。System の Improve や Adjust も General control に含まれる。

Segregation of duties

職務分離。Programming と Operator はわける。

Operations control

Computer や Device の管理。Manual の作成。Record 。

Good location site

Computer operation facility の設置場所を Control 。Air condition も含めた Climate を考慮する。

  • Fire、Flood、Humidity などの Natural disasters の Risks からはなす
  • Windows からはなす
  • Top floor におかない
  • Basement におかない

Fire-suppression systems

Electrical fire accident(電気火災事故)にそなえた消化システム。Periodically に Inspect する必要がある。 

Software controls

Software の Acquisition や Maintenance Controls

  • System specifications
  • Managerial approval

Hardware control

  • Hardware checks

Documentation control

Organization は以下の理由により System などの Documentation をおこなう。

  • Law による Require
  • Complex な Systems の Building と Evaluating を Facilitate
  • Training を Facilitate
  • System の Survival と Sustainability を Improve
  • System audits を Enable
  • Process re-engineering を Enable

Documentation は、以下の種類がある。

  • Operations documentation
  • Problem definition documentation
  • Systems documentation
  • Operator documentation
  • User documentation
  • Application documentation
  • Program documentation

Systems documentation

Program や Data files の Overview。

  • Narrative descriptions
  • Flowcharts
  • Data flow diagrams

System の Survey を行うときには、Interviews、Quick questionnaires 、Observations とともに Systems documentation が重要となる。

Operator documentation

Program の Execute に必要な Information を提供する Documentation 。Computer operator が使用する。

下記のようなものが記載される。

  • Equired equipment
  • Data files and computer supplies
  • Execution commands
  • Error messages
  • Verification procedures
  • Expected output

User documentation

End user に System を理解させるための Document。

Application documentation

Application program の Program を Documentation しておく。

Program documentation

Input data 、Logic 、Output of software の Detailed analysis。

  • Program flowcharts
  • Source code listings
  • Record layouts

Access controls

Computer や Data file への Access をコントロールする。Physical controls(物理的統制)と Logical controls(論理的統制)にわけられる。

Data process を Distribute(分散)して実施している場合には特に気をつける。また、Computer などの Equipment と Record との Reconciliation を行う。

Physical controls

物理的な Access をコントロールする。Comupter のある部屋や建物への立ち入りをコントロールする。

Card key

カードキーやIDの採用。Card の Magnetic strip(磁気ストライプ)に Identification information が Embed されている。Card reader などの Hardware を使用することで、Data を System に取り込める。

Visitor entry logs

Visitor の身元を確認して記録する

File protection ring

ファイル保護リング。Physically に Data の Overwrite(上書き) を防ぐ。

Logical controls

System による Access をコントロールする。

Password

User の Authentication(認証)を行い、Software や System などの Unauthorized use を防ぐ。


Computerized の File は Manual の File よりアクセスや変更がしやすい。数字に大文字、小文字、記号を組み入れると Security は上がる。Preventive control。

Access controls の Evidence を手に入れるために、Invalid な Password を入力してちゃんと Reject されるか確かめる。そして、定期的に変更することで Security problem を軽減できる。

Password は最低でも8文字以上に設定し、Upper case letters と Lower case letters 、Numeral と Special character を混ぜて使用することでより強固となる。また、定期的に変更を行う。

One-time password

Device に 30-60 seconds ほど New password が表示される。Standard な Password に追加することで Control がより強まる。ネットバンキングでよく用いられているヤツ。

Electronic wallets

User name や Password を簡単に Manage できる Software program 。Robo Formが有名。

Biometric device

生体認証。指紋や虹彩で認識する Device 。Unauthorized user  による不正アクセスの Risk をもっとも緩和できる。  

Access control software

Software で User を Control

File attribute

属性ファイル。User が File を Read 、Write 、Update 、Delete することに制限をかけられる。

View only access

User は File を View することしかできない。Change ができない。読み取り専用。

Reviewing log

System access log を Review することで、Computer fraud を Detect できる。

Secret key cryptosystem

秘密鍵暗号方式。Algorithm の Key を使って Data の  Encrypt(暗号化)と Decrypt(復号)を行う。

Ciphertext は暗号化された文書、Decrypt しないと読めない、理解できない。

Cleartext は読めて理解ができる文書、Cliphertext を Decrypt すると Cleartext となる。

Symmetric encryption

ひとつの Alogorithm で Encrypt と Decrypt を行う。Single-key encryption や Private-key encryption とも呼ばれる。

Asymmetric encryption

2つのペアとなっている Encryption algorithms で Encrypt と Decrypt を行う。Public/private-key encryption や Private-key encryption とも呼ばれる。

Public key で Encrypt し、Private key で Decrypt をする。

Closed-loop 

クローズドループ。フィードバックをとる。

Multi-factor authentication

複数の Authentication(証明) Procedures を複合して使用することで Control が Increase。

Network security

Network に対する Security

Recovery plan

Disaster に遭ったとき Recovery plan。データ消失時の Corrective control。

Change management

System の Change の Needs を Identify 。Change は Control された Process によって実施する。

Unauthorized な Change は Prevent 。

System の Survey には System documentation

ura.duy

投稿者: uscpakaigai