アクセス管理はSVOで考えるとわかりやすいかもですね。。。(2)

こんにちは、丸山満彦です。

サイバーセキュリティの勉強を始める人向けに、アクセス管理についての思うところを書こうと思っています。そして、アクセス管理は英語の第三文型のSVOで考えるとわかりやすいかも知れませんという話を以前しました・・・

● まるちゃんの情報セキュリティ気まぐれ日記
・2020.06.29 アクセス管理はSVOで考えるとわかりやすいかもですね。。。(1)

-----

• S : Subject = 行為の主体ですね
• V : Verb = 行為の内容
• O : Object = 行為の対象

つまり、誰(S)が何(O)に何をする(V)かということになりますね。。。それぞれS, V, Oをどう管理するかということになります。

-----

 

[2] Oの管理

ITシステムのオブジェクトはデータ、プログラム等が考えられます。物理的な環境まで含めると、ハードウェアや執務室まで含めることになります。IT資産管理と共通的な部分もあるので、二重管理を避けるためにもIT資産管理、構成管理の仕組みをうまく活用して管理することがよいでしょうね。

具体的な手法は色々とあるとは思いますが、

• いきなり100点を目指すのではなく、まずはできるところから始め、継続的な改善を行う。
• 継続的に実施できるためのオペレーションも含めて設計をする
• オペレーションはできる限り自動化を目指す

と言ったところがポイントに上がってきますでしょうかね。

ITILなども参考になると思います。