AxiPassAxiPass
ブログ一覧へ
ISMS-P・コンプライアンス·約3分

ISMS-Pのアカウント管理証跡を、監査ログで備える方法

ISMS-P認証審査で求められるアカウント・権限管理の証跡とは何か、そして監査ログで常時対応できる状態をどう作るかを、実務の視点で整理しました。

審査の日程が決まってから、過去1年分のアカウント発行・回収の記録を慌てて探し始めた経験があるなら、この記事が役に立つはずです。ISMS-P審査においてアカウントと権限の管理は毎年繰り返し確認される領域であり、準備ができていないと審査直前に担当者一人が数日を費やすことになりがちな項目です。

審査で実際に確認されること

ISMS-Pのアカウントおよび権限管理の領域は、項目番号を暗記するより、審査員が何を見ようとしているかを理解するほうが実務に役立ちます。大きな柱は三つです。

一つ目は、アカウントが正当な手続きで作成されたかです。誰がいつどの承認を経てアカウントを発行したのか、申請と承認の記録が残っているかを確認します。二つ目は、権限が業務に必要な範囲だけ付与されているかです。最小権限の原則が実際に守られているか、過剰な管理者権限が放置されていないかを見ます。三つ目は、不要になったアカウントが適時に回収されたかです。退職者や職務変更者のアカウントが遅延なく無効化されているかを確認します。

これら三つはいずれも「ポリシーが文書にあるか」ではなく「実際にそう運用された記録があるか」で判断されます。だからこそ証跡、つまりログが要になります。

証跡として備えておくべき記録

審査の場で慌ててスクリーンショットを撮る代わりに、普段から残っているべき記録は次のとおりです。

  • アカウントの作成・変更・削除の履歴と、その実行者(誰が行ったか)
  • 権限の付与・回収の履歴と時点
  • ログインの成功・失敗の記録、特に管理者アカウントのアクセス記録
  • アクセス権限の定期レビュー(権限の再認証)を実施した記録

ここでよく見落とされるのが時刻の一貫性です。ログが複数のシステムに散在していると、同じ事象を異なるタイムゾーンで記録してしまうことが少なくありません。審査で事象の前後関係を説明する際、この不一致が足かせになります。ログをUTCなど一つの基準で保存し、画面上でのみ担当者のタイムゾーンで表示すれば、この問題を避けられます。

常時対応できる状態を作るアプローチ

証跡準備の目標は「審査のときに資料を作る」ことではなく「いつ聞かれても即座に出せる」ことです。そのために三つをおすすめします。

アカウントと権限の変更が起きた瞬間に、自動で記録が残るようにしてください。人が後からまとめる方式では必ず漏れが生じます。そしてログは変更・削除が難しい形で分離して保管するほうが、信頼性の面で有利です。最後に、審査員がよく求める期間別・ユーザー別の照会と書き出しが、あらかじめできる状態にしておくことです。CSVやPDFで特定期間のアカウント活動をすぐに抽出できれば、審査対応の時間は大きく短縮されます。

AxiPassはこの部分を支えます

AxiPassはアカウント発行・権限変更・ログインなど主要なイベントを監査ログとして自動記録し、このログを専用の別データベースに分離して保管します。保存はUTC基準で、画面ではユーザーのタイムゾーンで表示します。また、期間・ユーザー条件で照会した監査記録をISMS-P提出用のPDFレポートやCSVに書き出せるため、審査資料を毎回手作業で集める必要がありません。

今すぐ確認したい方は無料で始めるから監査ログの画面をご自身でご覧いただけます。組織の規模に合った導入方法が気になる方は導入相談からお問い合わせください。

AxiPassを知る

AxiPassを無料で始める

FreeプランでSSO・SCIM・MFA・監査ログをご自身で確認できます。クレジットカード不要ですぐに始められます。

無料で始める

導入のご相談はこちら

貴社の環境と必要な機能をお知らせいただければ、担当者が導入方法を一緒に検討いたします。

導入相談
ブログ一覧へ