基準 3.3

引き続き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は基準 3.3です。

Criteria 3.3
Procedures exist to protect against unauthorized logical access to the defined system.
基準 3.3
定義されたシステムへの未承認の論理的アクセスに対する防御の手続が存在する。

Illustrative Controls
Login sessions are terminated after three unsuccessful login attempts.
Terminated login sessions are logged for follow-up by the security administrator.
Virtual private networking (VPN) software is used to permit remote access by authorized users. Users are authenticated by the VPN server through specific “client” software and user ID and passwords.
Firewalls are used and configured to prevent unauthorized access.
Firewall events are logged and reviewed daily by the security administrator.
Unneeded network services (for example, telnet, ftp, and http) are deactivated on the entity’s servers. A listing of the required and authorized services is maintained by the IT department. This list is reviewed by entity management on a routine basis for its appropriateness for the current operating conditions.
Intrusion detection systems are used to provide continuous monitoring of the entity’s network and early identification of potential security breaches.
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.
統制の実例
不成功なログインを3回試みた場合、ログインセッションは終了される。
終了されたログインセッションは記録さ れ、セキュリティ管理者によって後に確認される。
仮想プライベートネットワーク（VPN)ソフトウェアは承認されたユーザーによる許可されたリモートアクセスに使用され る。ユーザーは特定のクライアントソフトウェアとIDとパスワードを通してVPNサーバーによって認証される。
ファイアウォールは未承認のアクセスを防 ぐために利用・設定される。
ファイアウォールでの事象は記録され、毎日セキュリティ管理者によって確認される。
不要なネットワークサービス（例：telnet, ftp, http）はサーバーで非稼動にされる。要求・承認されたサービスのリストはIT部門によって維持される。このリストは現状の操作状況の適切性の定常的な 管理として確認される。
侵入検知システムはネットワークと継続的な監視および潜在的なセキュリティー違反の早期特定に利用される。
サードパーティーと定期的なセキュリ ティ確認実施と脆弱性の評価の契約を結ぶ。結果と改善勧告は経営者に報告される。