基準 3.6

引き続 き、Trust Services Principles, Criteria and Illustrations for Security, Availability, Processing Integrity, Confidentiality, and Privacy (Including WebTrust® and SysTrust®)の勝手訳です。今回は可用性の原則と基準の表の基準 3.6です。

Criteria 3.6
基準 3.6
Procedures exist to protect against unauthorized logical access to the defined system.
定義されたシステムへの未承認の論理的アクセスに対する防御手順が存在する。

Illustrative Controls
統制の実例
Login sessions are terminated after three unsuccessful login attempts.
ログインセッションはログ インの試みが三回不成功であると終了される。
Terminated login sessions are logged for follow-up by the security administrator.
終了された ログインセッションはセキュリティー管理者によるフォローアップのために記録される。
Virtual private networking (VPN) software is used to permit remote access by authorized users. Users are authenticated by the VPN server through specific “client” software and user ID and passwords.
バー チャルプライベートネットワーク（VPN)ソフトウェアは権限のあるユーザーによるリモートアクセスを許可するために使用される。ユーザーは特定のクライ アントソフトウェアとユーザーIDとパスワードを通じてVPNサーバーによって認証される。
Firewalls are used and configured to prevent unauthorized access.
ファ イアウォールは未承認のアクセスを防ぐために使用・設定される。
Firewall events are logged and reviewed daily by the security administrator.
ファ イアウォールの出来事は記録され毎日セキュリティ管理者によって確認されます。
Unneeded network services (for example, telnet, ftp, and http) are deactivated on the entity’s servers. A listing of the required and authorized services is maintained by the IT department. This list is reviewed by entity management on a routine basis for its appropriateness for the current operating conditions.
不要なネットワークサービス（例えば、telnet, ftp, http）はサーバー上で使用不可にされる。要求され承認されたサービスのリストはIT部門により保守される。このリストは現在の動作条件 の妥当性に基づき経営者により定期的に確認される。
Intrusion detection systems are used to provide continuous monitoring of the entity’s network and early identification of potential security breaches.
侵入検知システムは継続的なネットワーク監視と早期の潜在的セキュリティ侵害の特定のために使用される。
The entity contracts with third parties to conduct periodic security reviews and vulnerability assessments. Results and recommendations for improvement are reported to management.
第三者と定期的なセキュ リティのレビューと脆弱性評価を実施する契約を結ぶ。結果と改善提言は経営者 へ報告される。