セキュリティの条件に関するユーザーの研修

セキュリティ管理者は、ユーザーの研修も設定する必要があります。以下の規則は、新入社員に手渡すとともに、従来の社員にもこれらの規則の存在を折を見て確認する必要があります (ここに示した以外の提案が必要な場合もあります)。

すべてのユーザーの規則

• 自分のパスワードは誰にも教えないこと。自分のパスワードを知られると、認証なしに、つまり、権限のない者が自分と同じ情報にアクセスできることになります。

  • 自分以外の誰にもパスワードは教えない

  • パスワードを書き留めたり、電子メールにそれを明記したりしない。

• 連想しにくいパスワードを使用すること。

  この条件は、表 2-1 に示すように、トラステッドパスメニューでパスワードを変更する際にも必須になっています。

• 画面をロックしたりログアウトしないまま自分のワークステーションの席を離れない。

• 送信者情報を偽造するためにメールが書き換えられることがあることを留意すること。

• 管理者は、ユーザーに指示を出すときに電子メールには依存しないことに留意すること。電子メールによる指示に従う前に、それが確実に管理者からの電子メールであることを検証する必要がある。

• パスワードを他人に電子メールで送信しないこと。

• 作成したファイルやディレクトリのアクセス権は作成者に責任がある。権限を持たないユーザーによるファイルの読み取り、変更、およびディレクトリの内容の一覧表示、ディレクトリへの書き込みができないように許可が設定されていることを確認すること。