皆さんは普段「アクセス管理」を意識されていますか？
アクセス管理を意識せず情報を取り扱っていると、「知らない間に情報流出！」などの大惨事が発生してしまうかもしれません。
反対に言うとこの「アクセス管理」をしっかりと行うだけで、情報流出や不正アクセス、改ざんといった様々なリスクを低減させることが可能になるのです。

そこで今回は、以下3点のポイントを解説していきたいと思います。

【今回のポイント】

1. そもそもアクセス管理とは？
2. アクセス管理の重要性
3. 具体的なアクセス管理方法

そもそもアクセス管理とは？

一言で言うと、「情報やツールへのアクセス権を管理する」ということです。
例えば、普段でも「クラウドストレージ上で業務利用するファイルを閲覧できる人を限定する」「会計システムは管理部だけアカウントを持っている」などといった形で自然にアクセス管理を行っているのではないでしょうか。
一方で、意識していないがゆえに、線引きが曖昧になっている可能性もあります。

アクセス管理にはいくつかの観点があります。

• アカウント自体の管理
• アカウントの権限管理（管理者/一般など）
• 各情報ごとのアクセス管理

ひとつの観点からだけでなく、上記それぞれに考えられるリスクを把握したうえで、それぞれ適切な対応を行っていくことが必要になります。

アクセス管理の重要性

前項で挙げたアクセス管理の観点を基に説明していきたいと思います。

アカウント自体の管理

これは、必要な人のみにアカウントが発行されているか、すでに退社した人のアカウントが有効なままになっていないかということです。
この観点からの管理を行っていないことによるリスクは、退職者などによるアカウントの不正利用やアカウントの過剰作成による管理不備などが挙げられます。
アカウントを発行するということは、そのツールや情報へのアクセス権を与えられる状況になるということであり、反対に言うと、アカウントをしっかり管理していれば、ツールや情報へアクセスする権利そのものを不要に与えずに済むということです。

アカウントの権限管理

これは、管理権限を持つべき人だけを管理者にしているか、業務上必要以上の権限をアカウントに与えていないかということです。
この観点からの管理を行っていないことによるリスクは、一般社員に強力な権限を付与することによって不正の証拠を編集・削除されてしまう可能性や、どの役割にどの程度の権限を与えるか決めていないことによる責任所在の曖昧化なども考えられます。
基本的にはどのようなツールやサービスでも権限管理の設定は可能だと思いますし、この権限管理のサービスが複数段階で設定できるようになっていればいるほど、セキュリティに考慮しつつ業務効率も落とさない権限設定を行うことが可能です。

各情報ごとのアクセス管理

これは分かりやすく、各情報やファイルごとのアクセス権を必要以上のメンバーに付与していないかということです。
この観点からの管理を行っていないことによるリスクには、アクセスする必要のない人が間違えて編集・削除を行ってしまう可能性や、不正アクセスの間口を広げてしまうといったことが挙げられます。
細かな情報は業務の際に随時、生成・更新・削除されていくものです。だからこそ各情報のアクセス管理をしっかりできるようにしておかないと、すぐに不正やミスを生み出すきっかけを作ってしまうことになりかねません。

具体的なアクセス管理方法

アカウント自体の管理

1.　アカウントを定期的に見直す

まずは、不要なアカウントがないか定期的に見直すという仕組みを作ることが挙げられます。
アカウントの管理担当者の方もその他の業務と並行して管理を行うことになると思いますので、頻繁に確認を行うのは難しいのではないかと思います。また、そこまで頻繁に入退社や異動などが発生することもないとは思いますので、半年に1回や年1回などタイミングを決めて、アカウントの必要性の見直しを実施することをお奨めします。

2.　入退社時のチェックリストに必要なアカウント付与・削除を含める

入社や退社のたびにどのアカウントの付与が必要なのか、または削除が必要なのかということを把握しなおすことは大変です。
そこで、入社時や退社時に対応することチェックリストなどを作成して、その中に必要なアカウント付与・削除の項目を含めることで抜け漏れリスクの減少が期待できます。
また、業務や役割によっても関係するアカウントが異なる可能性があるため、共通のチェックリストだけではなく、各業務や役割に合わせたチェックリストも作成しておくことで、工数の削減につながります。

アカウントの権限管理

1.　情報資産の洗い出しやツールの管理と併せて、管理者権限を与える役割を決めておく

小規模な会社であれば、各ツールのアカウントの管理者を特定の個人で決めてしまうことも可能かもしれませんが、ある程度大規模になってくると、個人単位というよりは業務や役割・役職単位で管理権限を持つことが多いのではないでしょうか。
そこで、例えば「○○部部長は△△ツールの管理者権限を付与」「経理業務担当者は会計システムの管理者権限を付与」「情シス担当はシステム全般の管理者権限を付与」といった形で付与ルールを設定することをお奨めします。
あらかじめ付与ルールを決めておくことで、権限の管理が行いやすくなるでしょう。

2.　管理者権限の付与は申請制にする

もしかすると業務上、管理者権限のような特殊な権限が必要になる従業者もいるかもしれません。
その場合に対応できるよう、申請・承認フローを決めておくと良いかもしれません。
また、そのタイミングでどういった理由で必要かも伝えてもらうことで削除のタイミングなども決められ、必要以上に特別な権限を与え続けるというリスクにも対処できるのではないでしょうか。

各情報ごとのアクセス管理

1.　あらかじめ必要なアクセス権を設定したフォルダを用意する

情報ひとつひとつのアクセス権を管理することは膨大な作業になり難しいです。
そこで「営業部の人だけアクセスできるフォルダ」「全員がアクセスできるフォルダ」などあらかじめアクセス権を設定したフォルダを用意し、必要なアクセス権に応じたフォルダに情報を格納していってもらうという形を取ることで管理工数を軽減することができます。
また、この方法の場合、特別に他者にアクセス権が必要になった場合にはそのファイルにだけアクセス権を付けるなどの対応も可能なため、おすすめです。

2.　各情報の管理責任者を決めておく

誰が管理責任者なのか決まっていないと、誰かがアクセス権を管理しているだろうと思い、不要なアクセス権に気づいても担当の人が対応するだろうと考え、誰も対処しないかもしれません。
そこで、この情報は誰が責任をもって対応するということを決めておくことも重要です。

まとめ

今回は、アクセス管理によるセキュリティレベルアップについて紹介してきました。
アクセス管理は身近ですぐ対応できる部分でありながら、意外と各個人に任せてしまっている部分でもあります。
不正だけでなく、従業者のミスを減らすためにもアクセス管理に今一度目を向けてみてはいかがでしょうか。