定期的にニュースで「顧客情報が流出」という文字を見ることがありませんか?「なんでそんなことが起きるんだろう?」と他人事のように思えてしまうかもしれませんが、決してこれは他人事ではありません。
事実、適切なアクセス管理がされていなかったために、情報漏洩してしまう企業が続出しています。そこで今回はアクセス管理の概要、具体的に実施する内容や管理のポイントなどについて網羅的に紹介していきます。
アクセス管理を適切に行わないことによるリスクについても紹介しているため、ぜひ一読をおすすめします。
また、企業がやるべきセキュリティ対策をまとめた14分野30項目のセキュリティチェックシートを無料で配布しています。
貴社ではどれくらいセキュリティ対策ができているのか、あとは何が必要なのか、ご確認ください。
アクセス管理とは
アクセス管理とは、「ITサービスに対するユーザのアクセス権を管理するプロセス」です。
より細かい言い方をすると、サービスを利用する権利のあるユーザには適切な権限を付与し、そうでないユーザからは権限を取り除くという一連の流れを効率的に実現する仕組みのことを指します。
「権限管理」または「ID管理」と呼ばれることもあります。
利用者は
- ユーザ名
- パスワード
- 指紋
- 顔認証
などで識別され、利用できる機能が設定されます。
許可されたユーザにのみITサービスやデータを利用する適切な権限を付与し、許可されていないユーザの権限は制限します。詳細な設定や変更は、管理者だけがアクセス可能です。
広義ではサービスのアクセス権以外にも、例えばオフィスで「セキュリティカード」による入退室権限や、サーバー上のデータ閲覧権限なども対象です。
部長以上のみが閲覧できるデータは一般社員はアクセスしようとしても権限が付与されていないためアクセスできないと表示されるようなイメージです。
またプログラムの実行や読み込み・書き込み、新規作成、削除なども、アクセス権として制御されます。
身近なソフトであれば「Word」や「Excel」などでも権限の付与が行われています。資料を閲覧する際に文章を編集しようとすると「閲覧専用」になっていて編集が出来なくなっていたというのもアクセス管理の一種です。
アクセス管理における原則として以下の2つがあります。
- 1人1IDの原則
- 最小権限の原則
1人に1つのIDの付与で職種や役職、立場によって各々の最小の権限を付与するのが原則です。
職位が高いという理由で「特定の社員にすべての権限を付与」してしまったり、管理が楽だからと「管理者権限をもつアカウントを複数人で共有」するなどはよくやりがちですが、これらは全て原則の違反となります。
アクセスする必要のないシステムやデータにアクセスする権限を付与してしまうことにより、権限を付与された社員の端末が、標的型攻撃メールなどによりウイルス感染して不正操作された場合、被害が拡大してしまいます。
また、管理者アカウントを共有して運用すると、誰がどの操作を実行したのか追跡できません。そのため、不正な操作が実行された場合の原因究明も困難になり、責任者を明確に出来ないので再発防止のための対応も取りづらくなってしまいます。
会社の情報を守るため、自身の立場を守るためにも絶対にしてはいけません。
このように情報セキュリティの観点から、アクセス管理は権限のないユーザーによる不正アクセスを防止するものです。システムやサービス内の重要なデータを保護するために欠かすことができません。
アクセス管理は「ITIL(Information Technology Infrastructure Library)」においても、2007年に発刊された「ITIL V3」からサービスオペレーションのプロセスとして定義されました。
アクセス管理で実施する内容
ここまで、アクセス管理について解説しました。
アクセス管理と聞くとなんだか難しそうと思ったかもしれませんが、身近なソフトでもアクセス管理は行われていることがわかったと思います。
次に、アクセス管理で実施する具体的な内容を解説いたします。
事前にアクセス要件を定義
アクセス管理を実施するにあたり大切なのは、事前に適切なアクセス要件を定義しておくことです。
アクセス要件は、組織内の職務権限に応じて定義するのがよいと思います。上司ユーザー1人にアクセス権限を付与することなく、ユーザーの所属(職務)に応じて自動的に適切なアクセス権限を付与することで、原則の違反を避けることができます。
アクセス要求の検証と対応
対象のシステムやサービス、データに対するアクセス要求が妥当なものなのか、適切な管理者により承認されたものかを検証しましょう。承認されたアクセス要求をもとに、システムやサービス、データへのアクセスを許可してID・アクセス権限を付与します。
検証は以下のような流れとなります。
- 得られたアクセス要求を基に、「付与されているアクセス権限が妥当かどうか」を担当者に確認。
- それに合わせてアクセス権限の修正や、期限付きでアクセス権限の付与を容認などの処置を実施。
- これを定期的に繰り返し行う
このようにアクセス権限が妥当かどうかの検証をこまめに行うことが大切になってきます。
アクセスのモニタリングと追跡
一般的に、新人の入社、社員の退社、昇進や降格などによって組織やこれを構成する人員の役割は頻繁に変わります。
アクセス管理ではこうした変化に対する監視を徹底する必要があります。
変更があった場合に、速やかにアクセス権限の変更や削除がなされているか、その変更は正しく実施されているかを確認しましょう。
また、その権限が適切に使用されているかも重要なポイントです。
例えば、権限を多く付与されている社員が、仕事の都合上で特定のデータへのアクセスが一切なければ、その権限は不要と判断できます。反対に仕事に関連しないデータに幾度となく不審なアクセスを繰り返す社員がいる場合も同様にアクセス権は不要だと判断が可能です。
このようにアクセスの状況を詳細に追跡して、確認する必要があります。
アクセス権が適切に管理されていない場合のリスク
アクセス権が適切に管理されていないリスクは想像よりも大きく、「顧客情報」「知的財産の流出」など信頼度に大きく傷がつきます。
また、社内情報の改ざんなどのような、会社の将来を左右する問題にも直結しかねません。
具体的な例を下記で解説いたします。思い当たることがあれば早急に対応しましょう。
不要なアカウントを削除していない
退職した社員や休職中、出向などで、現在は使用されておらず野放しになっているアカウントが存在するのはリスクになります。
アクセス権が有効の状態で放置されたアカウントは、犯罪者が不正アクセスに悪用する可能性が十分にありますし、悪用されていても普段使われていないアカウントなので気づきにくいです。
セキュリティ対策が甘い部分は、ハッカーにとって絶好の獲物です。自社のセキュリティ対策が原因で、取引先の情報資産が失うことになれば、会社が傾きかねません。面倒かもしれませんが、アカウントの削除を徹底しましょう。
不明確なアクセス権の管理基準や管理者
アクセス権の管理基準や、管理者がはっきりしないのもNGです。
どのユーザに、いつ、誰が、どのような理由でアクセス権を設定または変更するか、参照すべき基準がないと、適切なアクセス権を判断できなくなり、業務的に権限が必要なユーザーが機密情報にアクセスできなかったり、機密情報にアクセスしてはいけないユーザーがアクセスできてしまうなどと言った齟齬が発生してしまいます。
また、権限を付与するための承認ステップも不明瞭で、管理者も決まっていなければ過去のログもスムーズに閲覧できず検証などもままなりません。
ユーザの業務内容とアクセス権の紐付けが不明瞭のまま放置せず、ユーザの業務変更や異動に合わせて、適切なアクセス権が見直していくことが必要です。
アクセス管理を円滑に実施するにはシステムの導入が効果的
従業員が十数名いて、
- 正社員
- 派遣社員
- アルバイト
- 協力会社社員
このように人材が複雑に入り乱れている状況では、担当者が手作業でアクセス管理を実施することは稼働の面でも、品質の面でも非現実的です。
そこで、アクセス管理製品の導入をおすすめします。
その準備として、業務ごとのワークフローを明確にし、使用しているシステムやサービスについて、アクセス権限の付与状況やどのようなフローで何に基づいて誰がアクセス権限を付与しているのかを整理しましょう。
自社にとってのアカウント管理のあるべき姿を定義し、現状とのギャップを分析、課題を明確にして明確になった課題を解決できるかどうかが、まず製品選定のポイントとなる。
アクセス管理製品導入のポイント
ひとえにアクセス管理を実施するための製品には、様々な種類があります。
- ファイルサーバーへのアクセスを管理する製品
- ネットワークへのアクセスを管理する製品
- Webアプリケーションへのアクセスを管理する製品
提供される機能として
- ID管理機能
- シングルサインオン機能
- 認証基盤
- アクセスログの収集・監査機能
などが製品によって提供されています。
また、オンプレミス環境に導入するもの、クラウド環境で提供されるもの、ハイブリッド環境で利用できるものがあり、どんな環境での利用を考えているのかを明確にする必要があります。
- 用語解説
-
- オンプレミス環境
システムの稼働や、インフラの構築に必要となるサーバーやネットワーク機器、あるいはソフトウェアなどを自社で保有し運用するシステムの利用形態)に導入するもの。 - クラウド環境
離れた場所にあるシステムの本体(物理的なサーバーなど)から、インターネットなどのネットワークを介し、サービスを受ける利用形態)で提供されるもの。 - ハイブリッド環境
上記の二つを組み合わせたもの。
- オンプレミス環境
どの業務で、誰がどのような手順でどんなシステムやデータにアクセスするかが明確になってはじめて、適正なアクセス管理を行うことが可能になるため、ワークフローの明確化は必須です。
アクセス管理製品を導入するには、以下の4つのポイントを確認しましょう。
- アクセス管理の現状と課題
-
業務ごとのワークフローを明確にし、使用しているシステムやサービスでのアクセス権限の付与状況や、どのようなフローで誰がアクセス権限を付与しているのかを整理しましょう。
自社にとってのアカウント管理の理想を定義し、現状とのギャップを分析して、明確になった課題を解決できるかどうかが、製品選定のポイントです。
- システムの導入方法
-
既存システムとどのように接続するのかを確認しましょう。すべての既存システムの変更なしに導入可能であれば問題ありませんが、一部の既存システムの変更が必要な場合は、変更に必要なコストや日程を考慮する必要があります。
予算や日程を考えて既存システムを変更するか、既存システムから製品に接続可能な別のシステムに移行するか検討する必要があります。
- 拡張性
-
リスクの大きさ、課題解決の難易度などで、導入するべきシステムに優先順位をつけておくこともポイントです。優先順位を付けることで、スムーズなシステム導入が可能になります。
一部のシステムから導入する場合や、製品の一部機能から導入する場合、その製品であるべき姿を実現することができるのか拡張性も考慮しておく必要があります。
- 運用のしやすさ
-
導入後自社で運用ができるかも確認しておく必要があります。
たとえば「高機能すぎて使いこなせない」「肝心な機能が自社環境では使えない」といったことがないよう、導入前にできるだけ綿密にシミュレーションしましょう。
まとめ
アクセス管理について解説いたしました。
顧客情報の流出など、会社の将来に大きく関わるような問題になるので、必要な対策を取り、セキュリティを高めていきましょう。