ここではサイバーセキュリティリスクへの対策OODAループの中のDecide(意思決定)において行われるべきIDおよびアクセス管理について解説。その必要性や手法をご紹介します。
IDおよびアクセス管理はIAM(Identity and Access Management)とも呼ばれ、社員や子会社などのIDとアクセス管理を職務に従って適切に行うことを言います。セキュリティ向上だけでなく業務効率化も目的として導入されます。
IAMはIDごとのアクセス権の付与・剥奪や監視などを行うことでコンプライアンス違反を防止します。ログイン時の認証、特定のリソースへのアクセスの許可などを管理者が一元的にできるようになり利用者側の利便性も向上します。
IAMは不正アクセスによりパスワードやメールアドレスなどの情報が漏洩した場合の、脆弱性によるリスクを即時に減らすことができます。自宅ドアの鍵が壊されると中に入られてしまいますが、IAMは玄関に警備員を配置する役割を担います。
IDごとに情報をチェックしてアクセスの可否を判断し不審な動きがあるものをシャットアウトします。利用者は権限のない場所にはアクセスできず、必要があれば許可が必要になるため社内からの情報漏洩も防止できます。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
ID管理の主要な機能としてアクセス制御があります。社内で使用する各種アプリケーションを一元管理して、ユーザーIDごとにそれぞれのアプリケーション上での権限設定を行います。
データの参照はできても編集や削除はできない、管理者権限を持たせアカウントを追加できるなど、細かく設定することでコントロールします。
業務上、アクセスの申請・承認が必要な場合は、システム上でそのプロセスが完了するようにワークフローを構築しておけば手続きの簡略化とスピードアップにつながります。
また2つ以上の職務を持つことで生じるアクセス権限の重複をつくらないように設定することで、不正行為やヒューマンエラーの防止につなげることができます。
さまざまなシーンのアクセスに対応するため2つ以上の認証要素を組み合わせる多要素認証(MFA)を導入したり、使い勝手をよくするために、一度のログイン操作で複数のアプリケーションやサイトにアクセス可能になるシングルサインオン(SSO)を取り入れることで、認証をコントロールしセキュリティ向上と利便性を両立させます。
IDやアクセス管理を強化することでセキュリティレベルがアップすることはイメージしやすいですが、厳格に行うことでアクセスできるまで時間がかかり業務効率が落ちてしまうようなことは避けなければなりません。
IDおよびアクセス管理(IAM)の目的は、煩雑になっていくアプリケーションへのアクセスを一元管理することで利便性を高めることを目的とします。リモートワークなど働き方も多様化していく中でいかに支障なく実現できるかが重要です。
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス
悪意のある命令を実行できる
許可されたユーザにのみ適切な権限を付与し、許可されていないユーザの権限は制限します。1人に1つのIDの付与で職種や役職、立場によって各々の最小の権限を付与するのが原則です。職位が高いという理由で「特定の社員にすべての権限を付与」するといった管理方法はやりがちですが、不適切です。
新人の入社、社員の退社などによって組織を構成する人員の役割は頻繁に変わります。アクセス管理ではこうした変化に対する監視を徹底する必要があります。また、変更があった場合に、速やかにアクセス権限の変更や削除が実行されているか、その変更は正しく実施されるかを確認する必要があります。