企業が情報セキュリティ対策の一環として実施すべき項目に、“権限管理”が挙げられます。
こちらは、企業の規模が大きくなるほど、特に必要性が増すものであり、適切なプロセスを踏んで実施しなければいけません。
今回は、権限管理における一般的な流れや、実施されていない場合のリスクについて解説したいと思います。
権限管理の概要
企業において、適切な権限を持つ者のみが、必要なタイミングでアクセスできるように制御することを権限管理といいます。
“アクセス管理”や“ID管理”と呼ばれることもあります。
具体的には、データファイルなどへのアクセス権を管理者が制御し、不正アクセスやなりすましなどを防止するためのものです。
また、同じプロジェクトに関連するデータであっても、内容によっては権限管理を実施し、アクセス可能な範囲が区切られることもあります。
例えば、企業の営業マンは、あるプロジェクトの売上実績や顧客情報、受発注書や見積書などのデータ閲覧を許可されています。
しかし、同プロジェクトのデータでも、技術者が利用する図面や部品表、人事が利用する従業員情報、評価といった情報に関しては、直接関係のない営業マンのアクセスが許可されていません。
権限管理を実施する際の一般的な流れ
企業が権限管理を実施する際の一般的な流れは以下の通りです。
・アクセス要件の定義
・アクセス要求の検証、対応
・アクセスのモニタリング、追跡
<h3>アクセス要件の定義</h3>
権限管理を実施するには、まず事前に適切なアクセス要件を定義しなければいけません。
また、このとき定義するアクセス要件については、組織内の職務権限に応じて定義することをおすすめします。
権限管理では、特定の社員にすべての権限を付与したり、管理が楽だという理由で、管理者権限を持つアカウントを複数人で共有したりしてはいけません。
これらはすべて、原則に違反していることになります。
一方、従業員の所属(職務)に応じて、自動的に適切なアクセス権限を付与することで、原則の違反を避けることができます。
アクセス要求の検証、対応
アクセス要件が定義された後は、実際に運用を開始しますが、対象のシステムやサービス、データに対するアクセス要求が妥当なものなのか、適切な管理者によって承認されたものなのかについては、定期的に検証しなければいけません。
また、承認されたアクセス要求をもとに、システムやサービス、データへのアクセスを許可し、IDやアクセス権を付与します。
アクセスのモニタリング、追跡
アクセス要求の検証や対応と並んで、モニタリングや追跡も重要な要素です。
新入社員の入社や既存社員の退社、昇進や降格などにより、企業を構成する人員は変化します。
権限管理では、こうした変化に対する監視を徹底しなければいけません。
具体的には、変更があった場合に、速やかにアクセス権の変更や削除がされているか、またはその権限が適切に使用されているかなどを追跡し、必要があれば修正します。
例えば、多くの権限を付与されている従業員が、業務上特定のデータに一切アクセスしない場合、そのデータへのアクセス権は不要と判断することができます。
権限管理が実施されていない場合のリスク
企業において権限管理が実施されていない場合、以下のようなリスクが発生することになるため、注意してください。
・アカウントの不正利用
・アカウントの散在
・アクセス権の過剰付与
・業務の停滞
アカウントの不正利用
権限管理が実施されていない場合、各従業員のアカウントが不正利用されるリスクが高くなります。
また、従業員の退職などにより、アクセス権が残されたままのアカウントが放置されている場合も、同様に不正利用が発生しやすくなります。
アカウントの散在
企業において、使用するサービスやアプリケーションが増えると、その分ユーザーアカウントも増えることになります。
しかし、このとききちんと権限管理を行い、アクセス権を適切に管理しなければ、アクセス権を一元管理できるソリューションを導入していたとしても、権利とアカウント情報の紐づけが困難になってしまいます。
アクセス権の過剰付与
先ほども少し触れましたが、アクセスのモニタリングや追跡を怠ると、特定の従業員に必要以上のアクセス権を付与することになります。
また、閲覧範囲が広くなることにより、機密情報が引き出しやすくなり、内部不正のリスクは高まります。
業務の停滞
権限管理をしっかり実施していない企業は、各従業員がどの範囲までアクセスして良いのかがわからず、業務が停滞しがちになります。
また、管理基準がハッキリしていないことにより、アクセス権の不要や変更作業、設定などの作業にも膨大な時間がかかります。
まとめ
ここまで、企業の権限管理における流れ、適切に実施されていない場合のリスクについて解説しましたが、いかがでしたでしょうか?
権限管理は、内部または外部の情報セキュリティリスクから企業を守るために、必ず導入しなければいけないものです。
もし、オンプレミスでの導入が難しいのであれば、クラウドサービスを活用することも検討してください。