昨今は、便利なシステムやサービスが多数存在します。皆様も日々、業務で様々なシステムを利用するために、それぞれのアカウントをお持ちかと思います。利用者目線ではこれらの認証情報の管理などがセキュリティ課題となりがちで、その点についてはこちらの記事で触れました。
一方で情報システム部門など、企業全体のセキュリティに責任を負う立場からすると、社員全員のアカウント・権限管理が課題となります。アカウント・権限管理は基本的なセキュリティ対策ではありますが、多くのシステムが乱立する現在、その全てについて完全に管理を行うには、膨大な工数を要します。
セキュリティ対策において、「やらなさすぎ」はもちろん論外ですが、「やりすぎ」も考えものです。「やりすぎ」の場合、業務運用に支障が出たり、せっかくの対策がおざなりになって意味がなくなったりする恐れがあります。
本記事では、アカウント・権限管理を題材に、バランスのとれたセキュリティ対策について考えていきます。
アカウント・権限管理の基本的な考え方
まずはアカウント・権限管理について、セキュリティを担保するための基本的な考え方についておさらいします。
アカウント・権限管理を実施する目的は、例えば以下のようなリスクを低減することにあります。
| リスク | 概要 |
|---|---|
| 不要なアカウントの残存 | 不要なアカウントが残存すると、内部不正や外部からの攻撃に悪用される恐れがある。 |
| 過剰な権限の付与 | 各アカウントに対し過剰な権限を付与した場合には、上記のような悪用時に被害が拡大する恐れがある。特に管理者権限等の強い権限の場合は、甚大な被害に繋がる恐れがある。 |
さらに、アカウントの共有が発生する場合には、以下のような特有のリスクもあります。
| アカウント共有のリスク | 概要 |
|---|---|
| 認証情報窃取リスクの増大 | 複数の要員が認証情報を共有することから、例えばフィッシング等の被害にあう機会が増加するなど、個別アカウントよりも認証情報が窃取されるリスクが高まる。 |
| 追跡性の欠如 | 共有アカウントの場合、システムのログから『誰による』操作なのか特定することが困難になるため、有事の際の調査に支障を生じ、被害拡大を招く、攻撃者の特定が不可能となるなどの可能性がある。 |
| 内部不正リスクの増大 | 上記の追跡性の欠如から、内部不正の心理的ハードルが下がり、情報漏洩・改ざん等のリスクが高まる。 |
これらのリスクに対処するため、以下のような対策を行うことが一般的に推奨されています。
管理主体の明確化
アカウント管理の責任者を明確にし、アカウントの作成、削除、権限変更などのプロセスを統括する管理体制を構築することが推奨されます。管理主体を明確にすることで、以下で紹介する対策も実行しやすくなります。
申請・承認フローの整備
アカウントの発行や削除、権限の変更のための申請・承認フローを明確化することが推奨されます。明確なフローが存在することにより、不要なアカウントの乱立、権限の濫用、各部門による無秩序なアカウント発行を防ぐことができます。
定期的な棚卸し
定期的に棚卸しを行い、不要なアカウントや不要な権限を見直すことが推奨されます。棚卸頻度については、以下のような要素を総合的に判断して設定しましょう。また、例えば管理者権限のような強い権限を持つアカウントについては、一般的な権限のアカウントよりも高頻度で棚卸しを行うといった対応も有効です。
- アカウントや権限の利用状況に実際に変更が発生する頻度
- 当該システムで取り扱う情報の重要度
- 委託先などの外部要員による利用の有無
共有アカウント利用の禁止・制限
上述の通り、共有アカウントの利用は個別アカウントの利用よりもリスクが高まるため、可能であれば利用を禁止することが推奨されます。国際的なクレジットカード情報を扱う企業向けのデータセキュリティ基準である「PCI DSS(Payment Card Industry Data Security Standard)v.4.0」でも、共有アカウントは原則禁止(要件8.2.2)とされています。
しかし、現実的には全てのシステムで共有アカウントを完全に禁止するのは難しいケースが多いです。業務効率の兼ね合いの場合もありますし、外部サービスの場合はそもそも共有アカウントしか作れないといった可能性もあります。このような場合は、共有アカウントの利用を認める例外的なケースを可能な限り限定するとともに、利用に関するポリシーを整備しましょう。例えば以下のような内容を定めることが推奨されます。
- 共有アカウント利用時の申請・承認フロー
- 共有アカウントの管理者、利用目的、利用期間、利用者範囲等の明確化
- 利用者範囲変更時の措置(認証情報変更など)
- 利用者範囲の棚卸し(利用部門側の対応として)
- 社内に存在する共有アカウントの要否の棚卸し(情報システム部門等の対応として)
アカウント・権限管理の効率化
上記のような対策は重要なセキュリティ対策ではありますが、冒頭で言及した通り、多数のサービスについて一つ一つ対応しようとすると膨大な管理工数が必要となってしまいます。もちろん「それでもやるべき!」というのはある種の正論ですが、リソース不足から管理がおざなりになってしまっては本末転倒です。「限られたリソースの中でセキュリティレベルを担保する=バランスのとれたセキュリティ対策を実施する」には、効率化が不可欠です。
効率化するためには、例えば以下のような方法が考えられます。
管理対象の削減
工数増大の直接的な原因は、管理対象が多すぎることです。当然管理対象が減少すれば工数も減少します。
例えば、各部門主導で色々な外部サービスを導入した結果、似たような機能のサービスが乱立しているといったことは無いでしょうか。このようなケースでは、アカウント管理対象が増えることはもちろん、管理が部門依存となることによって統制が取りづらくなったり、サービスに関する脆弱性等の情報収集工数が増えたりと、総合的なセキュリティリスクに繋がりかねません。サービスの棚卸しを実施し、可能な限りサービスを統合していくことで、可能な限り管理対象を減らしましょう。
それでもサービスを減らせない場合、IAM(Identity and Access Management)ツールやIDaaS(Identity as a Service)といった、アカウント管理ツールを利用する方法もあります。これらは複数サービスのアカウントを一元的に管理することができるため、利用サービス自体を減らさずとも、棚卸し等の工数を減少させることができます。
作業の省力化
上記のような対応をしても、やはり管理負担が重い場合は、作業自体を減らす方向性も検討してみましょう。
例えば、システムによってはアカウントの有効期限を設定できる場合があります。これは一定期間利用のないアカウントについては自動的に無効化するといった機能で、これを利用すれば不要なアカウントが有効なまま残存することがなくなります。細かい権限設定が存在しないシステムであれば、この機能を利用することでリスク低減可能として、棚卸しを省略することも考えられます。
ただし、組織風土やシステムの利用実態によっては、再有効化の申請対応工数が増加する懸念もあるので注意が必要です。
また、不要なアカウントが残存していてもリスクが低減できていれば、棚卸しまでは不要とする考え方もあります。
例えばIP制限やクライアント証明書等により接続元を制限している場合、退職者を含めた外部からのアクセスは不可能であることが担保できるため、リスクが低く棚卸しまでは実施しないという判断もあり得ます。
上記の判断基準はあくまで例示にすぎず、それぞれのシステムで取り扱う情報の重要度など、多角的な視点を踏まえて検討すべきです。ただ、このようにリスクを踏まえた省力化は、バランスのとれたセキュリティ対策を実施するための重要な考え方の一つです。
リソースの分散
それでもまだ管理負担が重い場合は、リソースを何とかする方向も考える余地があります。
例えば管理業務の一部を外部委託する、部門独自で利用しているシステムについては利用部門に管理を一任する等でリソースを分散し効率化するといった方向性が考えられます。
ただし、委託先や利用部門側で適切な管理が行われる保証は無いため、監査等により牽制を効かせることで適切な管理を担保する必要はあります。
バランスのとれたセキュリティ対策こそ重要
ここまで、アカウント・権限管理を題材に、「バランスのとれたセキュリティ対策」の実現方法を考えてきました。もちろんアカウント・権限管理はセキュリティ対策の1要素でしかなく、その他にも実施すべき対策は数多く存在します。それら全てを考慮すると、セキュリティ対策に必要な工数は途方もないものとなることは容易に想像でき、改めて「バランスのとれたセキュリティ対策」の重要性が認識できると思います。
当社では、お客様個別の事情を勘案し、最適なセキュリティ対策を実現するためのご支援をしています。「やりたいセキュリティ対策はあるがリソースが足りない」「どこまで対策するのが必要十分か判断できない」といったお悩みがある場合、是非当社にご相談ください。
