#コラム

アクセス管理とは?目的や管理されていない場合のリスクなどを解説

  • アクセス管理とは社員に付与するアクセス権(データファイルやクラウドサービス、SNSなど)の範囲を制御することです。誰がどの情報を取り扱えるのか、管理者がコントロールします。

    「アクセス管理なんて必要?」「制限すると不便では?」と思われるかもしれませんが、アクセス管理を怠れば、情報漏洩のような重大な事件につながりかねません。

    実際ニュースで見かける「顧客情報が流出」「会員の個人情報が流出」など、企業や自治体などが起こす情報漏洩事件は、アクセス管理が適切にされていなかったことが原因の一つです。

    情報漏洩が起きれば社会的信用が失われ、大事な取引先との取引が停止したり、株価が下落したり、営業機会が失われたりと大きな損失が発生します。

    情報漏洩を未然に防ぐため、アクセス管理の概要から必要性、具体的なリスクなどを解説します。

  • アクセス管理とは?

    アクセス管理とは、権限を持つ者だけが特定の情報に触れられるよう管理者がコントロールすることです。権限管理やID管理とも呼ばれます。

    ITILにおいては「ユーザーID単位」でのアクセス制御を意味するのが一般的です。広義ではセキュリティカードによる入退室権限や、IP・デバイスごとのアクセス権の制御なども含まれます。

    またプログラムの実行や読み込み・書き込みなどの制限も、アクセス管理の範疇です。

    こうした「権利のあるユーザーには適切な権限を与え、それ以外のユーザーには権限を与えない」という流れを、効率的に実現するための取り組みがアクセス管理です。

    アクセス管理は不正アクセスを防止し、重要なデータを保護するために欠かせません。

    2007年に発刊された「ITIL V3」から、アクセス管理が新規に追加されていることからも重要性がうかがえます。

  • アクセス管理の目的は?なぜ必要?

    情報漏洩による社会的信用の失墜や営業機会の損失など、さまざまなリスクを未然に防ぐのが、アクセス管理の大きな目的です。

    実際2000年代初頭から、個人情報流出や戸籍情報の流出といった情報漏洩事件が国内外問わず発生してきました。こうした問題が「ITIL V3」に、アクセス管理が追加された背景として考えられます。

    もしアクセス管理が正しく行われていなければ「業務に不必要な情報へアクセスできる社員が何百人も存在」「退職後もアカウントを利用可能な状態になっていた」など、情報漏洩しやすい状況になってしまいます。

    アクセス管理が万全な体制で行われていれば、必要な社員だけが必要な情報にアクセスできるため、情報漏洩のリスクは最小限です。たとえ情報が漏洩したとしても、スムーズに流出経路を特定できます。

    アクセス管理を行うことは、情報漏洩を防ぎ企業の信用を守るために大事な施策です。

  • アクセス管理を行わないと起こる4つのリスク

    アクセス管理を行わないと、具体的には4つのリスクがあります。どのようなリスクにさらされてしまうのか、それぞれ解説します。

    放置したアカウントが不正利用される

    不要になったアカウントを放置していると、不正利用されやすくなります。

    例えば退職した社員や休職中、人事異動、出向などで、使用されていないアカウントが放置されていると悪用されやすく危険です。

    元社員が会社のサーバーに不正アクセスしたり、転職先へデータを横流ししたりといった情報漏洩の可能性があります。

    他にも正面からの侵入が難しい、セキュリティが万全な大企業へアクセスするために、ターゲット企業と取引関係にある中小企業のネットワークを経由して、大企業へ不正アクセスやサイバー攻撃を仕掛ける例もあります。

    こうした犯罪はセキュリティ対策が甘い部分を起点にするため、会社規模の大きさを問わず万全なセキュリティ対策が必要です。

    アクセス権の過剰付与により情報漏洩しやすくなる

    アクセス権を過剰に付与すると、情報漏洩のリスクが高まります。

    ユーザーの業務内容とアクセス権を紐付けるのが原則ですが、業務内容の変更や異動などに合わせて、アクセス権が見直されていないと必要以上のアクセス権を付与することになります。

    不必要な情報へアクセスできる状態にしておくのは、機密情報が抜き出されやすいため、内部漏洩の原因となり危険です。

    在宅勤務やテレワークが普及したこともあり、社員の行動を全て把握するのは困難であり、内部漏洩しやすい環境になっています。

    そのような状態でアクセス権が過剰付与されていれば、渡りに船と情報漏洩に手を染める社員が現れるかもしれません。

    内部漏洩のリスクを軽減するためには、必要最低限のアクセス権付与が大切です。

    操作ミスによる問題が発生しやすくなる

    誰もがアクセスできる状態にあると、操作ミスによる問題が発生しやすくなります。

    例えば操作ミスによるデータの書き換え・削除などにより、大切な情報が失われたり、大規模なシステム障害を引き起こしてしまったりするかもしれません。

    操作ミスによる問題を起こさないためには、不必要なユーザーにはアクセス権を与えないことや、操作権限を限定するなどの対策が必要です。

    管理基準や管理責任者が曖昧になる

    管理基準や管理責任者の所在が曖昧になるため「いつ、誰が、どのような権限を持つか」の設定・変更が難しくなります。

    管理基準が曖昧だと「業務に必要な情報が閲覧できない」「不要な情報へアクセスできてしまう」など、ちぐはぐな状態になってしまうかもしれません。

    また管理者が決まっていないと過去記録の閲覧がスムーズにできなかったり、承認ステップが不明瞭だったりすることもあります。このような状態では、もし情報漏洩が発生しても、原因や使用者の特定は困難です。

    管理基準や管理責任者を明確に定めることで、適切なアクセス権を付与できる体制が整います。

  • アクセス管理の5つのプロセス

    アクセス管理は付与すれば終わりではなく、変更・削除が必要ではないか、適切な利用がされているか、付与後も追跡する必要があります。

    アクセス管理には、具体的に以下5つのプロセスがあります。

    ・アクセス要求・受付:入社、昇格、異動、退職など、人事関連の変更があった際に、ユーザーからサービスやネットワークへのアクセス要求が発生
    ・検証:権限要求が妥当か、適切な管理者から承認を受けているか、第三者のなりすましではないか検証
    ・アクセス権の付与:検証で問題なければ、アクセス権を付与
    ・監視:ユーザーに付与したアクセス権の利用状況をチェックします。人事異動や退職などで変更・削除が必要になった場合、速やかに正確な作業が行われているか確認
    ・ログの記録と追跡:付与したアクセス権が正しく利用されているか確認します。必要があればアクセス状況を追跡し、不正なアクセスや操作がされていないか検証

    これら5つのプロセスを適切に行うことで、アクセス管理が成り立ちます。

  • アクセス管理はシステムを導入すると円滑に行える

    アクセス管理システムを導入すると、円滑かつ正確なアクセス管理ができるためおすすめです。

    アクセス管理は情報漏洩を防ぐために必須ですが、手作業で行うのは手間と時間がかかる上に、正確性に欠けてしまいます。

    一人の社員が持つアクセス権は複数あるため、例えば異動や入退職が集中する時期には、多くの作業が担当者へ集中することになります。管理者の大きな負担になるだけではなく、抜け漏れが発生するかもしれません。

    また正社員以外にも派遣社員やアルバイト、協力会社の社員などもアクセス管理の対象に含まれるため、手作業で管理すると膨大な作業です。

    アクセス管理システムを導入すれば、適切なアクセス権を自動で付与してくれます。ユーザーのIDに応じて管理してくれるので、人事異動や退職などの際にも自動でアカウントの作成・削除、変更などを行ってくれます。

    アクセス管理を行えていない企業や、煩雑な管理に追われている企業は導入を検討してみてください。

  • 適切なアカウント管理で情報漏洩を未然に防ごう

    企業にとって情報漏洩は大きなリスク。社会的信用を失えば、重要顧客との取引が停止したり株価が下落したりと大きな損失を負います。

    情報漏洩の原因の一つは、ずさんなアカウント管理です。
    不必要な社員にアクセス権を与えていたり、使われていないアカウントを放置していたりすることで、情報漏洩は発生します。適切なアカウント管理を組織的に取り組みましょう。