頻繁な人事異動についていけない多くの企業でアクセス管理に問題──調査で明らかに

組織内部の脅威によるデータ漏えいは、適切なアクセスガバナンスによって最小限に抑えることができる。だが、このアドバイスに耳を傾けない経営トップが多いようだ。

[Robert Westervelt，TechTarget]

　専門家やITセキュリティのプロによると、組織内部の脅威によるデータ漏えいは、適切なアクセスガバナンスによって最小限に抑えることができるという。しかし、最近の調査によれば、このアドバイスに耳を傾けない経営トップが多いようだ。

　Ponemon Instituteの創業者であるラリー・ポネモン氏は、「多くの企業ではアクセス権限がきちんと管理されておらず、アクセスガバナンスプランを実施するのに非常に苦労しているようだ」と指摘する。

　Ponemonおよびアクセス管理ベンダーのAveksaは最近、700人のIT専門家を対象に調査を行ったところ、回答者の74％が、不適切なユーザーアクセスがもたらすリスクやコンプライアンス、ビジネスリスクを防止するのに必要なリソースを経営トップが理解していないと答えた。

　この「2008 National Survey on Access Governance」と題された調査報告書が公表される1週間前には、悪質なトレーダー（信頼されていた従業員だった）が、盗まれたパスワードと各種の財務システムに関する知識を利用して、フランスの大手銀行のSociete Generaleに対して72億ドルの詐欺を働いたと報じられた。この不祥事は内部者による脅威が現実問題であることを浮き彫りにしたが、ポネモン氏は「ほとんどの従業員は犯意を抱いていない」と指摘する。同氏によると、不適切なアクセス権限に起因する従業員のミスも、データ流出に伴うリスクの増大につながるという。

　「悪人が悪事を働くだけでなく、善良な人が誤って自分に必要のない情報を見てしまうこともある」とポネモン氏は話す。「いったん与えてしまったアクセス権限を取り消すのは難しい。従業員はそれを侮辱と感じるからだ」

　調査によると、最も大きなリスクにさらされているのが知的財産、顧客情報、一般的な業務情報だった。

　ポネモン氏によると、異動、解雇、職責変更などに伴うユーザーの役割の変化にも、企業はついていけていないという。各業務部門がセキュリティ、監査、コンプライアンスなどのチームと連携していないからだ。調査では、これらのグループが社内で連携していると答えたのは、回答者の57％にすぎなかった。

　「パズルのすべてのピースを正しく実装する必要がある。適切なアクセスガバナンスは優れたポリシーから始まる。ポリシーを作成したら、一貫性のある形でそれを適用しなければならない」とポネモン氏は話す。

　多くの急成長中の企業では、従業員の任務や職責の変化が激しいため、データを分類したり個人レベルのアクセス権限を把握するのに苦労している。調査の回答者のうち73％が、自社では情報に対するリスクを各種のデータタイプに固有のリスクに基づいて判断していると答え、ユーザーの任務や業務内容に基づいて判断していると答えた人（33％）を上回った。

　ポネモン氏によると、アクセスガバナンスではユーザーが扱うデータのタイプだけを考慮するのでは不十分であり、業務内容に基づいてアクセス権限を割り当てる必要があるという。

　しかし、業務内容に基づいてアクセス権限を適切に割り当てていると答えたのは回答者の27％にすぎず、それが十分にできていない、あるいはまったくしていないと答えたのは55％だった。

　不十分なアクセスガバナンスのせいで最も大きなリスクにさらされるのは、業務部門のアプリケーションのデータだ。CRM（顧客関係管理）アプリケーションや収益に直結するアプリケーションも、大量の顧客情報が含まれていることが多いため、リスクが大きい。

　世界銀行のサイバーインテリジェンスとポリシー管理の元責任者で、現在はCore Securityのセキュリティ担当副社長を務めるトム・ケラーマン氏によると、フランスの銀行の不祥事は、組織内部を対象とした適切なセキュリティ対策の欠如の結果であるとしている。「ほとんどの銀行では境界部にしか目を向けていない」と同氏は指摘する。きちんとしたアクセスガバナンスがあれば、Societe Generaleの事件は防げたかもしれないし、少なくとも警告を発することはできたという。

　「誰もが知っているものに頼り過ぎている。一にも二にもパスワードなのだ。証明書や認証局も攻撃を受ける可能性があるという認識が欠如している」とケラーマン氏は話す。

関連ホワイトペーパー

アクセス制御 | コンプライアンス | 内部統制 | 知的財産