2016年04月26日 08時00分 UPDATE
特集/連載

ボブはもういないアクセス制御に関するミステイク・トップ5

アクセス制御はITセキュリティ対策の基本だが、多くの企業がミスを犯している。最も多い5つの過ちを取り上げ、その対策をアドバイスする。

[Tim Holman,Computer Weekly]
Computer Weekly

 モバイル端末への移行とクラウドへの依存が進む中、企業のITリソースに対するアクセスの制御はますます困難になっている。アクセス制御に関する最も多い5つの過ちと、その防止策のガイドラインを以下に示す。

Computer Weekly日本語版 4月20日号無料ダウンロード

19163.gif

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月20日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

1.サードパーティーをむやみに信用する

 過ちの筆頭に挙げるべきは、業務を委託しているサードパーティーにゆるぎない信頼を置く傾向にあることだ。しかし、サードパーティーは入札をなるべく高い金額で落札するためならウソをつくくらいのことは平気でやってのける人々だ。

 サードパーティーに資格情報を渡したり、社内ネットワークにアクセスできる権限を与えたりする際に、常識を働かせたりデューデリジェンス(適正評価)を行う企業はめったにないようだ。

 この風潮が実は深刻な結果を招いている。サードパーティーの空調業者が大規模なセキュリティ違反を行い、発注元企業のネットワークに接続して顧客情報を流出させた、Target(米国の大手小売業者)の例を思い出してほしい。

 また、オフショア(国外)のサポートサービス企業に作業を依頼する場合も注意が必要だ。あるとき突然、ソーシャルメディア上の友人が数千人増えて驚かされることがある。ただし(オフショア企業がその原因だったとしても)自国法の管轄外となる。

 私からの助言としては、サードパーティーを自社情報へアクセス可能な状況に置かないことだ。例え大手のサプライヤーであっても、権限を与える前にアクセス権限やデューデリジェンス(適正評価)結果を保証するなどと、CISO(最高情報セキュリティ責任者)が少しでも示唆すれば、CISOに多額のリベートを送ることだろう。

 覚えておいてほしいのは、外注先企業に不手際があった場合、その責任は発注元企業が負うということだ。発注元はサプライチェーンの末端にまで説明責任がある。サプライチェーン全体が自社の社員と考えて接するようにしよう。

2.安易にアクセス許可を与えすぎる

 他社の人間にアクセス許可を与えるのが適切かどうかを判断するのは骨の折れる仕事だ。しかしこればかりは、近道はない。各ユーザーのプロビジョニングを慎重に行い、役割や立場に応じて適切な権限を与え、情報は必要になったときに初めて渡すようにする。

 システム管理者にも同じことがいえる。システム管理者の場合、まさにこの肩書がその責務を表現し尽くしている。この職務にある者は、「システム」を管理するのが仕事だ。そのポジションは、ネットワーク上に置かれている情報を隅々までチェックしたり、給与システムをのぞき見したりするためにあるのではない。

 本当にネットワークの中身を見て回らなければならない場合もあるだろう。ただそのとき、気に留めておいてほしいことがある。管理者がシステムにアクセスして閲覧して回ったことで、閲覧先のシステムがマルウェアに感染したとしたら、周りにどう説明するつもりなのか。さらにランサムウェア「CryptoLocker」が給与計算サーバに侵入したら、給与マスターを取り返すためにビットコインで身代金を払うことになるだろう。

 私からのアドバイスとしては、データへのアクセス権限の付与状況に疑問を感じた場合は、アクセス制御の監査を実行することだ。多少時間がかかるだろうが、誰がどのデータにアクセスできるかを確認するには、これ以外の方法はない。またそれと並行して、アクセス制御はロール(役割)ベースで定義することを検討しよう。各ユーザーに、個人ベースで割り当てるカスタムセットの権限を付与する方式は、適切ではない。必要があればそのためのロールを事前に定義して、権限をそのロールに継承するべきだ。

3.ボブはまだ在籍しているという思い込み

この記事を読んだ人にお薦めの関連記事

この記事を読んだ人にお薦めのホワイトペーパー

Loading

注目テーマ

ITmedia マーケティング新着記事

news064.jpg

シャノンの「イベント受付来場認証」がPepperと連携
シャノンは、MAツール「SHANON MARKETING PLATFORM」において、展示会・イベントの来場者...

news014.jpg

SalesTech最前線 世界の主要サービスを一気見
AdTech、Martechに続く注目分野であるSalesTechの現状はどうなっているのか。各領域の主...

news106.jpg

「Gotcha!mall」が「LINE」と連携
グランドデザインは、スマートフォンオムニチャネルプラットフォーム「Gotcha!mall(ガッ...