モバイル端末への移行とクラウドへの依存が進む中、企業のITリソースに対するアクセスの制御はますます困難になっている。アクセス制御に関する最も多い5つの過ちと、その防止策のガイドラインを以下に示す。
本記事は、プレミアムコンテンツ「Computer Weekly日本語版 4月20日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。
なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。
過ちの筆頭に挙げるべきは、業務を委託しているサードパーティーにゆるぎない信頼を置く傾向にあることだ。しかし、サードパーティーは入札をなるべく高い金額で落札するためならウソをつくくらいのことは平気でやってのける人々だ。
サードパーティーに資格情報を渡したり、社内ネットワークにアクセスできる権限を与えたりする際に、常識を働かせたりデューデリジェンス(適正評価)を行う企業はめったにないようだ。
この風潮が実は深刻な結果を招いている。サードパーティーの空調業者が大規模なセキュリティ違反を行い、発注元企業のネットワークに接続して顧客情報を流出させた、Target(米国の大手小売業者)の例を思い出してほしい。
また、オフショア(国外)のサポートサービス企業に作業を依頼する場合も注意が必要だ。あるとき突然、ソーシャルメディア上の友人が数千人増えて驚かされることがある。ただし(オフショア企業がその原因だったとしても)自国法の管轄外となる。
私からの助言としては、サードパーティーを自社情報へアクセス可能な状況に置かないことだ。例え大手のサプライヤーであっても、権限を与える前にアクセス権限やデューデリジェンス(適正評価)結果を保証するなどと、CISO(最高情報セキュリティ責任者)が少しでも示唆すれば、CISOに多額のリベートを送ることだろう。
覚えておいてほしいのは、外注先企業に不手際があった場合、その責任は発注元企業が負うということだ。発注元はサプライチェーンの末端にまで説明責任がある。サプライチェーン全体が自社の社員と考えて接するようにしよう。
他社の人間にアクセス許可を与えるのが適切かどうかを判断するのは骨の折れる仕事だ。しかしこればかりは、近道はない。各ユーザーのプロビジョニングを慎重に行い、役割や立場に応じて適切な権限を与え、情報は必要になったときに初めて渡すようにする。
システム管理者にも同じことがいえる。システム管理者の場合、まさにこの肩書がその責務を表現し尽くしている。この職務にある者は、「システム」を管理するのが仕事だ。そのポジションは、ネットワーク上に置かれている情報を隅々までチェックしたり、給与システムをのぞき見したりするためにあるのではない。
本当にネットワークの中身を見て回らなければならない場合もあるだろう。ただそのとき、気に留めておいてほしいことがある。管理者がシステムにアクセスして閲覧して回ったことで、閲覧先のシステムがマルウェアに感染したとしたら、周りにどう説明するつもりなのか。さらにランサムウェア「CryptoLocker」が給与計算サーバに侵入したら、給与マスターを取り返すためにビットコインで身代金を払うことになるだろう。
私からのアドバイスとしては、データへのアクセス権限の付与状況に疑問を感じた場合は、アクセス制御の監査を実行することだ。多少時間がかかるだろうが、誰がどのデータにアクセスできるかを確認するには、これ以外の方法はない。またそれと並行して、アクセス制御はロール(役割)ベースで定義することを検討しよう。各ユーザーに、個人ベースで割り当てるカスタムセットの権限を付与する方式は、適切ではない。必要があればそのためのロールを事前に定義して、権限をそのロールに継承するべきだ。
本記事は抄訳版です。全文は、以下でダウンロード(無料)できます。
■Computer Weekly日本語版 最近のバックナンバー
Computer Weekly日本語版 4月6日号:モバイルアプリのあきれた実態
Computer Weekly日本語版 3月16日号:Microsoftが米国政府と全面対決
Computer Weekly日本語版 3月2日号:ストレージ階層化活用の勘所
スマホのQRコード決済サービス、半数近くの人はキャンペーン終了後も「利用する」――ナイル調べ
キャンペーンに注目が集まるスマホのQRコード決済サービス。実際にはどの程度利用されて...
電通ダイレクトマーケティングとCandeeがアフィリエイト型ライブコマースで協業
アフィリエイト型の料金体系のため、低リスクでのお試し出稿が可能。
チャットアプリ利用率、「LINE」と「Facebook Messenger」の差は?――マイボイスコム調べ
わが国におけるチャットアプリのデファクトスタンダードとは。
ITmediaはアイティメディア株式会社の登録商標です。
