事例で分かる 業務委託とID管理の「深い関係」とは：企業における「ID管理」【第3回】（2/2 ページ）

[宮川晃一，NEC]

事例2：実態に合わないアクセス権限

　2つ目は、ある企業が重要情報を含んだシステムの運用を外部委託しており、委託先がその一部運用を再委託している状況下で発生したインシデントだ。大まかな経過は以下の通り（図2）。

1. 委託元でアクセスログを確認
2. 委託元が委託先に調査を依頼したところ、再委託先で重要情報を不正取得していたことが判明
3. 業務委託において、重要情報へのアクセス権限が作業者1人に集中していたことが原因だと判明
4. 委託先と再委託先は直ちにシステム運用体制を見直し
5. 委託元は顧客へ説明と謝罪

図2　実態に合わないアクセス権限の事例（出典：ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査報告書を基に一部編集部で加工）《クリックで拡大》

　主な原因は、再委託先に対する重要情報へのアクセス権限管理の不備だ。この例のように再委託先の人員の内部不正によって、情報漏えいのインシデントが発生するケースがある。委託元は内部不正を防止する観点で、情報セキュリティの要求事項の中で、委託先およびその先の人的管理について明示すべきだ。その実施状況を定期的、継続的に確認することも必要になる。

　ID管理の観点では、委託先／再委託先のアカウントとアクセス権を実運用に即した権限にする必要がある。最低限業務に必要な権限に絞り、一部の人に権限が集中しない形に設定し、定期的に見直す。アクセスログは確実に取得し、一定期間保管する。管理対象が多い場合はID管理製品、ログ収集保管管理製品を導入するのも一案だ。

事例3：委託元と委託先で責任分界点の勘違い