前回は、情報セキュリティを管理するための活動とフレームワークである情報セキュリティマネジメントとガバナンスについて説明しました。そこで説明した通り、情報セキュリティは、マネジメントやガバナンスのフレームワークを使って管理することが大事です。そのうえで、情報セキュリティの活動や対策を実施することになります。また、第6回で説明した通り、情報セキュリティ対策には3つの種類(技術的対策、物理的対策、人的対策)があります。情報セキュリティ対策を有効にするためには、この3つの対策を組み合わせなければなりません。今回は、情報セキュリティ対策のうち、技術的対策のポイントについて解説します。
まずは、ユーザー認証からはじめよう
技術的な情報セキュリティ対策には様々なものがありますが、まずアクセス制御を適切に行うことが必要です。このアクセス制御が適切でなければ、なりすまし、不正な情報やシステムの利用などが発生する可能性があります。アクセス制御にも様々な種類がありますが、ここではユーザーの認証について説明していきます。
ユーザー認証で最も大切なことは、ユーザー個々の役割と権限を明確にすることです。明確にされた役割と権限によって、アクセス権が割り当てられ、設定されることになります。そのために重要になるのが「アイデンティティ(identity)・マネジメント」です。
「アイデンティティ・マネジメント」は、情報システムやネットワークにおいて、ユーザーのアイデンティティ情報(ID、権限、プロファイル等)の設定を継続的に追加・変更・削除するための技術です。
「アイデンティティ」とは、人を一意に識別するための情報です。アイデンティティは、自己同一性などとも言われ、「自己」が環境や時間の変化にかかわらず、連続する同一のものであり、本人に間違いないこと、を表す言葉です。
アイデンティティは、現在だけでなく過去や将来においても、利用しているシステムの変更などがあっても、その人の所属部門等が変わっても、誰かいつどういうことをしたかを識別し追跡可能にすること、つまりアカウンタビリティのための必須かつ重要な情報です。
アクセス制御は、図表1のように1.「識別」-2.「認証」-3.「認可」の3つのプロセスからなっています。システムにアクセスするすべてのユーザーは、これらのプロセスを経なければなりません。これにより、アカウタビリティが提供されるからです。
- 「識別」は、ユーザーの本人性を特定するプロセスです。アクセスをしようとしている人が誰であるかを見極めるプロセスです。識別に使われる情報には、ユーザーIDなどがあります。
- 「認証」は、特定したユーザーの本人性を検証するプロセスです。認証に使われる情報や技術には、パスワード、認証カード、生体(バイオメトリクス)情報などがあります。
- 「認可」では、ユーザーは何ができるかを特定し、その権限での利用を許可するプロセスです。
認可をする際には、その人の業務上、必要な権限のみを付与します(知る必要性、最小権限等の考え方が認可のための原則として用いられます)。
認証では複数の要素を組み合わせる「他要素認証」を使うことで、その強度が高まります。1つの認証の手段を強化するよりも、複数の要素を組み合わせるほうが認証の強度が高くなります。たとえば、パスワードの桁数や記号を使う等でその複雑性を高めるよりも、パスワード以外の情報(セキュリティコード等)や技術(認証カード等)を加えるほうが強度が高まります。
ましてや、アクセス権は、なりすましや不正等が発生しないよう、そして設定ミス等を見つけられるよう、定期的に見直すことが必要です。
この記事は参考になりましたか?
- 図解!基礎から学び直す情報セキュリティ入門連載記事一覧
-
- 家電や自動車がサイバー攻撃の対象になる時代の情報セキュリティを考える
- 「ルールを守れ」や「危ない、怖い、使うな」は逆効果~人的な対策と物理的な対策のポイント
- 技術的なセキュリティ対策のポイント--ユーザー認証からネットワークやシステムの設計、運用管...
- この記事の著者
-
株式会社ラック 長谷川 長一(カブシキガイシャラック ハセガワ チョウイチ)
株式会社ラック セキュリティアカデミー プロフェッショナルフェローソフトバンク、日本ユニシスを経て、現職。情報セキュリティコンサルティング、情報セキュリティ監査業務を経て、現在は主にセキュリティ教育業務を担当。政府機関やIT資格団体等の委員も務めている。主な所有資格は、CISSP。主な著書(共著)は、「情報セキュリティプ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
