SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

ID管理だけでは足りない? “IGA”でガバナンスを確立

クラウド運用の先走りで知らぬ間に生じる“隠れ特権ID”の罠 利用者も情シスも得する管理を叶えるには

第2回:野良IDを生まないために統合管理されるべきは「IDライフサイクル」

 連載「ID管理だけでは足りない? “IGA”でガバナンスを確立」では、ID管理にガバナンスという観点を加えた「IGA:Identity Governance and Administration」をキーワードに、これからの時代に必要なID管理を考えていきます。第2回目となる本稿では、ID管理における運用とシステムの乖離にフォーカス。運用を重ねていくうちに気がついたらリスクだらけの使い方をしていた……などということは珍しくありません。どのような点に目を向け、どう対策を打てば良いのでしょうか。

IDの正しい生成プロセスとは

 前回(連載第1回)は、認証基盤の見直しにおいての実際の課題はID管理であるケースが多いことをお伝えしました。今回はこのセキュリティルール・運用とシステムの“スキマ”に目を向けてみたいと思います。

 ID管理にまつわる問題は、ID管理のルールが企業の定めるセキュリティルールに沿った内容になってさえいれば起きにくいと筆者は考えています。しかし、現実はそう単純にいきません。

 ID発行の理想像としては、一元化された生成元からIDが作成され、その企業で利用している一連のシステムを利用するためのアカウントが連携して生成されるといった流れが望ましいです。とはいえ、様々な要因によってこの流れに沿わない実態が多く見られます。まずは、良くない事例とそれがもたらす結果について見てみましょう。

検討すべきは「パターン漏れがないか」という点

 人事システムから得られる人事異動情報を元にIDを生成することがID生成の基本形だとすると、この基本に従わない例外的な措置を取るID生成のパターンを考えなければいけないのは、以下のような要望が出てきたときだと考えられます。

  • 組織外の人にシステムを使わせたい
  • クラウドサービスを部署で使用するためにIDを作りたい
  • 共用IDなど、個人のものではないIDを作りたい

 どれも業務上発生する可能性がある状況ですので、IT部門の管理者はこのような要望がユーザーから出てくることを考慮したうえで、統合ID管理の導入などのしかるべき対応を検討しておく必要があります。

 上記で挙げたような場合に留意しておきたい統合ID管理の導入における検討ポイントは「IDの種類とメンテナンスのパターンを網羅できているか」「現状を踏まえてパターンに漏れがないことを確認できているか」の2点です。管理対象となるIDの拾い上げに失敗していると、管理されない謎のIDが残ってしまい、セキュリティホールとなりかねません。そのため、組織外の人に組織内のシステムを使わせたい場合や共用IDを作成する場合は、権限を与えて良い人にだけ必要な権限を与えるための権限範囲の設計や、IDを使わなくなった場合の取り扱いについてのルール制定を事前に行っておく必要があります

 こうしたパターン漏れの検討の次にすべきなのが、「生成・変更されたID情報のメンテナンスが、利用するシステム上で自動実行可能か」を確認することです。クラウドサービスを利用している企業にありがちなのが、メンテナンスが可能な権限を持つアカウントによって手動でテキスト化された利用者データをアップロードできたり、その上に蓄えられた機密情報をダウンロードできたりする“手動運用”が許されている状態。たとえば、ID管理システムからクラウドサービス向けの情報を出すのに手間がかかるため、現場部門で集めたログイン情報を元に利用を開始し、手動運用を混ぜる、といったようなことが起きると、システムのガバナンスが効かなくなってしまいます。

 ごく最近の事例として、このような運用の余地を残してしまった結果、退職者が退職前に使っていた共用アカウントから、退職後にクラウドサービスを利用できる状態になっていたことで、営業情報が盗まれてしまうといった事件がありました。IDをしかるべきルールに沿って適切に管理できていれば、せめて認証の連携だけでもきちんと設定できていれば、退職者がログインできる余地はなかったのではないか? と考えてしまいます。勿体ないですよね。

 

隠れ特権IDを利用した営業情報、個人情報漏洩
【画像クリックで拡大】

 先ほどから「統合ID管理」と言っていますが、具体的には何が統合されていれば良いのでしょうか。IDの採番ルール、用途、パスワードの長さ、文字種別など、思いつくまま挙げていくといろいろと出てきますが、根本的な考え方として「IDライフサイクル」が統合されている必要があります。IDライフサイクルとは、「IDを作る」「必要に応じて設定を変更する」「使わなくなったら消す」「権限は一元化されたルールのもと割り当て、ルール外の権限が必要な場合は権限を持つ責任者が承認して割り当てる」といったID管理の一連の流れを指します。このIDライフサイクルを統合し、すべてのIDを適切に管理できる状態にすることが大切です。

次のページ
クラウドサービス普及による“運用の先走り”が生むリスク

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ID管理だけでは足りない? “IGA”でガバナンスを確立連載記事一覧

もっと読む

この記事の著者

福田 秀紀(フクダ ヒデキ)

NTTデータ先端技術株式会社 セキュリティ&テクノロジーコンサルティング事業本部 セキュリティイノベーション事業部 DXセキュリティソリューション担当 担当部長。ネットワークエンジニアや営業を経て、20年余りにわたってシステム構築の現場でプロジェクトマネージャを務めている。現在は、自社製品である統合...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/19698 2024/05/31 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング