本当に権限は適切ですか?ID発行時の確認事項
4月はIDの発行、変更が発生する月です。新しく入社された方のID発行、部署異動に伴う変更などの対応をされたシステム管理部門の方も多いと思います。
IDは情報システムを利用する方を識別し、正しい利用者なのか(PWなどを用いて)認証し、必要な情報へアクセスするための制御を行うために必要です。そのため、IDを発行・更新する際には、情報システムを利用する人がどのような業務を行うのか、その業務を行うために必要最小限の情報だけにアクセスできるよう適切な権限を設定しましょう。
例えば、ECサイトを運営している会社であれば、利用規約、個人情報保護の方針などに同意していただいたうえで、商品を購入した人の情報(名前、住所、電話番号、性別、年齢、職業、購入履歴など)を取得していると思います。
ECサイトでは、この取得した顧客情報をもとに様々な業務(商品の配送、お客様サポート、メールマガジンの送付、キャンペーン企画、商品企画など)を行います。同じ会社でも、業務内容に応じて取得した顧客情報の使い方が変わります。例えば、商品を配送する方と、商品企画をする方が同じ情報にアクセスする必要があるのか、それぞれの業務内容から考える必要があります。
商品を配送する業務では、購入した人の名前、住所、電話番号などが分からないと商品を発送することができません。
ところが、商品企画をする業務では名前、住所、電話番号は必要なく、年齢や性別ごとに売れている商品の情報があれば新しい商品の企画をすることができるかもしれません。
知る必要のない情報にアクセスできてしまうと、情報の漏えいのルートになるリスクがあります。そのため、全ての方を全ての情報にアクセスさせるのではなく、業務を行うために知る必要がある情報のみにアクセスさせる権限を設定する必要があります。
また、IDの発行申請を受ける際には、申請された権限が適切なのか確認する必要があります。そのため、本人の申請だけで発行するのではなく、上司の方などが承認するフローを用意し、申請された権限が業務上必要なのか確認できるようにしておきましょう。
▲図1:情報に対するアクセス制御のイメージ
