Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

本当にあの人のID権限は適切ですか?ID発行・変更時の取り扱いポイント

  2015/04/27 06:00

 本連載では、企業でWEBサイトの開発・運用しているIT部門の皆さん向けにWEBセキュリティの基礎知識やしくみ、脅威と対策、注意点や見落としがちなポイントについて解説します。前回の第1回目では、構成管理のポイントについてお話しました。今回は、システムを運用する際に必ず押さえておきたい「IDの取り扱いポイント」についてご紹介します。

本当に権限は適切ですか?ID発行時の確認事項

 4月はIDの発行、変更が発生する月です。新しく入社された方のID発行、部署異動に伴う変更などの対応をされたシステム管理部門の方も多いと思います。

 IDは情報システムを利用する方を識別し、正しい利用者なのか(PWなどを用いて)認証し、必要な情報へアクセスするための制御を行うために必要です。そのため、IDを発行・更新する際には、情報システムを利用する人がどのような業務を行うのか、その業務を行うために必要最小限の情報だけにアクセスできるよう適切な権限を設定しましょう。

 例えば、ECサイトを運営している会社であれば、利用規約、個人情報保護の方針などに同意していただいたうえで、商品を購入した人の情報(名前、住所、電話番号、性別、年齢、職業、購入履歴など)を取得していると思います。

 ECサイトでは、この取得した顧客情報をもとに様々な業務(商品の配送、お客様サポート、メールマガジンの送付、キャンペーン企画、商品企画など)を行います。同じ会社でも、業務内容に応じて取得した顧客情報の使い方が変わります。例えば、商品を配送する方と、商品企画をする方が同じ情報にアクセスする必要があるのか、それぞれの業務内容から考える必要があります。

 商品を配送する業務では、購入した人の名前、住所、電話番号などが分からないと商品を発送することができません。

 ところが、商品企画をする業務では名前、住所、電話番号は必要なく、年齢や性別ごとに売れている商品の情報があれば新しい商品の企画をすることができるかもしれません。

 知る必要のない情報にアクセスできてしまうと、情報の漏えいのルートになるリスクがあります。そのため、全ての方を全ての情報にアクセスさせるのではなく、業務を行うために知る必要がある情報のみにアクセスさせる権限を設定する必要があります。

 また、IDの発行申請を受ける際には、申請された権限が適切なのか確認する必要があります。そのため、本人の申請だけで発行するのではなく、上司の方などが承認するフローを用意し、申請された権限が業務上必要なのか確認できるようにしておきましょう。

▲図1:情報に対するアクセス制御のイメージ

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 川島 拓哉(カワシマタクヤ)

    株式会社ラック ITサービス本部 セキュリティディレクションサービス部 システム開発、WEBアプリ検査業務を経て、セキュリティコンサルティング業務に従事。ユーザ目線でセキュリティを捉え、ユーザに合った適切なセキュリティとは何か常に考えるよう心がけている。また、お祭り好きな性格で、セキュリティ含め各...

バックナンバー

連載:ITマネージャーのためのWebセキュリティ入門
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5