特権IDと一般ID、管理や棚卸の方法は同じ？

業務で利用するシステムには「特権ID」と「一般権限のID」の2種類のIDが存在します。
これらのIDについて、同じ管理方法でよいか？というご質問を時折いただきます。同じIDでもそれぞれの特長やリスクは全く異なり、分けて考える方ことを推奨しております。
今回は、特権IDと一般権限のIDでどのように管理方法が異なるのか？それぞれ何を考慮すべきか？を整理します。

特権IDと一般IDとは？

まず、特権IDとは、システムの特別な権限を付与されたアカウントをさします。
「administrator」が分かりやすい例で、利用システムそのものの起動や停止、システム上のデータに対する変更や削除・持ち出しなども可能です。
一般IDとは、普段従業員が利用するようなIDをさし、各業務に必要な機能やアクセス対象を必要最低限の範囲で利用できます。

特権IDと一般ID、それぞれ誰がどのように利用するものなのか？

特権IDと一般IDは利用目的が大きく異なるため、誰が、いつ、どのように利用するかも異なります。

一般IDは、従業員の業務を遂行するために存在するため、一人につき一つのIDが付与されます。
対して特権IDは、システム上に1つもしくは少数しか存在しないため、多くの場合は共有して利用します。また、利用者はシステムの管理者の他に、周辺のツールやパッチに埋め込まれていることもあります。

また、一般IDは従業員が業務に従事している間は業務時間内いつでも利用できます。
しかし、特権IDは権限が非常に強く何でもできてしまうことから、事前に作業申請／承認を経て限られた期間内で利用します。さらに、操作ログを残し申請通りの操作だったかも確認します。

特権ID管理ソリューションについて詳細はこちら
https://www.ntt-tx.co.jp/products/privilege/itregulation.html

特権IDと一般IDに必要な統制

前述したように、それぞれ利用目的と特長が異なるため、考慮するリスクとその対策も異なります。 以下に、各IDに必要な統制について整理します。

【特権IDの統制】
予防的統制
・承認に基づいた特権IDの利用 …1つのIDを共有利用するため、利用者と作業内容とその期間を明らかにし事前に承認
発見的統制
・正当性を点検・監査できる管理 …上記作業のログ突合、作業期間中の監視

【一般IDの統制】
予防的統制
・承認に基づいたIDのプロビジョニング …一人につき１IDを利用するため、正とする情報（例：人事発令や人事情報）通りにIDを作成／更新／削除
発見的統制
・実IDの定期的な点検 …業務離任者／退職者IDの残存の確認・対処

上記の通り、特権IDと一般IDの統制という観点では大きく異なってきます。

一般ID棚卸する際に含まれる特権IDはどうすべきか？

ここまで特権IDと一般IDの違いとそれぞれの統制についてまとめました。
では、一般IDを棚卸する際に含まれる特権IDはどのように扱うべきなのでしょうか。

現実的な話をすると、一般IDの棚卸は各システムからID一覧をエクスポートしそれを基に利用状況を確認する企業様が大多数です。
この方法の場合、ID一覧に特権IDも含まれます。そして、多くの企業様では、一般IDの棚卸で特権IDを別リストとして扱い、特権ID棚卸は特権ID管理の運用のなかで実施します。
そのため、一般IDの棚卸においては、どのIDが特権IDなのか？を把握しておくことが重要になります。

アカンサスでの特権ID把握

アカンサスは、特権IDや共有せざる得ないIDのために「共有IDラベル付与機能」を用意しています。
これは、利用目的は明らかではあるが特定の個人に紐づかないIDにラベルを付与すると、従業員利用IDとは別の管理とすることが可能な機能です。
本機能のご利用は、万が一把握していない特権IDが登録されている場合も把握することができるようになります。

Work illustrations in this article by Storyset