最小限の管理工数で、「4種類の高リスクID」を防ぐ適切な管理方法とは?

2021/08/12
記事

ほとんどの企業はID 管理の重要性を理解しているものの、大量のIDを前に「ゴースト ID」や「過剰権限ID」などが発生してしまうケースは少なくありません。これらのIDは、社外の人が社内システムにアクセスできる状況を作ったり、業務外の不正利用のきっかけとなったりするためセキュリティ上のリスクに繋がります。この記事では、有限な管理工数で「ゴースト ID 」や「過剰権限ID」などを防ぐためにはどのようなID管理方法が最適かについて解説します。

目次

増加する不正アクセス。今だから見直したい ID 管理

不正アクセス対策に対し高い意識を持っている企業が多い一方、ID 管理についてはさまざまな理由から後回しにしてしまっている企業様も少なくありません。不正アクセスの多くは、識別符号窃用( ID やパスワードの無断使用)によるものであるため、不正アクセスに対してだけでなく、 ID 管理に関してもリスクの整理とその対策を徹底した運用を実現および維持する必要があります。

増える不正アクセス

国家公安委員会によると、不正アクセスを受けた特定電子計算機のアクセス管理者別認知件数は、平成 28 年は 1,823 件でしたが、令和 2 年には 2,703 件まで増加しています。 5 年間で 1,000 件近く増加していることもあり、企業として不正アクセスへの対策の必要性への認識は強いものと考えられます。

出典 : 「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(国家公安委員会)

不正アクセス行為の 9 割以上は「識別符号窃用型」

また、国家公安委員会の発表した不正アクセス行為の手口別検挙状況では、識別符号窃用型(ID やパスワードの無断使用)の手口によって検挙された割合が非常に高く、令和 2 年では検挙件数の全体の 90% 以上を占めているほどです。そのため、識別符号窃用型による不正アクセスを防ぐ、または早期に検知するためにも、企業として適切なID管理が求められています。

出典: 「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」(国家公安委員会)

このようなID は無くしたい

ID 管理が不十分であるために、企業にとってリスクの高い ID を存在させてしまっているケースは少なくありません。ここでは、代表的な高リスク ID を 4 つの種別に分けて解説します。

ゴースト ID( 幽霊ID )

ゴースト ID とは、すでに退職した人のIDで削除し忘れたものを指します。ID は使用できる状態ですが、すでに退職している従業員のものであり、本来は速やかに停止するか削除するべき ID だといえます。悪意を持った退職者がいる場合、機密情報の漏洩や情報の改ざんにつながりかねません。そのため、ゴースト ID には、注意を払う必要があります。

休眠 ID

休眠 ID とは、長期利用されていない ID のことです。休眠 ID が発生してしまうケースは大きく分けて 2 つあります。 1 つ目は出向や休職などが原因で発生してしまうケース。 2 つ目は明確な理由なくツールやシステムを使用しなくなり、自然発生するケースです。

休眠 IDは使用されていないものの、システム上には残っている IDのため、ゴースト ID 同様に使用できる状態にあります。そのため、休眠 ID が不正アクセスにより流出した場合、情報の改ざん、機密情報の漏洩などのリスクが発生します。それゆえ、ゴーストID同様にID停止か削除すべきです。

業務に必要ない ID

従業員によっては、自分自身の業務に関係のないツールやシステムの ID を所有しているケースがあります。具体的には、営業部に所属していた人物が総務部に異動になったにも関わらず、営業部で使用するツールやシステムの ID が付与されたままになっているケースです。

また、異動時は引継ぎ期間を考慮し、異動元のIDを一定期間残しておくことも多く、対処を忘れやすい特徴があります。そのため、引継ぎ期限の終了日を明確に決め、権限やIDを削除し忘れないよう注意が必要です。

過剰権限 ID

過剰権限 ID とは、従業員に必要以上に過剰な権限を持った ID を付与してしまっていることを指します。例えば、一時的に管理者権限を用い業務を進めるケースなどが挙げられます。イレギュラー対応時に過剰権限 IDを一時付与しなければならない場合、その後権限削除忘れや、業務に必要ないのに付与されてしまったりしていることもあるので、 適切なID 管理が必要とされます。

現実は、適切なID管理は難しい。さまざまな理由。

多くの企業では、前述の4種類のIDにリスクがあることや適切なID管理が重要であることを十分に理解されていることでしょう。しかし、現実として、高リスクIDが常に発生しないような ID 管理の実現は困難です。ここでは、なぜ適切な ID 管理が難しいのか、その理由について解説します。

多くの企業は人手による ID 管理

多くの企業は、統合ID管理ツールで一元的な管理を実施しているのではなく、システムごとにExcel による ID 台帳で人手による管理を行っているケースがほとんどです。統合ID管理ツールを導入して全部自動化すれば解決するように思えますが、費用的にも管理対象システムへの影響的にも簡単には導入できないため難しい側面があります。

IDが大量だと管理工数にも限界がある

管理対象システム数が少ない場合は、人手で運用あっても厳格な管理もある程度実現可能ですが、ID数やシステム数が一定数を超えてくると、人の手で全てを正確に管理する事は管理工数上の限界があります。
また、人が介在するとどうしても入力間違いや確認漏れといったヒューマンエラーが発生する可能性を疑う必要が出てきます。

ゴーストIDなどはID 棚卸点検が必須

人手によるID管理は、ゴーストIDなどの高リスクIDの残存チェックを、定期的な利用状況の点検「ID棚卸」で発見する必要があります。しかし、これもまた大量のIDを確認する必要があるため確認依頼する側も確認依頼される側も非常に負担が大きい側面があります。

ID管理/棚卸は複数の部署にまたがるため標準化しにくい

業務システムは、複数の部署での利用する事が多く、利用者が多岐に渡るため標準化が極めて困難です。例えば、ID発行する際も、正社員はワークフロー、協力会社はメール依頼といったようにルートを統一化できない事情が存在します。また、異動時も「引継ぎ期間のため2週間は削除しない」といった個々のルールが必要となります。そのため、ID管理の標準化や自動化は難しく、人の介在がどうしても必要となります。
また、ID 棚卸も複数部署に対して情シス担当者が全てのID利用部署とコミュニケーションする必要が出てくるため、管理工数の負担が1カ月以上となるケースがほとんどであり、後回しになりがちです。

ID 棚卸・管理を手間なく正確に行うアカンサス

今回4つの高リスクIDの危険性や適切なID管理が困難な理由について解説しましたが、いかがでしたか。ID 棚卸や管理を行う場合、手間がかかってしまうため、専用のツールの導入がおすすめです。

「アカンサス」は、手持ちの情報をそのまま投入するだけで、データをインポートできます。さらに、情報の一元管理が行えるため、幽霊 ID や休眠 ID などの存在にも気付きやすくなります。また、 ID を利用している従業員を一覧にしてくれ、削除漏れしている ID がある場合はレポートで報告してくれる点も特長です。

さらに「アカンサス」は、上記のID管理を容易にする特長を持つだけでなく、クラウド、オンプレミス両方に対応しており、クラウド型は手軽に導入できるマルチテナント型とセキュアな専有環境下での利用ができるシングルテナント型をお選びいただけます。

ID 棚卸・管理の効率化を図りたい担当者は、ぜひ下記の「脱Excel管理」を実現された事例を参考にご検討してみてください。

★おすすめ資料★
増え続けるID棚卸、どう管理すればよい? 事例に学ぶ“脱Excel”の実現法とは

Work illustrations in this article by Storyset

ページTOP