特権ID管理を怠る3つのリスク
まずは、特権ID管理を怠った場合に起こり得るリスクを見ていきましょう。
1.情報漏えい・データ改ざんの発生
特権IDは社内でも極めて権限が高いIDであり、機密データの閲覧だけでなく変更も行えます。
このような影響力が高いIDを誰でも利用できてしまうと、ミスや不正利用によって大きな被害が出るでしょう。もし、特権IDが盗まれてしまった場合、大規模な情報漏えい・データ改ざんが発生する可能性が高いです。
情報漏えいを起こしてしまえば、多額の損害賠償が求められる上、企業イメージが低下します。
2.システム障害の発生
特権IDには、重要なシステムの操作権限を持つものもあります。そのため、特権IDを適切に管理せず奪われてしまえば、意図的にシステム障害を起こされる可能性もあるでしょう。
もし、従業員が誤って特権IDを使ってしまった場合、重要なシステムのプログラムを変更・消去される事態も発生し得ます。責任者以外が操作・アクセスできる状態であれば、重要な事故が発生する可能性はゼロではないのです。
システムが停止してしまえば業務もストップし、現場は混乱、ユーザーからはクレームが来るでしょう。
3.内部不正行為の発生
特権ID漏えいの原因は外部からのサイバー攻撃だけでなく、内部不正の可能性もあります。「自社の従業員に不正を働く者はいない」と信じたいところですが、リスクがある状態は見過ごせません。
実際にIPA社の2016年の調査によると、従業員が300名以上の企業では8.6%、300名未満の企業であれば1.6%の企業が内部不正を経験しています。内部不正経験者の中でシステム管理者などの権限を持つ者が51.0%を占め、一般の社員でも14.5%が不正しています。
そのため、特権IDを管理するときには権限がない者がアクセスできないように設定することが大切です。業務で利用するデータを持ち帰り、過失により漏えいしたケースも含まれます。しかし、復讐のために特権IDを使ってシステムを壊す事例も少なくありません。
内部不正にはさまざまな種類があるため、アクセス制限を徹底することが求められます。
内部不正による情報セキュリティインシデント実態調査|独立行政法人 情報処理推進機構 (IPA)
特権ID管理のプロセス
リスクを避けて特権IDを管理するために実施するべき4つのプロセスがあります。このプロセスは特権ID管理の基本です。具体的なプロセスの内容は以下のとおりです。
- 申請管理
- 特権IDを利用したいユーザーからの申請を管理します。誰がいつ利用を申請し、承認したのかを記録してください。
- 権限管理
- 利用の申請が承認されたら、権限を付与します。特権IDのパスワード変更、もしくは新規アカウントの作成を行います。
- アクセス管理
- 特権IDの貸し出しを行う際は、利用者を特定しつつパスワードの管理も同時に行います。
- ログ管理
- 特権IDが返却されるまで、どのように使用されるか利用者のログを追跡しモニタリングします。
特権ID管理を効果的に行う3つのコツ
特権IDは社内でも重要度が高いため、適切に管理しなければなりません。最後に、特権ID管理を効果的に行う方法を見ていきましょう。
1.特権ID運用ルールの明確化
不正利用した者の中には意図せずに特権IDを使用していた人もいります。つまり使用していたIDが重要度が高いものと知らずに利用し、事故が発生するケースも多いのです。
適切に特権IDを管理するためには、まずは特権IDの重要性を周知し、運用のルールを明確にすることが大切です。社内の現状を把握し、システムの運用や開発、データへのアクセスに関するルールを決めていきます。
他社の社員が特権IDに触れる機会がある場合は、社内の社員と同じように罰則規定も盛り込んだ契約を交わすと良いでしょう。
2.業務に必要十分な権限の付与
特権IDが不要な従業員にも権限が与えられていることが原因で情報漏えいが引き起こされるケースは多いです。そのため、特権IDは必要最低限のメンバーにのみ権限を付与してください。
特権IDを利用するときは、期限付きの新しいパスワードを発行し、再び利用することを防ぐ工夫も必要です。また、メンバーに与える操作権限も最低限にとどめましょう。
3.特権ID管理システムの導入
効果的に特権IDを管理する場合は、専用の特権ID管理システムを利用するのがおすすめです。特権ID管理システムには、特権IDの発行・承認機能、利用者の監視機能、ログ管理機能があります。
このような機能を使えば、管理担当者の負担を軽減しつつ、より正確に特権IDを管理できるでしょう。
特権ID管理でリスクを減らすため、システムの導入検討を!
特権IDは非常に権限が高いため、適切に管理しなければなりません。もし特権IDが不正利用されれば、情報漏えいやデータ改ざん、システム障害が発生してしまいます。
特権ID管理を効果的に行うためには、特権IDの運用ルールを明確にし、必要最低限の権限を付与するようにしてください。管理面の負担が大きい場合は、システムを活用するのも有効です。
効果的な特権ID管理を実施するためにもシステムの導入を検討しましょう。