特権ID管理システム導入後にまずやること

特権ID管理システムの導入後に行うこと

現場を率いるリーダーの必要性

特権ID管理にはさまざまな課題があります。「特権IDが共有して使われている」「幽霊社員が使っている」「権限の設定が曖昧」「手順が明文化されていない」などです。内部犯行の危険性を排除するには、まず、このようにおざなりにされてきた事柄を明確にしなければなりません。

ところが、これらの管理は、なかなか徹底されることがありません。特権ID管理システムはハードルが高いシステムで、その主な理由は2つあります。

1つは、日本企業が持つ「性善説」があります。仲間を悪者にしたがらず、管理の徹底が職場の空気を乱します。しかし、数多く内部犯行による事件が発生したことから、「特権ID管理が必要」と思われるようになってきました。

もう1つの理由が、情報システム部門による「仕事を増やしたくない」という考え方です。多くの企業の情報システム部門は常に忙しく手が足りません。これ以上仕事を増やしたくないというのが情報システム部門の本音です。実際、特権ID管理導入の背景を「監査で指摘されたことがきっかけ」という企業など、管理の対象や工数が増えることに対する抵抗は小さくないでしょう。

こうした理由から、導入を進める上で必要となってくるのが、リーダーの存在です。経営層に近い強力な権限を持つ人間が現場を率いていかないと、特権ID管理の導入は困難です。「外部監査で指摘されたから」という消極的な理由ではなく、健全な企業風土の育成のために特権ID管理の導入を推進しましょう。

権限と手順の設定

強力な導入体制を構築したら、特権IDの権限対象となる情報と、管理者を設定（格付け）していきます。これは、さほど大きなハードルにはならないはずです。手作業でやってきたことをシステム化するに過ぎません。特権ID管理を手作業で行っていた場合のほとんどは、Excelで台帳管理を行っており、その台帳管理の効率化と徹底のために、導入するのが特権ID管理システムなのです。

しかし、もし、ここで手間取るようであれば、社内ルールがあまり整備されていないということになってしまいます。この機会にまず、ポリシーにのっとったルール整備を進め、そのルールに従って導入するシステムとその担当者を決め、ワークフローを決めていきます。

ワークフローは、「作業者と承認者は別々にする」「承認者は複数設ける」などといったことが重要となってきます。マイナンバー制度の施行（2015年10月5日施行）に併せて、それまで総務部門がかねていた情報システム管理の業務を専任者を立てて割り振ることが考えられます。このとき、専任の担当者が1人だけとなるようなことは避け、作業者と承認者はかならず別々となるよう、複数人で業務に当たらせるようにします。

その際に行う、権限と手順の設定を支援する機能も、特権ID管理システムには用意されています。手順の作成後、その手順をドキュメント化して社内に周知し、徹底します。また、多くの場合は、社内だけではなく社外のSEに特権IDを割り振ることがあるので、導入したシステムを使用することを徹底し、例外を許してはなりません。特権IDの発行から削除までのライフサイクル管理はシステム上で行います。

特権ID管理の監視と強化

特権ID管理システムの導入後は、確実な監視が必要です。多くの特権ID管理システムには、特権IDの棚卸しやレポート機能が付属しています。それらを活用して、例外が発生していないことを確認します。

また、システムには限界があります。たとえば特権ID管理システムを経由せずにログインできてしまう抜け道が発見されることがあります。本来なら許せないことですが、そうした限界がどうしても存在してしまいます。

解決策としては、イベント管理ツールの導入があります。これは、特権ID管理システムを経由せずにシステムにログインした際、リアルタイムでアラートを発生させるようにするものです。ログ管理システムと併せて導入されています。

特権ID管理は内部犯行の防止に不可欠なシステムです。ぜひ、ご検討ください。