システム管理者は要チェック! ユーザー権限とユーザー認証の管理の重要性とは!?
社内ネットワークの情報セキュリティを考えるとき、必要となるのがユーザー権限とユーザー認証です。ここでは、ユーザー権限及びユーザー認証に関する管理の重要性について、詳しくお伝えしていきます。システム管理者の方はチェックしてみてください。
超脱却! PPAP[パスワード付ZIPファイル送信]
- 「PPAPのセキュリティは不完全!?マルウェアなどの情報漏洩リスク」などパスワード付ZIPファイルをメールで送信していませんか?多くの専門家が「PPAPでは本質的なセキュリティ解決策にはなり得ない」と警鐘を鳴らし、大手企業が脱却への動きを早めています。 この資料をダウンロードしてその理由をチェックしましょう。
ユーザー権限とユーザー認証
ここでは、ユーザー権限とユーザー認証とは何かをお伝えしていきます。
ユーザー権限について
サーバーに関する権限には、管理者権限と呼ばれるアドミニストレーター権限や、利用者権限と呼ばれるユーザー権限などが挙げられます。データベースの場合には、データ登録及び削除の権限、プログラム実行権限、データ読み取り権限などが設定できます。
ある程度のユーザーが複数利用する社内ネットワークの場合は、ユーザー権限を管理するための認証サーバを用意すれば、ネットワーク全体を管理する業務負担を軽減することが可能です。
ユーザー認証について
ユーザー認証とは、システム・ソフト・アプリケーションなどを利用するユーザーを識別するためのシステムのことを意味しています。この仕組みを利用することで、ネットワークを利用するユーザーが正しいユーザーかどうか認識し、アクセス制御することが可能となります。
ユーザー認証の具体的な方法としては、ユーザー名とパスワードによるユーザー認証、ICカードを利用したユーザー認証、指紋・網膜といったユーザーの肉体の生体情報を用いたユーザー認証など、さまざまな認証方法があります。
アクセス管理とは
ユーザーのアクセス権限を管理するプロセスの中で、権限管理やID管理を行うことをアクセス管理と呼びます。
アクセス管理が行われている場合は、先ほどお伝えした通り、利用者は、ユーザー名、ID、パスワード、指紋・顔などの生体情報によってユーザー認証をされ、許可されたユーザーにのみ、データの閲覧・提供やWebサービスの利用を許可し、許可されていないユーザーは権限を制限されます。また、詳しい設定や変更などについては、管理者権限を持つユーザーのみが対応することが可能となります。
アクセス管理が適切になされていない場合の危険性
アクセス管理が適切になされていない場合、どのような危険性があるかをご紹介します。
アカウント情報の放置によるリスク
外部スタッフや出向中の社員、退職後の社員などにアカウント権限を付与して放置してしまうと、利用者として相応しくない第三者がアクセス権限を持っている状態が続いてしまうため、セキュリティ上問題が発生するリスクがあります。
そのため、アカウント情報を外部スタッフなどに共有する場合、ミッションが終わったり、担当者が変更になったりした際にID・パスワードの変更を実施するようにしましょう。退職者が出た場合も同様です。
アクセス権限を持つ管理者の基準が不明の場合のリスク
いつ、誰に、どんな理由でアクセス権限を付与するのか、誰がアクセス管理するのかなどの基準や責任の所在を明確にしないと、煩雑なアクセス管理体制になる可能性があります。
承認するステップも不明であり、過去のアクセスログもスムーズに閲覧することができない状態が続いてしまうと、万が一、ウイルス感染や不正アクセスがあった場合にも対応が遅れる危険性があると言えます。
アクセス権限のリアルタイムな管理がなされていない場合のリスク
管理者の変更、ユーザーの業務変更、異動など、アクセス権限のリアルタイムでの管理がなされていないと、アクセス管理体制を適切に管理することが難しくなってしまうリスクがあります。
正しくユーザー権限とユーザー認証を管理するためのステップ
問題と正しくユーザー権限とユーザー認証を管理し、アクセス管理を徹底する場合には、どのようなステップを踏むべきでしょうか。以下に流れをまとめました。
①要求実現の受け付け
まずは、ユーザーから管理者へ、Webサービスの利用やデータの閲覧などに関するアクセス権の要求を受け付けます。
②要求の検証
要求の内容や、ユーザーアカウントの持つアクセス権限などを確認し、その要求が妥当であるかどうかを管理者がチェックして検証します。
③アクセス権限やIDの付与
要求を検証した上で、問題がないと管理者が判断した場合には、アクセスすることを許可された権限やIDが付与されます。必要な場合は、アクセス権の変更や、異動などによる期限付きの容認といった設定もここで行われます。
④運用の監視
アクセス権限やIDを付与した新しいユーザーについて、付与した権限に基づいてシステムやWebサービスが正しく利用されているかどうか、運用を監視します。もし、ユーザー権限の変更やアカウントの削除などが必要となる場合は、正しく反映されているかどうかを確認します。
⑤ログ取得と追跡の徹底
ログの取得をリアルタイムで行い、監視して得られた結果に沿って、各アカウントのアクセス状況を追跡します。追跡した結果に応じて、ログで詳細を検証・分析し、システム全体の情報セキュリティの安全管理の徹底を行います。
パスワード管理の推奨
社内ネットワークを利用するユーザーに対して、アクセス権限に応じたユーザーアカウントを発行していても、実際に利用するユーザーが適切にパスワード管理を実施していなければ、情報セキュリティの穴が生じてしまいます。
そのため、企業や組織のシステム管理者は、組織内の資産とも言える機密情報などにアクセスする可能性のある全てのユーザーに関して、適切なパスワード管理を行うことは重要な情報セキュリティ対策のひとつであると言えます。
なお、パスワードを発行する場合には、初期パスワードをユーザー個別で変更をしてもらうなどし、セキュリティの強度を上げるようにすることをおすすめします。
システム管理者はユーザー権限の付与とユーザー認証を実施し、アクセス管理を徹底すべき
社内ネットワークの情報セキュリティを維持するためには、ユーザー権限・ユーザー認証を徹底して行い、アクセス管理を漏れなく実施する必要があることを忘れないようにしましょう。
超脱却! PPAP[パスワード付ZIPファイル送信]
- 「PPAPのセキュリティは不完全!?マルウェアなどの情報漏洩リスク」などパスワード付ZIPファイルをメールで送信していませんか?多くの専門家が「PPAPでは本質的なセキュリティ解決策にはなり得ない」と警鐘を鳴らし、大手企業が脱却への動きを早めています。 この資料をダウンロードしてその理由をチェックしましょう。