｢IDとパス｣激増､守るべき管理の大原則とは？ 放置した｢退職者アカウント｣が脅威の入り口に

――サーバーやシステムなどの管理においてあらゆる権限を持つ「特権アカウント」の管理で発生する問題としてはどんなものが考えられますか。

野口　内部不正につながるケースがあることや、その権限の大きさにより外部から侵入されると被害が広がってしまう問題があります。ここでも「最小権限の原則」に則り、特権アカウントにアクセスできる人を極力制限し、使用の際は「誰が何をしたか」記録を残すことが重要です。

「シングルサインオン」の活用で一元的な管理を

――利用するクラウドサービスの増加で難しくなるアカウント管理について、企業はどう対処していけばよいでしょうか。

野口　一元的なアカウント管理を行うために、シングルサインオン（1つのIDとパスワードによって複数のシステムへのログインが可能になるもの）の導入を徹底していくことが重要です。

アカウント管理は、IDをすべて帳簿化していくのが定石ですが、大変な労力が必要になります。そのため、極力シングルサインオンに対応している製品に揃えて一元的なアカウント管理がしやすい状況にしたほうがよいでしょう。

ただし、アプリケーション側の都合や確認漏れなどでアプリケーションに直接ログインできるルートが存在するケースがあります。そして、直接ログインできるルートでは多要素認証が設定されておらず、外部から侵入されてしまうケースが発生しているので、きちんと多要素認証を設定する必要があります。

稲毛　アクセス権限の付与については、最小権限の原則に則って情報の機密度に合わせたデバイスの制限や多要素認証を漏れなく適用する必要があります。

ただ、何でもかんでも厳しくしてしまうとユーザビリティが落ちてビジネスに支障が出るおそれもあるので、守るべき情報資産を定義したうえで、アクセスを許可するデバイスや多要素認証の設定等を考えるといいでしょう。

アカウント管理はセキュリティの入り口になるところです。経営者に「ある程度の投資が必要」という考えがあれば、事故を未然に防ぐセキュリティ対策ができるのではないでしょうか。そして、事業を継続させるためには何が必要か、改めて吟味することが重要だと思います。

宮内 健：ライター