アクセス権限の管理と本人確認が不正アクセス防止の基本

　丸山氏はまず、現在ID/ログ/アクセス認証管理の重要性が叫ばれている理由を、「もしコンピュータ上で何かの問題が起こった場合、原因や実態を明らかにするには『誰によって何がどのように行われたのか』を解明することが不可欠だからだ」と説明する。ニュースでは毎日のように、情報漏えいや不正アクセスなどの“事件”が報じられている。企業は自社の信用のために、迅速な対応と詳細な報告を顧客やステイクホルダーに行わなければならない。だがそのためには、アクセスした人間の特定やメールやファイルの操作記録を把握できないことには、問題の解明のしようもない。

「そこで管理する側には『IDの付与と認証』、すなわちアクセス権限をIDで管理し、なおかつそのIDによるアクセスが本人であることを確認する仕組みが必要になるのです。これが情報リスクマネジメントの基本であり、また認証管理が重視される理由です。」

　また一般にネットセキュリティというと、ついハッカーなどの悪意ある第三者に目を向けがちだ。しかし丸山氏は、認証管理ではむしろ外部の者よりも、社内のアクセス権限を持つ人物に注目すべきだと言う。

「というのも、基本的にアクセス権限を与えられていない人は、システム上の脆弱性などを突かない限り入って来られません。注意すべきは、権限を持っている人の行動なのです。そうした人が、もし意図的な改ざんや情報持ち出しを図れば実行は簡単です。また単なる不注意や誤操作であっても、権限があれば通ってしまいます。アクセス認証管理には、こうした内部による不正処理やミスを発見・防止する意味合いが強くあるのです。」

「社員1人に1つのID」が統合アクセス管理を実現するカギ

　ところで、わが国の企業における認証管理の取り組みは、現在どのような状況なのだろうか。丸山氏は自身のコンサルティング経験をもとに、問題点を指摘する。

「もっとも多く見られるのが、システムが結合されていない問題です。さまざまなシステムをサーバごとに管理しているため、ID/パスワードがシステムの数だけ存在してしまう。1人の人間がいくつものID/パスワードを持つのでセキュリティ管理上も不安ですし、システム個別に認証を受けなくてはならず作業効率も悪くなります。」

　そこでこれから認証管理に取り組もうとする企業にとって必須の課題となるのが、「社員1人に1つのID」つまり「統合的なアクセス管理」だと丸山氏は指摘する。具体的にはたとえば1つのシステム横断的な認証基盤を構築し、その上に各システムを乗せることでシングルサインオンを実現するといった認証の連携の仕組みだ。

「これが実現すれば管理者は1つのIDに、そのIDを付与された人物のすべてのアクセス記録やメールログなどをひも付けてシステム横断的に把握できるようになるため、セキュリティ管理の面で大きな改善がもたらされます。IDが複数あると異動や入社・退職に伴う変更管理が非常に煩雑になります。持ち主のないIDや不適切な権限付与が気づかないまま存在するといったケースも起こり、実際それらに起因するインシデントも少なくありません。こうしたリスクを減らす上でも、統合ID認証は非常に有効なのです。」

　一方、ユーザーの側にも、複数のID/パスワードを自分で管理するわずらわしさから解放されるという大きなメリットがある。システムごとに繰り返し要求される認証の手続きは、ユーザーの本来の業務効率に少なからぬ影響を与える。それだけに経営層やシステム管理者は、いかにユーザーが認証システムを意識することなく業務に専念でき、同時にセキュリティを実現できるかを考えなくてはならないと丸山氏は強調する。

【次ページ】ID/ログ/アクセス認証管理の成功のポイントとは？