今日は「特権ID」についてです。
今回「特権ID」と言っているのは「管理者権限を持っているユーザID」を示しています。
他にも「システム管理に必要な特別権限が割り当たっているユーザID」などと
示されることもあるようです。
UNIX系だと「root」、Windows系だと「Administrator」が例に挙げられます。
金融庁のシステム監査やIT統制の監査などで、多く指摘されているのが
『特権IDの管理』だと言われます。
なぜ『特権IDの管理』の不備が指摘されるかというと、
システム障害や情報漏洩などを原因となる「特権ID」の濫用や不正利用の
リスクが高いことが挙げられます。
今まで情報システムの管理者は、特権IDを常時使える環境で運用されている
企業も多いかと思いますが、
これからは『特権IDの管理』を行う必要が必要となってきます。
いきなりすべての管理をしていくとなると、ハードルが高いかと思いますので、
今回はステップを2つに分けて、対応していくのが良いかと思います。
STEP1
特権IDの使用を申請許可制にする。
●申請ワークフローや申請書にて管理する。
「いつ、だれが、何のために、どれくらいの時間」使用するかを申請する。
●申請フローの確立
誰が承認するかなどを決めておきましょう。
●特権IDもユーザ単位で分ける
特権IDを使用するユーザも1人ならば 特にユーザを分ける必要はありませんが、複数人いる場合は[ad■■][ad▲▲]のように分けたほうが良いでしょう。
特権IDで操作したログと照合したときに1つしか特権IDが無く、複数人で管理をしていた場合、申請者と対応者が合っているかの確認が取れません。
●特権IDのパスワードはワンタイムパスワードにする。
特権IDとパスワードを申請がある度に作成するのは
運用が大変になる可能性も有ります。
パスワードをワンタイムパスワードにし、申請があったときに作成をするようにしましょう。
もし前回作業していたパスワードが漏れてしまった場合や特権IDが分かってしまった場合でも パスワードが毎回異なるので、不審者の侵入を防ぐことが
可能です。
もちろん作業の完了報告があったときに再度パスワードを変更することを
お忘れなく。
STEP2
特権IDの操作可能範囲を絞る。
STEP1では、特権IDを申請許可制にし、ワンタイムパスワードでセキュリティを高めました。
次は特権IDで操作できる範囲も絞っていきたいと思います。
システムに影響を及ぼす作業を行う際には、「作業計画書」や「作業承認書」にて作業を承認制にしている会社もあるかと思います。
作業を行うにあたり、許可されている作業内容に応じて権限設定を変更して
許可以外は操作出来ないようにする。
以上
2017年09月
この記事を書いた人
この投稿者の最近の記事
- Exchange2018/08/27メールボックスの地域設定
- Officeアプリ2018/08/24メールの送受信の総量を確認する(Outlook2016)
- Exchange2018/07/26会議室の応答メッセージが届かない(出来ない場合)
- Exchange2018/07/17会議室の応答メッセージが届かない