アクセス管理とは？プロセスや実施できていないことのリスクを解説

アクセス管理とは

アクセス管理とは、ITサービスに対するユーザーのアクセス権を管理するプロセスで、「権限管理」「ID管理」と呼ばれることもあります。組織内のデータやクラウドサービスへのアクセス権の範囲を、管理者が制御することを指します。1人に1つのIDを付与すること、職種や役職、立場によって最小の権限を付与することが原則です。

例えば、職位が高いからといって、特定の社員にすべての権限を付与するケースは、原則の違反となります。また、管理者権限を持つアカウントを複数人で共有することも、原則に反しています。アクセスする必要のない人に権限を付与してしまうと、権限を付与された社員の端末がウイルス感染してしまった場合に、不正操作されるなどのリスクが高まることになるので、注意が必要です。

アクセス管理の実施プロセス

実際に、アクセス管理を実施する際のプロセスについて、解説していきます。

アクセス要件の受付

ユーザーがサービスやネットワークへのアクセス権を希望する場合は、アクセス要求を受け付けます。

要求の検証とアクセス権の付与

ユーザーがアクセス権を希望する場合、以下のような要求の検証を行います。

1. ユーザーの要求が、対象のシステム・サービス・データに対して妥当であるか
2. 適切な管理者によって承認されたものか
3. 第三者のなりすましが行われていないか

検証が終了したら、対象のシステム・サービス・データへのアクセスを許可して、IDやアクセス権限を付与します。

モニタリングと追跡

ユーザーへアクセス権を付与したら、終わりというわけではありません。ユーザーに付与した権限の利用状況を監視する必要があります。アクセス権の変更や削除の場合は、正しく反映されているかを確認しましょう。また、監視結果に沿って、各アカウントのアクセス状況を追跡し、必要に応じてログで詳細を検証することも必要です。

アクセス権の変更や削除を徹底するためにも、人事異動の際には、アクセス権の管理・見直しを図る必要があります。見落としがちなのが、休職中や退職になった社員のアクセス権です。アクセスする必要のない期間は、一旦権限を削除します。休職後の社員が再びアクセス権を必要としたとき、改めて付与しましょう。アクセス権がある社員でも、他部署や関連のない仕事などに何度もアクセスする場合や、不信なアクセスが頻繁に行われている場合は注意が必要です。必要に応じてヒアリングをするなど調査をしましょう。

アクセス管理が適切に実施されていない場合のリスク

アクセス管理を適切に実施していない場合、どのようなことが起きてしまうのでしょう。こちらでは、実際に想定できる4つのリスクをご紹介します。

不要な放置アカウントによる不正アクセス

不要なアカウントであるのに、適切に削除されていないアカウントはリスクにつながります。例えば、出向・停職・休職・退職中の社員のアカウントや期間限定のアカウントは、野放しになってしまいがちです。アクセス権が有効のままアカウントが放置されてしまうと、普段使用していないアカウントのため、悪用されても気づきにくくなります。

例えば、元社員が社内サーバーに不正アクセスし、個人情報や顧客情報を漏洩させてしまうというような事件に発展してしまうこともあるでしょう。また、不要なアカウントが放置されたままだと、セキュリティ対策が甘いとみなされ、犯罪者が不正アクセスに悪用する可能性も出てくるので注意が必要です。人事情報を把握する部署と連携を取り、不要なアカウントを放置しないように徹底しましょう。

過剰なアクセス権の付与

ユーザーの人事異動や部署異動に対応して、アクセス権を変更し、最新の状態にしていかなければなりません。アクセス権を必要としなくなった人を削除し、新たにアクセス権が必要になった人に付与することで、アクセス権を持つ人数は一定に保たれます。

例えば、新たに昇進した人に対してアクセス権を付与し、前任者のアクセス権をそのままにしておくと、アクセス権を持った人が増えてしまい、前任者は異動しても情報にアクセスできてしまいます。アクセス権の人数が増えれば、管理・監視が複雑で難しくなり、内部情報の漏洩に気づけなくなることもあるので注意が必要です。

内部からの情報漏洩は、企業にとって深刻なセキュリティ上の問題です。社員の行動を詳細に把握できないうえに、現在は、リモートワークなどオフィス外で働く社員が増加し、お互いに注意を払う機会も減っています。内部からの情報漏洩を防ぐためにも、過剰なアクセス権の付与に注意しましょう。

不明確なアクセス権の管理基準と責任の所在

アクセス権の管理基準や管理者を明確にしておくことも大切です。アクセス権の管理基準を明確にしておかないと、誰が、いつ、どのタイミングでアクセス権を設定、または変更するのかが曖昧になってしまい、社員への対応も難航してしまいます。

また、アクセス権限付与の条件をはっきりさせておかないと、管理者は適切な判断ができません。権限を付与する承認ステップや管理者の基準も決めておく必要があります。さらに、管理者が不在の場合は、アクセス権の付与や変更作業・設定などを行えません。業務の停滞を招かないためにも、責任の所在をはっきりさせておくとよいでしょう。

特定の文書に対するアクセス管理

効率的に文書作成を行うことや社内外で文書を共有するために、ほかのユーザーがアクセスできるデータベースに、機密性の高い文書を保存しているケースもあるでしょう。しかし、文書に対するアクセス管理を徹底しておかなければ、不正アクセスによって機密文書が外部に持ち出されてしまうリスクもあります。対象のシステム・サービスだけではなく、機密性の高い特定の文書に対しても、アクセス管理を行うことは必要です。

リモートワークの普及に伴い必須のアクセス管理

リモートワークの普及に伴い、さまざまな場所で多くの人が社内データを取り扱うケースが増えました。しかし、今まで社内のみで管理していたデータや資料を、それぞれが自宅やサテライトオフィスなどで閲覧するため、情報漏洩のリスクが高まっています。そこで、セキュリティやアクセス管理の徹底が課題となっています。セキュリティ対策を高めることは必須ですが、アクセス管理を徹底しておくことで不正なアクセスを防ぎ、人的ミスによる情報の流出を防げます。

まとめ

社員がさまざまなデータを取り扱うだけではなく、最近ではリモートワークが増え、社外でデータを取り扱うケースも増えました。ご紹介したさまざまなリスクを避けるためにも、セキュリティ対策を高めることはもちろんのこと、アクセス管理の徹底も必須です。

NTTコミュニケーションズが提供するBConnectionデジタルトレードは、請求業務の電子化支援サービスです。権限管理の機能も導入でき、自部署の請求書を他部署のユーザーが参照できないようにすることで、請求データの不正な閲覧・ダウンロードを防止することが可能です。請求書発行・受領に伴う業務を含めた請求業務の効率化を進める際には、ぜひご検討ください。