Chief Security Advisor
高橋 正和
前回はグループポリシーを使った情報保護について取り上げた。このようにパソコン(PC)を一つの群れとして管理すると,個別管理に比べてどの程度有利なのか。今回は,Active Directoryを使った「統合管理」と,コンピュータやサービスごとに個別にアカウント管理を行う「個別管理」について,運用コスト(人件費)とセキュリティ面の試算を行い比較してみよう。
比較に当たっては,運用コストはIDの作成と削除,パスワードの変更,監査の3項目,セキュリティ強度については簡単なパスワードのリスク,退職者アカウント管理のリスク,セキュリティ・パッチとウイルス対策システムの管理のリスクを中心に,簡単なモデルで試算を行った。
試算の結果,個別管理から統合管理へ移行することで,アカウント管理のコストは12分の1程度となる。これは管理コストがアカウント数と比例関係にあるためである。アカウントが破られるリスクや退職者アカウントに関するリスクも大きく減少する結果となり,さらに,アカウント数とは直接的な関係のないウイルス等の感染リスクについても,減少するという結果が得られた。これは,パスワードの複雑さや,更新処理の統制を技術的に保証したことによる。
セキュリティとコストはトレードオフの関係にあると考えられることが多いが,今回の試算では統合管理はコストを下げると同時にセキュリティ・レベルを向上させられることが分かった。もちろん,このような試算は,モデルやパラメータで大きく変わってしまうのだが,個別管理と統合管理のコストおよびリスクの違いを考察する上で,一つの判断材料にはなるだろう。
個別管理と統合管理の比較結果
| 比較項目 | 統合管理 | 個別管理 |
|---|---|---|
| アカウント管理のコスト | 1 | 12 |
| アカウントが破られるリスク | 1 | 455 |
| 退職者アカウントに関わるリスク | 1 | 12 |
| 年間のウイルス感染リスク | 1 | 4 |
アカウント管理コストの試算
まずは,統合管理と個別管理が運用にどのように影響を与えるのかを試算するため,以下の数値を基にして年間の作業工数を試算する。
試算条件
|
個別管理ではPC,サーバー,アプリケーションそれぞれのアカウントがあるものとする。また,セキュリティ・ポリシーは制定されているが,確実に実施するための技術的な取り組みは行われていないものとする。
統合的管理は,アカウントを一元的に管理するほか,グループポリシーを使ってクライアントの設定を強制するものとし,各PCのローカル・アカウントについてはドメイン・アドミニストレータ権限を使って無効にするものとした。なお,サーバー・アカウントは,システム管理者が適切に運用するものとして,試算対象から除外している。
これらの条件で,まず個別管理と統合管理それぞれのケースでのアカウント数を試算すると,次のようになる。
個別管理
| PCのアカウント 1000台×2アカウント(一般ユーザー,管理者) =2000 アプリケーションなど 50×1000×20% = 10000 |
| 合計アカウント数 12000 |
統合管理
| PCのアカウント 1000台×0アカウント =0 ドメイン・アカウント 1000人分 =1000 |
| 合計アカウント数 1000 |
次に,アカウント数がコストに与える影響を試算するため,以下の作業について年間の工数を試算した。なお,作業は一律にアカウント当たり3分かかるものとした。
| パスワードの再設定は,年に4回発生(パスワードの有効期間を90日)。年間の入社,退社,異動などについては,入社(5%),退社(5%),異動(10%)=20%で,年間200人分のアカウントの作成,削除,変更が発生することになる。監査は,年2回,すべてのアカウントに対して実施するものとし,年間5%の入社があるため,監査すべきアカウントはそれぞれの監査で2.5%を加える。 |
この条件で,それぞれのモデルのコストを試算した結果は次のようになる(1人日は,8時間として計算)。
個別管理
| 再設定 | 1万2000×4(回)×3分=14万4000分=300人日 |
| 入退社・異動 | 1万2000×20%×3分=7200分=15人日 |
| パスワード・リセット | 1万2000×5%×3分=1800分=3.8人日 |
| 監査 | 1万2000×1.025×2(回)×3分=7万3800分=153.8人日 |
| 合計 | 総計:473人日 再設定を除く:173人日 |
|---|
統合管理
| 再設定 | 1000×4(回)×3分=1万2000分=25人日 |
| 入退社・異動 | 1000×20%×3分=600分=1.3人日 |
| パスワード・リセット | 1000×5%×3分=150分=3人日 |
| 監査 | 1000×1.025×2(回)×3分=150分=12.8人日 |
| 合計 | 総計:39人日 再設定を除く:14人日 |
|---|
この試算では,統合管理を採用すると,総計で個別管理を行った場合の約12分の1のコストで運用できることになる。利用者が直接作業を行う「再設定」を除いた場合も,やはり約12分の1のコストで運用できることになる。
