監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・夏目雅好(ネットマークス公認情報システム監査人)

 今回は「アクセス制御」について解説します。

 最近の個人情報流出事故で、その流出経路が判明しているものから、どのような管理策が可能かを考えてみます。なお、この事例は実際に個人情報を盗み出されているので、当人への教育、トレーニングは有効ではないこと(性悪説)を前提にします。

事例1

コールセンターで働く従業者が、個人情報リストをサーバからPCにダウンロードし、持ち込んだ自分のUSBメモリにコピーしてデータを持ち出した。

 この場合、以下のような管理策が考えられます。

(1) アクセス権限の割り当て 【アクセスコントロール】
     業務上、どの従業者が個人情報リストにアクセスする必要性があるかを検討します。
(2) システムのサービス利用権限の割り当て【アクセスコントロール】
     業務上、どの従業者にファイルとしてダウンロードする権限を与える必要性があるかを検討します。
(3) パソコン機能制限【アクセスコントロール】
     ダウンロードが必要な従業者である場合、パソコンから外にデータを持ち出せないようにするためにパソコンで外部媒体を利用できないように機能制限するかを検討します。
(4) 操作記録の取得 【ログ管理】
     ダウンロードが必要で、業務上外部媒体にコピーすることも必要である従業者の場合、システムやパソコンの操作記録を取得することを検討します。
(5) システムの利用状況の監視 【ログ管理】
     取得した記録を監視し、不正や不振な操作を検出します。

事例2

個人情報DBシステムの管理は複数人で実施しており、IDを共有していた。ある従業者が離職後、当該システムに外部からアクセスする方法を第三者に教え、この第三者が外部から個人情報データをダウンロードした。

 この場合は、さらに以下の管理策が考えられます。

(6) 共有ID利用の制限。【認証】
     管理者権限(具体的にはrootやAdministrator)を共有していますが、システムの運用保守を外部委託している場合、作業者を特定し難いとの理由からこのような運用になっていることがあります。管理者権限はユーティリティソフトが利用可能であったり、オールマイティであることが多くIDの共有は避けるようにします。
(7) 遠隔作業時の認証、利用可能な機能の制限【認証】【アクセスコントロール】
     遠隔作業は、作業する環境を特定し難いので、認証機能を通常よりも強化したり利用可能な機能をできる限り制限します。
(8) ID無効化に関する管理策【認証】
     システム利用権限の申請は、利用者の業務上必要であるため必ずなされますが、利用停止は利用者本人が業務上不都合ないため忘れ去られがちです。 IDに有効期限を設けたり、一定期間利用がないIDを検出し一時停止する機能でカバーする等を検討します。
(9) ユーティリティソフトの利用制限【アクセスコントロール】
     特に本番環境のシステムにおいては、利用可能なユーティリティソフトを限定します。

 こうして管理策を検討すると、【認証】、【アクセスコントロール】、【ログ管理】をベースに展開していくことになることが分かります。つまり実際に管理策を立てるためには、各機能についての詳細な方針を検討することが必要ということです。簡単に進め方をご紹介します。

■認証——何をもって本人を特定するか

 システムには認証機能を持ち、ここで「誰」がアクセスするのかを判定します。ポイントとなるのは、何をもって本人を特定するかということです。扱うデータの内容や提供するサービスの内容によって認証機能を検討します。

 一般に使われるID/パスワードであれば、それを記憶している人を本人と特定していることになります。最近ドア鍵に用いることが増えてきたスマートカードなどデバイスを利用するのであれば、それを所有している人を本人特定していることになります。指紋など生体認証であれば、その指紋データ入力者を本人とします。パスワードや持ち物と異なる点は、入力データがその都度微妙に差があることが正常であり、同一データはありえないことを活用し、指紋データが盗難されても無効とする対応が可能なことです。

認証

 さらに、認証失敗時のロックアウトや各種システムの認証を統合することなど、仕組みをどの程度洗練させるかを検討します。また、IDの付与手順、有効なパスワードの制限、ID利用状況の管理方法など運用管理策も検討します。

■アクセスコントロール—アクセス許可/利用権

 認証した人に対し、どの範囲のデータまでのアクセスを許可するか、またどのようなサービスの利用を許可するかなどの権限について検討します。

アクセスコントロール

 アクセスコントロールは上図の青塗り部分のように、サーバやネットワークなど複数箇所で行うことを検討します。メール本文や添付ファイルでのキーワードフィルタ、同一IDによる複数セッション数を制限すること、パーソナルメニューのように認証された人に応じて利用可能なサービスだけをメニューとして表示するなど仕組みをどの程度洗練させるかを検討します。

 また、権限の付与や手順、利用状況の管理方法など運用管理策も検討します。

■ログ管理—不正操作検出、事後的調査、更に不正抑止

 ログ管理の目的は、不正や不審な操作を検出すること、事後的に調査や監査をすること、そしてこれらの機能が働いていることにより不正を抑止することにあります。

 そのため、収集対象、収集するデータの種類などログの内容に関する5W1H。収集方法、保存方法、保存期間、保管場所、収集したログの完全性確保の確認方法などを検討します。そして、調査や監査方法、レポーティングなどの仕組みや手順など運用管理策を検討します。

◆サブコントロール解説コーナー◆

7.2.4 データ及び情報サービスへのアクセスに対する有効な管理を維持するため、経営陣は、利用者のアクセス権を見直す正規の手順を、定期的に実施すること

7.2.4.1 利用者アクセス権の見直しにおいて、利用者のアクセス権を定期的に、また、何か変更があった後に見直すこと

7.2.4.2 利用者アクセス権の見直しにおいて、特権的アクセス権の認可は、更に多い頻度で見直すこと

7.2.4.3 利用者アクセス権の見直しにおいて、特権の割当てを定期的に検査して、認可されていない特権が取得されてないことを確実にすること

【解説】

 今回の事例2で紹介したように、アクセス権限の付与方法が不適切であることが、情報漏えい事故の原因となる場合もあります。つまり、適切なアクセス権限の付与方法や管理手順を策定し、管理責任者が、アクセス権限の見直しを行うことで情報流出事故を未然に防げるケースもあるということです。

 一般に、データ及び情報サービスへのアクセス権限の停止や範囲の限定に関する申請は、割り当てる場合に比べ、申請者にとって必然性が低いため確実になされない傾向にあります。

 システムのオーナーは、扱うデータの重要性や機密性と権限に応じて可能な処理を勘案し、アクセス権を見直す手順を定め、確実に実行することが重要です。

筆者紹介 NPO 日本ネットワークセキュリティ協会
セキュリティ監査ワーキンググループ
2002年に経済産業省が主宰する「情報セキュリティ監査制度」策定のための委員会に、JNSAとしての意見、研究成果を報告した。これらの成果は「情報セキュリティ監査制度」に反映され、2003年4月に施行開始となった。2003年はJNSAとして独自の電子自治体情報セキュリティ管理基準を策定し、公開。コラム執筆は大溝裕則(ジェイエムシー)、河野省二(ディアイティ)、夏目雅好(ネットマークス)、丸山満彦(監査法人トーマツ)、吉田裕美(ジェイエムシー)が担当。