監修・NPO日本ネットワークセキュリティ協会 セキュリティ監査WG
文・夏目雅好(ネットマークス公認情報システム監査人)
今回は「アクセス制御」について解説します。
最近の個人情報流出事故で、その流出経路が判明しているものから、どのような管理策が可能かを考えてみます。なお、この事例は実際に個人情報を盗み出されているので、当人への教育、トレーニングは有効ではないこと(性悪説)を前提にします。
事例1 コールセンターで働く従業者が、個人情報リストをサーバからPCにダウンロードし、持ち込んだ自分のUSBメモリにコピーしてデータを持ち出した。 |
この場合、以下のような管理策が考えられます。
(1) アクセス権限の割り当て 【アクセスコントロール】- 業務上、どの従業者が個人情報リストにアクセスする必要性があるかを検討します。
- 業務上、どの従業者にファイルとしてダウンロードする権限を与える必要性があるかを検討します。
- ダウンロードが必要な従業者である場合、パソコンから外にデータを持ち出せないようにするためにパソコンで外部媒体を利用できないように機能制限するかを検討します。
- ダウンロードが必要で、業務上外部媒体にコピーすることも必要である従業者の場合、システムやパソコンの操作記録を取得することを検討します。
- 取得した記録を監視し、不正や不振な操作を検出します。
事例2 個人情報DBシステムの管理は複数人で実施しており、IDを共有していた。ある従業者が離職後、当該システムに外部からアクセスする方法を第三者に教え、この第三者が外部から個人情報データをダウンロードした。 |
この場合は、さらに以下の管理策が考えられます。
(6) 共有ID利用の制限。【認証】- 管理者権限(具体的にはrootやAdministrator)を共有していますが、システムの運用保守を外部委託している場合、作業者を特定し難いとの理由からこのような運用になっていることがあります。管理者権限はユーティリティソフトが利用可能であったり、オールマイティであることが多くIDの共有は避けるようにします。
- 遠隔作業は、作業する環境を特定し難いので、認証機能を通常よりも強化したり利用可能な機能をできる限り制限します。
- システム利用権限の申請は、利用者の業務上必要であるため必ずなされますが、利用停止は利用者本人が業務上不都合ないため忘れ去られがちです。
IDに有効期限を設けたり、一定期間利用がないIDを検出し一時停止する機能でカバーする等を検討します。
- 特に本番環境のシステムにおいては、利用可能なユーティリティソフトを限定します。
こうして管理策を検討すると、【認証】、【アクセスコントロール】、【ログ管理】をベースに展開していくことになることが分かります。つまり実際に管理策を立てるためには、各機能についての詳細な方針を検討することが必要ということです。簡単に進め方をご紹介します。
■認証——何をもって本人を特定するか
システムには認証機能を持ち、ここで「誰」がアクセスするのかを判定します。ポイントとなるのは、何をもって本人を特定するかということです。扱うデータの内容や提供するサービスの内容によって認証機能を検討します。
一般に使われるID/パスワードであれば、それを記憶している人を本人と特定していることになります。最近ドア鍵に用いることが増えてきたスマートカードなどデバイスを利用するのであれば、それを所有している人を本人特定していることになります。指紋など生体認証であれば、その指紋データ入力者を本人とします。パスワードや持ち物と異なる点は、入力データがその都度微妙に差があることが正常であり、同一データはありえないことを活用し、指紋データが盗難されても無効とする対応が可能なことです。
さらに、認証失敗時のロックアウトや各種システムの認証を統合することなど、仕組みをどの程度洗練させるかを検討します。また、IDの付与手順、有効なパスワードの制限、ID利用状況の管理方法など運用管理策も検討します。
■アクセスコントロール—アクセス許可/利用権
認証した人に対し、どの範囲のデータまでのアクセスを許可するか、またどのようなサービスの利用を許可するかなどの権限について検討します。
アクセスコントロールは上図の青塗り部分のように、サーバやネットワークなど複数箇所で行うことを検討します。メール本文や添付ファイルでのキーワードフィルタ、同一IDによる複数セッション数を制限すること、パーソナルメニューのように認証された人に応じて利用可能なサービスだけをメニューとして表示するなど仕組みをどの程度洗練させるかを検討します。
また、権限の付与や手順、利用状況の管理方法など運用管理策も検討します。
■ログ管理—不正操作検出、事後的調査、更に不正抑止
ログ管理の目的は、不正や不審な操作を検出すること、事後的に調査や監査をすること、そしてこれらの機能が働いていることにより不正を抑止することにあります。
そのため、収集対象、収集するデータの種類などログの内容に関する5W1H。収集方法、保存方法、保存期間、保管場所、収集したログの完全性確保の確認方法などを検討します。そして、調査や監査方法、レポーティングなどの仕組みや手順など運用管理策を検討します。
|
|