特権IDについて

Office 365 各プランの紹介
Office365ポータルリンク

今日は「特権ID」についてです。

今回「特権ID」と言っているのは「管理者権限を持っているユーザID」を示しています。
他にも「システム管理に必要な特別権限が割り当たっているユーザID」などと
示されることもあるようです。
UNIX系だと「root」、Windows系だと「Administrator」が例に挙げられます。

金融庁のシステム監査やIT統制の監査などで、多く指摘されているのが
『特権IDの管理』だと言われます。

なぜ『特権IDの管理』の不備が指摘されるかというと、
システム障害や情報漏洩などを原因となる「特権ID」の濫用や不正利用の
リスクが高いことが挙げられます。

今まで情報システムの管理者は、特権IDを常時使える環境で運用されている
企業も多いかと思いますが、
これからは『特権IDの管理』を行う必要が必要となってきます。
いきなりすべての管理をしていくとなると、ハードルが高いかと思いますので、
今回はステップを2つに分けて、対応していくのが良いかと思います。

STEP1
特権IDの使用を申請許可制にする。

●申請ワークフローや申請書にて管理する。
 「いつ、だれが、何のために、どれくらいの時間」使用するかを申請する。

●申請フローの確立
 誰が承認するかなどを決めておきましょう。
 

●特権IDもユーザ単位で分ける
 特権IDを使用するユーザも1人ならば 特にユーザを分ける必要はありませんが、複数人いる場合は[ad■■][ad▲▲]のように分けたほうが良いでしょう。

 特権IDで操作したログと照合したときに1つしか特権IDが無く、複数人で管理をしていた場合、申請者と対応者が合っているかの確認が取れません。

●特権IDのパスワードはワンタイムパスワードにする。
 特権IDとパスワードを申請がある度に作成するのは
 運用が大変になる可能性も有ります。
 パスワードをワンタイムパスワードにし、申請があったときに作成をするようにしましょう。
 
 もし前回作業していたパスワードが漏れてしまった場合や特権IDが分かってしまった場合でも パスワードが毎回異なるので、不審者の侵入を防ぐことが
可能です。

もちろん作業の完了報告があったときに再度パスワードを変更することを
お忘れなく。

STEP2
特権IDの操作可能範囲を絞る。

STEP1では、特権IDを申請許可制にし、ワンタイムパスワードでセキュリティを高めました。
次は特権IDで操作できる範囲も絞っていきたいと思います。

システムに影響を及ぼす作業を行う際には、「作業計画書」や「作業承認書」にて作業を承認制にしている会社もあるかと思います。
作業を行うにあたり、許可されている作業内容に応じて権限設定を変更して
許可以外は操作出来ないようにする。

以上
2017年09月