クラウドID管理のリスクと課題「アクセス管理監査」

2021年3月23日

「ID管理監査」の必要性

サイバーセキュリティの課題

今日のデジタルファーストの世界においては、サイバーセキュリティの観点から、企業にとっては「侵入者の攻撃から資産とデータを保護」と「コンプライアンスと規制の要件を満たす」という2点が最大の課題となっています。

適切な運用のためのチェックリスト

堅牢な「IDおよびアクセス管理(IAM:Identity and Access Management)システム」は、企業に防衛線を提供しますが、適切に運用されなければリスク低減効果は縮小してしまいます。

最大限に機能させるためには「ID管理ポリシー」と「ID管理監査チェックリスト」を作成し、定期的にレビューや見直しを実施する必要があります。

このチェックリストにより、ID管理監査要件に沿って、望ましい方法で機能させることができます。

ID管理監査チェックリスト

ID管理監査チェックリストとして、以下の8つのポイントを紹介します。

①ID管理ポリシー作成

組織のセキュリティは、ID管理ポリシーの定義から始まります。

ID管理ポリシーを明確化しておくことで、望ましい結果が得られる可能性が高くなります。

ID管理ポリシー作成の利点

・コンプライアンス要件を満たすための指針となる
・ユーザーのアクセスおよび承認管理の指針となる
・利害関係者へのアクセス管理を定義できる
・手順の「設計」「開発」「合理化」がやりやすくなる
・インシデント発生に対して迅速かつ自信を持って対応できる など

②役割定義

ID管理プロセスにおいて、すべての利害関係者が関与する手順を設定し、それらの役割を定義する必要があります。

ユーザー(利害関係者)リストには「責任」と「アクション」に関する情報が必要です。

これは、すべての人のプロセス合理化にも役立ちます。

③アクセスレビュー

どのような組織でも「ユーザー(アカウント)」「役割」「責任」は変化し続けるため、ユーザーのアクティビティやデータを把握し続けることは困難になります。

そのため、すべてのユーザーに適切な「アクセス権限」と「承認権限」が設定されていることを確認するために、ユーザーアクセスレビュープロセスを策定します。

ユーザーアクセスレビュープロセスは定期的に実施することが重要です。

④適切な特権管理

ユーザーアクセス権限が「適切な職務要件」に限定されたままであり、過度な権限を有していないことを確認することは非常に重要であり、ID管理システムの堅牢性を定義する重要なポイントとなります。

最大制限を設定することを要求する「最小特権アカウントの原則」に従い、特別な特権を付与する必要がある場合は、その必要な期間のみ付与し、不要になったら即座に解除します。

⑤脅威範囲の限定化

重要タスクの場合は、それを小さなタスクに分割し、複数の人に割り当てます。

これにより、「該当プロセス」+「関連するセキュリティ機能」を他プロセスから独立した状態に保てるため、脅威範囲を特定プロセス内に限定できます。

⑥汎用アカウント管理

トレーニングやテストなどの定期的かつ一般的アクティビティを実行するために、汎用アカウントが使用される場合があります。

汎用アカウントに特別な権限を付与すると大きなリスクとなるため、必要最小限の権限のみを付与します。

⑦アイドルアカウントの削除(無効化)

ID管理システムは、クリーンでセキュアな状態を維持することが重要です。

使用していないアイドル状態のアカウントが存在していると、セキュリティリスクにつながる可能性があるため、対象アカウントは必要とする期間のみ有効にすることが求められます。

⑧すべてをドキュメント化

ドキュメント化は「ポリシー」「使用法」「管理アクティビティ」「不正リスク評価」などを共有する必要があるID管理監査プロセスの鍵となります。

ドキュメント化プロセスにより、ID管理システム全体の理解が深まり、さらに改善する方法を見つけることにも役立ちます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト