ISMS・情報セキュリティ管理基準から見る「アプリの棚卸し」の重要性
従業員が入社してきたら、必要なアプリの利用許可を出して、業務にあたってもらう。だが、いったん利用許可を出したらそのまま退社するまで放置したまま。このようなアプリの権限付与・運用を行っている企業は多くあります。
こうしたアプリの権限付与についての運用は、組織における情報セキュリティの正しい運用ではありません。以下では、情報セキュリティマネジメントシステム(ISMS, ISO/IEC 27001. JIS Q 27001)の適合性評価の前提となる、経済産業省の「情報セキュリティ管理基準」の観点から、どのようなアプリの管理が望ましいかについて見ていきましょう。
情報セキュリティ管理基準に見る「アクセス制御」
経済産業省の「情報セキュリティ管理基準」は、企業などの組織体が実施すべき管理策についてまとめられたドキュメントで、各企業がISMS認証 (ISMS/ISO 27001認証)を取得する上で必ず理解しておかねばならないものです。また、ISMS認証の取得を予定していない組織であっても、組織における情報セキュリティを保つ上で、カバーすることが極めて望ましい内容となっています。
この「情報セキュリティ管理基準」の「9.アクセス制御」、特に「9.2 利用者アクセスの管理」が「アプリの棚卸し」に直結する内容になります(下記は9.2の一部を抜粋)。
9.2.1 利用者の登録及び登録削除についてのプロセスを実施
「9.2 利用者アクセスの管理」の小項目の中には、以下のような内容があります。
9.2.1.3 利用者ID を管理するプロセスに、組織を離れた利用者の利用者IDの、即座の無効化又は削除を含める。
9.2.1.4 利用者ID を管理するプロセスに、必要のない利用者ID の定期的な特定、及び削除又は無効化することを含める。
前提として、利用者IDを管理するプロセスを設けたうえで、アクセスが不要になったユーザー(利用者)のIDは、即座に無効化ならび削除を行うことが必要とされています。例えば、ユーザーが20のIDを持って、それぞれのアプリを用いている場合は、この20のIDを無効化、削除する必要があります。
9.2.5 利用者のアクセス権を定められた間隔でレビューする
そして、以下のような記載もあります。
9.2.5.1 利用者のアクセス権は、定められた間隔で見直す。
9.2.5.2 利用者のアクセス権は、何らかの変更(例えば、昇進、降格、雇用の終了)があった後に見直す。
9.2.5.3 利用者のアクセス権は、利用者の役割が同一組織内で変更された場合、そのアクセス権についてレビューし、割当てをし直す。
ユーザーのアクセス権(アプリを利用して特定のデータにアクセスする権利も含む)は、「何らかの変更」があった場合、また「利用者の役割に変更があった場合」に加えて、「定められた間隔」で見直すことも必要となります。
なお、9.2.5に続く、9.2.6も同様の内容の詳細となります。
9.2.6.1 雇用の終了時に、アクセス権を削除する必要があるかどうかを決定し、情報並びに情報処理施設及びサービスに関連する資産に対する個人のアクセス権を削除又は一時停止を行う。
9.2.6.2 雇用を変更した場合、新規の業務において承認されていない全てのアクセス権を削除する。
9.2.6.3 削除又は修正が望ましいアクセス権には、物理的な及び論理的なアクセスに関するものを含める。
9.2.6.4 従業員及び契約相手のアクセス権を特定するあらゆる文書に、アクセス権の削除又は修正を反映する。
9.2.6.5 辞めていく従業員又は外部の利用者が引き続き有効な利用者ID のパスワードを知っている場合、雇用・契約・合意の終了又は変更に当たって、これらのパスワードを変更する。
9.2.6.6 情報及び情報処理施設に関連する資産へのアクセス権は、雇用の終了又は変更の前に、雇 用の終了又は変更が、従業員若しくは外部の利用者の側によるものか又は経営側によるものかどうか、及び雇用の終了の理由、従業員、外部の利用者、又は他の利用者の現時点の 責任、現在アクセス可能な資産の価値のリスク因子の評価に応じて、縮小又は削除する。
業務に必要なアプリを、必要な人にだけ利用を許可することは、情報保護の観点、また不正アクセスから会社の情報資産を守る観点からも重要となります。一度付与したアプリの利用権限であっても、部署の異動や業務の変更などにより不要になった段階で、アプリの利用を停止することが必要だとされています。
アプリの棚卸しの壁と、それを乗り越える「IDaaS」
「プロセスを作り、定期的にレビューする」「利用権限がなくなったユーザーのIDを無効化または削除する」、これが今回ご紹介した、経済産業省のドキュメントに記されている「利用者のアクセス管理」の内容となります。どの組織も、正しく利用者のアクセス管理を行うことで、不正アクセスのリスクを低減することができます。
しかし、こうした利用者のアクセス管理を実現する上で、壁があります。特に大きな「壁」は、「各ユーザーが利用するアプリが多く、かつ一元的に管理されていないため、ユーザーIDの無効化、削除を徹底できない」というものです。一元管理されていない状況でプロセスを作っても、運用を徹底することはできません。
この壁を乗り越えるためには、「情報システム部門などにアプリの導入・利用のID付与の権限を集中させる」こと、そして「IDやパスワードの一元管理を実現するためのIDaaS (クラウド型ID管理サービス)を導入」することが有効です。
企業向けのIDaaSをコストをかけずに評価、導入展開するには、日本で最も電子証明書を発行しているGMOグローバルサインのIDaaS「トラスト・ログイン」を利用するという選択肢があります。日本製で、国内の主要アプリにすぐ対応するという柔軟な開発体制、そして基本機能の利用には一切費用がかかりません。ユーザーID管理、アクセス管理を強化したい企業は、ぜひ1IDから導入、評価ください。
トラスト・ログインを利用することで、組織のシステム、ならび組織で利用するアプリにアクセスする正社員・ベンダーのID・パスワードを無料で管理することができます。管理者は、ユーザーの権限の付与ならび停止を、トラスト・ログインのクラウド上の管理画面から簡単に実施でき、誰がどのシステム・アプリを利用できるのかすぐに分かる仕組みとなっています。ぜひ新規登録してお試しください。
