はじめに
IT戦略グループの比嘉です。 今回はIT統制におけるアカウント管理で対応の必要がある共有アカウント管理について書きます。
結論
以下の運用を実施しています。
- 共有アカウントの利用を申請する。
- 月に1度、管理者は共有アカウントを整理する。
- 月に1度、共有アカウント整理状況をチェックする。
- 年に1度、共有アカウントの運用状況を評価する。
前提
共有アカウントの利用は推奨していません。 契約で1人に1つアカウントが必要な場合は必ず個別アカウントを発行しています。 サービス都合でアカウントを1つしか発行できず、契約上の問題がないアカウントを対象としています。
IT統制におけるアカウント管理とは
組織内でアカウント(ユーザーアカウントやシステムアカウントなど)を適切に管理するためのプロセスやポリシーのことを指します。IT統制は、組織が目標達成とリスク管理を実現するために、適切な組織構造、プロセス、監視体制を確立し、実行するための枠組みです。アカウント管理はその一環としてセキュリティ、効率性、透明性を確保するために重要な役割を果たします。
共有アカウントとは
複数の従業員が同じアカウントを共有して業務を行う場合に使用されるアカウントのことを指します。 これは、特定のプロジェクトやタスクに関連する情報やリソースにアクセスするため使用されることがあります。
共有アカウントの問題点
セキュリティリスク
- 複数の人が同じアカウントを使用するとセキュリティ上のリスクが増加する。
- アカウントのパスワードが漏洩する可能性や不正アクセスのリスクが高まる。
- センシティブな情報やデータが共有アカウントでアクセス可能である場合、情報漏洩のリスクが高まる。
責任の不明確さ
- 特定の操作や変更が誰によって行われたのかを特定することが難しくなり、問題解決が困難になる。
アクセス管理の難しさ
- アカウントへのアクセスを制御したり、不要なアクセスを遮断することが困難であり、アカウントの利用権限を適切に管理することが難しくなる。
情報漏洩
- 社内外で機密情報や個人情報など含まれるアカウントが共有されている場合、情報漏洩のリスクが高まる。
運用実施に向けて
共有アカウントの適切な管理に関する重要なポイント
アカウントの利用目的と範囲の明確化
- 共有アカウントの利用目的を定義し、それに適した操作やアクセスを制限する。
アカウント管理者の指定
- 各共有アカウントに責任を持つ管理者を指名し、アカウントの監視やセキュリティ対策を担当する。
アクセス権限の最小化
- 共有アカウントのアクセス権限を必要最小限に制限する。不要なアクセスを避ける。
パスワード管理の強化
- 強力でランダムなパスワードの使用を奨励し、定期的な変更を実施する。2要素認証を検討する。
トレーニングと意識向上
- 共有アカウント利用者にセキュリティトレーニングを提供し、セキュリティ意識を高める。
定期的なチェックと更新
- 共有アカウントの利用状況やアクセス権限を定期的にチェックし、不要なアカウントを削除する。
共有アカウント利用状況の把握
申請がない共有アカウントの利用状況を把握する必要があります。
- 各部署へのヒアリングを実施して利用状況を把握する。
- ウェブサイトへのアクセスログを調査して利用状況を把握する。
運用方法
共有アカウントの利用を申請する。
- 利用目的
- 管理者
- 共有アカウント管理台帳
- 共有アカウント利用規約の同意
月に1度、管理者は共有アカウントを整理する。
- コミュニケーションツールで入退社情報の共有
- 共有アカウントの整理
月に1度、共有アカウント整理状況をチェックする。
- IT戦略グループで運用状況のチェック
年に1度、共有アカウントの運用状況を評価する。
- 内部監査室*1で運用状況を評価
その他 パスワード管理ツールの検討
共有アカウントのIDとパスワードを安全に管理するためツール導入も検討しましたが、すべてのケースを網羅できないため見送りました。 アカウント利用者が任意のタイミングでパスワードを変更できる場合、パスワード管理ツールの導入は効果的です。
おわりに
共有アカウントは便利な反面、組織全体に及ぼすセキュリティリスクを抱えてしまいます。 継続的に運用改善を実施してセキュリティリスクを低減させていく必要性があります。
*1:社内規程が正しく文書に記載され、社内で正しく運用されているかなどをチェックする。