放置されたアカウントはセキュリティの敵だ!

起業間もないベンチャー企業は得てして人の出入りが激しかったりする。人の定着化はそれ自体真剣に取り組まなければならない課題だが、ここでは人の出入りに伴って起きる情報システムの管理に関わる極めて基本的な問題について述べてみる(情報セキュリティ対策の参考:https//www.ipa.go.jp)

今日、パソコンなどの情報機器を利用しない職場はほとんどないだろう。そうした情報機器の利用時には必ずといっていいほど、IDとパスワードの入力が求められるのは皆さんもご存知の通りだ。このID、パスワード、さらに氏名、メールアドレスなどの情報すべて合わせたものをアカウントと呼ぶ。アカウントは作成した後、修正があれば変更し、不要になったら削除するのが基本的なアカウントの管理だ。ここまでは皆さんもご理解いただけるだろう。しかし、理屈では分かっていてもなかなか実行されていないのもまた現実だ。

情報セキュリティ対策というと、ファイアーウォール、ウィルス対策ソフトなどがすぐに挙げられるが、どれだけこうした対策を施しても、すでに退職した人のアカウントが残ったままでいれば、せっかくのセキュリティ対策も簡単に突破されてしまう。皆さんのところでは大丈夫だろうか。

「1人に1つ」がアカウント管理の基本

オフィスのアカウント管理のポイントは、
・アカウントは1人1つ
・「幽霊アカウント」に注意
・共有アカウントは最小限に
の3つだ。

アカウントは大きく分けて、システム利用時の許可の判断に使われるのと、問題発生時の追跡に使われる。
システム利用時の許可というのは、そのシステムやネットワークにアクセスしようとした場合、その利用者は誰なのか、システムを利用する資格を持っているのか、利用できる場合もどの範囲で利用できるのかを決めるものだ。
問題発生時の追跡は、何かトラブルがあった場合や定期的にシステムの記録(ログ)を確認することで、いつ、誰が、何をしたかを確認し、システムが正しく使われているか、不正に利用したのは誰なのかを特定する。

だから、複数の人が1つのアカウントを共同で利用したり、逆に1人の人が複数のアカウントを使い分けていると、アカウント本来の役割がまったく機能しなくなる。「1人の利用者に1つのアカウント」は基本中の基本だ。

後回しになり勝ちなアカウントの削除

次にアカウントの管理が疎かになっている企業に多いのが「幽霊アカウント」の存在だ。冒頭に挙げたように、人が増えた場合にアカウントを作成するのは簡単で、注意も払われる。システムが利用できないと困るため、利用者や周囲の人がアカウントの作成を申請してくるからだ。しかし、人がいなくなった時には、そのアカウントが残っていても誰も困ることがないため、アカウントの削除が滞りがちになってしまう。忙しい時にはついつい後回しになっていまい、そのうちに削除することを忘れてしまう。

人が辞める時だけではない。少し従業員が増えて人事異動などが生じるようになると、当該部署のシステムに「幽霊アカウント」が増えることになってしまう。休職や出向のように一時的に企業を離れる場合も、アカウントを一端無効にする必要がある。システムにその機能がある場合はそれを使えばよいが、無い場合も一端バスワードを複雑なものに変えてしまい、本人が復帰した際にパスワードを初期化、変更して利用者に改めて通知することでアカウントの利用を再開するようにしなければならない。

共有アカウントは管理簿を用意

「1人に1アカウント」が基本とはいっても、どうしても業務の特性やシステムの制約から、グループアカウント、共有アカウントを使わなくてはならない場合が出てくるかもしれない。その場合も、
・利用者を把握する
・誰がいつアカウントを使ったかが分かるようにする
・メンバーが代わった際に利用できないようにする
ことは最低限確実に実施しておきたい。

利用者を把握するためには、共有アカウントの利用者が誰かをエクセルなどで管理することになる。幽霊アカウントと同じく、このファイルも定期的に確認し、すでに退職していたり、業務を離れた利用者がいないかを確認する。そして、共有アカウントを利用する際は必ず誰が使ったのかを分かるようにエクセルで管理簿を用意し、利用のたびに書き入れるようにする。さらに厳密に管理したい場合は、利用のたびに管理者に申請するようにして、管理者は利用申請を受けるとパスワードを変更して利用者に通知、利用者は受け取ったパスワードを用いてシステムを利用する流れを作る。

ロッカーやドアロックなどにも応用

忘れてはならないのは、メンバーが変更になった場合に、変更後のメンバーだけがログインできるようにする必要があることだ。メンバーが追加するだけなら、追加された人にIDとパスワードを教えるだけで済むが、減った場合は、パスワードを変更し、変更後のパスワードを新しいメンバーだけに知らせることで、以前のメンバーがアカウントを利用できないようにしなければならない。面倒だと思われるかもしれない。しかし、この方法は情報システムだけに限った話でもない。暗証番号だけで利用できるロッカーやドアロックなどでも同じことだ。そうした対策が求められている時代にいることを重々肝に銘じなければならない。