退職・異動にもしっかり対応!SSOでアクセス権を確実に管理
schedule 2017/09/14 refresh 2023/11/09
重要度を増す認証の仕組みとアクセス権の管理
今日のビジネスシーンでは、業種業態、その規模にかかわらず、さまざまな複数のクラウドサービスやソフトウェア、Webサービスなど、業務に必要なシステムを複雑に組み合わせて用いることが一般的となりました。多種多様なシステムツールは、業務を効率よく正確に実行するため、いずれも欠かせないものとなっているでしょう。
しかし、これらの業務システムに、誰もが自由に出入りできてしまうと、悪意ある第三者に利用され、重要な機密情報や顧客個人情報の漏洩、データ破壊など深刻な損害を被る恐れがあります。社内でも、所属する部署や役職により、適切な範囲でのアクセス権を有するものとしなければ、スムーズな業務の遂行が妨げられ、多くの問題が発生してしまうでしょう。
そこで、誰にどこまでのアクセス許可を行うのか、新入社員や退職者、異動などその都度発生する人事関連の変更を踏まえた、常に最新の社内状況に合うアクセス管理を徹底することが非常に重要となります。しかし、それぞれのユーザーが、さらにシステム個々別々のID・パスワードを用いていると、管理はきわめて煩雑となり、対応の漏れも生じやすくなります。
こうしたアクセス権管理の煩雑さを解消し、対応の漏れによるリスクを低減するためにも、シングルサインオン(SSO)の導入は有効です。シングルサインオンの仕組みがあれば、認証が一元化されているため、アカウントの状態も一括管理が可能となるからです。もちろんこのSSOの運用管理担当者は、人事イベントに応じたSSOで統合管理されているアカウントの状態変更や解除を適切に実行する方法を身につけていなければなりません。
SSOが導入されていない環境に比べると、容易かつ確実に管理可能となりますが、一元化されているがゆえに管理を誤れば、あらゆるシステムが大きなセキュリティリスクに曝されることとなってしまいます。今回は、この非常に重要なSSOの運用管理について取り上げましょう。
退職者にはとくに注意!人事とシステム運用
まず注意を払うべきは退職者のアクセス権、アカウントを解除することです。万が一適切に処理されていないと、退職後も外部から社内システムにアクセスできてしまい、重大なセキュリティホールとなりえます。
経済産業省が2013年に行った調査でも、業務上の秘密漏洩を経験した企業で、その最多要因は中途退職者による流出でした。その割合は全体の半数超を占めるものになっています。入社や退職、異動、組織変更が相次ぐシーズンなどはとくに、管理の漏れが発生しないよう十分注意すべきであり、SSOの一元性を活かした確実なアクセス権の管理を行う必要があります。
SSOの仕組みがきちんと構築されていれば、いつ誰がどのような条件下でアクセス許可となるのか、きめ細かく設定することができます。ユーザーの削除や追加、変更は、用いる複数のシステムやサービスにリアルタイムで反映させられるため、この設定・管理を徹底すれば、メンテナンスによる業務遅延や一時停止を生じさせることなく、セキュリティリスクを回避して、社内全体の適切なシステムの運用状態を常時保っていくことができるでしょう。
多くの場合、管理者権限でメニューからアクセスし、該当するユーザーを選択、マスターデータで設定変更や解除・無効化を実行すればよい仕組みとなっています。なお透明性とセキュリティ性を高める観点から、個々のユーザーがいつ認証を受け、アクセス権を行使したかはもちろん、SSOの管理者がどの項目をどう追加・変更したか、全てのログが採取され、監査資料として蓄積される仕様としておくことが適切でしょう。運用時のアクセス権をリアルタイムに把握し、不審なセッションが認められれば、すぐに対処をとれる機能も必要です。
ユーザー数が非常に多い場合や、パートナー企業との関係性などが複雑な場合、個別管理だけでなく、役割によるユーザーのグルーピングを図ることも検討します。
社内の人事ディレクトリ情報と連携し、ユーザーの追加・変更・削除を自動で実行、運用管理の効率性を上げ、退職者の削除漏れも防止するといったソリューション提供もあります。
これを導入すれば、適切な管理ポリシーに従った処理が迅速かつ的確になされ、管理者の膨大な作業負担を軽減できるほか、削除漏れによる人為的ミスでのセキュリティレベル低下を未然に防ぐことができます。アクセス権の管理についても、ルールを設定すれば統合サーバーからそれぞれのシステム利用におけるアクセス権を、必要権限を越えることなく設定、内部統制の環境整備が行いやすくなるでしょう。よってこうした自動化のソリューションを活用しながら、より確実なアクセス権とSSOの管理運用を行っていくこともお勧めです。
認証システムで重要なのは、利便性の高さとセキュリティの高さをともに実現させることです。管理すべきポイントが増加すれば、必然的にトラブルやリスクの発生機会も上昇しますから、防御するポイントが1箇所に集約されているSSOは本来有利で、統合された1点の管理を徹底しさえすれば、全体の最適化、堅牢なセキュリティ環境と適正な内部統制を図ることができます。
一方で、この重要な1点が厳重かつ適正に管理されていないと、あらゆるシステムに深刻な影響とリスクを与えるものともなります。管理担当者においてはその重大性を十分に認識し、確実な対応をとることが求められるのです。
(画像は写真素材 足成より)