アクセス管理とは

アクセス管理とは、組織内のデータやクラウドサービスへのアクセス権の範囲を管理者が制御することを指します。

「誰がどこへのアクセス権限を持っているか」を管理するため権限管理とも呼ばれます。

広義ではサーバールームへの入退室やIP・デバイスに応じたアクセス権の制御もアクセス管理ですが、ITILにおいては一般的に、ID管理 と関連付けたユーザーID単位でのアクセス制御を意味します。

アクセス管理のプロセス

1. 受付

ユーザーからサービスやネットワークへのアクセス要求を受け付けます。

2. 検証

要求内容が妥当であるか、適切な承認を受けているか、第三者のなりすましが行われていないかなどを確認します。

3. アクセス権の付与

サービス・ネットワークへのアクセス権限をユーザーに付与します。

4. 監視

ユーザーに付与したアクセス権の利用状況を監視します。

5. ログの記録と追跡

監視結果に基づき、特定IDの使用状況を確認・追跡し、必要な場合にはログで詳細を検証します。

アクセス管理の必要性

アクセス管理はセキュリティの強化のために非常に重要なプロセスです。

アクセス管理はITIL  v3から新規に追加されたプロセスですが、追加された理由は、ITIL v2が発行された2000年から、ITIL v3が発行された2007年の間に、ずさんなアクセス管理が原因となった情報漏洩事故が多発したためといわれています。

情報漏洩の原因となるアクセス管理の不備

アクセス権の過剰付与

2004年に電気通信事業者のアッカ・ネットワークスで約34万人分の個人情報が流出する事件が起きました。

この事件は元社員が顧客情報データベースにアクセスし情報を抜き出し流出させたものでしたが、犯人の確保まで約2年を要し、その間流出経路の特定もできていませんでした。

当時、顧客情報データベースにアクセス権限があったのは、顧客サポート部門、営業担当者、情報システム部門の担当者で、業務に不必要な顧客情報にアクセスできる社員が、約400人も存在していました。

必要な社員だけが必要な情報にアクセスできる状態であれば、情報漏洩のリスクを抑えることができたほか、万が一情報漏洩した場合の流出経路の特定も速やかに行えたはずです。

アクセス管理を適切に行い、社員に過剰なアクセス権を付与しないことは情報漏洩のリスクを抑えるために非常に重要です。

 

不要アカウントの放置

2005年にYahoo! BBで、元契約社員が当時使用していたパスワードで社内サーバーに不正アクセスしたことにより、660万人分の個人情報が漏洩する事件が発生しました。

退職後もアカウントを利用可能な状態であったことが原因で発生した事件です。

この事件のような不正アクセスによる情報漏洩を防止するために、不要なアカウントの削除はアクセス管理の重要な業務のひとつです。

アクセス管理の課題は管理者の作業負担

社員が利用するサービスや閲覧するデータは、所属部署や職種・役職によって異なります。

そのため社員の異動や入退職の際には、その社員がアクセスできる範囲を更新する必要があります。

一人の社員につき多数のサービス・データのアクセス権を管理するため、人事異動など作業が集中する時期には、管理者の大きな負担となります。

アクセス権の登録・更新作業の効率化はアクセス管理の大きな課題といえます。

Freshserviceでアクセス管理を簡単に

FreshserviceはITIL準拠のアクセス管理機能を備えたITSM ツールです。

アクセス権をIDと同一のシステムで管理し、ユーザーへの適切な権限付与をサポートします。

役割設定で適切なアクセス権を自動で付与

社員の役割ごとに、割り当てるアプリケーションや閲覧できるデータファイルを設定することができます。

例えば、営業職の社員にはZoomとカレンダーを、エンジニアにはそれらに加えてAWSとSlackのアクセス権限を自動で付与する、といった処理が可能です。

これにより人事異動や入退社の際に、社員の新たな役割を登録するだけで、必要なアプリケーションやデータファイルへのアクセス権限の付与が実行され、大幅な業務の効率化につながります。

オーケストレーション機能によるアクセス権の自動割り当て