【第11回】「企業の情報漏洩対策の実情とPDCAチェックの重要性」（後編）

個人情報保護法が施行され、3カ月が経とうとしている。現在のところ、法によって摘発された大きな事件などは起きてはいない。しかし、コンプライアンスへの取り組み体制を開示している企業は少なく、実態はどのようになっているかは疑問も多い。そこで今回は情報セキュリティに明るい新日本監査法人 大阪事務所の澤井氏に、企業の内情と効果的な対策について話を伺った。

--ITを活用して情報漏洩対策を効果的に実施するには、ユーザ管理が重要になるのではないでしょうか

新日本監査法人 大阪事務所 アドバイザリーサービス本部 システム監査部　澤井正之氏
1996年 広島大学工学部卒　大手製造業の情報システム部門を経て、2003年5月より現職。テクニカルエンジニア（ネットワーク）、情報セキュリティアドミニストレータ、システム監査技術者。

澤井氏　確かにITを活用する上では、ユーザID管理は必須となっています。ただ、多くの企業では、ユーザID管理の規定ができていないのが実情です。例えば、ユーザID発行に関して正式な手順がない場合、個人が必要だと思うときにシステム管理者に申請するケースが多く見られます。

　このケースだと、誰がどのようなユーザIDを持っているかを、システム管理者が把握できない、またトータルに把握できない状況が生まれます。ユーザIDについてもライフサイクルという視点での管理が重要になります。人事異動や退職などが起きたときに、それに伴ってユーザIDが持つ権限の変更や削除を行っていないと、それはセキュリティホールになる可能性も持っています。

--こうした問題に対処するために、どのようなアドバイスをなさっているのでしょうか。

澤井氏　一人ひとりのユーザIDをしっかり管理することをまずは推奨します。というのも、多くのID管理がうまくできていない企業の多くは、部署毎の共有ユーザIDの管理が適切に行われていない場合が見受けられます。一人１ユーザIDではない場合、特にきちんとした管理がなければセキュリティ上問題が発生します。　そのユーザIDを簡単に他人に教えてしまうというようなことも少なくありません。このやり方では、容易にセキュリティホールが生まれる可能性があります。

　次に、システム管理者だけにすべての権限を持たせるのが危険であることを説明します。こうした状況では、システム管理者が非常に強い権限を持ってしまうだけでなく、経営層がユーザIDの状況を把握することが不可能になるためです。必要な利用者だけにアクセス権限を与える、きちんとしたアクセス管理を行っていても、そこでシステム管理者だけが特権ユーザであっては意味がありません。

　そしてユーザIDに関する発行・変更・削除・定期的チェックに関するルール作りを実施することです。例えば利用者が管理者に電話１本でユーザIDの発行を頼めてしまうような環境であれば、場合によってはなりすましも可能になってしまいます。

　また、ユーザIDの削除申請を行う申請を行う利用者はほぼ皆無といえます。ユーザIDに関しても定期的なチェックを行って利用状況を確認することが必要となると考えております。