“説明責任を果たす”ための理想のID管理のあり方--ディアイティ河野省二氏 - (page 2)

エースラッシュ

2015-11-02 06:00

ラベリングによる認証との紐付けが重要な認可

 続いては認可だが、こちらは閲覧、入力、削除、実行など、認証後にシステムの中で何ができるかを示すもの。それを実現するのがアクセスコントロールであり、正しくアクセスを制御するには「行動を示す」ことが求められる。

 何ができるかを設定し、どのようにシステムへ伝えていくか。この鍵を握るのが「ラベリング」だ。

 「皆さんの会社にある情報を保護する場合、少なくとも保護対象となるファイルに対して何らかのラベルを付与しておく必要があります。サーバ上にファイルを保存しておくだけでは保護になりません」と河野氏。

 たとえアクセス権を設定しても、肝心のファイルがその領域から出てしまった場合は効力を失ってしまう。つまり認証だけでは意味がなく、ファイル自体が作成されてから消去、廃棄に至るまで、常に認証と認可が紐付いている必要があるわけだ。

 ただし、オブジェクトをラベリングする際にも注意点がある。たとえば「社外秘」というラベルは、社員が社外に持ち出してはいけない、部外者に見せてはいけないなど、行動を決定付けるものだ。

 しかし、「個人情報」では誰がどのような扱いをできる、できないの行動が示せていないため無意味となってしまう。また、システムに落とし込めないようなラベルも、正しい情報管理の妨げになるので使用を避けるべきといえる。

 オブジェクトのラベリングとしては、役割に応じたアクセス制御が重要となる。個別に認可情報を付与していると管理に手間がかかるため、認可情報や役割や部署などによってグループ化しておくといい。また河野氏は「『役割に応じたアクセス制御』の機能が実装されているかを調べると、ID管理システムとして成熟しているかどうかが分かります」と語る。

 柔軟性の高いアクセス制御には、グループ分けなどを自動化するための仕組み作りとして、ディレクトリサービスの活用がポイントとなる。多くの場合はディレクトリサービスにプロファイルを集約し、これをベースにオブジェクトをラベリングする。こうした自動化によって、退職者などのアカウント消し忘れ、権限付与の間違いといったトラブルも抑制することが可能だ。

 アクセスコントロール アクセスコントロール
※クリックすると拡大画像が見られます
オブジェクトのラベリング オブジェクトのラベリング
※クリックすると拡大画像が見られます

中小企業もすべて“セキュリティ経営”の対象

 さらに河野氏は、これらの内容を踏まえた上で説明責任の在り方や、すべての振る舞いに関する記録の統合とID管理、IDフェデレーションについて言及。講演の後半では、Windows 10で新たに実装された「Windows Hello」と「Microsoft Passport」の有効性に加えて、「Azure Active Directory」との連携、「System Center Operations Manager(SCOM)」による統合といった部分にも触れた。

 最後に河野氏は「中小企業もすべて“セキュリティ経営”の対象となっています。重要なのは、セキュリティへの取り組み姿勢を示すには“禁止”がメインの施策では対応できないこと。そして、何かを“した”ことでしか記録が残らないため、説明責任を果たすには情報セキュリティ対策の基盤となるID管理を実施する必要があります」と、参加者へのメッセージで講演を締めくくった。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    【マンガ解説】まだ間に合う、失敗しない「電子帳簿保存法」「インボイス制度」への対応方法

  2. ビジネスアプリケーション

    きちんと理解できていますか?いまさら聞けないインボイス制度の教科書

  3. 運用管理

    AWS、GCP、Azureを中心としたクラウドネイティブ環境における5つのセキュリティ強化策

  4. セキュリティ

    マンガでわかる―Webサイトからの情報搾取を狙うサイバー攻撃「SQLインジェクション」、どう防ぐ?

  5. セキュリティ

    緊急事態発生時にセキュリティを維持するための8つの戦略と危機管理計画チェックリスト

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]