ラベリングによる認証との紐付けが重要な認可
続いては認可だが、こちらは閲覧、入力、削除、実行など、認証後にシステムの中で何ができるかを示すもの。それを実現するのがアクセスコントロールであり、正しくアクセスを制御するには「行動を示す」ことが求められる。
何ができるかを設定し、どのようにシステムへ伝えていくか。この鍵を握るのが「ラベリング」だ。
「皆さんの会社にある情報を保護する場合、少なくとも保護対象となるファイルに対して何らかのラベルを付与しておく必要があります。サーバ上にファイルを保存しておくだけでは保護になりません」と河野氏。
たとえアクセス権を設定しても、肝心のファイルがその領域から出てしまった場合は効力を失ってしまう。つまり認証だけでは意味がなく、ファイル自体が作成されてから消去、廃棄に至るまで、常に認証と認可が紐付いている必要があるわけだ。
ただし、オブジェクトをラベリングする際にも注意点がある。たとえば「社外秘」というラベルは、社員が社外に持ち出してはいけない、部外者に見せてはいけないなど、行動を決定付けるものだ。
しかし、「個人情報」では誰がどのような扱いをできる、できないの行動が示せていないため無意味となってしまう。また、システムに落とし込めないようなラベルも、正しい情報管理の妨げになるので使用を避けるべきといえる。
オブジェクトのラベリングとしては、役割に応じたアクセス制御が重要となる。個別に認可情報を付与していると管理に手間がかかるため、認可情報や役割や部署などによってグループ化しておくといい。また河野氏は「『役割に応じたアクセス制御』の機能が実装されているかを調べると、ID管理システムとして成熟しているかどうかが分かります」と語る。
柔軟性の高いアクセス制御には、グループ分けなどを自動化するための仕組み作りとして、ディレクトリサービスの活用がポイントとなる。多くの場合はディレクトリサービスにプロファイルを集約し、これをベースにオブジェクトをラベリングする。こうした自動化によって、退職者などのアカウント消し忘れ、権限付与の間違いといったトラブルも抑制することが可能だ。
※クリックすると拡大画像が見られます
※クリックすると拡大画像が見られます
中小企業もすべて“セキュリティ経営”の対象
さらに河野氏は、これらの内容を踏まえた上で説明責任の在り方や、すべての振る舞いに関する記録の統合とID管理、IDフェデレーションについて言及。講演の後半では、Windows 10で新たに実装された「Windows Hello」と「Microsoft Passport」の有効性に加えて、「Azure Active Directory」との連携、「System Center Operations Manager(SCOM)」による統合といった部分にも触れた。
最後に河野氏は「中小企業もすべて“セキュリティ経営”の対象となっています。重要なのは、セキュリティへの取り組み姿勢を示すには“禁止”がメインの施策では対応できないこと。そして、何かを“した”ことでしか記録が残らないため、説明責任を果たすには情報セキュリティ対策の基盤となるID管理を実施する必要があります」と、参加者へのメッセージで講演を締めくくった。