情シスのかたち

powered by gin

アクセス管理とは?必要性の解説とクラウド上で利用すべきサービスを紹介!

product

アクセス管理とは?

社員にデータファイルやクラウドサービスへのアクセス権の範囲を管理者が制御することです。権限管理やID管理と言われる場合もあります。ユーザーは社内ネットワーク等へのアクセスを要求した際に、本人確認とデバイス機器の認証を求められます。第3者のなりすましによる不正アクセスを防ぐためです。

認証をクリアした後に、ユーザーの所属する部署やチームなど属性に基づき閲覧できる範囲が決定されます。例えば、あなたが営業マンだったとしましょう。業務に必要な売上実績や顧客データ、受発注書や見積書などのデータは閲覧できますが、技術者が利用する図面や部品表、人事が利用する従業員データや評価データなどは閲覧できない状態にすることです。

アクセス権を適切に決定することで、情報漏洩対策と管理者の業務負担軽減につながります。

アクセス権が管理されていないために発生する4つの問題とは?

情報漏洩の原因やセキュリティ管理の運用が効果的に行えなくなるといったデメリットがあります。

放置したアカウントが不正に悪用される

退職した社員や休職中、出向など様々な要因で現在は使用していない社員のアカウントが散在する問題です。 アクセス権が有効の状態で放置された休眠アカウント残っていると、犯罪者が不正アクセスに悪用する可能性が十分にあります。 犯罪者はセキュリティ対策が甘い部分を起点に、社内ネットワークの侵入を試みるからです。

過去に家電量販店大手エディオンを退職した社員が転職先で以前の社員IDを利用して機密情報を横流しした事例、東芝のパートナー企業の元社員が半導体に関する技術データを転職先のSKハイニックスに提供したとの事例も過去に大きな話題を呼びました。

近年、資金面や人員に余裕のある大企業は情報漏洩対策のために、セキュリティソリューションの導入や人材投入を行い、年々セキュリティ対策を強化してきました。情報資産を守る仕組みを強固にしている大企業に、正面から侵入を試みても目的とする機密情報には辿り着けません。

近年では、大企業よりもセキュリティレベルが落ちる中小企業を起点に、ターゲット企業の情報資産を盗取するサプライチェーン攻撃が増えています。犯罪者はターゲット企業と取引のある中小企業の社内ネットワークに侵入後、ターゲット企業に不正アクセスサイバー攻撃を仕掛けます。犯罪者にとっては正面から大企業と戦うよりも、中小企業を起点に攻めた方が情報資産を入手できる確率が高いというわけです。

そのため、今後は中小企業がサイバー攻撃の標的にされる機会が今まで以上に増えていくでしょう。自社のセキュリティ対策が原因で取引先の情報資産が失うことになれば、今後のビジネスは大変厳しい状態になります。セキュリティ対策を先送りにしていた企業も本格的に導入を検討する時期に突入しています。

アカウントが散在

使用するサービスやアプリケーションが増えると、その分ユーザーアカウントが必要になります。アクセス権を適切に管理しないと、アクセス権を一元管理するセキュリティソリューションを導入しても、アクセス権とアカウント情報のスムーズな統合や紐付けが難しくなります。そのため、せっかくハイスペックなセキュリティソリューションを導入しても満足に能力を引き出せません。

アクセス権の過剰付与

ユーザーの部署移動や人事異動に対応してアクセス権を変更しないと、ユーザーに必要以上のアクセス権を付与する形になります。閲覧範囲が広いと機密情報が引き出しやすくなり、内部漏洩の原因になります。

内部漏洩は企業にとって常に対策に頭を悩ませるセキュリティ上の脅威です。隅々まで社員の行動を把握できない上、現在は在宅勤務やテレワークなどオフィス以外で働くことを増える社員が増加しているからです。従来のオフィス出勤の時には機能していた社員同士の監視の目も無くなりつつあります。

給料や人間関係、社内での扱いに不満を覚える社員が多額の金銭的見返りや企業への復讐のために、情報流出をしてもおかしくない状況です。内部漏洩の原因を作らないためにも、社員のアクセス権の管理は必要です。

アクセス権の管理基準と責任の所在がはっきりしない

特定の社員へのアクセス権の設定や変更を「いづ、誰が、どのくらいの閲覧範囲で」設定するかが、わかりません。基準が明確にないため参考にする材料もなく、社員への対応も難航します。また、管理者が不在の場合はアクセス権の付与だけでなく、変更作業や設定なども行えず、業務の停滞を招きます。

アクセス管理のプロセス

ユーザーがアクセスを要求してからアプリやクラウドサービス内の行動監視に至るまで、一連のプロセスを記載しました。

  • 受付ー社内ネットワークへのログイン要求
  • 検証ー第3者のなりすましが行われていないかを確認
  • アクセス権の付与ー社内ネットワークへのアクセス許可とアクセス権限を付与
  • 監視ーユーザーに与えたアクセス権の利用状況が正しいかを監視
  • ログの記録と追跡ー特定IDの使用状況の確認と追跡

クラウドサービスでID管理を行うためには?

IDaaS(Identity as a Service)の利用がおすすめです。ユーザーのID認証だけでなく、シングルサインオンや多要素認証、アクセス制限など多彩な機能を利用できます。IDaaSは自社で運用・管理をしていくオンプレミスよりも、ネットインフラを揃える必要が無いためコストでの利用が可能です。

また、インターネット接続ができる環境にいれば働く場所は関係ありません。現在企業が進める場所を問わない働き方改革を促進させます。

IDaaSを利用するメリット

メリット波及効果
内容
  • 使用したいときに使用したい分だけ利用可能
  • インターネット接続ができる環境であれば、アクセス地点は関係ない
  • 管理・運用はベンダーが対応
  • 煩雑なパスワード管理を行う必要なし
  • セキュリティレベルも確保
  • 多様な働き方の実現
  • コストカット
  • 管理者の業務負担軽減
  • 業務効率性の向上
  • 情報漏洩対策

IDaaSの機能とは?

各機能の特徴を順番にみていきます。

多要素認証

ログイン許可を要求するユーザーが正しいユーザーかどうか確認後、社内ネットワークへのアクセス許可を出します。顔認証や指紋認証など生体機能やスマートフォンのSMSに送った番号を入力させる多要素認証をユーザーID/パスワード入力時に要求すると、犯罪者の不正アクセスのリスクを軽減可能です。

シングルサインオン

特定のクラウドサービスに一度ログインに成功すれば、他のアプリやデータファイルへも入力作業を行わずにワンクリックでログイン可能です。 複数のパスワード管理や入力作業を行わなくて済むので、業務の効率性や利便性が上がります。

Webサイトやクラウドサービスごとに複数のパスワードをメモで管理していると、紛失した場合はログインできません。また、PCやスマートフォンで個別管理を行っていたとしても、毎回確認して入力するのは大きな手間です。少ない時間で多くの仕事をこなす業務効率性を求められる現状において、少しでも業務上のストレスを減らす必要があります。

煩雑な管理から解放する機能として、シングルサインオンは便利な機能です。そして、IDaaSではオンプレミスとクラウドの両方で対応が可能です。

ID管理

IDaaSやクラウドサービスを利用するためのID管理を行います。

ID連携

新入社員の入社や退職、人事異動などユーザーのID情報に基づいてアカウントの作成・削除、変更を行います。オンプレミスで社員のID情報やアクセス権を管理するAD(ActiveDirectory)と自動連携することで、ADで行われたユーザーのアカウントの作成・削除・変更をクラウドサービスにも反映します。管理者の業務負担軽減や不要なアカウントを残すことで発生するライセンス費用のコスト削減、情報漏洩のリスク軽減につながります。

アクセスコントロール

特定の場所や指定の端末以外は社内ネットワークへのアクセスができないといった設定を行うことで、犯罪者による不正アクセスのリスクを防ぎます。また、ユーザーのアクセス地点や普段使用しているデバイス機器、アクセスの時間帯など普段との行動との違いや異変があれば、追加で多要素認証を要求するリスクベース認証などの機能を有していると、さらにセキュリティレベルが向上します。

ログレポート

ユーザーのアプリやクラウドサービスの利用状況や履歴、アカウント情報の変更内容を確認できます。過去に遡って履歴を確認することができるため、不正アクセスサイバー攻撃の有無など自社のセキュリティ対策に問題がないかを確認することが可能です。

IDaaSの4つの選定ポイントとは?

IDaaSはクラウドサービスとの連携、コスト面、サービスの継続性などが挙げられます。

クラウドサービスやアプリとの連携

業務上使用頻度の高いOffice365やGSuite、Salesforceなどはもちろんのこと、多くの企業のサービスを利用できると使い勝手が上がります。SAMLなど一般的な連携方法は勿論ですが、対応しているアプリやクラウドサービスに制限がないIDaaSを選ぶようにしましょう。

無料プランが用意されている

自社との相性や操作性を確かめるために、30日間のトライアル期間の設定や無料プランを用意しているベンダーがあります。無料プランでスタートをして必要な機能を随時追加できる形であれば、コストの無駄を極力減らすだけでなく、本当に自社にとって必要な機能を揃えることができます。最初は無料トライアルや無料プランを活用して感覚を掴み、本格導入に移行する形がベストでしょう。

ベンダーサポート

アクシデントや故障があった際に素早いフォローが期待できるかといった点です。販売や顧客サポートを代理店に一任している場合や海外に本社機能を置いている場合は、タイムリーに回答が得られず問題解決に時間が掛かる場合があります。国内法人の有無やマニュアルの充実度、サポートの手厚さなども特にセキュリティ業務の経験が浅い社員が管理者を務めている場合は、IDaaSを見極める重要な要素です。

サービスの継続性

社員のID管理は会社が存続する限り、長期にわたって必要な認証機能です。IDaaSを供給しているベンダーが経営状況を理由に簡単にサービス停止を決断するようでは、また新たなベンダーを探さなくてはなりません。既にユーザーから一定の支持を得ている導入実績が豊富なベンダーのサービスを選びましょう。

おすすめのIDaaSを3つ紹介

TrustLogin、Okta、Auth0の特徴を紹介します。

TrustLogin(トラスト・ログイン)

TrustLoginはGMOグループが提供しているIDaaSでテレビ東京やキャノン電子テクノロジー、アドゥェイズ社など様々な企業が導入しています。TrustLoginの特徴はコストパフォーマンスの高さです。1ユーザー月額300円の有料プランは最低30名以上のユーザーが必須ですが、逆に言えば30名以下の企業は無料プランでも十分だと言うことです。

シングルサインオンは無料で利用することができ、Office365やGSuiteなどとのサービスの連携、ワンタイムパスワードの導入などは1ユーザー100円から導入できます。本当に必要なサービスだけを低コストで追加できるので、コストの無駄を省きます。

導入に伴い既存システムの変更作業も必要ないので、スムーズな導入が可能です。

Okta(オクタ)

2019年にOktaの登録ユーザーが1億人を超えるなど、IDaaS市場を引っ張る存在として高い評価を受けています。Oktaの特徴は使いやすさにあります。管理画面はシンプルなデザインできれいに整理されており、業務上使用頻度の高いサービスをワンクリックですぐに利用できます。

また、ライフサイクル管理の活用でユーザー、所属する部署やチーム、デバイス機器などを同期した統合管理が可能です。管理者が決めたアクセスポリシーに基づき、クラウドサービスやアプリへのアクセス権やアカウント作成の自動管理。運用が可能であるため、効率的な管理を実現します。

Auth0(オースゼロ)

Auth0はNTTドコモやパーソルキャリア、ライザップへの導入実績があるIDaaSです。Auth0社は2020年にNTTデータと業務提携を結んだことでも話題になりました。Auth0の特徴はカスタマイズ性の高さです。

ルール機能の活用で、管理画面でのユーザー属性の追加やクラウドサービスのログイン後の追加処理など、自社にとって利用しやすい環境を自由に作れます。また、JavaScriptC#を使えば自社独自のカスタマイズやデータ連携も可能です。テンプレートも多数用意されているので、特にカスタマイズが必要なければそのまま利用することもできます。

他にも、流出した社員のIDや盗難・紛失で使用していないIDからのアクセスをブロックする異常検出機能も搭載しており、セキュリティ機能も備えています。