企業からの情報流出事件が後を絶たない。しかも情報の管理・保護には力も予算も投入しているはずの大手企業が当事者とあっては、「どんな対策をとれば、我が社は安心していられるのか」と、悩んでしまっている経営層の方も多いだろう。
セキュリティ関連を中心に、システム、ソフトウェアの開発・サービスを展開する、 株式会社インフォメーション・ディベロプメントのシニアエンジニア、宮本朋範氏は、「情報保護の根本は、認証管理にあります」と語る。
本稿では、11月にマイナビが開催するセミナー「マイナビニュース 内部情報漏えい対策セミナー ~企業の信用が一瞬で崩れ去る"情報流出"を、根本的に防ぐための方法とは? ~」にて講演予定の内容を先取りし、企業が注意すべき認証管理の落とし穴と、情報漏えいの対策として注目を集め始めた統合認証管理の概要について紹介する。
株式会社インフォメーション・ディベロプメント |
「誰が、どの情報に触れられるのか」が不透明
正社員・契約社員などの雇用形態を問わず、多くの企業では誰かが入社してくればIDやアカウントを与えるが、宮本氏によれば、大手企業になればなるほど、人事システムと業務システムのアカウントを切り離して管理することが多いという。個人情報と紐付いていると、業務情報が漏えいする危険が高まるのではないか、という不安からだ。結果として人事部が労務管理に利用するアカウントの他に、通常業務で利用するシステムへの認証用、特定のプロジェクトで利用するDBへの認証用など、一人がいくつものアカウントを持つことになる。
さらに部署単位で独自に構築した認証システムを利用しているケースでは、IDやパスワードのポリシーもまちまちで、人海戦術による「アカウントの棚卸し」は困難になっている。しかも多くの企業では、アクセス権の申請を紙ベースで行っているという。
「『あるシステム』に、誰がアクセスできるのかを知ることは、システムでアカウント情報を出力すれば簡単に分かりますが、逆に『ある個人』が、どのシステムにアクセスできるかを知るには、申請書類をチェックしなければなりませんから、すぐに答えられる企業は少ないでしょう」(宮本氏)
情シス担当部署でさえ、誰がどんな情報にアクセスできるのかをすべて把握することが難しくなっているのが実情のようだ。
人事システムとアカウント管理の食い違いが、リスクを大きくする
こうした状況下では異動や転勤、退職などがあった場合、機密情報へのアクセス権には厳密なチェックがなされても、通常の業務システム用に使っていたアカウントが見落とされ、いつまでも有効になったまま、ということも起こりやすい。実際に退職者が、在職時のアカウントを使って情報を不正取得した事件も報じられている。
また「上級職にある人のアカウントだから」というだけの理由で、本来その人の職務に不必要なアクセス権まで与えてしまっている企業も多く、それが不正アクセスや情報漏えいの呼び水になった例もある。―――人事システムとアカウント管理がかみ合わない状態が長引くほど、リスクは大きくなっていくということだ。
それを軽減するために、今、企業が優先的に着手すべきなのは、人事を含むすべての認証管理システムを統合化し、アカウントとそこに付随する権限の管理を自動化することだと、宮本氏は言う。
「経営層としては、ファイアウォールやDLPのように“情報漏えいを瀬戸際で食い止める”という役割の分かりやすいシステムへの投資には積極的になれても、これまで申請書類をもとに人間が対処してきたアカウント管理を自動化するために、新たな予算をつけることには抵抗があると思います。しかし従来の管理手法では防ぎきれないような事件が頻発していることを考えると、アカウント管理を根本的に見直し、統合認証管理の基盤構築こそ、早急に取り組むべき情報保護対策だと言えるでしょう」
統合認証管理の実現へ向けて
現在インフォメーション・ディベロプメント社にも、多くの企業の情シス担当から、統合認証管理システムに関する相談が持ち込まれているという。こうしたニーズに対し、まず社内に一体いくつの、どのような認証システムが存在し、誰が使っているのか、どのような管理がなされているのかを、じっくりと調査した上で、最適な統合ソリューションを判断し、提案していくという。
現在、同社が統合認証管理ソリューションとして推奨しているのは、米国ベンチャー企業OpenIAM社のIdentity ManagerおよびAccess Manager(以下、これらのソリューションを総称してOpenIAMと記述)だ。様々なシステムと柔軟に連携できるため、既存の認証システムをOpenIAMの下に統合することができる。
ユーザーからのアクセスに対しては、社内ネットワークに設置したゲートウェイによって、誰が(どのアカウントが)、どこから、どのシステムにアクセスしようとしているのかを識別し、それぞれのシステムで設定したポリシーに沿って認証を行うため、安全かつスムースだ。
OpenIAMによって人事と業務の認証システムを統合することで、異動情報に基づいて業務用アカウントの権限を自動変更することも可能となる。これで退職者がシステムにアクセスしたり、異動前にいたセクションのデータを閲覧したりすることも、簡単に防げるようになる。ユーザー側にとってもシングルサインオンが実現されるため、複数のIDやパスワードを覚えておく必要がなくなり、利便性や仕事の効率アップが見込める。
「11月のセミナーでは、OpenIAMの導入事例や効果をはじめ、セキュリティ対策の最前線を詳しくご紹介しますので、情報漏えいに危機感を持つ経営層の方、統合認証管理に関心のある方は、ぜひご参加いただければと思います」(宮本氏)
OpenIAMに限らず、インフォメーション・ディベロプメント社では、ニーズやコストにあわせて統合認証管理の実現をサポートする体制を整えている。なるべく多くの選択肢から、最適なソリューションを決定したいと考えている方も、この機会を利用してみてはいかがだろうか。
開催概要
- 『内部情報漏えい対策セミナー ~企業の信用が一瞬で崩れ去る"情報流出"を、根本的に防ぐための方法とは?~』
- 開催日程:2014年11月6日(木) 14:00(開場 13:30)~17:30
- 定員:100名(申し込みはこちらから)
- 参加費:無料
- 開催会場:日本工業倶楽部内 会議室 〒100-0005 東京都千代田区丸の内1の4の6
- 主催:株式会社マイナビ
- 協力会社:株式会社インフォメーション・ディベロプメント