- エンドポイントセキュリティ
- サイバー攻撃
- ID管理
- ログ分析/ログ管理
- 認証
ISMSとは?情報セキュリティの原点が掴める、ISMS概要解説
これまでの境界防御が通じなくなり、セキュリティ対策についての情報が溢れる今、情報セキュリティ対策の原点とも言える「ISMS」の考え方は情報整理に役立つかもしれません。今回はその概要を、簡単におさらいしてみましょう。
ITセキュリティ女子のブログ>ID管理は苦労がいっぱい ~ID棚卸編~
|
|
皆さんこんにちは。アシストの長谷川まりです。
人事異動の時期を中心に、「ID棚卸」の苦労についてお客様から伺います。ID棚卸は、システムにおけるID管理工程の1つで、セキュリティ対策上欠かせない作業ですが、実際にはどんな作業なのでしょう。
ID棚卸とは、退職者のユーザーIDや利用が終了したテストIDなど、本来システムに残っていてはいけないIDがないか、不適切な権限を持ったIDがないかを源泉となる情報と比較して確認する、システムのID管理における最も基本的な工程です。
多くの場合、ID棚卸は、IDの不正利用の防止や監査対応を目的に、年度末に1回ないしは、上期下期のタイミングで年2回程度、2~3週間かけて実施されているようです。ただ、中には半年もかかったというお客様もいて、対象サーバがざっと1,500台、担当の方は3~4名専属で作業していたそうで、なんとも大変な作業だったかと思います。
では、ID棚卸の作業工程とはどんなものなのでしょう。ざっと以下の2ステップに分けられます。
|
|
まずは各システムに登録されているID情報を、それぞれエクスポートします。具体的にはこのような作業を行うことになります。
| Active Directoryの登録ユーザー | csvdeコマンドを使って、CSV形式でユーザー情報をシステムからエクスポート |
| Oracle Databaseの登録ユーザー | SQLを発行してユーザー情報を取得 |
| WindowsOSユーザー | 管理画面やコマンドでIDを取得、詳細情報も取得する場合はWindowsAPIを使ってプログラムを作成 |
対象システムによってID情報を抜き出す方法が異なるため、ひとつずつ実行しなければならなくなります。
続いて、各システムから集めたID情報を、ユーザーの源泉情報などと突合して、「変更リスト」を作成します。あるべき姿と現状を比較しながら、変更すべきIDを抜き出す作業です。
ユーザーの源泉情報となるのは、主に人事情報ですが、その人が現在、在籍しているのかどうか、権限は不適切ではないか、○×などでリスト化します。Excelのマクロを組んで行うケースも多くあるようですので、得意な人がいれば、助かりますね。
さて、これらの<ステップ1>と<ステップ2>の作業ですが、実際には、各部署の協力を仰ぐ形で行われる企業が多いようです。各システムを運用する担当者が、対象システムのID情報を部署毎の一覧にして配布し、各部署に不要なID情報がないかを確認して、結果を戻してもらうというやり方です。ただ、これでは各部署に負担をかけてしまうし、時間もかかってしまうので、源泉と差異があるID情報だけを配布できたら効率的なのにな、というお話もよくいただきます。
|
そこで、この<ステップ1>と<ステップ2>を自動化できるソフトウェアとして、アシストでは「ID棚卸キット」をお奨めしています。 |
|
また、自動化のメリットは、工数削減だけではありません。まず、人手によるミスを防げることでセキュリティリスクの削減に貢献できますし、工数削減ができることで、長期的なID棚卸の実施スケジュールが立てやすくなります。結果、監査対応にも自信を持って備えられます。
なお、このID棚卸という工程は、ID管理ソフトウェアを導入すれば自動化できると思われがちです。が、実はID管理ソフトウェアは、システム間でのIDの変更を一括管理できても、源泉となる情報との突合が出来ない場合が多くありますので、注意が必要です。
ID棚卸は工数のかかる大変な作業です。ミスから思わぬセキュリティ事故に繋がる危険もあるので、ソフトウェアで作業を自動化するメリットを是非検討ください。
|
|
長谷川 まり
|
|
これまでの境界防御が通じなくなり、セキュリティ対策についての情報が溢れる今、情報セキュリティ対策の原点とも言える「ISMS」の考え方は情報整理に役立つかもしれません。今回はその概要を、簡単におさらいしてみましょう。
特権ID管理はセキュリティ対策上、重要視されています。クラウド環境の普及や業務自動化といったIT環境の変化の中で、それぞれの特権IDのリスクをおさらいしながら、これからの特権ID管理のベストな形をご紹介します。
