特権ID管理とは、情報システムの起動・停止や設定変更などが可能な高権限のID(特権ID)を不正利用から守るための、セキュリティ対策のことです。特権アクセス管理(Privileged Access Management、PAM)とも呼ばれます。
特権ID管理の対象は、特権IDを持つすべてのシステムです。なかでも、機密情報を管理するシステムや基幹システムの特権ID管理に不備があると、非常に大きなリスクとなります。悪意のある操作や操作ミスがひとたび発生すれば、情報漏えい、データ改ざん、サービスの停止等、企業のビジネス活動に甚大な支障をきたします。
特権ID管理は、J-SOX法(内部統制報告制度)における監査、FISC(金融情報システムセンター、The Center for Financial Industry Information Systems)の安全対策基準、クレジットカード業界のセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)などのガイドラインでも、厳格な管理が求められています。主な対策は次のとおりです。
①特権IDの管理:
特権IDは、必要最小限の人に最低限の時間・権限のみを付与する「最小特権の原則」が基本です。さらに、パスワードの変更やID・権限の棚卸を定期的に行い、認証情報を保護します。
②利用者の特定:
特権IDは、一般的なIDとは異なり、複数の利用者で一つのIDを共有する場合があります。そのままでは、事件・事故が起きた際、原因究明が困難なため、特権IDの利用者は誰なのかを操作ごとに特定します。このことは、内部不正の抑止力ともなります。
③ワークフローによる申請・承認:
特権IDは、「いつ」「何のために」利用するのか、事前に申請・承認を行い、必要な人が必要な時だけ利用できるようにします。
④作業の記録:
特権IDを利用した作業はすべて、「誰が」「いつ」「何をしたか」を記録します。記録したログは、改ざん・削除を防ぐため、厳密に保護して管理します。
⑤妥当性の確認:
申請内容と作業記録を突き合せた上で、作業が申請通りの内容で行われたかを必ず確認し、整合性を検証します。
なお、Excelやメールを用いた手作業では正確さ、強制力に欠けるうえ、運用コストが膨大になってしまう為、ソリューション活用による対策が普及しています。
