情報セキュリティ(22)　セキュリティサービス例と活用③

第三に、アクセス管理について書きます。アクセスするユーザを識別することで、不正のアクセスを防御するものです。

①アクセス制御
アクセスするユーザのIPアドレスなどで、ネットワークレベルでアクセスを制限するものです。インターネット上のITサービスを利用する際に、接続元のIPアドレスにより、ある組織からのアクセスのみに制御する、などの方法です。

②多要素認証(Multi-Factor Authentication)
インターネット上のサービスを利用する際に、IDとパスワードで利用者を制限することは、一般的なアクセス管理です。しかしこの方法では、IDとパスワードを盗まれると、簡単に突破されてしまいます。ECサイトなど金銭が関係するものや、個人情報に係るものは、もっとセキュリティレベルを高くする必要があります。

そのため、スマホとPC、家電とスマホなど、複数の機器より認証を行うことを多要素認証といいます。2つの機器をそろって持っている人ならば、問題はないだろう、というわけです。かつてセブンイレブンが肝いりで始めたカード決済「7 Pay」が、不正アクセスが原因でサービス停止に追い込まれたのは記憶に新しいところです。多要素認証を採用していれば、こういう問題は起こらなかったと言われています。

③特権ID管理
システムのありとあらゆる操作ができるIDを特権IDと言います。特権IDは通常のIDと異なる管理をすることが求められます。封筒にIDを入れておいて、管理者を決め、利用者の払い出しを行うなどの方法です。適切な管理を行わないと、ハッキングされるリスクがあります。初期設定の管理者ID(Windows のadministratorなどをそのまま放置する等は、厳に禁止すべきです。