情報セキュリティ講座(80)　アクセス権管理

ユーザやロールによって、アクセス権を管理することは、情報セキュリティ上とても大切です。誰にどの情報を見せるか、誰がその情報を更新できるのか、きちんと管理しなければ、情報が漏洩したり、改竄されたりするリスクが高まります。

特になんでもできるスーパー権限（特権ID）の管理は極めて重要です。システム管理者など一部の者は、システム上の全ての情報にアクセスできる権限を持つことが少なくありませんが、このような権限は厳密に管理する必要があります。

アクセス権を付与する場合の原則は、最小権限 (Need to Know)のみ与えることです。不必要な権限は削除または縮減する必要があります。

アクセス権管理の際に、もう一つ気を付けなければならないのは、変更管理です。特に、特権管理を持った者が部署を変更した場合や、退職した場合に、不要となった権限は縮減ないしは削除する必要があります。そのためには、人事異動情報と、権限管理とが、運用面またはシステム面で、連携を取ることが必要となってきます。

退職した際に、権限及びIDを削除し、使用できないようにすることも考える必要があります。

不要な権限は、セキュリティ上の抜け道となるリスクがありますので、適切な管理が重要となります。