ローコード開発の記事
ARTICLEアカウント棚卸をしよう!|組織の中心でセキュリティをさけぶ Vol.3
情報システムやITサービスを利用する上で、アクセスのために必要となるID、いわゆるアカウントの管理は悩みのタネだったりしませんか。
しかも、仕事の現場だけに関わらずプライベートな場面でも……。
確かにアカウント管理のためのツールやサービスを活用することで一定の合理化は図れるかもしれませんが、まだまだ多くの場面でアカウント管理と向き合っていかなければいけないのが実状だと思います。
アカウントとは?
まずは「アカウント」のおさらいから。
コンピュータ用語でのアカウント (account) は、ユーザーがネットワークやコンピュータやサイトなどにログインするための権利のことである。
フリー百科事典『ウィキペディア(Wikipedia)
(中略)権利 (ID) とパスワードを合わせてアカウントと呼ぶこともある。
Wikipedia では「権利」と説明されています。
自分含む個人へ割り当てられるITサービス利用等の「権利」がアカウント。
権利と言うと、アカウントを少しは大切にしないといけない気持ちになりませんか?
セキュリティ事故ニュースの中で、『放置アカウントの不正利用による被害事例の他、あるセキュリティ企業による調査では退職後に元職場環境へ引き続きアクセスできる』と回答した人が約3割いたというニュースもあります。
アカウントの管理は、どうしても面倒で手薄になりがち。
でも便利なITサービスを多様に使いこなす時代において、その権利を保護するために必要な対価だと考えて向き合っていくべきだと思います。
ISMS(情報セキュリティマネジメントシステム)やPMS(個人情報保護マネジメントシステム)の運用で行うような、管理対象を特定して発生から終了までをしっかりとライフサイクル管理する考え方を、機密情報や個人情報だけに限らず、保護すべきアカウントにもしっかりと適用することが大切なのでしょう。
アカウントにライフサイクル管理を。
まずは、作成、変更、削除のタイミングでしっかりと実行管理を行うこと。
次に、運用と実態には必ず不整合が生じる前提に立って、定期的なアカウントの
棚卸しを実施して不要な対象を除外することが不正アクセス等の悪用リスクの
低減につながります。
「アカウントだって人生まっとうしたい。きちんとライフサイクル管理を。」
(参考)3人に1人が「退職後も元職場にアクセスできる」- Kaspersky調査
(参考)piyolog 退職したシステム管理者にデータ全削除された事案についてまとめてみた
