システム管理者を悪者にしない、特権ID管理ソリューションの選び方：IT導入完全ガイド（2/3 ページ）

[吉村哲樹，オフィスティーワイ]

特権ID運用のためのワークフロー機能

　特権ID管理製品が備える基本機能の1つが、「ワークフロー機能」だ。特権IDの不正利用を防止するには、常に正しいユーザーが、正しい目的のために、あらかじめ決められた時間内に作業を行うよう、その利用状況を日ごろからしっかり管理する必要がある。

　従来はこれを、紙の書類を使ったワークフローで管理していた。まずはユーザーが特権IDの利用を申請し、上長や管理者がこれをチェック・承認（もしくは拒否）する。申請が通れば特権IDを使うためのパスワードがユーザーに付与され、あらかじめ申請していた作業時間が来れば特権IDによるシステムへのアクセスが可能となる。作業が終わればユーザーは作業報告書を提出し、管理者はパスワードをいったんリセットする。

　こうした一連のワークフローを電子化することで、ユーザーや管理者、承認者の作業を効率化するとともに、作業のミスや抜け漏れを防止できる。例えば、承認者が外出中でもモバイルデバイスを使って承認作業ができたり、あるいは管理者によるパスワードリセット漏れを防止できたりする

特権IDのパスワード管理

　システム内のあらゆるデータにアクセスできる特権IDのパスワードは、一般ユーザー用のID以上に厳密に管理する必要がある。そのため通常は、ユーザーが特権IDの利用を申請するたびにワンタイムパスワードが払い出される。また、特権IDによる作業が終了した後はすぐにパスワードをリセットして、同じパスワードを使った特権IDアクセスをシャットアウトしておく必要がある。

図1 特権IDのパスワード管理

　こうしたパスワード管理にミスや抜け漏れがあると、即セキュリティリスクにつながってしまう。そのため、これをワークフローの中に組み込んで運用を自動化することで、人的ミスに起因するセキュリティリスクを排除できるのだ。

監査やインシデント調査で不可欠なログ

　万が一、特権IDにしかアクセスできないデータが漏えいした場合には、いち早くその漏えい経路を調査し、原因を突き止める必要がある。その際、最も有力な手掛かりになるのがログだ。特権IDの利用をいつ、誰が申請や承認し、そして実際にそれを使ってどのような作業を行ったのか。こうした履歴をログとして自動的に残しておけば、万が一のインシデント発生時の調査にはもちろんのこと、システム監査が入った場合にも自社でIT内部統制が有効に機能していることの証として提示することもできる。