異動時のアクセス権限管理に潜むリスク|対策と併せてご紹介
人事異動の時期になると、システム管理者は迅速かつ適切なアクセス権限の変更・見直しが必要になります。
もし、迅速かつ適切にアクセス権限が変更できない場合、異動前の部署のファイルにアクセスできてしまうなどの問題が起こる可能性があります。
これは場合によっては情報漏えいやデータの改ざんなどにつながる恐れもあるため、異動時のアクセス権限管理はミスすることが許されない重要な業務です。
本コラムでは、アクセス権限管理の基礎知識について解説した上で、異動時のアクセス権限管理に潜むリスク・リスクを軽減する方法をご紹介します。
また、リスク軽減に活用可能なツールもご紹介しますので、ぜひ参考にしてください。
目次
アクセス権限管理とは?何のためにするの?
最近担当者になったばかりで、そもそもアクセス権限管理についてよく知らないという方もいるかもしれません。
そこで本章では、アクセス権限管理の基本的な知識について解説します。基礎知識を押さえておくことで、この後の内容も理解しやすくなります。
アクセス権限管理とは
アクセス権限管理とは、権限を持つユーザーだけが特定の情報に触れられるよう、管理者がコントロールすることです。
「ID管理」「アクセス管理」とも呼ばれます。
ITIL(※)においては「ユーザーID管理単位」で制御するのが一般的です。
※ITIL:ITサービスマネジメントにおける成功事例をまとめたガイドライン
広い意味では、ICカードによる入退室管理や、サーバー上のデータ閲覧権限の制御も含まれます。
このように「権利を持つユーザーには権限を付与」「それ以外のユーザーには権限を付与しない」といった流れを実現する仕組みのことをアクセス権限管理と呼びます。
アクセス権限管理の目的
アクセス権限管理の目的は、必要な従業員だけが必要な情報に触れられるようにし、セキュリティリスクを最小限に抑えることです。
企業では、多くの顧客情報や機密情報などが保管されているケースが少なくありません。
もし、アクセス権限管理をしておらず「全社員が顧客情報をのぞける」「退職者が社内情報を確認できる」状態の場合、情報漏えいが起きやすくなります。
IPA(情報処理推進機構)が行った「企業における営業秘密管理に関する実態調査2020」によると、情報漏えいのルートで1番多かったのは、中途退職者による漏えいであり、36.3%となっています。
万が一、情報漏えいが起きてしまった場合、大きな信用問題に発展しさまざまな被害を受ける可能性があります。
しかし、アクセス権限管理ができていればリスクを抑えられるほか、もし漏えいが起きてしまった場合でも流出経路が想定しやすくなります。
アクセス権限管理は、情報漏えいを防ぎ、企業を守るための大切な施策です。
アクセス権限の種類
一般的に、設定可能なアクセス権限の種類には「フルコントロール」「変更」「読み取り」の3種類があります。
それぞれのアクセス権限のできることは以下のとおりです。
アクセス権限の種類 | できること |
---|---|
フルコントロール | 変更の権限+ファイル・フォルダの所有権・アクセス権の設定が可能 |
変更 | 読み取りの権限+ファイルの作成・上書き・削除、フォルダの作成・削除が可能 |
読み取り | フォルダ・ファイルの一覧表示、ファイルの読み取りが可能 |
異動時のアクセス権限管理に潜むリスク
異動時のアクセス権限管理が適切に行われないことで起こるトラブルは、一般的な仕事のミスとは異なり、被害が大きくなりやすいのが特徴です。
そこで本章では、異動時のアクセス権限管理に潜むリスクを確認します。
どのようなリスクが潜んでいるかが理解できれば、仕事への意識が大きく変わるはずです。
情報漏えい
異動時のアクセス権限管理の変更でミスをしてしまうと、情報漏えいが起きるリスクがあります。
よくあるのが、異動後の従業員が異動前の部署で使用していたファイルにアクセスし続けられる状態になってしまうケースです。
こうした、既にその部署にいない従業員がファイルにアクセスできてしまう状況は、決して安全とはいえません。
なぜなら、そのような状況では悪意のあるユーザーが情報を盗む可能性や、意図的でなくても情報漏えいを起こしてしまうリスクが発生するためです。
誤操作によるデータの更新・消失
異動時のアクセス権限管理を確実に行えず、必要以上にアクセス権限を持つ従業員が増えると、誤操作によるトラブルや業務遅延が起こる可能性が上がります。
例えば、機密情報のファイルを誤って上書きをしてしまうと、わざとではなくとも会社にとって大きな損害になってしまうこともあるでしょう。
また、場合によっては1つのファイルを誤って削除したことで、大きなシステム障害につながる可能性もあります。
故意によるデータの改ざん・削除
場合によっては、異動時のアクセス権限管理がうまくできていないことを利用し、意図的にデータの改ざん・削除を行うケースもあるでしょう。
本来、業務で作成したデータは会社に帰属するものですが、その意識が薄く、異動・退職が自分の意志にそぐわなかった方が恨みでデータを改ざんしたり、削除したりすることがあるかもしれません。
IPA(情報処理推進機構)が行った「企業における営業秘密管理に関する実態調査2020」において、中途退職者による情報漏えいが1番多かったことから考えると、悲しいですがこのような可能性もあると理解しておかなければなりません。
トラブル時の原因特定の難化
異動時のアクセス権限管理が適切に行われていないと、誰にアクセス権限があるのかわからない状態となってしまい、万が一情報漏えいなどが発生した場合に原因を特定するのが難しくなります。
例えば、ある部署で情報漏えいが発生した場合、その部署の従業員しかアクセスできないファイルからであれば分析・調査の対象が狭くなりますが、全社員がアクセスできる状態であれば、全社員が調査の対象になってしまいます。
このように内部統制が取れていない状態では、トラブル時の原因究明が困難になります。
異動時のアクセス権限管理に伴うリスクを軽減する方法
異動時のアクセス権限管理は、さまざまなトラブルの原因になりえる重大な業務です。しかし、ミスが起きにくい環境を事前に作っていれば、リスクの軽減が可能です。
そこで本章では、異動時のアクセス権限管理に伴うリスクを軽減する方法をご紹介します。5つの方法をご紹介しますので、自社に導入できそうなものから始めてみてください。
ファイルサーバーを一本化する
ファイルサーバーを複数運用すると、それぞれのサーバーでアクセス権限を設定する必要があります。
その分異動時の作業が増えてしまうため、権限の設定漏れが発生する可能性が高くなります。
そのため、複数のファイルサーバーを利用している場合は、一本化するのがおすすめです。
これにより、作業負担が少なくなるためミスする可能性が少なくなるほか、情報管理も効率化できるでしょう。
フォルダ構造を最適化する
多くのファイル共有サービス・ファイルサーバーには、アクセス権限の情報を上位フォルダから継承する機能があります。
そのため、ファイル構造を最適化することで、アクセス権限管理が楽になるケースもあります。
ファイル構造をうまく最適化できれば異動時に必要以上にアクセス権限を設定する必要がなくなるため、作業負担を軽くしつつミスも減らせるでしょう。
アクセス権限情報をデータ化する
アクセス権限の設定がどのようになっているかデータ化されていなければ、誰にどのような権限が付与されているかが把握しづらくなります。
このような状態では異動時に確認作業が増えるため、無駄な作業が増え、ミスが起こるリスクを高めてしまいます。
そのため、アクセス権限情報をデータ化するのも対策の1つです。
会社の規模によっては手作業でのデータ化は負担が大きいですが、ツールなどを活用することで効率よく行うことも可能です。
なお、自社の人事データをもとに作業すると、派遣社員や契約社員・アルバイトなど、データ内に存在していない社員の管理が漏れることがある点には注意が必要です。
パソコンの操作ログを収集する
もしアクセス権限が適切に管理されておらず情報が漏えいしてしまった場合、どこに原因があるのかを特定しなければなりません。
しかし、誰にどのアクセス権限が付与されているのかがわからなければ、その原因を掴むことも難しくなってしまいます。
そのため、パソコンの操作ログを常時収集しておくことも、リスク対策として考えておくべきでしょう。
誰が、いつ、どのような操作をしていたかが把握できれば、原因の特定も容易になるため、内部不正などが起きにくくなるはずです。
ログやアクセス権限の定期的な棚卸しをする
パソコンのログやアクセス権限管理を定期的にチェック・メンテナンスしておかなければ、万が一異動時の作業に抜け・漏れあった場合に気づけません。
そのため、ログやアクセス権限の定期的な棚卸しを実施しましょう。
1・2ヶ月に1回実施するだけでもミスに気づく可能性を高められるため、被害の発生を防げる確率が高まります。
異動時のアクセス権限管理に活用可能なツール
異動時のアクセス権限管理は手作業でも行えますが、ツールを利用することでより効率的に実施可能です。
そこで本章では、異動時のアクセス権限管理に活用可能なツールを3つご紹介します。
ツールを活用し、異動時のアクセス権限管理をよりスピーディーに、よりミスなく行えるような仕組みを作りましょう。
アクセス権限管理ツール
アクセス権限管理ツールとは、社内のアクセス権限を見える化し、一元管理できるツールのことです。
製品の中には上記の機能のほか、異動時などのファイルサーバー設定変更を事前にスケジュール予約できるものもあるようです。
アクセス権限管理ツールを導入することでアクセス権限管理の効率化が図れるため、異動時の業務負担が軽くなり、ミスしてしまう可能性も下げられるでしょう。
アクセス権情報のマッピングツール
アクセス権情報のマッピングツールとは、ファイルサーバー上の共有フォルダ・アクセス権限の状況を可視化できるツールのことを指します。
一目でアクセス権限の状況が把握できるため、ファイル構造の最適化を検討する際に役立つでしょう。
なお、アクセス権情報のマッピングツールの中には、ファイルの階層を指定し、Excelなどにエクスポートできる機能を持つものもあるようです。
IT資産管理ツール
IT資産管理ツールとは、社内のパソコンやサーバーなどのIT資産を適切に管理するためのツールです。
IT資産管理ツールを利用することで対象機器の利用状況が把握できるため、万が一の内部不正対策に役立ちます。
また、外部デバイスへのファイルのコピーなど不適切な操作があった場合にアラートで通知してくれるものもあるため、不正を早期発見でき、被害が拡大することも防止できるでしょう。
「ALSOK IT資産管理」で情報漏えいのリスクを軽減
異動時のアクセス権限管理に伴うリスク対策をお考えであれば「ALSOK IT資産管理」の活用をご検討ください。
ALSOK IT資産管理では、パソコンやプリンターなどのIT資産を一元的に管理するだけでなく、デバイスの操作をいつ・誰が・どのように行っているのかを常時ログとして収集可能です。
そのため、万が一アクセス権限が必要以上に付与されてしまい、それが原因で情報漏えいが起きてしまった場合でも、流出経路が特定しやすくなります。
もちろん、テレワークにも対応しておりますので、従業員がどこで働いていてもログの収集が可能です。また、USBメモリなどの外部記録媒体の使用を制御することもできます。
異動時のアクセス権限管理に伴うリスク対策を検討されているのであれば、ALSOKにお気軽にご相談ください。
まとめ
異動時のアクセス権限管理はミスすることが許されない重要な業務です。
もしミスが起きてしまうと、情報漏えいやデータの消失・改ざん、トラブル後の原因特定が難化するなど、大きな問題が起きてしまいます。
そのため、注意深く作業することはもちろん、リスクを軽減する方法・ツールを活用し、そもそもミスが起きにくい環境を作ることが大切です。
アクセス権限管理に伴うミスをなくし、スムーズかつトラブルゼロの異動を実現しましょう。
もしトラブル発生後の原因特定ができる環境を作っておきたいとお考えであれば「ALSOK IT資産管理」の利用をご検討ください。
デバイスのログを常時収集することで、万が一のトラブル発生時にもスピーディーに原因を掴めるため、その後の対応を容易にするお手伝いができるはずです。