「IDとパス」激増、守るべき管理の大原則とは? ずさんな管理だと不正侵入されるおそれが
クラウドサービスの普及に伴い、アカウント管理の重要性が高まっている。
クラウドサービス利用により、境界の外側に情報システムが配置されるため、アカウント管理が厳密に求められるようになった。
膨大な数の鍵を管理する課題が生じており、効果的な管理が必要とされている。
クラウドサービスの普及で利便性が高まる反面、増加する一方のアカウント管理が頭の痛い問題だ。抹消せず放置した退職者アカウントから不正侵入されたり、無駄なコストの原因となったりしているからだ。アカウント管理のどんな点に課題があり、どう対処すればよいのか。ITセキュリティソリューションを提供するラックの稲毛正嗣氏と野口敦己氏に話を聞いた。
■クラウドの普及で高まる「鍵」の重要性
――「アカウント管理」が今重要な問題となっているのはなぜでしょうか。
野口 そもそもアカウントとは何かといえば、いわば情報システムに入るための「鍵」です。ただ、以前は情報システムが自社内に置かれ、社内と社外の境界が防御されていたので、鍵の管理はそこまで重要ではありませんでした。社内という“家の中の鍵”だったので、厳密に管理しなくてもよかったのです。
しかしクラウドサービスが急速に普及し、情報システムが境界の外側にあるインターネット上に置かれるようになりました。その結果、社内と社外の境界で防御できない状態が生まれたことが、アカウント管理が重視されるようになった一番の理由だと思います。
リモートワークの普及で、接続元が社外のアクセスが増えたこともあるでしょう。
稲毛 加えて、クラウドサービスを使用するときは「責任共有モデル」といって、クラウド事業者と利用者間で、セキュリティとコンプライアンスに関する責任の分担を定めたモデルがあります。そこでユーザーの認証やアクセス管理(組織内のデータやサービスへのアクセス権の範囲を制御すること)等は利用者の責任とされているので、これがより重要になってきました。
――「鍵」の管理のどんな点が問題になっているのですか。
野口 境界の内側にある情報システムでは、管理するIDは一人あたり2つか3つくらいだったと思います。
しかしクラウドサービスを利用するようになると、クラウドベンダーごとに異なるIDが払い出される状況になります。
つまり、100人の従業員がいる会社で10個のクラウドサービスを利用すると、1000個の鍵が存在することになり、膨大な数の鍵を一つひとつ管理するのが難しいという課題が発生します。
