アクセス管理とは、許可されたユーザーのみが必要なシステムやサービスを利用できるようにし、許可されていないユーザーの利用を制限するプロセスを指す。システムやサービスへのアクセス権限のほか、入退室権限や紙の書類の参照権限なども管理対象に含まれるが、ここではシステムやサービスへのアクセス権限を対象としたアクセス管理について解説する。

 アクセス管理は、ITガバナンスや情報セキュリティの観点から、権限のないユーザーによる不正アクセスを防止するもので、システムやサービス内のデータを保護するために欠かすことができない。ITサービスマネジメントの好事例を集めた「ITIL(Information Technology Infrastructure Library)」においても、2007年に発刊された「ITIL V3」からサービスオペレーションのプロセスとして定義されている。

アクセス管理で何を管理するか

 アクセス管理を実施するためには、事前にアクセス要件を定義しておく必要がある。情報セキュリティポリシーに基づき、誰にどのレベルでシステムやサービス、データにアクセスを許可するかを定義しておき、その定義に従ってアクセス権限を適切に付与・管理していく。以下の六つの手順を踏むことになる。

(1)アクセス要求の受付

 対象のシステムやサービス、データに対するアクセス要求をユーザーから受け付ける。

(2)検証

 アクセス要求が妥当なものか、適切な管理者により承認されたものかを検証する。

(3)権限の付与

 承認されたアクセス要求をもとに、システムやサービスやデータへのアクセスを許可し、ID・アクセス権限を付与する。

(4)モニタリング

 付与した権限の妥当性を監視し、変更があった場合に速やかにアクセス権限の変更や削除がなされているか、その変更は正しく実施されているかを確認する。

(5)アクセスの記録と追跡

 提供した権限が適正に使用されているかを確認する。必要に応じて、特定IDのアクセス状況の詳細を追跡し、不正なアクセスや操作の有無を調査する。

(6)権限の削除と制限

 人事異動や職務変更、退職に伴うアクセス権限の変更や制限、削除を行う。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。