毎日何気なく行っているPCやシステムへのサインイン。
”仕事を始める=サインイン”と言っても過言ではないかもしれません。
普段行っているそのサインイン、
どんなIDを使用していますか?
どんなと言っても名前のことではありません。
どんな権限を持ったIDか?ということです。
IDは大きく分けて2種類×2種類の、合計4種類が存在します。
・個人ID(特権なし)
・個人ID(特権あり)
・共有ID(特権あり)
・共有ID(特権なし)
まず個人IDとは、
個人に紐づくIDで、”ID=個人”が成立するものです。
IDと個人が1対となり、ユニークであること。
対して共有IDは複数の人間が1つのIDを使用します。
なので”ID=個人”は成り立たず、
IDから個人を特定することができません。
組織で所有しているケースが多いですね。
そしてもう一つの概念、”特権”です。
これはWindowsでいうとAdministrator権限、
Linuxはroot権限ですね。
他のIDの作成やパスワードリセット、ファイルへのアクセス権変更など、
システムに対して大きな変更権限を有する、特別な権限のことです。
この、
個人ID/共有ID
特権あり/なし
が、IDのセキュリティ管理上、非常に重要になります。
まず、共有IDはその性質上、
・ログを見ても誰がアクセス(操作)したかわからない
・パスワードを複数人で共有している
ということがあり、個人IDと比較してリスクが大きいということを
認識する必要があります。
さらに個人IDで特権を有するのものは、
その取扱いに注意を払う必要があります。
どういうことかと言うと、情シスなどシステムをメンテナンスする立場の
普段使用している個人IDに特権が付与されてはいないか?ということ。
普段自分のPCにサインインするIDにドメイン上の特権が付与されていませんか?
もしくは普段日常で使用するM365アカウントに、
全体管理者権限は付与されていませんか?
この”普段使いのIDから特権をはく奪する”
ことで、セキュリティリスクは間違いなく下がります。
システムメンテナンスの際にはメンテナンス用の個人に紐づいた
特権IDでサインインし、作業する。
まとめると、
・共有IDは極力個人ID化する
・普段使い用IDから特権をはく奪し、メンテナンス用のIDと普段使い用のIDを分ける
運用負荷は多少上がりますが、追加コストゼロで
確実なセキュリティの向上が見込めます。
IDはシステムに対するカギ。
そのカギ管理を見直してみるのもいい機会かもしれません。
