「アクセス権管理なんて必要?」
「制御すると不便になるのでは?」
と思っていませんか?
アクセス権管理をしないと、重大なセキュリティリスクが生じます。
この記事では、アクセス権管理の概要を説明してから、その必要性と重要性を考えてみます。
合わせて、当社がClaris FileMakerで開発した、
簡易的にアクセス権の設定処理が行えるモジュールをご紹介します。
是非ご一読ください。
目次
アクセス権管理とは?
アクセス権管理とは、特定の情報に対して権限を持つものだけがアクセスできるように
管理者がコントロールをすることです。
「誰がどの情報にアクセス権限を持っているのか」を制御することから、
権限管理と呼ぶこともあります。
もう少し詳しく説明すると、
サービスを利用する必要があるユーザーにはアクセス権限を付与し、
利用してほしくないユーザーには権限を付与しないということです。
アクセス権限のあるユーザーは、
・ユーザー名
・パスワード
・顔認証
・指紋認証
などで情報にアクセスすることになります。
アクセス権付与をする場合は、1人1ID、最小権限の原則に従うことになります。
最小権限とは、職種や役職、立場に応じた権限のみを付与することです。
アクセス権限管理の重要性
アクセス権管理は非常に重要ですが、その理由を示しましょう。
アクセス権管理を行わないと、放置アカウントが不正利用されることがある
アクセス権管理を行わないと、放置したアカウントが不正利用されることがあります。
退職した社員や休職中社員、人事異動した社員のアカウントにアクセス権限を付与したままだと、
そこからサーバーに不正アクセスされたり、重要なデータを横流されたりすることがあります。
大企業の場合、セキュリティ対策を万全に行っているので、
外部からデータへのアクセスができません。
ところが、もしアクセス権管理を行っていないと、
取引関係にある中小企業のネットワークから不正アクセスされたり
サイバー攻撃を仕掛けられたりすることもあるのです。
つまり、アクセス権管理は企業のデータを守る上で非常に大切な役割を果たします。
アクセス権の付与のしすぎは危険
基本的に、ユーザーの業務内容に合わせてアクセス権を付与することが原則なのですが、
業務内容の変更や異動が生じたときにアクセス権限の見直しを行わないと、
不必要なアクセス権を付与したままになります。
アクセス権の過剰付与状態ともいえます。
アクセス権を持った人が機密情報を抜き出すことも可能になり、情報漏洩リスクが高まるため、
アクセス権の過剰付与は危険です。
最近は、テレワークや在宅勤務が行われることも多くなり、
社員の行動の全てを把握するのは難しくなっています。
そのため、不必要なアクセス権限を付与しておくと、内部から情報漏洩することもあるのです。
情報漏洩リスクを防止するためには、アクセス権管理が非常に重要です。
操作ミスを防ぐ必要がある
不特定多数の人が企業のデータにアクセスできるようにしておくと、
操作ミスにより大切な情報が失われたりシステム障害が起きたりしやすくなります。
特定のユーザーのみにアクセス権限を絞っておけば、
操作ミスの可能性も低くなり、トラブルも生じにくくなるでしょう。
機密文書の管理に必要
大抵の会社が、社内で重要な文書を作成し、社員同士で共有すると思います。
しかし、アクセス権管理を適切に行っておかないと、
関係のないユーザーにアクセスされてしまうことがあります。
それが機密文書であった場合は、大事な情報が社外へ漏れる恐れがあります。
機密文書の内容が漏れれば、企業にとって一大事。
重大な損害が生じることもあるでしょう。
そのような事態を防ぐためにも、アクセス権管理が重要かつ必要なのです。
管理基準や管理者を明確にしておく
アクセス権管理で大切なのが管理基準と管理者をはっきりさせておくことです。
アクセス権の設定や変更をする基準が明確になっていないと、
業務上アクセス権が必要なユーザーが必要なデータにアクセスできなかったり、
アクセスする必要のないユーザーが機密データにアクセスできたりする場合もあります。
管理者が定まっていないと、アクセス権の検証もできません。
アクセス権管理を行う場合は、管理基準と管理者を明確に定めておかないといけません。
アクセス権管理を適切に行うにはシステムの導入がおすすめ
アクセス権管理の重要性がわかったら、実行に移す必要がありますが、
その際はシステムの利用がおすすめです。
手作業によるアクセス権管理は大変
社員が多く、様々な雇用形態が含まれている場合に
担当者が手作業でアクセス権管理をするのはかなり難しいです。
正社員以外にも派遣社員やアルバイト、協力会社の社員などもアクセス権限の対象になるので、
手作業での振り分けは大変です。
手間も時間もかかる上、作業ミスも生じやすくなります。
一人の社員に複数のアクセス権を設定しなければならないでしょうし、
異動や入退職があればさらに作業が複雑になるでしょう。
以上の点を考えると、担当者の手作業によるアクセス権管理は現実的ではありません。
そこで利用したいのがアクセス権管理システム。
システムにより、アクセス権の管理がスムーズにできるようになります。
アクセス権管理システムを使う際の準備
アクセス権管理システムを使う場合は、準備すべきことがあります。
まず、組織内の職務権限に応じてアクセス要件を定義しましょう。
次に、ユーザーがアクセス権を希望する場合は、要求の検証を行います。
要求が適切なものであれば、アクセス管理システムでデータへのアクセスを許可して、
ID・アクセス権限を付与します。
アクセス権限付与後のチェックも大切
アクセス管理システムでアクセス権限を付与した後も、モニタリングをしなければいけません。
新人の入社、社員の退社、昇進や降格などにより、状況の変化があるので、
アクセス権限の見直し・変更・削除なども必要になってきます。
アクセス権限自体も適切に運用されているか、常にチェックしないといけません。
Claris FileMakerで簡易的にアクセス権の設定処理ができるシステムを開発しました!
以下では、当社が開発した、
Claris FileMakerで簡易的にアクセス権設定が可能になるモジュールについて
ご紹介しましょう。
これは、簡易的にアクセス権管理が行えるように処理をモジュール化したシステムです。
システムのデモ説明動画は下記よりご覧ください。
▼説明
- 入力欄などのサンプルフィールドとボタン
- 1のフィールドには全て共通でこのスクリプトトリガを設定します。
- 表示しているレイアウトとテーブルのフィールドで、1のフィールドに入力があると取得した値を保存します。
▼アクセス表
その権利が、
「可」や「表示」であれば、
入力、スクリプトの実行、表示を行います。
また、「不可」や「非表示」であれば、
入力は許可されず、スクリプトは実行されません。
また、オブジェクト名で指定された対象は表示されません。
アクセス権の要素にアカウントを追加することで、
ログインしているアカウントに対して個別の設定も可能になります。
非表示の設定は以下の様にオブジェクトごとに必要です。
このように、アクセス権を簡易的に設定・管理することができる環境を揃えておくことで、
アクセス権を最新の状態に保ちやすくなり、
時間や手間をかけず、情報漏洩のリスクを防ぐことができます。
まとめ
今回は、アクセス権管理の必要性や重要性について解説しました。
企業のデータへのアクセス権は適切に管理しないと、
情報漏洩などのセキュリティリスクが高まります。
機密情報などが放置アカウントから漏れると、
企業に大きなダメージを与えかねません。
それだけに、しっかりアクセス権管理を行う必要があるのですが、
その際に利用したいのがアクセス権を簡易的に設定・管理ができるシステム。
アクセス権管理システムを利用すれば、
スムーズに、簡易的にアクセス権管理ができるようになります。
そのうちの一つとして、当社がClaris FileMakerで開発した、
アクセス権管理のシステムをご紹介しました。
「アクセス権限の管理ができておらず、情報漏洩の不安がある」
「古いシステムを使用しており、アクセス権などの設定が複雑で困っている」
など、お悩みの方はまずはお気軽にご相談ください。
