ソリューション

今、なぜ特権IDなのか?

最も高いリスク要因の一つ

IT全般統制に関する監査や金融庁のシステム監査において、多くの企業がその不備を指摘されている特権IDの管理。この背景には、システムに対してあらゆる権限を有する特権IDの濫用や不正使用が、システム障害や情報漏洩などを招きかねない高いリスク要因の一つであることがあげられます。
実際、特権IDの濫用、不正使用に起因するインシデントが多く発生しています。

高度化が要求されている特権ID管理

そのような背景から、今、企業の重要システムにおける特権ID管理は、より高度な統制が求められています。

では、特権ID管理の高度化とは、一体どういうものでしょうか?
下図は、特権ID管理のレベルをより基本的なLevel1と、より高度に管理できているLevel2の違いを示した図になります。

特権IDレベルの図

Level1では、特権IDの使用に対する管理はされているものの、操作内容にまで統制が働いていません。特権IDのリスクは、そのアカウントの高い権限の濫用であることから、アカウントを利用した操作内容に対して統制が機能しなければ、十分なリスクへの対処となっていないのです。

高度化を実現するための多くの課題

ところが特権ID管理の高度化を実現するためは、大きく2つの課題を解決する必要があります。

1.管理負荷をどう減らすか?

仮に、人手によるマニュアル管理で行う場合、Level2に相当する統制活動を行うためには、より厳格な権限の管理や綿密な点検作業が必要となるため、Level1に相当する活動以上に、管理負荷が発生してしまいます。大きな工数増加にならないよう、適切な管理手法を選択する必要があります。

2.技術的な矛盾の解消

イメージ図01

あらゆる権限を有する特権IDを管理するためには、いくつかの技術的な矛盾を解消する必要があります。例えば、操作内容の記録は、改ざんされないように保護されなければなりませんが、特権IDには通常あらゆる権限が付与されています。
そこで貸し出すIDの権限を、適切な範囲に設定してから貸し出す方法とした場合には、権限を変更するさらに強力なアカウントが必要になります。特権ID管理の難しさは、このような「いたちごっこ」を技術的、プロセス的にどう解消するか、という点があります。

エンカレッジ・テクノロジの考える特権ID管理のベストプラクティス

このような課題を解決する方法として、弊社が考えるまったく新しい特権ID管理のアプローチが「ETの特権ID管理のベストプラクティス」です。
この管理方法の詳細は、ホワイトペーパーで詳細に解説されている他、特設サイトにてわかりやすく説明しています。

エンカレッジ・テクノロジでは、技術的な矛盾を解決し、管理負荷の増加を招くことなく実現できる方法と、それを支えるソフトウェア・ソリューションの提供を行っています。

共通ワークフローコンポーネント

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時