Aegis Wall

特権IDの個人認証/アクセス管理を低コストで実現

1. 管理体制の発足

management

社内でアクセス管理体制を構築するにあたって、IT部門のシステム管理者とは別に情報セキュリティ管理者を決定することが重要です。
人手が足りないからとシステム管理者と兼任していたり、専任の管理者を設定しない体制では自分で自分を管理する形になってしまい、実質的に機能しません。
また、特定の1人に権限が集中することは、内部不正の温床になりやすく、避けるべきです。

アクセス管理を有効なものにするためにも、

  • 各システム管理者と情報セキュリティ管理者の職務分掌を明確にしていること
  • 情報セキュリティ管理者の職務内容と権限を定義して社内へ周知すること
  • 大規模な組織の場合は、ポリシー通りに運用されているかを定期的に確認するための内部監査責任者を設けること

が好ましいとされています。

EUのGDPR(General Data Protection Regulation)では、データ保護責任者(DPO)の選任が義務付けられているなど、今後、日本国内でも個人情報をはじめとした重要な情報資産の管理者の必要性はますます高まって来るものと思われます。

なお、管理体制の発足にあたって、セキュリティインシデント発生時に備えたエスカレーションフローを策定しておく必要があります。

セキュリティインシデントは、業務停止や納期の遅れなどのビジネスリスクに直結するため、その対応には技術的な知識だけでなく経営的な判断が求められます。
あらかじめ判断基準と責任者、業務時間外も含めた対応を検討しておくことが、インシデント発生時の対応をスムーズにし、被害を最小限に抑えることにつながります。

PAGE
TOP