企業には、顧客情報や取引先情報、人事情報など多くの重要情報があります。
重要情報が社外や本来知り得ない社員に漏れると、企業の信用は低下し業績に影響がでかねません。
重要情報を守るには、情報へのアクセス可否や操作範囲をコントロールする「アクセス権限」の適切な設定と管理が重要です。
アクセス権限の基礎知識から、アクセス権限の設定・管理が必要な理由や不適切な場合のリスク、設定の考え方を解説します。
アクセス権限とは
アクセス権限とは、システムの「ユーザー」やユーザーをまとめた「グループ」に設定される、データや機能などを利用する権限のことです。
アクセス権限を設定する対象は、サーバやネットワークから、業務システム、データベース、フォルダ、ファイルなどIT機器からアプリケーション、データまで多岐にわたります。
OSのファイル管理は、多くの方に身近なアクセス権限の例でしょう。
ファイルやフォルダに対して、ユーザーやグループごとに「参照」「更新」「削除」などの権限を設定でき、許可されていない操作はできない仕組みです。
システムやデータのアクセス権限を適切に設定することで、「アクセスすべき正当なユーザーのみ」に対して、「必要な操作のみ」を許可することが可能となります。
アクセス権限の設定や管理が必要な理由
システムやデータにアクセス権限を設定し、利用者や操作を必要な範囲に絞ることで、企業の重要な情報を守ることができます。
アクセス権限の設定・管理が必要な理由を見てみましょう。
不正アクセスから重要情報を守る
社内ネットワークへのアクセス権限を適切に設定・管理することで、悪意ある第三者による社外からの不正アクセスのリスクを軽減可能です。
例えば、リモートワークで活用される、VPN(仮想専用線)でのアクセス制御が挙げられるでしょう。
VPNへの接続をID・パスワードだけでなく、社員に配布した端末の固定IPアドレスでアクセス権限を判定すれば、なりすましによる不正アクセスを防止できます。
このように、本来のユーザー以外が情報にアクセスできないように権限を設定・管理することで、外部からの侵入のリスクを減らすことができます。
社内での情報の機密性を確保する
社内の重要情報に対して、本来アクセスすべき社員のみが参照や更新できるようにすることも重要です。
企業には、社員全員がアクセスして良い情報から、一部の社員のみしかアクセスすべきでない情報まで、さまざまな情報があります。
例えば、人事評価の情報が誰でも参照できるフォルダに置かれていたら、社内に筒抜けとなり問題でしょう。
人事情報は、人事部門の社員のみが参照や更新できるようアクセス権限を設定する必要があります。
このように企業の重要情報は、社外に対してだけではなく、社内に対してもアクセス権限を設定・管理して機密性を確保することが重要です。
誤操作や誤削除によるデータの消失を防ぐ
データへのアクセス権限を適切に設定することで、誤操作や誤削除で大事な情報が失われるリスクも減らせます。
誤操作によるファイルの上書きや削除の経験は誰にでもあるでしょう。
例えば、重要プロジェクトの共有フォルダが誰でも更新・削除できる状態となっていて、関係者以外が誤って削除してしまった場合、手戻りの工数がかかってしまいます。
このような誤操作による情報消失を防ぐため、重要なファイルやフォルダのアクセス権限は必要最低限の範囲に絞って設定することが有効です。
アクセス権限の設定や管理が不適切な場合のリスク
もし、アクセス権限の設定・管理が不適切だった場合、どのようなリスクがあるのでしょうか。
アクセス権限の設定・管理が不適切な場合に考えられるリスクを解説します。
重要情報の社外流出
社外からの社内ネットワークへのアクセス権限が適切に設定されていないと、外部からの不正アクセスによる情報流出の可能性があります。
例えばリモートワーク用のVPNにID・パスワードのみでアクセスできる場合、ID・パスワードが漏れてしまうと誰でも社内ネットワークに侵入可能です。
もし、社内の顧客情報などが盗まれ悪用されれば、相手に迷惑をかけるだけでなく、企業の信用が低下し業績への影響は免れないでしょう。
過剰な権限や放置された権限を用いた内部不正
たとえアクセス権限を設定していても、業務上不必要な操作ができたり、管理が不適切な場合、社内で悪用され内部不正につながる危険性があります。
例えば、退職した社員のアカウントが削除されずに残っており、悪意を持った社員が不正にパスワードを入手して顧客情報が流出した事件もありました。
このように、権限は業務上必要な範囲で設定し、不要になったら速やかに削除するなど、適切に管理することが重要です。
機密情報の内部漏えい
アクセス権限を適切に設定しなかった場合の問題は、悪意のある外部者や内部者による犯行だけではありません。
企業には、社内の限られた人以外はアクセスすべきでない情報があります。
人事評価の情報や、新商品開発の情報、インサイダー情報など企業によりさまざまでしょう。
アクセス権限設定の不備で、これらの情報が本来参照すべきでない社員に公開された場合、意図せず情報を知ってしまうこともあります。
それによって社内に軋轢を生んだり、インサイダー取引につながったりと、企業の情報管理能力が問われる事態に発展することもあるのです。
誤操作による業務の停滞
不適切なアクセス権限の設定によって、誤操作で情報が消失し、業務が一時的に停滞するリスクも無視できません。
時間をかけて作成したファイルなどが誤更新や誤削除で失われた場合、手戻りの工数がかかります。
もし、バックアップを取得していても、リカバリ作業や差分の追いつきなど、無駄な作業が発生することに違いはありません。
その間は、復旧にあたるメンバーの本来の業務は停滞してしまうことになります。
重要な情報は、必要最低限のメンバーにのみ更新や削除権限を与えるなど、アクセス権限を適切に設定しデータの消失を防ぐことも大切です。
アクセス権限の設定や管理をしたほうが良いもの
リスクを回避するためにはどのようなものにアクセス権限設定が必要になるのでしょうか。
アクセス権限の設定や管理をどのようなシステム資源に対して行うべきか、代表的な例を確認していきましょう。
重要情報を含むファイルやフォルダ
第一に、重要情報を含むファイルやフォルダには、必ずアクセス権限を設定しましょう。
ひとたび顧客情報の流出を引き起こせば相手に迷惑がかかるだけでなく、企業の信用が低下し業績にも影響します。
情報流出のリスクは外部からの攻撃だけでなく、内部に対しても対策しなくてはなりません。
アクセス権限を適切な範囲で設定するとともに、組織変更や異動の都度見直したり、不要になったアカウントを速やかに削除したりと、悪用を防ぐ対策も重要です。
社内ネットワークやサーバ
外部からのサイバー攻撃や不正アクセスによる侵入を防ぐため、社内ネットワークやサーバにも適切にアクセス権限を設定することが重要です。
近年はリモートワークの広がりでインターネット環境から社内へアクセスすることが増えています。
インターネット環境からのアクセスを許すということは、悪意のある第三者による侵入のリスクも高まるため、不正アクセスを防ぐための対策が求められます。
社内システムやクラウドサービス
企業が利用するさまざまな社内システムやクラウドサービスなどでも、アクセス権限を適切に設定・管理することが必要です。
まず、業務上必要な社員にのみアカウントを付与し、社内システムやクラウドサービスへのログインを制御します。
その上で、社員の担当業務に応じて、使える機能や参照・更新できるデータなどのアクセス権限を適切に設定することが重要です。
業務上必要な操作のみを可能とすることで、不適切なシステム操作や不要な情報の閲覧・更新を防止できます。
アクセス権限の設定や付与・管理の考え方
企業でアクセス権限を設定・管理するにあたり、留意すべき考え方を解説します。
適切な考えや目的意識を持ってアクセス権限の設定や付与、管理を進めましょう。
あらゆるシステム・サービス・データにアクセス権限を設定
アクセス権限は、誰でも参照や更新してよい情報を除く、あらゆる情報に対して設定が必要です。
企業には、社内外の誰でも自由に参照・更新して良い情報は多くありません。
基本的に、利用するあらゆるシステムやサービス、データになんらかのアクセス権限を設定すべきと考えて良いでしょう。
特に顧客情報や取引先情報、経営上の機密情報などの重要な情報を含むシステムやサービス、データは、厳格にアクセス権限を設定・管理する必要があります。
重要情報へのアクセス権限は必要最低限に設定
重要情報へのアクセス権限は、必要最低限に設定することが重要です。
業務上本当に必要な人にのみアクセス権限を与え、操作できる範囲も最低限に設定しましょう。
細かく設定するのは手間がかかりますが、面倒だからと言ってアバウトに設定すると、本来利用すべきでないユーザーによる操作ミスや、不正のリスクが高まります。
システムの管理者は、アクセス権限が「必要最低限に設定すべきもの」であるという認識をもつことが大切です。
モニタリングと棚卸でアクセス権限を最新化
設定したアクセス権限は適切に管理しなくてはいけません。
アクセス状況をモニタリングして、権限設定の妥当性をチェックし、不適切なアクセスがあれば設定方針を見直しましょう。
また、定期的にアクセス権限の棚卸しを行い、組織変更や異動、退職などで不要になったアクセス権限を削除することも効果的です。
不要な権限の残置は不正利用の温床となるため、アクセス権限は設定するだけでなく、適切に管理しましょう。
適切なアクセス権限の設定や付与・管理でリスクを減らそう
企業の大切な情報を守るためには、アクセス権限を適切に設定、管理することが重要です。
アクセス権限は基本的に企業のあらゆるシステムやサービス、データに対して必要ですが、重要な情報を扱うものは特に厳格に設定、管理しましょう。
重要情報を社内外で安全に共有するにはオンラインストレージが便利です。
不正アクセスに対するセキュリティ対策も万全な国産オンラインストレージ「セキュアSAMBA」のご利用をぜひご検討ください。
