アクセス制御とログ管理
情報システムやネットワークへのアクセス権限を制限したりすることが、アクセス制御です。
アクセス権限をユーザに付与する際には、必要以上の権限、過剰権限が付与されないように、次のような観点で適切な権限を付与する必要があります。
- 職責分離:担当者と承認者の権限や職務上の責任を明確に分離すること
- 最小権限:付与する権限は必要最低限の権限のみにすること
そして、アクセス制御が正しく行われているかを監視するために、様々な情報システムやネットワーク機器、アプリケーションのログを収集、保存、分析するログ管理も重要です。
ログ管理の目的としては、次のような点が挙げられます。
- 異常や不正の検出
- セキュリティ事件・事故の原因究明、原因分析
- システムの点検、評価
ログを収集して一元管理するログ管理サーバを使用して、各システムや機器に保存されているログと、ログ管理サーバで収集したログを比較することで、ログの改ざんを検出できるようにする場合もあります。
また、このようなログを使用して、不正アクセスなどの原因究明調査や法的証拠性確保をすることを、ディジタルフォレンジックスといいます。
マイノート(これまでの私の体験・見聞から一言)
アクセス制御はセキュリティの観点から、大変重要な対策です。考え方としては当然のことですし、実施するのも一見そんなに難しいことではないように思えますが、実際に運用するとなると、結構大変なことが分かります。
例えば、アクセス権限を付与する場合に当初は適切に設定されていても、担当者の職務が変わったり、新しい担当者が加わったときに、適切にアクセス権限をメンテナンスすることは重要です。特に、あるユーザに権限が不要になったにもかかわらず、そのまま権限が削除されずに残ったままということが、往々にして発生します。
アクセス権限の変更依頼をユーザ部門からしてもらうような場合は、担当者が異動しても、その権限の削除申請がされずに、そのまま残るということがよくあります。したがって、定期的にアクセス権限の見直しをすることが肝心です。
また、様々なログも通常の運用ではほとんど使用することはありませんが、何か問題などが起こったときには、大変重要な情報になりますので、ログ管理もおろそかにするわけには行きません。私の経験でも、ある問題でディジタルフォレンジックスをしてもらったことがありますが、このときには改めてログの重要性を認識しました。