知ってたつもりのアクセス管理を、今一度チェック:ITILの基本(7)

知ってたつもりのアクセス管理を、今一度チェック:ITILの基本(7)

ITIL(アイティル)とは、会社や個人がITサービスを利用してビジネスを成長させるためには、どのように管理するのが効率的か、ポイントをまとめた事例集です。今回は、ITILの5つのフェーズのうち、「4.サービス運用」にある「アクセス管理」を見てみましょう。まずはいつものように、用語の定義から。

アクセス管理とは

アクセス管理とは、ITサービスに対するユーザのアクセス権を管理するプロセスで、権限管理またはID管理と呼ばれることもあります。アクセス権の制御は一般的なOSでもお馴染みなので、他のプロセスよりも具体的にイメージしやすいかもしれません。利用者はユーザ名やパスワード、指紋や顔認証などで識別され、利用できる機能が設定されます。許可されたユーザにのみ、ITサービスやデータ、その他の資産を利用する適切な権限を付与し、許可されていないユーザの権限は制限します。詳細な設定や変更は、管理者だけがアクセス可能です。

アクセス管理とは、ユーザへのアクセス権と、その設定や変更に関するサービス要求を効率的に運用する仕組みです。広義では、例えばサーバルームへの入退室権限や紙資料の閲覧権限なども対象です。また、人だけでなく、プログラムの実行や読み込み・書き込み、新規作成、削除なども、アクセス権として制御されます。

アクセス権が適切に管理されていないと

アクセス権が適切に管理されていないリスクは、顧客情報や知的財産の流出、社内情報の改ざんなどのような、ビジネスの将来を左右する問題に直結します。これらの原因は、サービスの複雑化だけでなく、働き方の変化や企業再編の加速なども、複合的に影響しています。

  • アカウントが野放しになっている
    すでに退職したり出向中の社員、契約が終了した外部スタッフなど、サービスのユーザではないアカウント整理されずに残っている。システムやアプリケーションが複数混在し、複数のアカウント情報が放置されたまま。
  • アクセス権の管理基準や管理者がはっきりしない
    どのユーザに、いつ、誰が、どのような理由でアクセス権を設定または変更するか、参照すべき基準がない。承認ステップも不明。過去のログもスムーズに閲覧できない。
  • アクセス権が適切に管理されていない
    ユーザの業務内容と、アクセス権の紐付けが不明瞭。ユーザの業務変更や異動に合わせて、適切なアクセス権が見直されていない。

常に他のプロセスと連携

アクセス管理は、許可されたユーザだけがアクセス権を行使することで、サービスの安全性や可用性を保証します。システム運用の他のプロセスと同様に、アクセス管理もまた、他のプロセスと常に連携して実行されます。

例えば、ユーザがアクセス権の変更を希望する場合は、まず「要求実現」プロセスとして管理者に依頼が届きます。管理者が依頼内容を確認し、アクセス権に関わる依頼だとわかったら、アクセス管理プロセスに引き継がれます。そして、ユーザの本人認証と依頼内容のチェックを経て、必要なアクセス権が付与されます。

同様に、入社や退職、昇格・降格、異動、職務変更などの「変更管理プロセス」や、ヘルプやサポート、問い合わせなどの「サービスデスク」から引き継がれることもあります。

大規模な組織では、各ユーザに個別の権限を設定する代わりに、予め業務ごとにいくつかのグループを作成しておくことが一般的です。そのグループに属するユーザには、権限が自動的に付与されます。例えば、とあるサービスのシステム運用グループを作っておけば、そこに新しく登録されたメンバーは、自動的に同じ権限が付与されます。

ITILの要求実現って何の要求?どう管理する?:ITILの基本(3)
https://un4navi.com/management/19052/

アクセス管理のステップ

アクセス管理は、前述のようにいろいろなプロセスと連携しながら、以下のようなステップで進みます。

  1. 「要求実現」として受け付け
    ユーザから管理者への、サービスやデータに対するアクセス権の要求を受け付けます。
  2. 要求が妥当か検証
    要求内容と、ユーザアカウントとアクセス権限が妥当かを、管理者がチェックします。要求が妥当か、適切な管理者により承認されたものかを検証します。
  3. アクセス権やIDを付与
    承認された要求に基づいて、アクセス権の変更や、異動などによる期限付き容認などを実施します。または、予め設定したグループへ追加します。
  4. 監視
    ユーザに付与した権限の利用状況を監視します。変更や削除があれば、正しく反映されているかを確認します。
  5. ログの取得と追跡
    監視結果に沿って、各アカウントのアクセス状況を追跡し、必要に応じて、ログで詳細を検証します。

アクセス権は、システム運用全体の方針で決定

一つ重要な点は、「ユーザがそのサービスを使えるかどうかを、アクセス管理が決めるわけではない」ということです。アクセス権は、情報セキュリティ管理プロセスやポリシー、ビジネス戦略などで決められます。アクセス管理は、あくまでもそれを反映させるためのプロセスに過ぎません。システム運用全体の方針やルールが別のところで規定され、その内容に従ってアクセス権が設定されます。

ITILで説明されているプロセスはどれも、システム運用において重要なのは当然ですが、アクセス管理は特に、セキュリティリスクやガバナンスの観点から、その重要性が非常に高まっています。サービスの安定稼働と安全を守る、基本とも言えます。この記事を読んで少しでも気になった方は、早速、社内のアカウントを確認し、必要なら整理してみることをお勧めします。

関連記事

ページ上部へ戻る