アカウント管理

デジタル化が進む今日においては、アカウントは個人を特定する情報であり、適切に管理する必要があります。アカウントは誰にでも与えるのではなく、必要な人に必要な分だけ与えることで情報へのアクセスや流出の可能性を減らすことにつながります。職務分掌や知る必要性は、規程で定める役割や業務分掌などと対応付けた管理を行います。

Point①　適切な権限付与の実施

アカウントを利用する際には、どのような役割（ロールと表現される場合もあります）を用意しどのような人（例えば役職、職務担当者など）に付与するかを検討する必要があります。

職務分掌

Aという仕事をする管理者としての責務を有する

Aという仕事をする作業者としての責務を有する

Bという仕事をする作業者としての責務を有する

知る必要性

Aという仕事を管理するため、情報を知る必要がある

Aという仕事の作業をするため、情報を知る必要がある

Aという仕事はしないので、情報を知る必要は無い

最小権限

Aという仕事を管理するため、閲覧・編集の権限が必要

Aという仕事の作業をするため、閲覧の権限が必要

Aという仕事はしないので、権限は不要

代表的なアカウントの種類と役割の例

アカウントの種類	役割	できること
特権アカウント	管理担当者に付与されるアカウント	アカウント作成・削除・停止役割とアカウントの紐付け設定追加・変更・削除など
ユーザーアカウント1	役職者（部長職）に付与されるアカウント	部門所属者への部門内フォルダへのアクセス権付与ファイル作成・変更・削除
ユーザーアカウント2	一般ユーザーに貸与されるアカウント	許可されたファイル・フォルダのアクセスファイル作成・変更・削除
監査アカウント	監査担当者に貸与されるアカウント	ログの閲覧

Point②　特権アカウントと一般アカウントの管理

特権アカウントと一般アカウントでは用途とできることが異なります。管理者が主に利用する特権アカウントが流出すると、大きな影響が出るので管理には一層の注意が必要です。

	特権アカウント	一般アカウント
利用者	情報システムセキュリティ責任者従業員	一般社員
アカウント	推奨：推測困難であるもの［禁止アカウント名］ WindowsOS：administrator、admin LinuxOS：root 1つの特権アカウント名を2名以上で共用しない Guest用アカウントは無効化する	従業員番号従業員コード
認証	＜パスワードに使う文字＞ 12文字以上＜パスワードの管理＞ロックアウトの閾値は3回、時間は6時間に設定する	＜パスワードに使う文字＞ 10文字以上＜パスワードの管理＞ロックアウトの閾値は5回、時間は1時間に設定する
利用時の注意点	作業申請を出し、承認された作業のみでアカウントを利用する利用時は常に2名以上で作業を行い、ダブルチェックできる体制で利用する	個人の責任により管理し、業務で利用する
その他	保守業者等へ貸し出す際には、専用の特権アカウントを提供する。また作業後はアカウントの削除、またはパスワードの変更を行う	第3者へ貸し出す際はユニークなアカウントと必要な権限のみ付与し、作業終了後は削除する

Point③　人事異動や退職のアクセス権の変更を後回しにしない

アカウントは人事異動や退職により変更が発生します。特に退職後はアカウント削除などを実施することが求められます。

役割の変更を実施

アカウントの削除

アクセス権レビュー

電子メールの安全利用

認証管理

セミナー7日目TOP