製品ユーザーID管理の記事
ARTICLEゼロトラストセキュリティ時代のID管理とは?注意点と導入ステップ
ID管理のセキュリティ対策はゼロトラストが当たり前となっている現代ではどの企業も意識すべき点でしょう。しかし、ID管理のセキュリティ面でどのようなことに気をつければ良いのかわからず困ってしまうこともあるのではないでしょうか。そこで、この記事ではゼロトラストセキュリティ時代におけるID管理の選び方や導入ステップについて解説します。
目次
ID管理とは
ID管理とは、社内システムやクラウドサービスにおいて「ID」「パスワード」といったアカウント情報を登録・変更・削除し、適切に管理する仕組みです。
ここではID管理をセキュリティ視点で主に解説します。
ID管理の導入メリットやツール選びの要点について詳しく知りたい方は、ID管理とは?導入メリットやツール選びのポイントを徹底解説をご覧ください。
ID管理とアクセス管理の違い
ID管理と混同されやすい用語に「アクセス管理」が挙げられます。
ID管理とアクセス管理はどちらも、ゼロトラストセキュリティにおいて重要な概念ですが、それぞれ目的や具体的なアクションが異なります。
ID管理は、「システムやサービスを利用するユーザーが誰なのかを特定するための情報を管理する仕組み」です。
「ID・パスワード」だけでなく、「指紋や虹彩などの生体情報」「氏名」「役職」「連絡先」など、ユーザー本人であることを識別するために必要な属性情報をデータベースで管理し、本人確認の基盤を構築する一連の流れや、その仕組み・枠組みを指します。
一方、アクセス管理は「その人が何にアクセスできるかを制御する仕組み」のことです。
IDの確認後、役職や権限に基づいて、どのシステムやデータへのアクセス範囲をコントロールします。
具体的には「パスワードの入力」や「2段階認証」「指紋や虹彩による生体情報認証」「多要素認証(MFA)」もアクセス管理の仕組みに含まれます。
ID管理とアクセス管理の相違点をまとめると以下のようになります。
| 相違のある項目 | ID管理 | アクセス管理 |
| 目的 | 誰であるかを特定 | 何ができるかを制御 |
| 管理対象 | 氏名、役職などの属性情報 | システムやデータベース、機能の利用範囲 |
| 実行するタイミング | アカウントの発行・更新・削除時 | 認証後のアクセス許可を行う段階 |
| 代表例 | アカウント登録・属性情報の更新 | パスワード認証・2段階認証 |
ID管理ツールの種類
ID管理ツールは「クラウド型(IDaaS)」「オンプレミス型」「アプライアンス型」に大別することができます。
クラウド型ID管理ツールはIDaaS(IDentity as a Service)とも呼ばれ、クラウド上で提供されるため運用の費用や難易度などの負担が軽く、SaaSや他クラウドとの連携において親和性が高いことが特徴です。
オンプレミス型ID管理ツールは、自社のサーバー上に設置する方式であり、カスタマイズ性や既存システムとの統合に優れています。
アプライアンス型ID管理ツールは、特定機能に特化しているもので、専用ハードウェアや仮想サーバーにプリインストールされた形で提供されることが多いです。
短期間で導入が可能であることが強みですが、汎用的な使い方には向いていません。
ID管理の対象となる情報
ID管理で扱う情報は多岐にわたり、正確な把握と管理がセキュリティ強化の基盤となります。
ID管理の対象となる情報は以下のようにまとめられます。
| カテゴリ | 情報の例 |
| ID・認証情報 | ユーザーID、パスワード、メールアドレス、社員番号 |
| 属性情報 | 部署、役職、職位、等級、連絡先、入社日 |
| 権限情報 | アクセス可能なシステム・データの種類、役職ごとに定められている権限レベル |
| ライフサイクルのデータ | アカウントの発行・変更・削除を行った履歴、棚卸し履歴 |
| 監査ログ | 誰が、いつ、どこで、どのデバイスから、どのような意図でアクセスしたかなどの履歴 |
| 非人間アイデンティティ | サービスアカウント、IoT機器、APIキー、OAuthトークン、デバイス識別子(UUID等) |
このように、「人」と「機械」の双方の判別を包括的に管理することで、セキュリティだけでなく業務効率を維持しやすくなります。
ID管理において、セキュリティを重視すべき5つの理由
昨今、ID管理にはセキュリティ対策やセキュリティの向上を重視すべきであると指摘されることが増えてきました。
そこで、ここではID管理にこそセキュリティを重視すべき理由を5つ解説します。
ゼロトラストセキュリティにおいてID管理は重要な構成要素
ゼロトラストセキュリティとは、「アクセスしている全てを信用するのではなく、常に検証を行う」という概念や考え方のことです。
この考え方は、既存の脅威に対する防御である「境界防御」では防ぎきれない脅威への対抗策として有効とされるセキュリティモデルです。
この概念を実装する際、例えば、ユーザーやデバイスの身元を厳密に確認し、必要な権限のみを与える、といった対応が重要です。
経済産業省所管の情報セキュリティやIT人材育成を担う機関である、IPA(情報処理推進機構)も「ゼロトラスト移⾏のすゝめ」という資料において、ゼロトラストの概念を実装するにあたり、最も重要と言えるのがID管理」と指摘しており、ID管理は社内外を問わず信頼性を判断する新たな境界線となっていると言えるでしょう。
ゼロトラストの概念を実装するにあたり、最も重要と⾔えるのがID管理である。なぜなら「信頼できるネットワークが存在しない」というゼロトラストの概念において「誰が」リソースにアクセスしようとしているのか都度的確に識別し認証・認可を⾏うことが重要だからである。
出典:独⽴⾏政法⼈情報処理推進機構 産業サイバーセキュリティセンター 中核⼈材育成プログラム 5期⽣ ゼロトラストプロジェクト”ゼロトラスト移⾏のすゝめ” 2022-06
多要素認証(MFA)だけでID管理は万全とは言えない時代になった
多要素認証(MFA)は従来のID・パスワードだけの管理と比較して、はるかに安全性の高い手段として普及しています。
しかし、近年では多要素認証そのものを狙った攻撃も増加しており、多要素認証のみに依存するセキュリティ体制では万全と言えない状況になっています。
例えば、認証通知を繰り返して誤って許可をさせる「MFA疲労攻撃」や、複数の認証間の通信情報を奪う「中間者攻撃」、精巧な偽サイトへ誘導して情報を入力させる「フィッシング」などの攻撃手法が増えています。
このような背景から、多要素認証は一定のレベルまでは有効である一方、それだけでは安全ではないとの指摘も見受けられるようになっています。
ID管理では多要素認証の導入を前提としつつも、さらなるリスク対策を講じる視点が重要でしょう。
特権IDの管理が甘いとシステム全体のリスクになりうる
特権IDの扱い方も非常に重要です。
特権IDとは、システムやネットワーク全体の位置付けとして、設定変更やデータの閲覧・削除において強力な権限を持つ管理者アカウントのことです。
こうしたIDを適切に管理できておらず、「使い回し」や「共用」「削除漏れ」などが生じると、悪意のある内部関係者や外部攻撃者から乗っ取られてしまった場合に被害の及ぶ範囲が広くなってしまいます。
実際にログの改ざんや情報の抜き取り、システムの停止といった被害は特権IDの不正利用から生じているケースも少なくありません。
そのため、特権IDは通常のID以上に特に厳密な制限と管理が求められます。
シングルサインオン(SSO)の突破が連鎖的に影響を及ぼす危険性
シングルサインオン(SSO)は、一度の認証で複数のシステムやサービスにアクセスできる仕組みのことです。
この仕組みを用いることで利便性や業務効率を飛躍的に向上させることができるとされています。
しかし、その高い利便性の反面、一度悪意あるユーザーに突破されてしまうと連鎖的に全てのシステムやサービスへ侵入されてしまう、というリスクも潜んでいます。
セキュリティにおいて、利便性は常にセキュリティとのトレードオフを行うことが重要です。
多要素認証(MFA)や認証制の利用制限などの対策と組み合わせて運用するといった対策が望ましいでしょう。
ID管理のセキュリティに求められる法令・ガイドライン
ID管理は法的な観点からもセキュリティ確保が求められます。
関連する法令やガイドラインを正しく把握していないと、コンプライアンス違反や監査指摘の原因となる可能性があります。
そこで、ここではID管理において求められる、法令やガイドラインについて解説します。
個人情報保護法
ID管理に関わる重要な法令の一つが個人情報保護法です。
ID管理において扱う氏名、メールアドレス、社員番号、顔写真、生年月日といった情報は、いずれも個人情報保護法上の「個人情報」に該当し、厳重に管理する必要があります。
また、「指紋」「虹彩」「手指の静脈」といった生体情報も個人情報の一種とみなされます。
特に生体情報は、一度流出すれば「変更」ができず、なりすます手段として再利用される恐れがある点から、法的観点のみならず実務面においても極めて厳重な管理が求められるでしょう。
J-SOX(金融商品取引法関連)
ID管理において、内部統制の観点より求められる法令が、「金融商品取引法」の内部統制報告制度「J-SOX」です。
この法律では、上場企業に年度ごとに内部統制報告書の提出と、公認会計士または監査法人による監査が義務付けられています。
ただし、J-SOXで求められるID管理の考え方は、上場・非上場を問わず、多くの企業にとって重要な指針となります。
J-SOXの中でも近年ではIT統制におけるID管理の徹底が不可欠となっており、対応が適切に行われないと監査人から指摘を受ける可能性が高くなってしまいます。
サイバーセキュリティ基本法
サイバーセキュリティ基本法は、国や地方公共団体、民間企業などに対して、組織的かつ継続的なセキュリティ対策体制の整備を求めている法律です。
ID管理はこの中でも重要な構成要素とされており、適切なアクセス権限の設計や認証プロセスの確立が、セキュリティ強化の基盤につながる取り組みとして位置づけられています。
特に重要なインフラ事業を担う機関では、これらが基本的なセキュリティフレームワークとされ、安全性の確保が強く求められています。
また、業務における責任の所在を明確にする、という観点からもID管理とともにアクセス管理の体制の構築は欠かせません。
FISC安全対策基準
金融機関などがデータセキュリティと信頼性を確保するために策定された、金融システム向けの高度なセキュリティ基準が「FISC安全対策基準」です。
300近い項目から構成され、「ガバナンス」「アクセス制御」「ログ管理」「特権IDの運用」など、ゼロトラスト時代にも通用する運用設計を詳細に規定しています。
特にID管理に関しては、以下のような対策を求めています。
- 特権ID利用の制限と履歴管理(申請・承認・操作ログ)
- アクセス権限を業務必要最小限に限定し、人事管理と一体の承認プロセスを設ける
- ログの保全と改ざん防止策の実施、不正監視とアラート体制の整備
そのため、FISC安全対策基準は金融機関だけでなく非金融業種や団体でも参考になるような、ID管理の高度化に向けたモデルケースと言えるでしょう。
セキュリティを意識したID管理の選定方法
ID管理の方法を検討する際はセキュリティ要件に加えて、自社に必要な条件も事前に整理することが重要です。
そこで、ここではセキュリティを意識したID管理の選定方法の選び方を紹介します。
自社に合った選定方法を探してみましょう。
自社に必要なID管理ツールのセキュリティ要件
ID管理ツールの選定にあたっては汎用的な機能だけでなく、自社の業種・業態に対応したセキュリティ要件を満たしているかも重要です。
まず確認すべきことは、自社が準拠すべき法令・業界ガイドラインの有無です。
例えば金融、医療、行政などの分野では、アクセス権限の階層や認証方法に厳格な基準が設けられている場合があります。
また、ある産業では、利用者認証において「ID・パスワード」だけでなく「生体認証の併用」「Need-To-Knowの原則を徹底したアクセス権の付与」といった取り組みを求めるケースもあります。
このような業界特有のセキュリティ規定を正しく理解したうえで、ツールの仕様がそれに適合するかを確認することが重要です。
ID管理の「ゼロトラスト」対応はもはや前提条件
現代において、ゼロトラストセキュリティの実現は、業種や事業内容に関わらず必須の条件と言えるでしょう。
そのため、以下の4つの観点を確認することが重要です。
- 特権IDを適切に制御・可視化できるか:
管理者権限の操作履歴や利用状況を把握、不正使用や権限の過剰付与を防止できるか
- MFA(多要素認証)を実装できるか:
SMS・アプリ・生体情報など複数の要素を組み合わせて運用できる柔軟性があるか
- SSO(シングルサインオン)のリスクを抑えた運用ができるか:
万が一の侵害の際、被害範囲を局所化する設計は可能か
- IDのライフサイクルを確実に管理できるか:
入社・異動・退職などの人事イベントに応じて、アカウントの発行・変更・削除を漏れなく制御できるか
これらを事前に確認することで従来のセキュリティ対策よりも厳格なID管理の実現に近づくでしょう。
セキュリティログの取得・監査対応のしやすさ
ID管理ツールを選定する際は、操作ログやアクセスログを網羅的かつ改ざんできない形で記録できるかも確認するようにしましょう。
セキュリティインシデント発生時には、ログが信頼性の高い証跡として機能します。
また、ログを適切に取得・管理することは、セキュリティ対策としてだけでなく、従業員や管理者による不適切な行為への抑止力が働きます。
そのため、ガバナンスの観点から内部犯行の防止にもつながります。
単に記録するだけでなく、監査時に抽出・分析しやすい形式であるかどうかも重要な評価ポイントでしょう。
国内外のIDaaS製品を比較する際のセキュリティ上の注意点
IDaaS製品を選定する際は、扱いやすさや価格だけでなくセキュリティ面も重視した選定が欠かせません。
特に、日本語対応や国内におけるサポート体制の有無は重要な要素です。
ID管理は長期的な運用が前提であるため、UI上の認識の齟齬や設定ミスを防ぐうえでも言語やサポート環境の整備は大きなリスクヘッジになるでしょう。
日本独自の法規制への適合や、国内で主流の基幹システムとの連携における親和性も確認しておきましょう。
これらの点を見落とすと、その後の統合運用時にセキュリティ課題が顕在する要因になってしまう場合があります。
ID管理のセキュリティ対策が気になるなら、SPIRAL®の「製品ユーザーID管理システム」がおすすめ!
メーカーのアフターサービス業務の効率化をお考えなら、SPIRAL®の「製品ユーザー管理システム」がおすすめです。 「製品ユーザー管理システム」は、メーカー製品のアフターサービスをオンラインで行う機能を備えたシステムです。 保証情報や修理対応、ユーザーからの問い合わせ受付など、各種情報管理を効率化し、メーカー・ユーザー双方の利便性向上を実現する、以下のような特徴を有しています。
1. 各情報をデータベースで一元管理
「お使いの製品情報」に紐づけて、保証情報や修理対応履歴など各種情報をそれぞれデータベース化。ユーザーサイト・管理者サイトそれぞれで最新情報がいつでも確認可能になります。
2. 受付から対応後までかんたんでわかりやすい運用を実現
ユーザーは故障箇所を撮影してファイル添付が可能。依頼の受付から対応状況のステータス管理、ユーザーとのやり取りなど全てサイト上で完結できます。また、CS(カスタマーサービス)スタッフ向けに対象機能のみを搭載したマイページを提供し、操作権限を限定したセキュアな運用が可能です。
3. サイト上で密なコミュニケーションが可能
ユーザーからのお問い合わせはチャット形式で表示してしっかり管理。さらにアンケートやキャンペーンなど、ご購入いただいたユーザーへ向けた新たな施策もサイト上で実現できます。
まとめ
ID管理は、ゼロトラスト時代のセキュリティ対策を担う重要な要素です。
特に、「特権ID」「利便性とセキュリティのトレードオフ」「トラブル発生時のレジリエンス能力」といった様々な要因を考慮しながら自社に合ったプロダクトの選定を行うことが重要です。
法令への対応も含め、「意識改革だけでなく、仕組みで解決する」体制を今のうちから整えることを意識すると良いでしょう。
このコラムの執筆者
