退職者による不正アクセスとゼロトラスト

アクセス権の削除の実態

ほとんどの会社の情報システムは、社員が辞めたあとも一定期間は、辞めた社員によるシステムの認証ができてしまいます。

理想的には社員が退職した日の２４時をもって、その社員がアクセス可能なすべての情報システムから切り離されることです。しかし、その仕組みを作るには会社の人事システムで管理している社員の退職情報が、時刻起動のバッチで、他システムの認証及び認可の基盤と自動連携する必要があります。

ここで、認証とは利用者の本人確認を行いシステムに入る手続きで、認可とは利用者に正しいアクセス権限を与えることです。認証と認可の関係をシネマコンプレックスでたとえると、観たい映画のチケットを買い、入り口で係員にチケットを提示して入場するのが認証です。シネコンは同時間帯で複数の映画を上映していますが、入場者が観れる映画はチケットを買った作品のみです。これが認可です。

ひとつの会社が抱えている情報システムは、想像する以上に多くあります。年商５０００億の会社であれば、大小含めて２００～３００くらいの情報システムを抱えていると思います。

会社は退職者のアクセス権を削除するために、多大なシステムコストをかけたくありません。当たり前です。そんな予算があれば、いまいる社員の業務が効率化するためのシステムに回したいでしょう。

ですので、実態は社員の退職情報を情報システムのアクセス権を管理する担当者が個別に受けて、手作業でアクセス権を削除するやり方が主流です。それでも会社にあるすべての情報システムが、可及的速やかにアクセス権が削除されることはありません。半年や一年あまり、退職者のアクセス権が残ることも珍しくありません。とくにISO27001など、情報セキュリティマネジメントシステム（ISMS）の認証を得ていない事業者は、属人的な運用が行われ、不適切なアクセス権が残っている可能性が高いはずです。

アクセス制御の運用方式

正規に承認されている人以外は、システムを使えなくする機能をアクセス制御といいます。

アクセス制御の運用は大きく、MAC方式とDAK方式に分かれます。

MAC方式は、強制アクセス制御ともいいます。これは、情報セキュリティの管理者のみが利用者のアクセス権を変更することができる方式です。情報システムの利用者側ではアクセス権を変更できないため、高いレベルでセキュリティの確保が期待できます。

ただ、情報セキュリティの管理者は、誰にどの程度のアクセス権を付与するかの判断はできません。そのため、MAC方式では利用者からの申請と上長による承認プロセスが必須です。上長承認を経たのち、情報セキュリティ管理者は利用者のアクセス権を設定します。アクセス権の設定までに一定の期間を要します。そうすると、利用者の業務が遅延する悪影響があります。

そのため、多くの情報システムでは、DAC方式と呼ばれる、自由裁量的なアクセス制御を行っています。これは主たる情報資源の所有者に、アクセス権の設定を委ねる方式です。

たとえば、CRMシステムは、お客様サポートを行うコールセンターなどの利用者が使いますが、DAK方式を採用すれば新たにサポート要員が参加したら、お客様情報の所有者はすぐに、新たなサポート要員にアクセス権を付与できます。

ただ、DAC方式で問題なのは情報資源の所有者は、必ずしも情報セキュリティのリテラシーが高いとは限らないことです。所有者がアクセス権限の設定ミスをすると、見えてはいけないところに、お客様情報が見えてしまうリスクがあります。また、新たに参加したサポート要員のアクセス権の設定は、業務遂行上の理由からいち早く権限を設定すると思いますが、退職したサポート要員のアクセス権の削除は、やらなくても業務遂行に影響しません。ですので放置される傾向にあります。

ライバル企業に転職したサポート要員が、その会社から元いた会社のCRMシステムにアクセスして、お客様情報を覗く状況を想像すると背筋が震えます。