ゼロトラストセキュリティ実現において最小権限の原則を維持する必要性、そしてこの原則維持のためにアクセス権限の適切な管理が不可欠であることは、この寄稿で強調してきた。しかし現状では、アクセス権限の適切な管理を具体的にどのように実現すべきかについてはまだまだ課題が多い。今回はアイデンティティ・セキュリティの主要機能でありながら、他の機能に比べて理解が難しい「ロール管理」(Role Management)について紹介する。
アクセス権限とは?
アクセス権・アクセス権限とは何か。筆者もメンバーである、JNSAデジタルアイデンティティWG(ワーキンググループ、旧アイデンティティ管理WG)が作成したエンタープライズロール管理解説書では「情報システムを利用するには、ユーザーが利用するアカウントが当該情報システムに対するアクセス権を有している必要がある」としている。
ユーザー・職務の関係とアカウント・アクセス権の関係 エンタープライズロール管理解説書
(第3版、アイデンティティ管理WGより引用)
アクセス権とはユーザーがアプリケーション、システム、データにアクセスし利用する際に保持すべき権限である。例えば「あるフォルダに対してファイルを閲覧するためには、Active Directory 上の営業グループに所属している必要がある」場合は、Active Directory上の営業グループに所属していることがアクセス権を有することを意味する。また「部品管理アプリケーションでの部品情報の閲覧・編集は調達部門所属メンバーのみが可能である」場合は、調達部門への所属がアクセス権を保持する条件となる。
アプリケーション・システムごとにバラバラなアクセス権・アクセス制御の実装
アクセス権が具体的に何によって規定されるのか、またアクセス権・アクセス権限をどのように利用して、アプリケーション、システム、データへのアクセスや利用を許可・拒否するのかというアクセス制御の方法は、アプリケーション、システムごとに異なる。これがアクセス権の適切な管理を難しくしている一つの理由である。
業務に必要なアクセス権限の増加
アクセス権限の適切な管理を難しくしているもう一つの理由は、業務に必要なアクセス権限の増加である。経理という職務・業務を例にとると、以前は紙の書類処理が主であったが、最近では経理会計システム、受発注システム、社内コミュニケーションツールなど、さまざまなシステムを利用して業務を行っている。その全てのシステムにおいてアクセス権が必要になる。業務で利用するシステムやアプリケーションが増えるほど、管理すべきアクセス権も増加することになる。コロナ禍におけるリモートワーク環境整備のためのシステム増加も、管理するアクセス権が増加した一つの要因だろう。
ロール管理なしのアクセス権割り当ての課題
「システムごとにバラバラなアクセス権の実装」と「管理すべきアクセス権の増加」がアクセス権限の適切な管理を難しくしている。個々の従業員に対し、業務上の役割に応じて最小権限の原則を維持した形でアクセス権限を付与する場合を考えてみる。
各ユーザーのアイデンティティに対して個々の権限を割り当てしたケースを下図で示している。管理すべき組み合わせが膨大になることが直感的に理解できるだろう。
ロール管理なしのアクセス権割り当て
アクセス権限の申請、承認、棚卸・レビューに関わる工数・コストの増加、人手作業による間違いのリスク、意思決定疲れや承認処理の形骸化が大きな課題となる。各ユーザーに対してアクセス権限の割り当てを個別に行い、適切に運用管理を行うのは実質的には不可能である。
ロール管理の利点
各ユーザーに個別にアクセス権限を割り当てることは非効率であり、多くの課題がある。その課題の解決策として考えられたのがロール管理である。ロールという形でアクセス権限を束ねて管理することで、ロールを介したアクセス権限の割り当てが可能となる。アクセス権限の申請時に、多数の権限を申請する必要がなく、申請・承認を迅速に実施できる。結果としてアクセス権管理の効率が大幅に向上する。「システムごとにバラバラなアクセス権の実装」と「管理すべきアクセス権の増加」を考えると、ロール管理はアクセス権を適切に管理し、最小権限の原則を維持するために必須の機能となる。
ロール管理の利点
アイデンティティ・セキュリティの主要機能としてのロール管理
ロール管理はコンプライアンス・セキュリティ領域の1カテゴリとして2006年前後に登場した。日本ではJ-SOX法が成立し内部統制の強化が求められていた頃である。当時は各社からロール管理の製品が提供されていたが、アイデンティティ管理やアイデンティティ・ガバナンス製品との関連が強く、連携して動作することも多かったため買収や製品統合が進み、現在ではアイデンティティ・セキュリティ製品・サービスの主要機能となっている。結果として、製品名からは「ロール管理」という文字が消えることになった。
そのため、特に国内ではアイデンティティ・セキュリティの他の機能に比べて認知度が低く、必要性が理解されてないことも多い。
しかし、ロール管理なしのアイデンティティ管理では、「システムごとにバラバラなアクセス権の実装」と「管理すべきアクセス権の増加」に対して、適切にアクセス権限を管理し、最小権限の原則を維持しながらゼロトラストセキュリティモデルを実現することは不可能である。企業・組織においてはアイデンティティ・セキュリティの主要機能であるロール管理への理解を深め、自社のアイデンティティ・セキュリティ基盤へしっかりと組込み、セキュリティの強化を実現していくことが求められる。
■執筆者プロフィール
佐藤公理(サトウ キミマサ)
SailPoint テクノロジーズジャパン シニアセールスエンジニア
CISSP(公認情報システムセキュリティプロフェッショナル)
CISA(公認情報システム監査人)、CISM(公認情報セキュリティマネージャ)
2001年より現在までサン・マイクロシステムズ、ノベル、マカフィー、エントラスト、SailPoint(セイルポイント)においてセキュリティ、デジタルアイデンティティ分野のコンサルタント、プリセールスエンジニアとして活動。幅広いセキュリティ分野の知識・経験と、コンサルタント、プリセールスエンジニアとしての現場感を大切に、製品・サービスとITの現場をつないで、IT管理者が楽しく仕事できる安心・安全な情報システムを増やすことを目標に日々精進中。
