情報漏洩を防ぐために、アクセス管理は重要な取り組みのひとつです。クラウドストレージの場合、利用する社内外のアカウントの権限を制限して、ファイルのアクセスを制御、監視を行います。ISMS認証を取得にあたっては、定められた規則にしたがってアカウントの厳重な管理が求められます。この記事では、ISMS認証の取得を進めている企業に向けて、クラウドストレージを活用する際のアクセス管理のポイントについてまとめました。
クラウドストレージのアクセス管理はなぜ必要か?
情報漏洩は企業にとって大きなリスクであり、特に個人情報の悪用は被害が拡大します。社会的な信頼を失い、業績に大きな影響を及ぼすことがあります。このような事態を防ぐために、クラウドストレージに保存したデータのアクセス管理は重要と言えるでしょう。
たとえば、アカウントは原則としてむやみに発行しないこと、必要な社員にアクセス権限を設定して付与することが基本です。退職した社員のアカウントがそのまま残ってしまうと、不正利用が発生しやすくなるため注意しなければなりません。文書のコピー、印刷などの制限も必要です。
社内教育によってモラルを向上させることも大切ですが、教育だけではセキュリティを徹底できない場合があります。したがってシステムの機能によって、機密情報にアクセスできない状態にして、ヒューマンエラーや不正を防止します。
ISMSにおけるアクセス管理
ISMS認証は、第三者により企業のセキュリティを評価します。取得に向けて取り組んでいる場合には既にご存じかもしれませんが、あらためてISO/IEC 27001:2022の認証で重視されている内容から、アクセス管理に関する3つのポイントを押さえていきましょう。
アクセス制御方針の確立
情報リスクアセスメントに基づいて資産台帳を作成します。資産台帳の利用範囲にしたがって、アクセスの規則を確立します。運用管理の手順、暗号化などの管理策、安全な認証方法、監視方法、ログ取得の内容について明確に定めることが必要です。
識別情報と認証方法の管理
利用者IDの登録と削除の手順を定めます。利用者IDは一意であり、社員の行動がIDと対応していること、業務上で必要な場合に限定します。重複したIDを発行しないように注意しましょう。また、不要な利用者IDは無効化または削除し、定期的に見直しを行います。
認証方法としては、一般的に用いられているパスワードのほか、ワンタイムパスワードや生体認証などがあります。利用者に誓約書類への署名を求め、許可なく第三者に教えることを禁じます。
アクセス権のレビュー・削除・修正
識別情報の管理によって定められた手順にしたがって利用者を登録、サービスを利用できるようにします。定期的にレビューを行って見直します。
社員の場合は、異動、退職、契約期間の終了、一般社員から管理者への任命などがアクセス権を見直す時期のポイントです。このような時期に、アクセス権の削除、変更を行います。特に解雇の場合、情報の改ざん、破壊、不正な情報の持ち出しに注意が必要です。
クラウドストレージにおけるアクセス管理の方法
ISMS認証取得を前提として、クラウドストレージのアクセス管理ではどのような点に注意すればよいのでしょうか。それぞれ概要を解説します。
アカウントの発行・変更・解除
クラウドストレージを利用する必要があるユーザーに限定してアカウントを発行し、ユーザー登録を行うことが原則です。アカウントは、社員の異動、退職、役職の変更などに合わせて変更や解除をします。部署を横断したプロジェクトなどグループ分けする場合は、一覧画面でユーザーのステイタスを可視化すると把握しやすくなります。
社員個々が自分の使いやすいクラウドサービスを利用していると、管理者が把握できないシャドーITが発生しがちです。自社で利用するサービスを標準化し、それ以外のサービスは使わないように徹底しましょう。
IDとパスワードの管理
ユーザーのアカウント登録に合わせてIDとパスワードを管理します。社内だけでなく社外の管理も必要です。外部パートナーのアカウント管理は煩雑になりがちです。IPでファイルのダウンロードのアクセスを制御、専用のURLからアクセスできるようにするなど、アカウントを発行しなくてもセキュアに利用できる仕組みもあります。
シングルサインオンによる認証
マルチクラウドの活用が進展し、企業では多様なクラウド上のサービスを利用するようになりました。しかし、社員が利用するサービスごとにIDやパスワードを発行すると煩雑になり、使い回しが発生します。
シングルサインオン(SSO)を使うと、1度のユーザー認証によって複数のサービスの利用が可能になります。アカウントの業務内容や役職などの権限に合わせて必要な複数のサービスに1度の認証でアクセスできるようになり、煩雑さを解消し、生産性の向上に役立ちます。
ファイルやフォルダのアクセス権限の設定
アカウントに合わせて、アクセスできるファイル、フォルダを設定します。機密性の高いファイルに対しては、関係者以外のアクセスを遮断することが重要です。また、PDFファイルは閲覧、ダウンロード、印刷の制限をかけます。ダウンロードしたPDFの文書には、社員の名前やタイムスタンプ、社外秘などの透かしを入れることにより、不正な持ち出しを防止することができます。
社外とのやりとりとアクセス制御
ファイルをメールに添付して送信すると、ファイルが外部に流出する可能性があります。外部パートナーに資料を送付する際には、専用のURLやIPで制御して、クラウドストレージ上のファイルに直接アクセスできるようにするとよいでしょう。このときにはアクセス制御とともに、通信の暗号化とファイルの暗号化が求められます。
パスワード(P)付きファイルをメールで送信、別途Password(P)を送って、暗号化(A)とプロトコル(P)で保護する方法を「PPAP」と呼ぶことがありますが、暗号強度が脆弱であり、盗聴やマルウェア感染のリスクがあります。PPAPよりもセキュアなファイルのやり取りを可能にします。
ログ取得と監視
ISMS認証では、認証の取得以降もセキュアな状態を維持した運用が求められます。年に1回以上の内部監査によって実施の有効性を確認し、PDCAサイクルを回して問題を解決しなければなりません。このとき、ストレージのファイルに誰がどのようにアクセスしたかなどのログを取得し、証跡を取ることが大切です。
ISMS認証を目指すなら、Fleekdriveでアクセス管理
ISMS認証取得を目指すうえで、クラウドストレージのアクセス管理に必要なポイントを解説してきました。FleekdriveはISMS認証を取得済みであり、上記で解説したようなアクセス管理における高度な機能を備えています。
アカウント発行時には、グループごとに管理者を設定、それぞれのユーザーにきめ細かな権限を設定し、権限は一覧で確認することが可能です。ユーザーと開発者に最適化したシングルサインオンを備えています。また、ログインからログアウトまでの操作に関して5年分まで記録する証跡機能によって監査に対応します。アクセス管理をはじめとした、さまざまなセミナーもぜひ参考にしてください。
セミナーページはこちら。