| 毎週発行されているパートナーNewsより選り抜きの記事をご紹介! |
|
第七回 『セキュリティポリシー:アクセスコントロール』
|
● システムアクセスコントロール
|
■ セキュリティポリシー:アクセスコントロール
アクセスコントロールとは、必要なリソースを必要な人だけが使用するということを目的に、情報の公開と遮断をシステム的に制御し、機密保護の観点でリソースの利用配分を効果的に行うことを言います。アクセスコントロールには、ネットワークで実現する場合とシステムで実現する方式がありますが、対象となるリソースの特性により、その適用方法は異なってきます。
● システムアクセスコントロール
システムで実現するアクセスコントロールを用いて、システムを利用するアクス者の属性(権限)から、アクセス対象となるリソースに対し、決められた処理形態の範囲のみで操作を行わせる事を実現します。従って、アクセスの対象はサーバのリソースであり、アクセス対象の規定と、それに紐付けるアクセス者の規定を行う必要があります。システムアクセスコントロールでは、アクセス対象とアクセス者の紐付けにより、必要なリソースを必要な人のみの利用許可に制限します。
・システムアクセスコントロール方針
システムアクセスコントロールを実現する上で、組織間データアクセスの方向性を定義します。
(1) アクセス対象データの分類
アクセス対象データには組織で管理され、組織内で個別に使用するもの(組織個別データ)と、管理外組織で業務遂行上、関係部外のデータを使用するもの(共有管理データ)に分類されます。
基本的には組織個別データは、関係部外からのアクセスは行わず、共有管理データは関係部外からのアクセスを行うものとします。
(2) 組織間データアクセス
組織個別データと共有管理データの特性から組織間データアクセスの方針を定義します。組織個別データは、組織内業務における効率化と利益を生み出すための源泉として、組織内で作成され利用します。組織個別データは、外部に漏れる事なく組織内でクローズした環境下で運用する事により価値は高まります。
従って、組織間での組織個別データアクセスはデータの価値を維持、継続するために原則行わないものとします。
共有管理データは、企業活動全体のスピードアップとコストの最適化のために、組織と組織間で作成、エンハンス、利用を行います。共有管理データは、業務遂行上情報を必要とする人と共有する事により、その利用価値が高まります。
従って、組織間での共有管理データアクセスは、企業活動を戦略的に相互補完するために行うものとします。
(3) アクセス対象者
アクセス対象への紐付けとアクセス権限を割り当てる上で、アクセス者の分類を行う必要があります。アクセス者の分類は、アクセス権と部門が部門内の業務管理、業務運営を進める上で任命された人間を基本とします。
アクセス対象者は以下の4点からの観点で定める必要があります。
1) アクセス権によるアクセス対象者
- 承認操作を必要とするアクセス権を与えられているアクセス者
- 権限や権能、職務に基づくシステムを、利用する必要があるアクセス者
2) 所属部門によるアクセス対象者
- 部門の職務に与えられるアクセス権限を持つアクセス者
3) システム、アプリケーション管理によるアクセス対象者
- アクセス権以外に、システム、アプリケーションのメンテナンスを任命されたアクセス者
- アクセス権以外に、システム、アプリケーションの運用管理を任命されたアクセス者
4) 部門が固有に持つアクセス対象者
- アクセス権以外に、部門内業務運営のために部門内で任命されたアクセス者
- アクセス権以外に、部門内業務運営のために部門内で任命された社内他部門のアクセス者
- 部門内業務運営のために、管理部門が必要に応じ任命した社外のアクセス者
【例】協力会社のアクセス者、関連会社のアクセス者
- 部門内業務運営のために、必要に応じ部門内で任命した外部のアクセス者
【例】テンポラリースタッフ
・アクセスコントロール対象
アクセス対象者に、アクセスを許可するリソースの分類を行い、アクセスコントロール対象を規定します。尚、アクセスコントロール対象となるリスースの範囲はサーバとし、サーバが実装するシステムの機能、画面、データをアクセスコントロール対象とします。
アクセス対象者は、アクセスコントロール対象となる、機能、画面、データの利用許可範囲内の操作を行う必要があります。
(1) 利用可能な機能
利用可能な機能は、システムの利用方法をアクセスコントロール対象として規定します。以下に規定例を示します。
1) 情報を照会する事が出来る。
2) 情報を更新する事が出来る。
3) 情報を削除する事が出来る。
4) 情報を登録する事が出来る。
5) 情報の照会結果をプリントアウトする事が出来る。
6) 情報の照会結果をインポートし加工する事が出来る。
7) 情報の照会結果を別媒体に退避する事が出来る。
(2) 利用可能な画面
アクセスする者の区分として、以下の4分類に区分します。
1)関係部内
2)関係部外
3)協力会社
4)外部
・被アクセス
サブネット単位でのアクセスコントロールを実現する上で、端末からアクセスされるリソースの設置場所とリソースまでのアクセス経路を通る、アクセス媒介を分類します。
(1) 被アクセス場所
利用可能な画面は、アプリケーションで行う取引をアクセスコントロール対象として規定します。以下に規定例を示します。
1) 購買取引の操作を行う事が出来る。
2) 購買取引の承認を行う事が出来る。
3) 単価変更操作を行う事が出来る。
4) 単価変更を承認する事が出来る。
5) 直接売上を入力する事が出来る。
6) 直接売上を承認する事が出来る。
7) 返品、値引、調整の操作を行う事が出来る。
8) 返品、値引、調整の承認を行う事が出来る。
9) 基幹データの検索を行う事が出来る。
10)人事情報の検索を行う事が出来る。
11)システムのメンテナンスを行う事が出来る。
(3) 利用可能なデータ
利用可能なデータは、基本的には共有管理データをアクセスコントロール対象としますが、データの価値(重要性)と漏洩した場合の影響度(機密性)から、対象の規定を行う必要があります。
基本的には、アクセスコントロールの権限の設定操作個所は1ケ所とし、アクセス者の指定にはクラスを採用します。クラステーブルの作成によって定義を行なっていきます。
・ 一元管理化でのシステムアクセスコントロール方式
システムアクセスコントロールを一元化することがシステムにとって理想であるが、システム化の歴史が古いユーザほど、個々に開発をしてきたシステムが別に管理していて、その基準が一元的でないケースが多いです。システムを改修する上で段階的に一元管理化を実現することを目指すこととなります。一元管理化でのシステムで行うアクセスコントロール方式の最終形を規定します。
基本的には、アクセスコントロールの権限の設定操作個所は1ケ所とし、アクセス者の指定にはクラスを採用します。クラステーブルの作成によって定義を行なっていきます。
一元管理化を進める上で、更改を迎えたアプリケーション単位に段階的に移行を検討することとなります。
フェーズ1:RADIUSサーバを立上げ、認証情報の一元管理化
フェーズ2:アクセスコントロールサーバを立上げ、クラスの一元管理
フェーズ3:ポータルによるシングルサインオン
(1) アプリケーションでインプリメントするアクセスコントロール例
クラスが登録された、アクセスコントロールサーバを設け、アプリケーション利用時には、アクセスコントロールサーバが格納する権限をチェックし、機能、画面、データの制御を行います。アクセスコントロールサーバのクラス情報は、システムリソースの効率利用という観点から、アクセスコントロール対象となるアプリケーションサーバ上へのキャッシュを可能とさせます。
(2) ソフトウェアプロダクトによるアクセスコントロール例(ポータル)
RADIUSサーバとクラスが登録された、アクセスコントロールサーバを設け、認証処理とクラスをチェック後、利用するアプリケーションサーバへアクセスします。
|
|
|
|
