Webサービスをコンシューマー向けに展開する際や、社内システムを社員へ展開する際など、ユーザーのアクセス管理はさまざまな場面で必要とされます。しかし、「アクセス管理」と一言でいっても、具体的にどんな役割を持っており、どのような点に注意するべきか、しっかりと理解できていますでしょうか。
この記事では、アクセス管理の概要から注意すべき点まで、アクセス管理の基本についてお話ししていきます。
- アクセス管理の概要、手段
- サービスにおけるアクセス管理の役割
- マルチデバイス対応や複数アカウントの管理
- セキュアな環境と利便性の両立
- アクセス管理の基本について知りたい方向けの記事ですので、一つずつ見ていきましょう。
アクセス管理とは
アクセス管理とは、ユーザーへのアクセス権と、その設定や変更に関するサービスへの要求を効率的に運用するための仕組みです。「誰がどのサービス・システムへのアクセス権限を持っているのか」を管理するものとなります。
たとえば、Xシステムの一般ユーザーとしてのアクセス権をAさんに付与し、管理者ユーザーとしてのアクセス権をBさんに付与する、といったことがアクセス管理です。
アクセス管理は「認証基盤」と呼ばれるシステムで行われていることがほとんどであり、認証基盤上に「アカウント情報」や「アクセス権限情報」が格納されています。従来はシステムごとに認証基盤が異なっており、利用するシステムが増えるたびにそれぞれのアクセス管理を行う必要がありました。
しかし、近年ではSSO(シングルサインオン)と呼ばれる技術が用いられることが多く、一度のログインで関連するシステム全てにログインできる仕組みがあります。
DXの実現を強固にするサイロ化されない顧客データ基盤とは?
この記事では、データのサイロ化問題の概要や、もたらされる悪影響について解説します。その上で、その解決策となるシステムについても紹介するので参考にして下さい。
サービスにおけるアクセス管理の役割
サービス、システムにおけるアクセス管理の役割は「誰がどのサービス・システムへのアクセス権限があるのか」を管理することにあります。強いアクセス権限はサービスやシステムの根幹部分も操作可能であり、管理者アカウントとしてごく限られた一部にしか付与しません。
しかし、ユーザー数が多くなるほどアクセス権限の付与状況の管理が煩雑になるため、すべてのユーザーに等しく強いアクセス権限を付与する例も見受けられます。アクセス管理の観点から見れば、管理自体は行いやすくなりますがセキュリティ面での問題が発生することに。
たとえば、顧客情報を閲覧・追加・削除できるようなアクセス権限をすべてのユーザー(社員)に付与することで、誤った操作によって顧客情報が失われてしまう可能性が考えられます。また、悪意を持ったユーザーがいれば、顧客情報を盗み出すことも可能です。
アクセス管理は必要最低限のユーザーに対して、必要最低限のアクセス権限を付与することが大切です。アクセス管理を軽視すると、思わる事故に繋がる可能性があるため注意しましょう。
マルチデバイス対応や複数アカウントの管理
アクセス管理においては「マルチデバイス対応」や「複数アカウントの管理」も重要です。いまや、約7割の日本人がスマートフォンを保有しており、サービスへのアクセスはパソコンだけでなく、スマートフォンやタブレットなど多岐にわたります。
そのため、パソコンやスマートフォンに限ったアクセス管理は、ユーザーの利便性を損なうことから、マルチデバイス対応が必要といえるでしょう。
また、同一ユーザーが複数のアカウントを作成する可能性も考えられます。サービスによっては複数アカウントの作成が問題にならないこともありますが、注意すべきは利用されていないアカウントを放置しないようにすることです。
利用されていないアカウントを放置することで、サービスやシステムに対する無用なアクセス権限が放置されていることになります。最悪の場合、そのアカウントを攻撃に利用されてしまう可能性も考えられるのです。特に社内システムの場合は、社員の休職や退職時には必ず無用なアカウントを削除することが大切です。
コンシューマー向けのアクセス管理においても、無用アカウントを放置することでリソースの無駄遣いにつながるため、対策する必要があります。
また、ユーザー観点で考えてみると、サービスやシステムごとに認証基盤が異なるため、サービス等ごとに複数のアカウントを使いますが、それぞれで認証作業を行っていては利便性が損なわれます。
そこでシングルサインオンが用いられますが、近年では統合ID管理システムを導入することで、シングルサインオンを実現する例も。統合ID管理システムでは、複数のサービスやシステムを統合的に管理することができ、一回のログインで複数のサービスやシステムが利用できる「シングルサインオン」を実現できるのです。
統合ID管理システムを利用する際には、マルチデバイス対応可否も重要な要素となっています。
セキュアな環境と利便性の両立
アクセス管理にかかわらず、セキュリティに関する対策は利便性とのトレードオフの関係にあります。セキュアな環境を構築しようとすると、どうしても利便性が損なわれてしまうのです。
たとえば、家の玄関に鍵を10個つければ泥棒に入られる心配は少なくなります。しかし、毎回家に出入りするたびに10個の鍵を解錠・施錠しなければならず、利便性は非常に低くなってしまいます。反対に、利便性を考慮して鍵をつけなければ、誰でも簡単に侵入できる非セキュアな家になってしまうでしょう。
このようにセキュアな環境と利便性はトレードオフの関係にあり、お互いの「ちょうどいい地点」を模索しなければなりません。先の例でいえば、玄関に鍵を1つつければセキュアな環境は構築でき、利便性もあまり損なわれないため、双方の両立ができていると言えるでしょう。
アクセス管理においてもその考え方は変わらず、必要最低限のユーザーに対して必要最低限の権限を付与することで、セキュアな環境の構築ができ、管理の面から見ても利便性は損なわれません。
また、ユーザーの観点から見ても、必要最低限の権限さえ付与されていれば問題ないでしょう。サービスやシステムごとに認証基盤が異なり、複数アカウントを管理する必要がある場合でも、シングルサインオンや統合ID管理システムを導入することで、セキュアな環境と利便性の両立が可能です。
アクセス管理においては、セキュリティの入口部分に該当するといえるため、特にセキュアな環境と利便性の両立を考慮する必要があります。
