2009_10_21－特権ＩＤは最低限の利用にする。

２００９年１０月２１日発行

分割ラインです

　《　セキュリティ管理編　》
　
　　
　特権ＩＤは最低限の利用にする。
　　
　　
　　特権ＩＤは、何でもできるのでとても便利なＩＤです。
　　便利ゆえに利用しすぎていませんか。
　　利便性を求めすぎたばかりに、機密性がおろそかになっていませんか。
　　　　・システムやネットワークの変更
　　　　・ユーザーＩＤの登録
　　　　・権限の登録変更
　　　　・ＤＢの作成やＴＢＬ属性の追加変更
　　　　・ＤＢの値変更
　　　　・バックアップ
　　　　・ログの集計や解析
　　　などなど
　　
　　
　　いろいろな作業は、ずべて特権ＩＤを利用しているという
　　　　ユーザーは本当に多いものです。
　　
　　おまけに特権ＩＤをみんなで共用してパスワードまで教えあっています。
　　　　さらにひどいのは、DNS,Web,Mail,プロキシなどのサーバー
　　　　ルーターまで、特権ＩＤとパスワード同じにしていることです。
　　
　　信用しているから大丈夫というのは、捉える意味を間違えていませんか。
　　防犯対策は、実際に被害者になるまで対策に本腰を入れる人は少ないのも事実。
　　痛い思いをしなければわからないということですかね。
　　
　　
　　さーてどんな事がおきるのでしょうか。
　　　　同じ職場の仲間だから信頼できるから大丈夫。
　　　　変なことするやつなんていない。
　　　　　　　　　と安心しているととんでもないシッペ返しをもらいます。
　　
　　
　　　・ユーザーＩＤを教えあい関係のない人が立ち聞きしています。
　　　・本来の業務に関係のない操作を勝手に行います。
　　　・事件が発生しても犯人が特定できません。
　　　　　知らない人まで身近な人は全員が疑いをかけられることになります。
　　　・情報が漏れる危険性は非常に大きいのです。
　　　・外部からの不正アクセスも
　　
　　
　　そこで改善
　　
　　　１．特権ＩＤの利用者は２人にしましょう。
　　
　　　２．権限を担当業務内容に限定した操作以外はできない利用者ＩＤを各自に
　　　　　それぞれ異なるＩＤを割振りましょう。
　　
　　　３．操作記録はログによって取得されますが、
　　　　　業務の利用目的を別紙に記入して、ログの内容と確認を取るように
　　　　　しましょう。ネットワーク変更とＤＢ変更を専用のＩＤでのみに限定するなど
　　
　　　４．退職や異動や交替などが発生した場合は、該当本人ＩＤや権限は
　　　　　削除しましょう。ＩＤ登録が隠れて残らないように注意しましょう。
　　
　　　５．ユーザーＩＤのパスワードは、本人による再設定を厳守して定期的に
　　　　　パスワードを変更させましょう。
　　　　　（過去分再使用不可、８文字以上、意味を持たない英小文字、数字を
　　　　　　交ぜる）
　　
　　
　　
　　信用するいうことは、アリバイちゃんと確保してあげることです。
　　事件が発生した場合は、ログなどの証拠物件を揃えるフォレンジックスを行う
　　ことです。
　　関係のない人は、早くシロと断定させてあげることが信用するということです。
　　
　　
　　　　事件や事故が発生した場合、該当者を限定させる努力は、
　　　　　　　関係のない社員を安心させてあげることです。
　　
　　　　　変に疑いをかけられる社員が大勢いることは、
　　　　　社員だけでなく、会社にとっても大きな損失になります。