TOPセキュリティ > 効果的なアクセス制御とは(下)

セキュリティ

効果的なアクセス制御とは(下)

2019/09/13

James A. Martin CSO

認可が引き続き課題に

 現在では、多要素認証や生体認証(顔認証や虹彩認証など)の利用拡大をはじめ、認証に関して精通している企業が多いとCrowley氏は言う。大々的に流出したパスワードがダークウエブで販売される事例も近年生じる中、セキュリティプロフェッショナルが多要素認証の必要性を以前より真剣に捉えていると同氏は見る。

 一方、セキュリティプロフェッショナルが今でも失敗することが多いのは認可の方だと、Crowley氏は懸念を示す。まず問題となり得るのは、誰がどのデータリソースにアクセスできるか、どのような手段でアクセスできるか、どのような条件の時にアクセスできるかといったことを定めたり、絶えず監視したりするのが難しい場合があるという点だ。しかし、認可の手続きに一貫性がなかったり、脆弱な部分があったりすると、セキュリティホールとなりかねない。こうした穴は一刻も早く特定して対処する必要がある。

 アクセス制御をどのような形で実装するにせよ、継続的な監視が必要だとChesla氏は言う。自社のセキュリティポリシーの遵守という面と、運用面の両方から、セキュリティホールとなり得る部分を見極める必要がある。「ガバナンスリスクコンプライアンスのレビューを定期的に実施すること。アクセス制御の機能が稼働するアプリケーションすべてに対して、脆弱性スキャンを繰り返し実行する必要がある。また、一つひとつのアクセスに関するログを収集して監視し、ポリシー違反がないか確認することも必要だ」

 現代の複雑なIT環境では、絶えず変化するテクノロジーインフラとしてアクセス制御を捉える必要があるとChesla氏は言う。「先進的なツールを利用し、モバイル化の推進といった業務環境の変化を反映し、利用するデバイスの変化やそこに内在するリスクを認識し、クラウド化の拡大を考慮しなくてはならない」

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

↑ページ先頭へ