アクセス管理とIT内部統制の密接すぎる関係：ID管理をスッキリさせるIAMのお役立ち度（3/3 ページ）

[富永康信（ロビンソン），ITmedia]

OSに関連するアクセス管理の問題点

　しかし、OSでできるアクセス管理には限界がある。「権限付与」のステップでは、ユーザーの役割・目的に基づく権限分離や管理者IDが持つ権限分離が困難、管理者IDに対しシステムやデータへのアクセス権を設定できないなどの状況が存在する（図1）。

図1●OSに関連するアクセス管理の現状（出典：日本CA）

　また、「強制」のステップでは、管理者IDの利用者にアクセス制御が行えない、適切なアクセスのみを許可することができない問題がある。さらに、「監査・監視」のステップでは、アクセス制御結果の詳細な証跡を残せない、アクセスログの完全性を保証できない、アクセス違反の早期発見ができないなどの問題もある。

　これらをまとめると、OS上でのアクセス管理には次のような問題点があると考えられる。

• root（*1）やAdministrator（*2）などはOS上で万能の権限を持つため権限の分離を実現できないこと
• リソースに対するアクセス制御が不十分であること
• 管理者権限へ容易にアクセスできてしまうこと
• 監査証跡の取得が十分ではない、あるいは均一ではない問題が存在すること
• WindowsやUNIXなど各OSのセキュリティレベルが不均一

　1つめの「万能権限」とは、OSレベルの設定やシステム管理、ユーザーIDの作成／変更、アクセス権の変更、アプリケーションの管理、ログのチェックなど、できることが広範囲に及ぶ権限。そのため、SoDの観点から「アクセス権限を設定できる権限」「アクセス状況を監査する権限」「一般ユーザー用の権限」などに分散させる必要がある。

　「OSのアクセス制御機能だけでは、IT内部統制で求められているアクセス管理は不十分だろう」（斉藤氏）

---

*1　root：UNIX系OSにおける、全モードで全権利（あるいはパーミッション）を持つユーザーの規約名。

*2　Administrator：Windows NT系OS（NT/2000/XP）におけるデフォルトの管理者権限のアカウントのこと。