企業のセキュリティリスクにつながる古いユーザーアカウントしのび寄る元従業員の影

最近の調査、そしてLendingTreeで先月起きたデータ漏えい事件は、実体のないアカウントの管理の重要性を浮き彫りにした。

» 2008年05月21日 08時00分 公開
[Brian Prince,eWEEK]
eWEEK

 実体のないアカウントはセキュリティホールになる恐れがあるが、多くの企業はそれを放置したままにしているのが実情だ。

 eMedia USAの最近の調査では、27%の回答者が、社内に実体のないアカウントが20以上あると答えている。そればかりでなく、現従業員あるいは元従業員が実体のないアカウントを使って情報にアクセスしたかどうかを確認する手段がないと答えた回答者は38%に上り、そういったアクセスが1回以上あったという回答も15%あった。

 この調査は、さまざまな業界のセキュリティ/IT/人事担当幹部やCレベルエグゼクティブ(CEOやCIOなど)など850人を対象に実施されたもの。報告書によると、回答者の約30%が、従業員や契約スタッフが退職した後でアカウントを削除するのに3日以上かかると答えており、1カ月以上かかるという回答も12%あった。

 実体のないアカウントの処理は、企業のセキュリティ対策の優先リストの上位に位置すべきだと言えそうだ。最近起きたLendingTreeのデータ漏えい事件では、元従業員が自分の古いログイン情報を住宅ローン会社に提供し、その会社は実体のないアカウントを利用して顧客データを盗んだ。

 Gartnerのアナリスト、アール・パーキンズ氏は「業務部門とIT部門の連携に関する規定とプロセスの間にギャップが存在し、アカウントの終了を把握するプロセスが十分に自動化されていない」と指摘する。

 「これに対処するプロセスを確立していないことに伴うリスクに関する認識が欠如している企業が多いのも問題だ。こういったアカウントの扱いを規定したセキュリティポリシーが確立されており、それをコントロールするプロセスが定義、実装されていれば、問題は少ない」と同氏は語る。

 皮肉なことに、コンプライアンス監査人もこういった現状に責任があるようだ。

 「実体のないアカウントが70も見つかり、その多くが利用されているという状況は、中堅規模の企業では珍しいことではない」と話すのは、Symarkでマーケティング担当副社長を務めるエレン・リベンソン氏だ。「監査人がIT担当者に“これは良くないので、整理するように”と口で言うだけで、きちんと文書化しなければ、問題が対処されないまま、もう1年間放置されることになる」

 Symarkをはじめとする数社のベンダーが、認証管理ツールによってこの問題に対処しようとしている。Gartnerのアナリスト、レイ・ワグナー氏によると、必要な技術は存在するのだが、企業がその気になっていないという。「これについては、コンプライアンス構想が問題解決に役立つかもしれない」と同氏は指摘する。

 「ツールは存在するが、大規模な認証管理問題は複雑だ」と同氏は話す。「プロジェクトは長期にわたり、コストがかかり、全社的な取り組みが必要とされる。実体のないアカウントの問題は一般に、収益に影響することがないため、経営者には見えにくいのだ」

 パーキンズ氏によると、配備が大規模になる場合は、IT担当者は既存のユーザープロビジョニングツールとアクセス管理ツールの機能を連携できることを望んでいるという。例えば、プロビジョニングツールのコンプライアンスリポート作成機能で、プロビジョニング解除に関するダッシュボード表示とリポート作成もできるといった具合だ。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.