5.16識別情報の管理

概要

情報資産にアクセスする対象を特定し、適切なアクセス権を与えることを目的とした予防の管理策です。

識別情報とは

アクセス権を持つ対象を識別する情報で所謂IDです。典型例は社員番号、マイナンバー、パスポート番号、運転免許証番号などがありますが、生体情報（虹彩、静脈、歩様等）なども該当します。その他、メールアドレスをIDとして使用するようなケースが多いですが、その場合メールアドレスは識別情報となります。

対象とは？

個人のみに留まらず、個人の集まりであるグループや、人間以外（例えば、システム等）も含みます。例えば、AというデータベースをBというシステムが参照しにくる場合、BはAにアクセス権を持つ対象となります。

具体的には？

個人に与える識別情報の場合は、特定の個人に結び付けられるようにする必要があります。例えば、同じ識別情報を複数人に付与しないということです。これは、不審なアクセスがあった際にいち早く対象を特定し予防に繋げたり、実際にリスクが顕在化した際に責任の所在を明らかにするためです。

なお、社内システムの仕様上どうしても不可能という場合もあるはずなので、必ず特定の個人やシステムと紐づけができなければいけないというわけではありません。とは言え、例外的な扱いとして、適切な承認を得るなりとルールを定めて運用しましょう。

また、不要になったID等の識別情報を放置することは、内部での不正利用や外部からの攻撃に利用されたりする可能性があるので、速やかに削除するなり、無効化（権限の削除等）するなりしましょう。

いずれの識別情報も、付与する前に対象が適切かどうか確認を行い（間違った対象に識別情報付与したりしないようにしましょう）、可能であれば識別情報を適切に付与したことが確認された後に権限を有効にしましょう。さらに、対象が退職するなどで不要になっていないかなど、定期的に識別情報の付与が適切であるか見直しをするようにしましょう。

不採用の可能性があるか？

管理策の内容的に不採用とする理由が見当たらないため、全ての組織において採用されるべき管理策と考えられます。