最小権限の原則
情報システムやファイルなどにアクセスするための権限は、「必要である者だけに対して必要な分だけを与え、必要のない者には与えない」という考え方である。必要以上の権限を与えると、不正アクセスする危険性があるからである。
- 特権ユーザとは、特権的アクセス権(一般ユーザの利用者IDの登録・削除・アクセス制御などの特別な操作権限) をもつユーザ。 特権ID・システム管理者ともいう。
- 特権ユーザは、「どの利用者がどの情報システムやファイル に対し、何ができるか」 の権限を設定する。
- その際に、必要最小限の権限のみを与える設定にする。
利用者IDの共用
利用者IDの共用によるリスクは、以下の通りである。
- 情報機器を操作した者を特定できないという状況を狙われて、不正に操作されるリスク。
- 異動者や退職者など、 利用資格を失った者に情報機器を不正に操作されるリスク。
- 共用者の1人がパスワードを変更した際に、他の共用者に変更後のパスワードを伝えるためのメモを書き、そのメモからパスワードが漏えいし、不正に操作されるリスク。
利用者IDの共用への対策
利用者IDの共用への対策は、以下の通りである。
- 1つの情報システムには, 1人に対して1つの利用者IDのみ登録する。 つまり複数人で同じ利用者IDを共用しない。
- 利用者IDやパスワードの再利用を禁止する。 つまり、一度、 無効にした利用者IDやパスワードの使い回しをしない。
- 退職・人事異動により利用者IDが不要になった場合や、不正使用された場合、即座に利用者ID を無効にする。
- 利用者ID・パスワードを紛失した場合の代替手段を準備しておく。業務に支障をきたさないために。
PCの共用
家庭・学校・図書館・インターネットカフェなどで、複数人で1台のPCを共用することによるリスクは、以下の通りである。
- キーロガー※をインストールされ、入力した利用者ID・パスワードが不正に盗まれるリスク。
※キーロガーとは、キーボードの入力内容(キーストローク)やデバイスの操作を記録するソフトウェアまたはハードウェアで、正規のデバッグ用途にも使われるが、パスワードやクレジットカード情報などの機密情報を盗む目的で悪用されることが多く、マルウェア(悪意のあるソフトウェア)の一種として扱われます。感染すると気づきにくい。 - ログアウトしない場合、直前の利用者IDを攻撃者に不正に利用されるリスク。
PCの共用への対策
PCの共用への対策は、以下の通りである。
- 時間が経過すると、 ログイン状態を自動でログアウトさせる機能を有効にする。
- 利用者ID を共用しない。
- オートコンプリート機能(Webブラウザに認証情報を保存する機能)を無効にする。 これにより、 PCの利用者が入力した認証情報(利用者ID・パスワード))が攻撃者やマルウェアによって悪用されるのを防ぐ。
(参考)
情報処理教科書 出るとこだけ!基本情報技術者[科目B]第4版 橋本 祐史 (著) 翔泳社
コメント