システム開発における情報セキュリティ5
この記事はシステム開発における情報セキュリティ4の続きです。前回は、見つけ出した情報資産についての分析を解説しました。今回は、役割と権限の識別を解説します。
システムを導入する組織には、様々な役割の人がいます。それらの人々は日常の業務で業務をこなすために、様々な情報にアクセスし、求められる情報を生みだします。ここで考えなくてはならないのは、業務を行う上で必要な情報と適切な権限です。もし、あらゆる情報がアクセスできる権限を与えれば、情報漏洩の危険やシステムダウンの可能性が高くなります。また、何か問題があった時に、犯人を突き止めなくてはなりません。適切な役割に、適切な権限を与える事を考えなくてはならないのです。
情報セキュリティの基礎的な考え方は、「最小限の権限だけを与える」です。権限を考える際には、業務に最低限必要な情報にアクセスできるようにするのが原則です。従って、分析をする際に「どの役割の人がどの情報を必要とするのか」を分析する必要があります。
それに加えて、組織間もしくは部署間でやり取りする情報にも注目せねばなりません。業務では複数のグループが必要とする情報もあります。例えば、生産管理をするグループは、需要予測を立てる為に販売データが必要になるでしょうし、連結決算時には子会社や関連会社の財務データが必要となります。個人単位もしくは単一の役割単位で権限を考えると、思わぬ落とし穴が出来てしまうので注意しましょう。
そういった事から、システム開発に於いて、役割と権限を洗い出す作業は非常に大切です。この作業は、どこか特定の工程だけですればよいというものではありません。全工程にまたがり、情報が判明するたびに権限をチェックせねばなりません。非常に地味で退屈な作業ですが、セキュリティを高める上で欠かせない作業です。面倒くさがらずにしっかりと行いましょう。
システムを導入する組織には、様々な役割の人がいます。それらの人々は日常の業務で業務をこなすために、様々な情報にアクセスし、求められる情報を生みだします。ここで考えなくてはならないのは、業務を行う上で必要な情報と適切な権限です。もし、あらゆる情報がアクセスできる権限を与えれば、情報漏洩の危険やシステムダウンの可能性が高くなります。また、何か問題があった時に、犯人を突き止めなくてはなりません。適切な役割に、適切な権限を与える事を考えなくてはならないのです。
情報セキュリティの基礎的な考え方は、「最小限の権限だけを与える」です。権限を考える際には、業務に最低限必要な情報にアクセスできるようにするのが原則です。従って、分析をする際に「どの役割の人がどの情報を必要とするのか」を分析する必要があります。
それに加えて、組織間もしくは部署間でやり取りする情報にも注目せねばなりません。業務では複数のグループが必要とする情報もあります。例えば、生産管理をするグループは、需要予測を立てる為に販売データが必要になるでしょうし、連結決算時には子会社や関連会社の財務データが必要となります。個人単位もしくは単一の役割単位で権限を考えると、思わぬ落とし穴が出来てしまうので注意しましょう。
そういった事から、システム開発に於いて、役割と権限を洗い出す作業は非常に大切です。この作業は、どこか特定の工程だけですればよいというものではありません。全工程にまたがり、情報が判明するたびに権限をチェックせねばなりません。非常に地味で退屈な作業ですが、セキュリティを高める上で欠かせない作業です。面倒くさがらずにしっかりと行いましょう。
スポンサーサイト
