sg sg-security-management access_control id_management system_operations
まず結論
アクセス権限管理とは、利用者が必要な情報やシステムにだけアクセスできるように、権限の付与・変更・削除を管理することです。
SG試験では、次のように考えると分かりやすいです。
必要な人に、必要な範囲だけ、必要な期間だけアクセスを許可する
アクセス権限管理では、特に次の流れが重要です。
- 申請する
- 承認する
- 権限を設定する
- 設定結果を確認する
- 不要になった権限を削除する
- 定期的に見直す
ポイントは、権限を与えることだけではありません。
異動・退職・担当変更に合わせて、変更や削除まで確実に行うことが大切です。
直感的な説明
アクセス権限管理は、会社の建物でいうと 入れる部屋を決める仕組み のようなものです。
社員だからといって、すべての部屋に入れるわけではありません。
- 営業部の人は営業資料の部屋に入れる
- 経理部の人は経理資料の部屋に入れる
- 管理者だけが設備管理室に入れる
- 退職した人はどの部屋にも入れない
このように、立場や業務に応じて入れる場所を決めます。
システムでも同じです。
利用者ごとに、アクセスできるシステム、画面、ファイル、データ、操作範囲を管理します。
これがアクセス権限管理です。
定義・仕組み
アクセス権限管理では、利用者や部門、役割に応じて、情報資産へのアクセスを制御します。
代表的な管理対象は、次のとおりです。
| 管理対象 | 例 |
|---|---|
| 利用者ID | 社員ID、外部委託先ID、管理者ID |
| アクセス先 | 業務システム、ファイルサーバ、データベース |
| 操作範囲 | 閲覧、登録、更新、削除、承認 |
| 権限の種類 | 一般利用者権限、承認者権限、管理者権限 |
| 利用期間 | 在籍中、担当期間中、作業期間中 |
アクセス権限管理で大切なのは、業務上必要な範囲に限定することです。
たとえば、営業担当者に経理システムの更新権限を与える必要はありません。
また、閲覧だけでよい人に、更新や削除の権限まで与えるのも危険です。
この考え方は、最小権限の原則と関係します。
付与・変更・削除の流れ
アクセス権限管理では、権限を付与するときだけでなく、変更・削除まで含めて管理します。
1. 付与
付与とは、新しく必要になった権限を与えることです。
たとえば、次のような場面です。
- 新入社員に業務システムの利用権限を与える
- 担当者にプロジェクトフォルダの閲覧権限を与える
- 承認者に承認画面の利用権限を与える
付与するときは、本人の希望だけで自由に与えるのではなく、申請と承認を行います。
利用者または上長が申請する
↓
責任者が必要性を確認して承認する
↓
システム管理者が権限を設定する
↓
設定結果を確認する
この流れにすることで、不要な権限付与を防ぎやすくなります。
2. 変更
変更とは、担当業務や役割が変わったときに、権限を見直すことです。
たとえば、次のような場面です。
- 部署異動した
- 担当業務が変わった
- 承認者になった
- プロジェクトから外れた
- 外部委託先の担当範囲が変わった
ここで注意したいのは、新しい権限を追加するだけで終わらせないことです。
異動前の権限が残ったままだと、本来アクセスできない情報にアクセスできてしまいます。
そのため、変更時は次のように考えます。
追加する権限だけでなく、不要になった権限も削除する
SG試験では、この視点がよく問われます。
3. 削除
削除とは、不要になった権限を取り消すことです。
たとえば、次のような場面です。
- 退職した
- 異動した
- プロジェクトが終了した
- 外部委託契約が終了した
- 一時的な作業が終わった
削除を忘れると、使われていないIDや不要な権限が残ります。
これは、不正アクセスや内部不正の原因になります。
特に、退職者や外部委託先のIDが残っている状態は危険です。
アクセス権限管理では、付与よりも削除漏れに注意することが大切です。
どんな場面で使う?
アクセス権限管理は、情報システムを安全に運用するための基本です。
主に次のような場面で使われます。
- 新入社員のID発行
- 部署異動時の権限変更
- 退職者のID削除
- 外部委託先への一時的な権限付与
- プロジェクトメンバーへのフォルダ権限付与
- 承認者権限の設定
- 管理者権限や特権IDの管理
- 定期的な権限棚卸し
アクセス権限管理が不十分だと、必要以上に広い権限が残ります。
その結果、情報漏えい、改ざん、不正操作、ログの削除などにつながる可能性があります。
特権ID管理・職務分掌との関係
アクセス権限管理は、特権ID管理や職務分掌ともつながります。
| 用語 | 関係 |
|---|---|
| アクセス権限管理 | 誰に何の権限を与えるかを管理する |
| 特権ID管理 | 強い権限を持つIDを特に厳しく管理する |
| 職務分掌 | 一人に権限を集中させないよう役割を分ける |
| 最小権限の原則 | 必要最小限の権限だけを与える考え方 |
たとえば、管理者権限を付与する場合は、通常のアクセス権限よりも慎重に管理します。
そのため、特権IDの利用申請、承認、操作ログの記録、定期的な見直しが必要になります。
また、権限を申請する人、承認する人、設定する人、確認する人を分けることで、職務分掌にもつながります。
よくある誤解・混同
誤解1:権限は多めに与えた方が業務が止まらない
確かに、広い権限を与えれば作業はしやすくなります。
しかし、不要な権限があると、誤操作や不正利用のリスクが高くなります。
SG試験では、便利さよりも必要最小限を優先します。
誤解2:一度付与した権限は、そのままでよい
これは危険です。
人の役割は変わります。
異動、退職、担当変更、契約終了があれば、権限も見直す必要があります。
特に削除漏れは、試験でも実務でも重要な注意点です。
誤解3:上司や経営者にはすべての権限を与えてよい
役職が高いことと、すべてのシステム権限が必要なことは別です。
経営者が経営情報を見る権限は必要かもしれません。
しかし、システム設定変更やログ削除の権限まで必要とは限りません。
試験では、役職ではなく業務上の必要性で判断します。
誤解4:アクセス権限管理はIDを作成する作業だけである
アクセス権限管理は、ID作成だけではありません。
権限の付与、変更、削除、定期見直しまで含みます。
特に、不要な権限を削除することが重要です。
試験での判断ポイント
アクセス権限管理の問題では、次の観点で選択肢を確認します。
- 業務上必要な権限だけを与えているか
- 申請と承認の流れがあるか
- 異動・退職時に権限を変更・削除しているか
- 定期的に権限を見直しているか
- 管理者権限や特権IDを特に厳しく管理しているか
- 共有IDではなく個人を特定できるIDで管理しているか
正しい選択肢になりやすい表現は、次のようなものです。
- 業務上必要な範囲に限定して権限を付与する
- 権限付与には申請と承認を必要とする
- 異動や退職に合わせて権限を変更・削除する
- 定期的にアクセス権限を棚卸しする
- 不要なIDや権限を削除する
- 特権IDの利用を記録する
誤りの選択肢になりやすい表現は、次のようなものです。
- 業務効率のため全員に広い権限を与える
- 退職者のIDを残しておく
- 異動前の権限を残したままにする
- 承認なしで自由に権限を付与する
- 共有IDを使い、利用者を特定しない
- 権限の見直しを行わない
SG試験では、必要最小限・承認・削除・定期見直しを重視する選択肢を選びます。
例で確認
次の運用を比べてみます。
| 運用 | 判断 | 理由 |
|---|---|---|
| 新入社員に必要なシステムだけ利用権限を与える | 適切 | 業務上必要な範囲に限定している |
| 異動後も前部署の権限を残す | 不適切 | 不要なアクセスが可能になる |
| 退職者のIDを削除する | 適切 | 不正利用を防げる |
| 便利なので全社員に管理者権限を与える | 不適切 | 最小権限の原則に反する |
| 定期的に権限一覧を確認する | 適切 | 不要な権限を発見できる |
このように、アクセス権限管理では 付与して終わりにしない ことが重要です。
まとめ(試験直前用)
アクセス権限管理は、利用者に必要な権限だけを付与し、変更・削除・見直しまで行う管理です。
試験では、次の3点を押さえます。
- 必要な人に、必要な範囲だけ権限を与える
- 異動・退職・担当変更に合わせて権限を変更・削除する
- 定期的に棚卸しし、不要な権限を残さない
迷ったときは、次の一文で判断します。
アクセス権限管理は、与える管理だけでなく、消す管理まで含む
SG試験では、作業効率だけを優先する選択肢よりも、申請・承認・最小権限・削除・定期見直しを重視する選択肢を選ぶと判断しやすくなります。