実践！アクセス管理ルール

• 日程: Day 01 / セッション 03
• 時間: [9:40-10:10]
• 形式: 座学 & 実習
• ゴール: ID・パスワード管理、多要素認証、アクセス権限管理のルールを実践できる
• 学習形式: 対話型解説、ハンズオン実習（AIサポートあり）

前セッションでは、ISMS規定の全体像と、必要な情報にたどり着く方法を学びました。今回はその中でも特に「アクセスの管理」に焦点を当てます。皆さんが日常的に利用するPCやシステムへのログイン、ファイルへのアクセスなど、そのすべてが情報セキュリティの入り口です。もしこの入り口が甘いと、会社の情報資産は簡単に危険に晒されてしまいます。このセッションでは、具体的なアクセス管理のルールを学び、日々の業務でどのように実践すべきか、手を動かしながら理解を深めます。

「パスワードは複雑に」「使い回しはしない」――よく耳にする言葉ですが、なぜそれが重要なのでしょうか？

• パスワードの複雑性: 推測されにくいパスワードを設定することは、不正ログインを防ぐための最初の砦です。大文字・小文字、数字、記号を組み合わせ、かつ一定以上の長さを確保することが求められます。

  • たとえば、「password123」は単純なため該当しません。誕生日や電話番号も推測されやすいので該当しません。
  • しかし、「P@ssw0rd_1n!tr0」のように、一見ランダムに見えるが自分だけが覚えられるルールに基づいたものは該当します。
• パスワードの使い回し禁止: 複数のサービスで同じパスワードを使用すると、どれか一つのサービスから情報が漏洩した際に、他のサービスにも被害が拡大する「芋づる式」のリスクがあります。これは、すべての家の鍵が同じ、という状態と同じくらい危険です。
• 共有アカウントの禁止: 個人の責任を特定できなくなるため、情報漏洩や不正アクセスの原因が追跡困難になります。例えば、誰か一人がルールを破ったとしても、それが誰なのかを特定できないため、根本的な対策が打てません。これは、誰がどの操作をしたか記録に残らないため、何か問題が起きても誰も責任を取れない状態になってしまいます。

パスワードだけでは不十分な場合、さらにセキュリティを高めるのが「多要素認証」です。
「あなたが知っている情報（パスワード）」「あなたが持っているもの（スマホや認証トークン）」「あなた自身（指紋や顔認証）」のうち、複数の要素を組み合わせて本人確認を行います。

• たとえば、銀行のオンラインバンキングでパスワードに加えて、スマートフォンアプリでの承認やワンタイムパスワードの入力が求められるのは、多要素認証の一例です。これにより、万が一パスワードが漏洩しても、不正ログインを防ぐ確率を格段に高めることができます。

「必要な人に、必要な時だけ、必要な権限を」。これがアクセス権限管理の鉄則です。
業務に必要な範囲で最小限の権限を付与し、異動や退職時には速やかに権限の変更・削除を行う必要があります。

図：アクセス権限管理のライフサイクル

アクセス管理は、情報の「出入り口」を厳重に管理することに他なりません。特に、パスワードは「自分だけの鍵」であり、その管理には最大限の注意を払う必要があります。共有アカウントは利便性から使われがちですが、セキュリティ上のリスクが非常に高いため、決して使用してはいけません。

パスワードの歴史は意外と古く、古代ローマ時代にはすでに「合言葉」のようなものが使われていたそうです。現代の複雑なパスワード要件と比べると隔世の感がありますが、「情報へのアクセスを制限する」という目的は、時代を超えて共通しています。技術の進化とともに、パスワードも進化し続けている、と考えると面白いですね。

ここまでの内容で疑問があれば、AIに質問してみましょう。たとえば：

• 「強力なパスワードを覚えるのが苦手なんだけど、どうすればいい？」
• 「多要素認証が導入されていないシステムでは、どうやってセキュリティを高めるべき？」
• 「アクセス権限の定期見直しって、具体的に何をチェックするの？」

1. パスワードの安全度チェック: 実際に利用している何らかのサービス（会社のシステムである必要はありませんが、普段使っているものが良いでしょう）のパスワードについて、以下の観点で自己評価し、もし改善点があれば検討してください。

   • 長さ（8文字以上、推奨12文字以上）
   • 文字種（大文字、小文字、数字、記号の組み合わせ）
   • 推測のしやすさ（誕生日、名前、辞書にある単語などではないか）
   • 使い回しの有無
2. アクセス権限シミュレーション: あなたがプロジェクトリーダーになったと仮定し、新しいプロジェクトメンバー（架空の人物）にシステムAの特定フォルダへのアクセス権限を付与する必要が生じました。社内の規定（またはSession 02で参照した「アクセス管理規程」を参考に）に従って、どのような情報（氏名、部署、必要な権限、期間など）を、誰に（承認者）、どのような手順で申請するかを記述してください。

• 課題1のパスワード自己評価と改善計画（任意）
• 課題2のアクセス権限申請のシミュレーション記述

• 課題1では、パスワード管理ツールやブラウザのパスワード生成機能などを活用するのも良いでしょう。
• 課題2では、申請書のフォーマットを思い浮かべながら、必要事項を漏れなく記述することが重要です。
• うまくいかない場合はAIに「パスワードの覚え方で良い方法はある？」や「アクセス権限申請の例を教えて」と尋ねてみましょう。

本セッションでは、情報セキュリティの「入り口」となるアクセス管理の重要性を学びました。ユーザーID・パスワードの適切な管理方法、多要素認証の有効性、そしてアクセス権限を「必要な人に、必要な時だけ、必要な権限を」付与する原則を理解し、実習を通じて実践力を高めました。これらのルールを日々の業務で意識し、実践することが、会社全体の情報セキュリティレベル向上に直結します。

以下の問いに答えられるか確認してみましょう：

• 複雑なパスワードを設定するだけでなく、なぜ使い回しをしてはいけないのか説明できますか？
• 多要素認証とは何か、具体的な例を挙げて説明できますか？
• アクセス権限を申請・変更・削除する際に、最も重要な原則は何ですか？

答えに自信がない場合は、該当部分を読み返すか、AIに質問してみてください。

• 参考リンク: 多要素認証の基本と導入メリット、設定方法を解説 - 総務省 国民のための情報セキュリティサイト (https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/multi_factor_authentication.html)