Business | 2024年12月10日 < 1 min to read

サイバーセキュリティにおける職務分掌とは？

サイバーセキュリティにおける職務の分離（SOD）は役割分担とも呼ばれ、サイバーセキュリティでよく使用されるリスク管理の一形態であり、ミッションクリティカルなデータに関してインサイダーの脅威を軽減し、エラーや事故のリスクを軽減します。複数の担当者が主要な職務を担当することで、組織は利益相反を防ぎ、データの整合性とアベイラビリティをより適切に維持できます。

サイバーセキュリティにおけるSODとは？

SODとは、通常は1人でコントロールできるタスクを分解して、2人（またはそれ以上）が関与するようにする手法を表すために使用される用語です。これにより、1人の人間が完全に制御することがなくなり、組織に損害を与える可能性のある悪意ある活動や偶発的な活動のリスクが軽減されます。通常、SODは、規制コンプライアンスまたは安全性が最も重要な重要なタスクや情報に対して使用されます。

なぜSODがサイバーセキュリティで重要なのですか？

1つのタスクに複数の担当者を配置することで、そのタスクが組織のガイドラインに従って正しく実行されていることを確信できます。SODにはいくつかの潜在的な利点があります。

1.インサイダーの脅威の軽減

「Four-Eyes原則」を使用すると、悪意のあるインサイダーが個人的な利益のために権限を悪用するのを防ぐことができます。たとえば、返金を行う従業員が2人目の従業員に返金を承認してもらう必要がある場合、これにより、最初の従業員が個人的な利益のために返金を不正に発行するリスクが軽減されます。

2.エラーと事故の防止

もう1つのメリットは、もう一人がアクションを監視することで、エラーや偶発的なデータ消失のリスクが軽減されることです。システム管理者がサーバーの設定を変更する場合を考えてみましょう。2人目のチームメンバーに変更を監視してもらうことで、いくつかのソフトウェアのデフォルトのパスワードを変更するのを忘れてしまうなどのミスが本番サーバーに送信されるリスクが軽減されます。

3.規制コンプライアンス

一部の業界では、安全対策としてTwo-Person Integrity（TPI）や職務の分離を行うことが、規制コンプライアンスにとって重要です。金融機関や医療機関内の記録を変更したり、特定のアクションを制御したりする権限を1人の担当者に与えると、組織が規制ガイドラインに違反するリスクにさらされる可能性があります。

4.データの整合性とアベイラビリティの強化

4つの目の原則に従うことで、従業員が入力するデータが真実かつ正確であることが保証され、組織のデータの整合性が維持されます。ミスが記録に残るリスクを軽減し、詐欺を防ぐのに役立ちます。

NISTサイバーセキュリティフレームワークは、組織が高度なセキュリティ基準を維持し、ここで説明する脅威を回避し、エクスプロイト、フィッシング、日和見攻撃を回避するためのガイドラインとベストプラクティスを定めています。

導入戦略

組織でFour-Eyes原則を採用することを検討している場合は、戦略の一部として次のことを検討してください。

ロールベースのアクセス制御（RBAC）

ロールベースのアクセス制御は最小特権の原則を実装する効果的な方法です。企業内のそれぞれの職務、および仕事を正しく行うために必要なアクセス権を考えてみましょう。「チームリーダー」、「カスタマーサービス担当者」、「ウェブマスター」などの役割を作成し、それぞれの役割に権限を付与します。誰かが企業内で職務を変更した場合、別の役割を割り当てると、不要になった権限が取り消され、新しい仕事に必要なツールにアクセスできるようになります。

環境の分離

もう一つ考慮すべきことは、作業環境です。開発者が作業中のマシンに管理者権限を持ち、テストマシンに変更を加えることができると便利です。ただし、開発者に本番マシンへの管理者権限を与えることは、大きなセキュリティリスクです。

環境を分離し、開発者が行った変更の本番環境での使用を許可する前に、テストとQAの明確で手順どおりの作業が必要となります。変更を本番環境にプッシュする前に、複数の人にコード変更の信頼性、セキュリティ、使いやすさを確認してもらいます。

Two-Person Integrity（TPI）

特定の記録の変更、APIキーの更新、新しいソフトウェアビルドのアップロードを許可する前に二重認証を要求することで、ミスのリスクを軽減し、不正な従業員が悪意のある変更を行うのを防ぐことができます。

two-person integrityの要件を文書化し、2人ルールに該当するタスクの基準を含めます。関係する両当事者がプロセスへの関与を記録し、適切なチェックとバランスが守られたことを証明できるようにしてください。

セキュリティ情報およびイベント管理ソフトウェア（SIEM）

これらの予防措置により、ユーザーエラーのリスクが軽減され、組織内の悪意のある攻撃者が重大な損害を与えるのを防ぐことができます。ただし、注意すべき脅威は他にもあります。SIEMソフトウェアを使用すると、ITマネージャーは重要なイベントや潜在的なセキュリティ侵害を簡単に追跡できます。このソフトウェアでは、特権アクションをログに記録し、異常なアクティビティを警告し、それらを確認し、必要に応じて対策を講じる機会を提供します。

課題と考慮事項

職務分掌の導入は、必ずしも容易ではありません。発生する可能性のある課題には、次のようなものがあります。

ツールが複数のユーザーによる署名を必要とするように設計されていない

アカウントの共有が必要な場合のセキュリティ上の課題

実用的で使いやすいシングルサインオンソリューションの導入の難しさ

システムの適切な部分にユーザーがアクセスできるようにすることの難しさ

従業員に対して定期的な監査を実施して、従業員が自分のポジションに適切なアクセス権を持っていることを確認し、必要に応じてユーザーロールを更新することは、組織のセキュリティの向上に大いに役立ちます。

実例

金融業界

職務の分離は金融業界で一般的に使用されており、銀行の従業員は、特定の金額を超える取引や、ユーザーの口座に特定の変更を加える場合に、マネージャーに承認してもらう必要があります。職務の分離は、さまざまな方法で実行することができ、さまざまな部門に柔軟性と制御性を提供しながら、不正行為のリスクを軽減します。

ヘルスケア業界

医療機関では、患者データが悪用されるリスクを軽減し、HIPAAへのコンプライアンスを確保するために、職務の分離の導入が進んでいます。医療機関が直面する課題の1つは、厳格なロールベースのアクセス制御を維持することと、すべての医療従事者が適切な患者ケアを確保するために必要な情報に確実にアクセスできるようにすることのバランスを見つけることです。

eコマースプラットフォーム

不正行為はeコマースプラットフォームにとって大きな問題であり、職務の分離を使用すると、個々のスタッフメンバーが必要なツールにのみアクセスできるようにすることができます。たとえば、カスタマーサービスチームには、注文を表示および管理する権限が与えられますが、価格体系を設定したりプラットフォーム上の製品リストを変更したりする権限は与えられません。

SaaS環境

同じサーバーにアクセスするユーザーが多数存在するクラウド環境では、データ保護が困難な場合があります。データ消失や漏洩のリスクを低減するには、アクセス制御リスト、暗号化されたストレージ、厳格なバックアップスケジュールの使用が欠かせません。

ベストプラクティス

エンタープライズのサイバーセキュリティを維持するには、セキュリティ対策を積極的に行うことが重要です。

ロール定義の明確化

すべてのチームメンバーの役割を文書化し、役割に基づいて権限を割り当てます。管理者特権を必要としないユーザーに簡単に付与したいという衝動を抑えてください。役割があいまいな場合は、きめ細かいアクセス権で小さなカテゴリーに分けてみてください。

定期的な監査と監視

監視ツールを使用して、ログの異常やユーザーのプロトコル違反を監視します。侵入検知システムを使用して、データ侵害を早期に警告します。

教育・研修

セキュリティのベストプラクティスについて、チームメンバーに定期的にトレーニングを行います。これらのベストプラクティスが重要である理由を説明し、予防措置を非侵襲的なものにしてコンプライアンスを高めるようにしてください。

今後の動向

AIや自動化などの問題を取り上げた『2023データプロテクションレポート』のお知らせでご覧いただけるように、サイバーセキュリティとデータ保護の世界は常に進化しています。このような傾向と業界の変化を意識することで、時代の先を行き、組織の保護を強化することができます。