前回に引き続き、ファイルサーバーのセキュリティについてお話します。
前回はアクセス権とロールの概要をお話しました。今回はもう少しロールの内容についてお話します。
ビジネスロール
まず、ロールと言っても大きく3つの分類があります。一つは業務の役割、つまり人としてのロールです。ビジネスロールと呼びます。前回お話した課長や部長といった職位ロール、経理や営業、現場といった部門・部署ロールがあります。
これ以外にも正社員、パート・アルバイト社員、派遣社員といった社員種別のロールや事業所、支店、出張所といった拠点ごとのロール、システム管理者、マスタ管理者、部署推進担当、一般ユーザーといったシステム管理を基準として管理ロールがあります。
全部、組み合わせると大変ですが、拠点・部署と職位・社員種別で組合せを作ってから、システム管理の視点で特別なロールを追加するといった流れで考えると比較的わかりやすいと思います。
アプリケーションロール
次にシステムの機能やアクセスできるデータを基準に考えたアプリケーションのロールがあります。例えば、認証を例にとると、パスワードの変更はできるが、パスワードの初期化はできないロールとパスワードの変更も初期化もできるロールといった感じです。
通常であれば、後者は情報システム部や対象システムの管理者に限定されるべきものですが、企業のIT成熟度や規模によっては、各部署の情報化推進担当にも割り当てることがあります。そのために部署単位では組合せが十分でないためにアプリケーションロールとして検討することが必要なのです。
とはいっても、どのようなロールで考えるかはひと工夫が必要です。データを基準に考えるならば、参照できる・できない、追加できる・できない、変更できる・できない、削除できる・できないの組合せで考えます。データも通常の取引データとマスタデータでは重要度が違うので、ここはしっかり分けて検討することが大切です。もう少しまとめてよければ、閲覧、作成・修正・削除の2つに分ける考え方もあります。
機能を基準に考えるならば、各機能を利用できる、できないで分けます。ただし、上位の機能で制限するとまとめやすい代わりに詳細機能の区分けに融通が利かなくなるので、ある程度は中規模の機能をベースにロールを検討しましょう。
ISO的にはこれに審査・承認といったものも加わることがあります。機能としては、審査や承認に対するワークフローの機能です。これらをどこまで(審査・承認の機能単体だけでなく、業務の流れであるワークフローの作成、ワークフローの修正も含む)利用させるかをロールで決めておきます。
ITロール
ここで整理したビジネスロールとアプリケーションロールを組み合わせたものがITロールとよびます。実際はビジネスロールの役割を意識したアプリケーションロールの集めたものです。
例えば、一般的な部長ロールは申請も承認もできるし、経営情報も閲覧できるが、パスワードの変更しかできず、初期化はだめといった感じです。一般社員は申請のみで経営情報は閲覧できないし、もちろん初期化もダメ。システム管理者は申請も経営情報閲覧もできないが、パスワードの初期化も、アカウントのロック解除も可能です。
なので、一般的な職位ロールでまとめたのち、システム管理のロールを意識した組合せができるようなITロールをつくります。営業や経理、現場は一般的な部長ロール、社員ロールだが、情報システム部だけは、認証機能を操作できる、システム部長ロール、システム社員ロールをつくるといった方法です。
もちろん、システム管理者ロールを別に作っておき、同じ人が一般ロールと管理者ロールを使い分けるような形で2つのIDをもつような方法もあります。この点は自社のセキュリティやITスキルのレベル、業務分掌と照らし合わせて決めてください。