社内ネットワークに対する情報セキュリティ管理のためには、個々の利用者ごとに適切な権限を設定する必要があります。利用者に与える権限は、すべての利用者にすべての権限を与えるのではなく、最低限必要な利用者にのみ必要最低限のアクセスを許可することが大切です。
たとえば、サーバに対しては、アドミニストレータ(管理者)権限やユーザ(利用者)権限などがあります。データベースの場合には、データの登録や削除の権限、読み取りの権限、プログラムの実行権限などが設定できます。ある程度の利用者数を持つネットワークの場合には、ユーザ権限を管理するための認証サーバを用意することで、ネットワーク全体の管理業務を軽減させることが可能になります。
また、ユーザ名とパスワードによるユーザ認証以外に、ICカードによるユーザ認証や、指紋や網膜などのバイオメトリクス(生体情報)を使ったユーザ認証、これらを組み合わせた多要素認証も利用されています。
社内の利用者に対して、アクセス権限に応じた個別のユーザアカウントを発行していたとしても、実際にそれぞれの利用者が適切なパスワード管理を行っていなければ意味がありません。企業や組織の情報管理担当者にとって、組織内の情報資産にアクセスする可能性のあるすべての利用者に対して、適切なパスワード設定を指導することも、重要な情報セキュリティ対策のひとつです。
また、情報管理担当者として利用者にパスワードを発行する際に、以下のようにいくつか留意しなければならない点があります。
利用者数が多く、初期のパスワードの伝達に電子メールやメモを使わざるを得ない場合は、利用者が初めてログインした際に、サーバ側で利用者に強制的にパスワードを変更させるなどの方法を検討しましょう。
利用者からパスワードの再発行依頼があったときには、利用者の本人性の確認が必要になります。電話で問い合わせに対しそのまま電話で回答するというのでは、ソーシャルエンジニアリングの危険があります。問い合わせの受け付けは電子メールで、再発行は電話でという方針を取るなど、あらかじめ適切な対応方法を決めておきましょう。
