アカウントとパスワードとセキュリティのお話
はじめまして、 インフルエンサーマーケティングのLIDDELL株式会社(以下、リデル)で情報管理の責任者をやっています、久保と申します。
コーポレート全般(人事は一部のみ)・情シス・セキュリティをやってます。
いろいろやっている中でも情シスとセキュリティ業務はどんどん幅が広がって深くなっています、大変です。
SaaSやツールなど社内で使う・扱うソフトウェアは増える一方(ポジティブにどんどん便利になって効率化されてますよ!)で、そこに様々な役職・職種と一般・管理者権限が紐づいて、特有のダイナミックな組織変更もありつつ、さらに雇用・契約形態の多様化で正社員から業務委託契約・アルバイトへの変更やその逆パターンなども全然ありです。
そしてオフィス勤務からフルリモートワーク、週5日フル勤務からオンデマンド勤務、これに条件に則ったPC貸与や社内システムアカウント発行、SaaS等アカウント発行・アクセス権限設定。基本一定のルール下で運用できますが、軸が多すぎるのと業務内容・扱う情報の機密度・レベルから一概に決められないことも多々あります。
当然そんな状況でも体制は今まで通り1人情シス・セキュリティなので、まずはリスクの高いアカウントとパスワードをいかに効率的に管理運用するかになりますよね。
弊社では
ID管理:OneLogin
と
パスワード管理マネージャ:LastPass
で管理運用しています。
まずメールアドレス発行からアカウント作成、各SaaSへログインはこんな流れで行われてます。
① Google Workspaceの管理コンソールでメールアドレス作成
② OneLoginにメールアドレス・名前等の情報を設定しProvisioning
③ 各サービスのアカウントが自動生成されログイン可能となる。
(一部招待メールからの初期設定が必要)
これもオーソドックスにすごく効率的に管理運用できているのですが、弊社は5つの自社サービスを運用しており、それぞれに管理画面へのアクセスや多くの種類のSNSアカウントを持っています。
特にSNSは個別アカウントではなく共有でログインしないといけない場面が多々あり、メンバーの出入りや組織変更でパスワード変更を都度行わないといけない、過去にはそのような運用をしていた時もありました。
が!
3年ほど前からLastPassを導入したことにより
メンバーはパスワードを知ることなく、権限を付与された必要なサービスにログインできる
共有フォルダ設定で組織やサービス、関連するプロジェクト毎にメンバーの権限管理ができる
を実現しています。
さらにPCブラウザでもスマートフォンアプリでもこの機能が使用できるんで非常に便利でおすすめです。
このOneLoginとLastPassは、IDとパスワード・権限を司っているのでMFA・スマートフォン認証が必須(その他にも必須サービスあります)としていますが、パスワードの定期変更については不要なルールとしており、これは2017年の米国国立標準技術研究所(NIST)及び総務省のパスワードの定期的な変更を要求すべきではない意向から、2018年のISMS更新審査の際に変更しました。(定期変更は地味に大変な運用ですよね)
業務上個人情報を扱うことが多いため、取引先の各社さんから事前にセキュリティ監査を受けることがあるのですが、そのチェック項目の中で結構パスワードの定期変更ルール有無を確認されるので、その際は上記理由を説明させてもらっています。
次回はISO27701・ISMS-PIMSの認証取得について、事前準備から審査までの流れについて書きたいと思います!
(ちなみにISMS-PIMSは現在認定・登録待ちで今月、2021年12月の審議後に決定する見込みです)
インフルエンサーマーケティングの
LIDDELL/リデル
サービスの詳細は…
様々な職種で一緒に働く仲間を募集しています。
この記事が気に入ったらサポートをしてみませんか?