［米国］【Ponemon/InsightExpress 調査】
社員のアクセス管理は「無法状態」――組織の分散化が原因？

「アクセス権に関する責任の所在は特定が困難で、検討機会もない」

（2008年02月07日）

　今週に入り、ネットワーク・アクセス管理に関する2件のセキュリティ調査の結果が発表された。それによると、企業の社員は過度なアクセス権を与えられており、経営陣は、無法状態に陥った社員らのアクセスを抑制する難題に挑んでいるという。

　調査会社の米国Ponemon Instituteは2月5日、「2008 National Survey on Access Governance」の結果を発表した。企業および政府機関の700名に及ぶ情報技術専門家を対象にした同調査は、情報リソースへのアクセス権を与える社員を選ぶ方法と、アクセス権の妥当なレベルをテーマにしている。

　Ponemonによれば、調査対象となったIT専門家の52％が「みずからの組織ではアクセス権の管理がうまくいっていない」と考え、78％が「仕事とは関係のない情報リソースへのアクセス権が社員らに過度に与えられている」と感じているという。

　Ponemonを創設したラリー・ポネモン（Larry Ponemon）氏は、セキュリティ・ガバナンス・ベンダーAveksaの後援を得て実施した同調査について、「人々がさまざまなものにアクセスし過ぎている現状が映し出された」と話す。「（アクセス権管理の）役割と義務の遂行を公言している組織がそれを実現できていない点が、いちばんの問題だ」（Ponemon氏）

　情報資産へのアクセス権を与える基準についての調査項目では、全体の29％が「臨機応変」、25％が「部署からの要求」、21％が「職務権限もしくは職責」と答え、10％は「系統だった仕組みはない」、8％が「ユーザーの役職や階級」に合わせるとした。

　アクセス管理のために利用している技術については、36％が「組織内で開発したアクセス制御システム」、30％が「自動化ソリューション」と答えた。また、13％は「手作業」で管理していた。

　Ponemonの調査リポートでは、「各種の結果を総合的に見ると、組織が分散化していることが、集約的なポリシー管理の欠如を招いていると推測できる」と結論づけている。

　さらに、「アクセス権付与に関する責任の所在を特定するのは難しく、社員が仕事のために次々と（アクセス権を）求めてくることについても、振り返って検討する機会はほとんどない」と調査リポートは指摘している。

　今週はこのほかに、Cisco Systemsがスポンサーになり、世界中の在宅勤務者およびIT専門家2,000名を対象に米国InsightExpressが実施した調査の結果も発表された。それによると、多くの社員が個人所有のデバイスを仕事に使っており、しかもそれを歓迎しているという。

　また、在宅勤務者の56％は「昨年と比べてインターネット（を介して仕事をすること）は安全になった」と感じている一方、オフィスで勤務するIT社員の55％は「社外で働く在宅勤務者がインターネット上で無自覚に行動し、統制が取れなくなっている」と苦言を呈した。

　同調査によると、企業のコンピュータでショッピングをしたり、SNS（ソーシャル・ネットワーキング・サイト）をのぞいたりするケースが増える一方で、IT部門の管理下にない自宅コンピュータから、社内にある業務書類にアクセスするユーザーも少なくないという。

　CiscoのIronPort部門担当マーケティング副社長、トム・ギリス（Tom Gillis）氏は、企業の分散化が進むにつれて、在宅勤務者に関係する問題が浮上してきたと説明する。「今日では、公私の区別が曖昧になりつつある」（Gillis氏）

(Ellen Messmer／Network World米国版)