ウイーズ・システムズ株式会社

CONTACT

コラム

COLUMN

SCS評価制度をきっかけに管理者IDを見直した中小企業モデルケース

サーバやシステムを運用するうえで、管理者IDを適切に扱うことは、セキュリティ対策や監査対応において重要です。
しかし、管理者IDを発行しているだけ、利用ルールを定めているだけで、実際に管理できている状態になっているとは限りません。

実際には、管理者IDを利用できる状態にはしているものの、次のような点まで整理できていないケースがあります。

  • 誰が管理者IDを利用できるのか
  • 管理者IDを利用する際に、申請・承認の流れがあるのか
  • 共有IDを利用している場合、実際の作業者を特定できるのか
  • 権限の付与・変更・削除が適切に管理されているのか
  • 管理者IDの利用履歴を、監査や取引先への説明に活用できるのか

近年は、取引先からセキュリティ対策状況の確認を求められる機会も増えています。
また、SCS評価制度をはじめ、ISMS、J-SOX、Pマーク、各種ガイドライン対応などを進める中で、管理者IDや共有IDの見直しが必要になる場合があります。

SCS評価制度は、経済産業省と内閣官房国家サイバー統括室が公表した制度構築方針に基づき、IPAが運営する制度です。★3・★4は、2026年度末頃の制度開始を目指すとされています。(IPA:SCS評価制度の詳細情報

本記事では、ログ管理は実施しているものの、管理者IDの利用ルールや権限管理に課題を抱えていた中小企業をモデルケースとして、WEEDS Traceの活用シーンを紹介します。

※ 特定のお客様の導入事例ではありません。WEEDS Traceを活用した場合の改善イメージとしてご覧ください。

1. ログ管理は実施していたが、管理者IDに課題を抱えていたA社

A社は、従業員約200名の製造業です。
大手メーカーとの取引があり、定期的に外部監査も受けていました。

社内の情報システム部門は少人数体制です。専任担当者は1名で、ほかに兼任担当者が数名いるものの、日々の運用保守や問い合わせ対応に追われており、セキュリティ対策に十分な時間を割ける状況ではありませんでした。

それでも、A社は何も対策をしていなかったわけではありません。

ウイルス対策ソフトの導入、バックアップ、サーバの基本的なログ取得など、最低限必要と考えられる対策は実施していました。外部から見れば、一定のセキュリティ対策に取り組んでいる企業です。

しかし、外部監査では以前から、管理者IDについて指摘を受けていました。

特に問題になっていたのは、管理者IDを複数人で共有していることです。
ログは残っているものの、実際に誰がその作業を行ったのかを後から特定しにくい状態でした。

また、管理者権限を誰に付与しているのか、一覧が最新の状態で管理されているとは言えませんでした。担当変更や異動があった際にも、権限の見直しが確実に行われているかどうかが曖昧だったのです。

つまりA社は、ログ管理をしていないわけではありません。
しかし、ログが残っていても、管理者IDの利用者や作業目的と結びつけて説明しにくい状態でした。

これが、外部監査で繰り返し指摘されていた課題でした。

2. 外部監査の指摘を、SCS評価制度をきっかけに見直すことに

これまでA社では、管理者IDの課題を「いずれ対応すべき項目」として扱っていました。

外部監査で指摘を受けていたものの、大きなトラブルが発生していたわけではありません。日々の業務も止まっていませんでした。

そのため、限られた予算と人員のなかでは、どうしても他の業務が優先されていました。

しかし、SCS評価制度の開始を見据えると、状況は変わります。

SCS評価制度では、サプライチェーン全体のセキュリティ対策状況を見える化し、取引先との間で必要な対策水準を確認しやすくすることが想定されています。IPAは、制度のより具体的な実施内容について、2026年度に検討・詳細化するとしています。

A社にとって問題だったのは、制度そのものよりも、取引先からセキュリティ対策の状況を確認されたときに、管理者IDの利用状況を説明しづらいことでした。

たとえば、次のような質問に対して、明確に回答できる状態ではありませんでした。

  • 管理者IDは誰が利用できるのか
  • 共有IDを使っている場合、作業者を特定できるのか
  • 権限の付与や削除は、どのような承認を経て行っているのか
  • 問題が起きたとき、誰が何をしたのか確認できるのか

こうした点を説明できなければ、取引先に対して十分な管理体制を示しにくくなります。

そこでA社は、これまで後回しにしていた管理者IDの見直しを本格的に検討することにしました。

3. 必要な範囲から管理者IDの利用を統制する判断

A社でも、当初は特権ID管理ツールを検討しました。

特権ID管理ツールには、申請・承認、パスワード管理、アクセス制御、ログ取得、監査レポートなど、さまざまな機能があります。機能が豊富な製品であれば、より高度な管理体制を整えることも可能です。

しかし、A社にとって問題だったのは、機能の多さではありませんでした。

導入費用、初期設定、運用設計、担当者の習熟、日々の管理工数まで考えると、少人数体制のA社にとっては導入ハードルが高いものでした。

A社がまず必要としていたのは、すべてを高度に管理することではありません。

外部監査で指摘されていた課題に対し、まずは説明できる状態を作ることでした。

具体的には、次のような状態です。

  • 管理者IDを利用する前に、申請と承認の流れがある
  • 誰が、何の目的で、どの管理者IDを使ったのか記録できる
  • 共有IDを利用する場合でも、作業者を特定しやすい
  • 利用履歴を確認し、監査時に説明できる
  • 権限の付与・変更・削除が属人的にならない

このように考えたA社は、高機能なツールを全面的に導入するのではなく、自社に必要な範囲から管理者IDの利用を統制する方針を取りました。

重要なのは、最初から完璧な体制を目指すことではありません。

限られた予算と人員のなかで、外部監査や取引先説明において問題になりやすい部分から、現実的に整備していくことです。

4. WEEDS Traceを選んだ理由

A社が選定時に重視したのは、「できるだけ多くの機能があること」ではありませんでした。

重視したのは、次の3点です。

1つ目は、自社に必要な範囲から始められること。
2つ目は、限られた担当者でも運用しやすいこと。
3つ目は、監査や取引先に対して、管理者IDの利用状況を説明しやすくなることです。

こうした条件に合う選択肢として、A社はWEEDS Traceを検討しました。

WEEDS Traceは、特権IDの利用に関する申請・承認状況を一元管理し、利用期間、目的、作業内容、利用する特権IDを申請情報として記録できます。また、承認者が申請内容を確認・承認することで、いつ、誰が、どのような目的で特権IDを利用したのかを記録として残せます。

さらに、承認に基づいて特権IDを一時的に貸し出し、ユーザーは承認期間内のみ利用可能なパスワードを使用できます。Windows向けの作業者特定機能では、共用IDを利用する場合でも作業者を特定できるとされています。

A社にとって、これらの機能は、外部監査で指摘されていた課題に対して必要な範囲を整えるうえで有効でした。

特に評価したのは、管理者IDを「使える状態」にしておくのではなく、「申請され、承認され、誰が使ったかを確認できる状態」に近づけられる点です。

また、金融機関への導入実績を確認できたことも、選定時の安心材料になりました。セキュリティ要件が厳しい業界で利用されていることは、社内説明を進めるうえでも後押しになりました。

ただし、A社はWEEDS Traceを「SCS評価制度に対応するための万能なツール」として選んだわけではありません。

あくまで、外部監査で指摘されていた管理者IDの課題を、限られた予算と人員のなかで現実的に見直すための手段として選定しました。

この考え方が、A社にとって重要な判断ポイントでした。

5. 管理者IDの利用状況を説明できる状態へ

導入後、A社では管理者IDの利用申請、承認、利用履歴の確認という流れが明確になりました。

これまでは、管理者IDを使った作業があっても、後から確認したときに「誰が」「何の目的で」使ったのかを説明しづらい状態でした。

しかし、申請・承認の流れを整えたことで、作業前に利用目的や作業内容を記録できるようになりました。さらに、利用履歴とあわせて確認することで、管理者IDの利用状況を説明しやすくなりました。

共有IDを利用する場合でも、作業者を特定しやすくなったため、外部監査で指摘されていた「誰が使ったのか分からない」という課題にも対応しやすくなりました。

また、権限の付与・変更・削除についても、運用ルールを見直すきっかけになりました。

これまで担当者ごとの判断に任されていた部分を整理し、申請や承認の流れを設けることで、属人的な管理から脱却しやすくなったのです。

もちろん、これだけですべてのセキュリティ対策が完了するわけではありません。

SCS評価制度を見据えた対応では、自社のリスクや取引先から求められる水準に応じて、必要な対策を整理していく必要があります。

しかしA社にとっては、長年後回しにしていた管理者IDの課題を、現実的な範囲から改善できたことに意味がありました。

「管理者IDを使える状態」から、
「管理者IDの利用状況を説明できる状態」へ。

この変化が、外部監査や取引先確認に備えるうえで大きな一歩になりました。

6. 自社のID管理を見直すチェックポイント

A社のように、ログ管理や基本的なセキュリティ対策は実施していても、管理者IDの利用ルールが曖昧になっている企業は少なくありません。

自社の状況に不安がある場合は、まず以下の点を確認してみるとよいでしょう。

  • 管理者IDを誰が利用できるか把握しているか
  • 管理者IDを複数人で共有していないか
  • 共有IDを利用している場合、作業者を特定できるか
  • 管理者権限の付与・変更・削除に承認フローがあるか
  • 異動・退職時に権限を削除する運用があるか
  • 管理者IDの利用目的や作業内容を記録しているか
  • 利用履歴を確認し、監査時に説明できるか
  • 取引先から確認されたときに、管理状況を説明できるか

これらは、平常時には見落とされやすい項目です。

しかし、外部監査やインシデント対応、取引先からの確認の場面では、重要な確認ポイントになります。

すべてを一度に整備する必要はありません。

まずは、自社の中で説明しづらい項目を洗い出し、優先順位をつけて見直すことが現実的です。

特に、管理者IDや共有IDは、重要なシステムに対して強い権限を持つことが多いため、利用者や利用目的を説明できる状態にしておくことが重要です。

SCS評価制度をきっかけに、現実的なID管理から始める

SCS評価制度への対応を考えるうえで、すべてのセキュリティ対策を一度に高度化する必要はありません。

中小企業では、予算も人員も限られています。
そのため、まずは外部監査で指摘されている項目や、取引先に説明しづらい項目から見直すことが現実的です。

今回のA社のように、ログ管理は実施していても、管理者IDの利用ルールが曖昧なままになっているケースはあります。

そのような場合は、まず「誰が、いつ、何の目的で管理者IDを利用したのか」を説明できる状態を目指すことが重要です。

管理者IDの申請・承認、作業者の特定、操作履歴の記録を仕組み化することで、外部監査や取引先確認に備えやすくなります。

SCS評価制度をきっかけにセキュリティ対策を見直すのであれば、最初から大規模な対策を目指すのではなく、自社の課題に合わせて必要な範囲から始めることが大切です。

WEEDS Traceは、管理者IDの申請・承認、ワンタイムパスワード、作業者の特定、操作履歴の取得により、管理者IDの利用状況を見える化できます。

管理者IDや共有IDの利用ルールに不安がある場合は、まずは必要な範囲からID管理を見直してみてはいかがでしょうか。

Writer 雫田 貴一
WEEDS SYSTEMSのWebマーケティング担当者。 マーケティングだけでなく、システムの導入からセールスのサポートに至るまで幅広く手掛けています。 情報セキュリティに不安を感じるユーザーの悩みや課題を解決すべく、日々情報発信に努めています。