SPIRAL®のセキュリティはID&アクセス管理で大事なデータ資産を守る！

スパイラル®のようなシステム導入を検討する際、社内では必ずセキュリティ対策が課題に挙がるのではないかと思われます。確かに、セキュリティ対策が納得できる形で取られていないと、安心して導入・運営することはできないでしょう。そこで今回はスパイラル®のセキュリティ対策としてID管理とアクセス管理の概要をお伝えします。

システム導入にセキュリティ対策が必須である理由

スパイラル®に限らず、システム導入をする際にはセキュリティ対策が必要不可欠です。言うまでもないことですが、システムを導入したことで利便性が向上したとしても、内部データが流出したりランサムウェアの被害を受けたりしたら、会社全体が業務的にも金銭的にも致命的なダメージを受ける恐れがあるからです。

システムやネットワークに対する攻撃は巧妙化しており、攻撃側と対策側のいたちごっこが続いています。

最近でも、10月下旬にロシアやウクライナなどを中心として「Bad Rabbit」と呼ばれるランサムウェアの感染被害が広がっていることが報告されています。

参考：https://www.ipa.go.jp/security/ciadr/vul/20171026-ransomware.html

攻撃を受けてウィルスに感染すると、応急処置に追われて業務は回らなくなります。また、個人情報が流出すると賠償問題につながりかねず、会社の存続を危うくする可能性すらあるのです。

スパイラル®は個人情報を格納したデータベースを中心としたシステムであり、セキュリティ対策なしには運営できません。そのため、次にご説明するセキュリティ対策によってシステム的な安全性を担保しています。

スパイラル®のID管理で安全性と利便性を両立

スパイラル®では、ID管理とアクセス管理の両面からセキュリティ対策を行っています。ID管理によって、機能の操作権限の異なるIDを3種類用意することで、安全性と利便性を両立させています。

スパイラル®は「担当者ID」「マルチアカウント」「個人情報閲覧不可ID」の3種類のIDを用意しています。

担当者IDはすべての機能やデータベースにアクセスでき、いわゆるアドミニストレーター的な役割を持っているIDです。誰が、いつ、どのデータベースを操作したのかログに記録されます。3つまでは無料で発行することができます。

担当者IDは、社内のスパイラル®担当者となる正社員の管理者に付与するのがベストでしょう。最も強い権限を有していますので、一部の作業だけを担当する外注先の担当者には付与しないのが賢明です。

マルチアカウントとは、制限つきの権限を有するIDです。特定のデータベースや機能にしかアクセスできないように設定可能ですので、部署やチームごとに割り振るのがよいでしょう。

たとえば営業部門が法人営業と個人営業に分かれている場合は、法人営業用と個人営業用にデータベースを分け、閲覧権限をそれぞれ設定します。

これによって、法人営業部の担当者が個人営業部のデータベースを見ることも、その逆もなくなります。

最後の個人情報閲覧不可IDとは、その名の通りデータベースに格納されている個人情報の閲覧も編集もできないIDです。フォーム作成やメルマガ配信だけを行う担当者は、個人情報を閲覧する意味もないため、この個人情報閲覧不可IDを割り振ることになります。

以上のようなID管理によって、「誰に、どの個人情報を見せないようにするのか」がはっきりさせることができます。業務を進めるための利便性を損ねることなく、個人情報の秘匿性を維持できるのがスパイラル®です。

スパイラル®のアクセス管理で不正アクセスシャットアウト

ただ、権限を分けることで個人情報を見られないようにしたとしても、担当者IDとパスワードが外部に流出してしまったら意味がありません。外部からでもスパイラル®のデータベース内部の個人情報が見え放題になってしまいます。

そうしたケースに備えて、スパイラル®ではさらにアクセス管理を行っています。 アクセス管理では、スパイラル®にアクセスできる環境を制限します。

仮にIDとパスワードを持っていても、スパイラル®の許可した端末・ネットワークでなければログインできないように設定できるのです。

まず、スパイラル®ではクライアント認証を利用できます。クライアント認証を導入すると、特定の証明書をインストールしたパソコンだけしか、スパイラル®にログインできません。

IDやパスワードだけでなく証明書をアクセス許可に利用することで、スパイラル®へのログインに二段階認証をかけることができるわけです。

次に、IPアドレス制限も設定可能です。スパイラル®導入のときに、申し込んだIPアドレスからのみログイン可能なように設定できます。社外からの不正アクセスをシャットアウトできることはもちろん、IPによってアクセスできる範囲を制限することもできます。

たとえば、法人営業の担当者のパソコン（IPアドレス）は法人営業部のデータベースのみアクセスでき、個人営業の担当者のパソコン（IPアドレス）は個人営業のデータベースのみアクセスできる、という設定が可能です。

以上のアクセス管理は、オプション機能です。しかし、IDとパスワードだけでなくアクセス環境を制限することは、スパイラル®にとって強力なセキュリティ対策となります。ぜひ導入することをおすすめします。