アクセスレビュー あくせすれびゅー
アクセス権棚卸し最小権限の原則IAM内部統制コンプライアンス
アクセスレビューについて教えて
簡単に言うとこんな感じ!
「このシステム、まだ使っていい人ってホントにこの人たちだっけ?」を定期的に確認する作業だよ!異動・退職した人の権限が残ったままだと情報漏えいのリスクになるから、定期的に棚卸しして「不要な鍵は返してもらう」ってこと!
アクセスレビューとは
アクセスレビューとは、システムやデータへのアクセス権限が「今も適切かどうか」を定期的に点検・見直しする管理プロセスのことです。社員の異動・退職・役職変更などによって、本来必要のなくなった権限がそのまま残り続けてしまうのを防ぐための仕組みです。
たとえば、営業部から経理部に異動した社員が、営業システムへのアクセス権を持ったままになっている——こういった「権限の使い残し」は、社内不正や情報漏えいの温床になります。アクセスレビューでは、誰がどのシステムにどんな権限を持っているかを一覧化し、現在の業務に照らして「必要・不要・変更が必要」を判断します。
アクセスレビューは単なるセキュリティ施策にとどまらず、J-SOX(日本版SOX法)やISO 27001などのコンプライアンス要件としても求められることが多く、内部統制の観点でも重要な位置を占めています。
アクセスレビューの仕組みと流れ
アクセスレビューは、おおむね次のステップで進みます。
| ステップ | 作業内容 | 主な担当者 |
|---|---|---|
| ① 権限リストの収集 | 誰がどのシステムに何の権限を持つか一覧化 | 情シス・システム管理者 |
| ② レビュー依頼の送付 | 管理職(承認者)に確認を依頼 | 情シス・セキュリティ担当 |
| ③ 承認・却下の判断 | 各ユーザーの権限が今も必要かを判断 | 部門マネージャー(権限オーナー) |
| ④ 是正対応 | 不要権限の削除・変更を実施 | 情シス・システム管理者 |
| ⑤ 記録・報告 | レビュー結果を保存・監査対応 | セキュリティ担当・内部監査 |
覚え方:「鍵の棚卸し」
アクセス権は会社の「鍵」と同じ。社員が増えるたびに鍵を渡すけど、辞めたり異動したりした人の鍵を回収し忘れると、いつの間にか知らない人が開けられる扉が増えてしまう。アクセスレビューは「鍵の棚卸し」——定期的に「この鍵、まだ必要?」と全員に確認する作業だと覚えよう!
レビューの頻度と対象範囲
| 分類 | 推奨頻度の目安 | 対象例 |
|---|---|---|
| 特権アカウント(管理者権限) | 四半期ごと | DBアドミン、ルートアカウント |
| 一般ユーザー権限 | 半期〜年次 | 業務システム、ファイルサーバー |
| 外部委託・派遣社員 | 契約更新時+定期 | SaaS、VPNアクセス |
| 退職・異動発生時 | 随時(即時対応) | 全システム |
歴史と背景
- 2000年代初頭:エンロン事件など米国での企業不正を受け、2002年にSOX法(サーベンス・オクスリー法)が成立。財務システムへのアクセス管理が内部統制の柱の一つとなる
- 2008年:日本でもJ-SOXが施行。上場企業を中心にアクセス権の定期レビューが義務的実施事項として認識されるようになる
- 2010年代:クラウドサービス(SaaS)の普及により、管理すべきシステムが急増。スプレッドシートでの手動管理が限界に達する
- 2015年頃〜:IGA(Identity Governance and Administration) ツールが台頭。SailPoint・Saviynt・Microsoft Entra ID Governanceなどが自動化・ワークフロー化を実現
- 2020年代:ゼロトラストセキュリティの普及に伴い、「常に権限を疑う」思想が浸透。アクセスレビューの重要性がさらに高まっている
関連する概念・技術との比較
アクセスレビューは「権限管理」の一部ですが、似た言葉との違いを整理しておきましょう。
手動 vs ツール活用の比較
| 観点 | スプレッドシート管理 | IAM/IGAツール活用 |
|---|---|---|
| コスト | 低い(初期) | 高い(ライセンス費) |
| 対象システム数 | 少数なら可 | 多数でも対応可 |
| レビュー依頼 | メール・紙で手配 | ポータルから自動送付 |
| 証跡管理 | 手作業・属人的 | 自動記録・監査対応 |
| リスク検知 | 目視のみ | ルールベース自動検出 |
| 向いている規模 | 〜50名程度 | 100名〜 |
関連する規格・RFC
| 規格・フレームワーク | 内容 |
|---|---|
| ISO/IEC 27001 A.9 | アクセス制御に関する管理策。定期的なレビューを要求 |
| NIST SP 800-53 AC-2 | アカウント管理の要件。定期レビューの実施を規定 |
| J-SOX(財務報告に係る内部統制) | 財務系システムへのアクセス権管理・定期点検を求める |
| SOC 2 Type II(CC6.2〜CC6.3) | アクセス権の付与・削除・レビューのプロセスを評価対象とする |
| PCI DSS 要件7・8 | カード情報システムへのアクセス制限と定期レビューを要求 |
関連用語
- 最小権限の原則 — 必要最低限の権限だけを付与するセキュリティの基本思想
- IAM(Identity and Access Management) — 誰が何にアクセスできるかを一元管理する仕組み・ツール群
- プロビジョニング — ユーザーにシステム利用権限を付与する作業・プロセス
- 職務分掌(SoD) — 不正防止のため、一つの業務に複数人の承認を必要とする仕組み
- ゼロトラスト — 「何も信頼しない」を前提にすべてのア