アカウント管理はシステム運用において重要な論点です。多くの現場では「最小権限の原則」「一人一アカウント」で運用されていると思いますが、扱いが難しいのが特権管理者（アカウント）です。最近社内で議論があったので、その結果をシェアします。

特権管理者（アカウント）の管理方法

特権管理者の管理方法には、以下のパターンがあります。

権限の昇格機能（ジャストインタイムアクセス）を使う

Linuxのsu/sudoコマンドやAzureのPrivileged Identity Managementのように、普段は通常権限のユーザーを利用し、必要な時だけ特権管理者権限に昇格して操作を行う方法です。

ユーザを使い分ける

一般権限用のユーザーと特権管理者権限用のユーザーを分ける方法です。

特権管理者が複数いる場合、それぞれに個別のアカウントを割り当てることで、ログ追跡が容易になり、安全な運用が可能になります。

常に特権管理者でログインする

特権管理者アカウントを持つ従業員は、常にそのアカウントでシステムにアクセスする方法です。

判断基準

権限の昇格機能が用意されている場合は、原則その機能を利用します。そうでない場合は、システムごとにリスクマトリックス（発生確率 x 影響度）を考え、ユーザを使い分けるべきか、常に特権管理者でのログインを許容するかを決めます。

リスクを評価する上で有用だと思われる観点を紹介します。

発生確率： 通常権限での利用頻度

通常権限での利用頻度が高いシステムでは、特権操作を誤って行うリスクが高まります。日常的に利用するグループウェアやコミュニケーションツールでは、常に特権を持ちながらの操作は危険です。

発生確率：特権操作へのアクセス容易性

特権操作が通常の操作画面と分離されていれば、誤操作のリスクは低減されます。

ただし、特権でできる操作が通常操作画面にも存在する場合は注意が必要です。例えばGoogleWorkspaceは特権を持っていると、Googleカレンダーの通常画面で他者のGoogleカレンダーを自由に編集できてしまいます。

影響度：業務影響

誤操作によりデータが消失したり、設定が変更された場合の業務への影響を考慮します。

こちらは、ログの追跡や、データのリカバリが容易なシステムであれば影響度はより低いと判断することもできます。

影響度：保持する情報

顧客情報や従業員情報などの機密性が高い情報を扱うシステムでは、特権管理者の権限分割を検討する必要があります。

追加考慮事項

上記では主に特権管理者（アカウント）を利用するときについて考えましたが、必要に応じて以下の点も追加考慮が必要です。

• ログ監視、アラート設定
  特権管理者（アカウント）による操作時のログの確認や、ログイン時など特定の操作に合わせてアラートの設定を行う

• 権限の棚卸
  アカウント全般に言えることですが、特に特権管理者については退職・異動時など、権限の変更が必要なタイミングを補足する仕組みの確立が必要です。

• 法律・監査要件
  法的な要件や、業界の監査基準を満たしているかについては、法務部門や内部統制を担当する部署への確認が必要です。

以上です。