分野：マネジメント系
中分類：システム監査
小分類：システム監査

特権IDとは、システム上のあらゆる作業を可能にする、最高レベルの操作権限を有するアカウントです。主にシステム管理者等がシステムの管理や設定変更を行うために使用されます。特権IDは、システムに対するあらゆる行為が許されるので、不正アクセスや内部不正を防止する観点から厳格に運用管理する必要があります。

• 正しい。操作ログの改ざんに当たり、特権IDの乱用として指摘事項に該当します。ログに事実とは異なる情報が残ることになり、また、誰がいつ操作したかが不明になってしまうため、完全性、真正性、責任追跡性、否認防止性を損なう行為と言えます。
• 特権IDが乱用されないように、承認プロセスを整備しているので適切な運用管理と言えます。
• 作業ごとに特権IDのアクセス権を払出し、使用後に無効化すれば、特権IDが乱用・誤用されるリスクを低減できるので適切な運用管理と言えます。
• 特権IDを使って勝手に変更しているのであれば問題となりますが、他部門からの申請に基づく変更であり、組織の正当な変更プロセスに基づいて変更しているものなので問題ありません。