(※)過去のブログを復活させたものです。画像はイメージです。

管理者権限の危険さ

 

名古屋の公認会計士・税理士の児島泰洋です。

みなさま、「ソードアート・オンライン」のことをご存知でしょうか？
川原礫さんが電撃文庫から出版しているいわゆるライトノベルです。主人公のキリトくんがフルダイブ型のゲーム世界（つまりは仮想の異世界）に入り込んで冒険するというというお話です。ちなみに2018年8月現在で全世界で2200万部の発行部数を誇るとのこと。

ゲーム世界であるということはどこかにそのゲームのプログラマーがいます。ゲーム世界を作ったのはプログラマーですから、ゲーム世界を自分の思うように操作するとてつもなく強大な権限を持っています。そのようなプログラマーのことを「システム管理者」、あるいはただ単に「管理者」といったりします。また「システム管理者」が有する権限のことを「管理者権限」といいます。

例えば、ゲーム世界には武器や防具などのアイテムが存在して、普通のプレーヤーはお金を払ったり、イベントをクリアするなどの条件を満たさないと、アイテムを入手ことができません。しかし、「管理者」であれば「管理者権限」で自由にアイテムを入手できますし、新しいアイテムを作ることだってできます。

とはいえ、「管理者」はゲーム世界をプログラムした後は、バグを修正したり、システム障害などに対応するなどの「システム運営」だけを行うのが普通です。プレーヤーとしてゲームに参加してしまうと、圧倒的に有利な立場を利用してゲーム世界を支配するなどしてしまうと、他のプレーヤーの反感を買ってしまいます。

ちなみに「ソードアート・オンライン」では「管理者」のそのような反則行為がたびたび行われ、ただのプレーヤーであるキリトくんは絶対的に不利な立場に立たされますが、見事に勝利しています(普通は「管理者」に勝つことはできません。)

このライトノベルを読んでいると、「管理者」がいかに危険な存在かということを思い知らされます。

ゲーム世界の話をしてしまいましたが、企業が業務に使用している販売システム、購買システム、在庫管理システム、給与計算システム、固定資産システム、会計システムなどのさまざまな基幹システムでも全く同じことが言えます。

それらのシステムには、ユーザーの属性（部署、役職など）ごとに操作権限が別々に与えられていて、例えば、一般の経理部員は経費を「入力」する権限はあっても、経理部長でなければ経費支払の「承認」を行うことはできないような設定になっています。

ところが、「管理者」はその職務の特性上、あらゆる権限を行使できる「特権アカウント」をもっているため、その気になれば、経費の「入力」「承認」も自分一人でできてしまいます。そのため、この「特権アカウント」をしっかり管理し、使用状況や操作履歴をモニタリングすることがとても重要になってきます。

有名な話としては、外国の銀行のプログラマーがお客様の預金の利息の計算時に生じる端数を自分の口座に付け替えて着服するという事件が過去にあったそうです。

私が企業の内部監査をお手伝いするときは、この「特権アカウント」が適切に管理・使用されているか、適切にモニタリングされているかもチェックすることがありますが、一部の企業ではなかなかできていないのが実情です。

皆様の会社では、「管理者」とか「特権アカウント」に対して、適切なモニタリングを行っているでしょうか？

以上

JIM ACCOUNTING（児島泰洋公認会計士・税理士事務所）
代表　児島泰洋
メール: yasuhiro.kojima@jimaccounting.com

お問い合わせは以下のフォームからも行うことができます。

エラー: コンタクトフォームが見つかりません。