無効になっているユーザーアカウントを削除すると、セキュリティ上の利点やリスクはありますか?
そのため、無効化されたアカウントを削除するかどうかについて誰かと議論しています。私のスタンスは、それが優れたネットワーク衛生であり、ふるいにかけるノイズの量を減らすことなどです。しかし、議論は、対処されているリスクは何かということです。私はこれに頭を悩ませてきましたが、このプラクティスが対処するリスクはないと思います。はい、最もワイルドなシナリオです。誰かがSaaS=プラットフォームを侵害し、アカウントを反応させて、それを彼らのひどい行為に使用する可能性があります。しかし、可能性は非常に低いです。すべてのガバナンスフレームワークを調べても、「削除または無効にする」。
無効化されたアカウントのアドレスを削除することによるセキュリティ上のリスクはありますか?
一般に、攻撃対象を減らすことが常に最善です。完璧なシステムはありません。プログラム上のエラーと潜在的な人的エラーの両方が原因で、非アクティブ化プロトコルも例外ではありません。
リスク1:たとえば、データベースの従業員テーブルでの役割の変更(またはそれらが保存されている)などによって、終了したすべての従業員のアカウントが適切に非アクティブ化されているとします。この架空のシナリオでは、管理者アカウントが侵害されています。巧妙な攻撃者は、管理者アカウントを使用して過去に終了した従業員のアカウントを再度有効にし、そのアカウントを使用してシステム上で悪意のある活動を行う可能性があります。そうすることで、侵入検知システムによって発見される可能性が低くなります(つまり、管理者は常に米国テキサス州からログインしますが、突然の管理者全員がブラジルにいますか?)。これにより、攻撃対象領域が増加し、攻撃者により多くの権限を与える可能性があります。決して良いことではありません。
リスク2:人的ミスが存在します。ある日、まだ有効な従業員アカウントを誤って非アクティブ化し、終了した従業員アカウントを再度アクティブ化して今すぐ再アクティブ化したいときに、AlexanderではなくAlexと入力した場合はどうなりますか?または、アカウントを再度アクティブにするつもりはなかったかもしれませんが、ある日、コンピュータがフリーズし、マウスのクリックで怒りをこらえて返信したときに、再アクティブ化フラグをクリックしましたか?
どちらのケースも可能性は低いですが、なぜリスクを取るのですか?
システムが機能するためにシステム内にまだ存在するアカウントに依存する高度な監査証跡が必要でない限り(つまり、ユーザーの名前とログに記録するアクションを出力するだけでなく、アクティブにユーザー情報にアクセスするだけです)、正当な理由はありません。この膨張したデータをシステムに残します。
会社を辞めた後(過去に生協として働いていたときは、さまざまな会社で頻繁に時間を費やしていました)、それでも自分のアカウントにログインできるかどうかを確認します。 。
常にサイバーセーフティの側に誤りがあります。
まず、「リスクに対処する」という言葉を使いたくないのは、「アドレス」よりも正確な単語があるためです。リスク管理でよく使われる用語であることは知っていますが、誤解されやすいので避けたいと思います。
とにかく、無効になっているアカウントアドレスを削除しても、セキュリティ上のリスクはありません。しかし、あなたは間違った質問をしていると思います。
「無効なアカウント」の意味によって異なります。
無効化されたアカウントは、2つの列を持つデータベース内の行、主キーseridは整数、そして列挙型isdisabledは "TRUE 」この無効なアカウントを削除することはリスクに対処しますか?そうは思いません。
しかし、反対に、無効化されたアカウントには、クレジットカード番号、暗号化されていないパスワード、運転免許証の写真、社会保障番号などが含まれ、さらにisdisabledが「TRUE」に設定されている可能性があります。
シナリオの「無効なアカウント」とは正確には何ですか?
一般に、無効になっているアカウントは絶対に削除せず、アカウントを「無効にする」時点で機密情報を削除することを検討します。したがって、ユーザーがアカウントを無効にしてから再度アクティブにした場合、カード番号を再度追加したり、電話番号を再確認したりする必要があります。したがって、基本的にすべてのフラグをデフォルトの位置に設定し、機密性の低い情報のみを保持します。
無効化されたアカウントを維持することには価値があります。これまでにサインアップしたユーザーの数のハードな記録があり、さまざまな目的のためにそれらの情報の一部を保持することを検討できます。ユーザーがサインアップし、電話番号を確認すると、システムによってブラックリストに登録/禁止され、アカウントが無効になります(「無効にする」システムにより、電話番号が削除されるか、電話番号を含む行全体が削除されます)。別のメールアドレスで再度アップし、彼らの電話番号を再度有効にして、ブラックリストを回避する可能性があります(ブラックリストが列に禁止されている場合)。
したがって、無効化されたアカウントを確実に保持してください。特に、機密情報を削除することを検討するようにしてください。特に、ユーザーが削除を期待する種類の情報で、目的に使用できない可能性があるものは削除してください。
最初の質問は次のとおりです。非アクティブ化手順はどの程度信頼できますか? (答えが「100%」の場合は、自分に正直でない可能性が高いと思います。)未使用のアカウントを削除すると、アカウントが非アクティブ化されなかった場合でも、退職した従業員が問題のシステムから削除されます。また、元従業員が引き続きアクセスできないようにすることは、優れたセキュリティ対策です。
理論的には、アカウントがロックされてもリスクはそれほど大きくありません。無効にされたアカウントを誰かが再びアクティブにした場合、そのユーザーは管理者の資格情報を使用して既にネットワークに存在しています。しかし、彼らにプレイする余地を与えないのは良いことです。この違反が起こったとしましょう。次に、解雇されたすべての従業員を調べ、そのアカウントがallが非アクティブ化されていることを確認して、悪意のある人がアクティブ化したバックドアから戻ってくるだけではないことを確認します/作成した。さらに、無効化されたアカウントを削減することで、潜在的な攻撃対象を減らします。
検証済みの環境では、これらのアカウントを文書化および監査の目的で保持する必要があります。そこで、それらを「無効な」OUに移動し、それらを毎晩チェックして、なんらかの理由で再アクティブ化されないようにすることをお勧めします。
TL/DR:これらのアカウントを保持する正当な理由がない限り、それらを削除する方が理にかなっています。
どのユーザーアカウントについて話しているのですか?
それらを保持する必要のある簡単な例:UNIXサーバー上のアカウント。
アカウントを保持しないと、削除されたユーザーに属している場合、どこかで見つけたファイルに属性を付けることができません。ユーザーID(名前ではなく数値)に新しいアカウントが与えられると、新しいユーザーは古いアカウントの残りのファイルにアクセスすることもできます。
ほとんどの回答はこの質問のセキュリティの側面に焦点を当てています。当然のことながら、このサイトの考慮はセキュリティに焦点を当てています。しかし、これには別の側面があります。それは、不要なデータの保持に伴う法的な問題です。
使用されなくなったアカウントを残すと、未使用の、おそらく規制されていない可能性のあるデータが大量に残ります。これは、ターゲットとしてのシステムの魅力を高めるだけでなく、国によってはソフトウェアの会社/所有者を重大な法的問題に陥らせる可能性があります。誰かがアクセスしたデータを漏洩または販売した場合、会社は(ほとんどの国で)機密データが記録されている漏洩した各アカウントのデータに対して責任を負います。
セキュリティには、防止だけでなく、緩和と損傷の制御も含める必要があります。データの漏えいや漏洩に関しては、法律に関して会社が完全にカバーされているとしても、システムをできるだけ魅力のないものにすることは間違いなく良い習慣です。悪意のある利益を得るためにシステムを攻撃することを真剣に検討している人は誰でも、[取得したデータ:必要な時間/労力]の比率に基づいてターゲットを選択します。システム内のデータ量を最小限に抑えることは、攻撃者の難易度を指数関数的に増加させるよりもはるかに簡単です。
私自身のソリューションでは、以前に割り当てられたID(ユーザー名、POSIX-ID)の再利用を避けるために、ユーザーアカウントが削除されることはありません。
ただし、ユーザーアカウントを非アクティブ化するには、2つの異なる状態があります。
- 非アクティブ化:アカウントは一時的に非アクティブ化され、いわゆるゾーン管理者によって引き続き表示され、ゾーン管理者によって再度アクティブ化できます。
- アーカイブ済み:アカウントが最終的に非アクティブ化され、プライバシー規制により一部の属性が削除されました。アカウントはゾーン管理者には表示されなくなり、この状態から再度アクティブにすることはできません。
DIR-DIRの属性 aeStatus の説明も参照してください。