管理者アカウント狙うよね！ｊｋ！って話。

管理者アカウントの管理にまつわる課題の1つとして、多くの管理者アカウントが複数の人間で共有されている現状が挙げられる。ある程度の規模の企業になると、1人の情報システム管理者がすべてのシステムを管理することは難しく、複数の人物が管理作業に携わることになる。そして、管理作業を手際よく進めるために、1つの管理者アカウントが共有されてしまうことになる。
管理者アカウントを複数人で共有した場合、幾つかの問題が生じる。まず、共有していた人物のうち誰かが異動したり退職したりすると、その人物がアクセスできないように管理者アカウントを変更しなければならない。当然、共有しているほかの人物は変更の都度、新しい管理者用アカウントに乗り換えなければならない。そして、管理者用アカウントの変更を忘れると、権限のない人物がシステムへの特権アクセス権限を持ち続けることになる。最近では国内企業でも人材の流動化が進んでいるため、こうした問題が頻繁に生じる可能性がある。さらに、最近は情報システムの開発や運用管理を外部業者に委託する業務アウトソーシングも一般的になっているが、外部業者に管理者アカウントを渡すことで、管理者アカウントを共有している人物に対する管理がますます行き届かなくなってしまう恐れがある。
もう1つ、管理者アカウントを複数人が使っていると、ある操作を誰が実施したのかをログの記録から判断できなくなってしまうという問題がある。管理者アカウントが不正利用されても、実際に誰が実行したのかをログから判断することができなくなるわけだ。
また、企業のITシステムが規模を拡大していることも、管理者アカウントの管理を一層困難なものにしている。例えば、サーバ仮想化によってサーバ台数が増えたほか、ルータ、セキュリティ・アプライアンスなどのネットワーク機器も管理対象である。インフラだけでなく、アプリケーションやデータベースも別途、管理アカウントを有している。膨大な数の管理者アカウントを、セキュリティ・ポリシーに沿って数カ月おきに更新するとなると、管理業務が極めて煩雑になってしまう。もちろん、管理対象の数が増えればそれだけ管理者アカウントを使用する人間も増えることになり、先に述べた複数人による管理者アカウントの共有の問題とも深く関係してくる。

http://www.computerworld.jp/topics/563/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%83%BB%E3%83%9E%E3%83%8D%E3%82%B8%E3%83%A1%E3%83%B3%E3%83%88/201010/%E7%8B%99%E3%82%8F%E3%82%8C%E3%82%8B%E7%AE%A1%E7%90%86%E8%80%85%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%80%81%E6%94%BE%E7%BD%AE%E3%81%95%E3%82%8C%E3%82%8B%E7%AE%A1%E7%90%86%E8%80%85%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88