Cyber Security Essentials

EP4 — Access Control & Identity Management: ใครเข้าถึงอะไร คือรากของความปลอดภัยทุกระบบ

Posted on by MagnusIT

EP4 — Access Control & Identity Management: ใครเข้าถึงอะไร คือรากของความปลอดภัยทุกระบบ

“ระบบไม่ได้ถูกเจาะเพราะช่องโหว่เสมอไป
แต่ถูกเจาะเพราะ ‘คนที่ไม่ควรเข้าถึงระบบ กลับเข้าถึงได้’ ”

🔹 บทนำ: ปัญหาใหญ่ที่สุดขององค์กรไทย — สิทธิ์กระจัดกระจาย ไม่มีคนรับผิดชอบ

ในหลายองค์กรไทย (โดยเฉพาะ SME)
เมื่อถามว่า “ใครมีสิทธิ์เข้าถึงระบบอะไรบ้าง?”
คำตอบที่ได้คือ…

  • “น่าจะมีสิทธิ์นะ”

  • “ไม่แน่ใจ IT เก่าตั้งไว้”

  • “Vendor น่าจะยังเข้าได้อยู่”

  • “พนักงานลาออกแล้ว แต่ยังไม่ปิดสิทธิ์”

นี่คือสาเหตุอันดับต้น ๆ ของ Data Leakage, Ransomware, BEC และ Fraud ภายในองค์กร

Access Control & Identity Management (IAM)
จึงกลายเป็น 1 ในงาน System Security ที่องค์กรมองข้ามมากที่สุด
ทั้งที่จริงควรเป็น “ด่านแรก” ในการป้องกันระบบทั้งหมด

🔹 ทำไม IAM ถึงสำคัญที่สุด แต่กลับถูกละเลย?

✔ 1) ระบบเยอะขึ้น แต่ไม่มีระบบกลางกำกับ

Cloud + SaaS + ระบบภายใน + ระบบ Vendor
→ User กระจายหลายที่
→ Password ซ้ำหลายระบบ
→ สิทธิ์ไม่สัมพันธ์กัน

✔ 2) ไม่มีคนเป็นเจ้าของ Identity

Support ดูบ้าง
System ดูบ้าง
HR แจ้งลาออกบ้าง ไม่แจ้งบ้าง
สุดท้าย ไม่มีใครดูแลวงจรชีวิตของบัญชีผู้ใช้จริงจัง

✔ 3) เข้าใจผิดว่า “ใช้ Cloud แล้วปลอดภัยเอง”

Azure AD / Google IAM มีฟีเจอร์ดีมาก
แต่ ต้องเปิดเอง และต้องตั้งนโยบายเอง

ค่าเริ่มต้นของระบบ Cloud ไม่ได้ปลอดภัยเสมอไป

✔ 4) ผู้บริหารไม่เห็น “ความเสี่ยงเฉียบพลัน”

ปัญหาจาก IAM ไม่ได้แสดงทันที
แต่จะ “ระเบิด” ตอนมี Incident ใหญ่
เช่น บัญชีผู้บริหารโดนยึดเพราะใช้รหัสผ่านเดิม 5 ปี

🔹 ปัญหาที่เจอในองค์กรไทยจริง (หลังกู้ระบบ/ทำ Incident Response)

❌ พนักงานลาออกไปแล้ว แต่ยังเข้าระบบ ERP / Email / VPN ได้

เกิดขึ้นบ่อยที่สุด และเสี่ยงที่สุด

❌ Service Account มีสิทธิ์เป็น Admin แต่ไม่มีใครรู้ว่าเป็นของระบบไหน

และไม่มี MFA

❌ Vendor มีสิทธิ์เข้า Production ตลอดปี

เจอบ่อยในระบบ POS, ERP, Hosting, Network

❌ ไม่มีการทบทวนสิทธิ์ (Access Review)

สิทธิ์ที่สูงเกินไปถูกปล่อยทิ้งไว้หลายปี

🔹 องค์ประกอบของ IAM ที่ต้องมีก่อนจะเรียกว่าปลอดภัย

1) Authentication – ยืนยันตัวตนอย่างแข็งแรง

  • บังคับเปิด MFA ทุกระบบที่รองรับ

  • Password policy ชัดเจน

  • Impossible travel

  • Conditional access (ล็อกอินเฉพาะไทย)

2) Authorization – สิทธิ์ที่เหมาะสม

  • RBAC (Role-Based Access Control)

  • Least privilege

  • ห้ามใช้สิทธิ์ Admin ในงานประจำ

  • แยก Dev / Test / Prod ให้ชัดเจน

3) Account Lifecycle – จัดการวงจรชีวิตผู้ใช้อย่างเป็นระบบ

  • Joiner: สร้างบัญชีตามบทบาท

  • Mover: เปลี่ยนสิทธิ์เมื่อย้ายตำแหน่ง

  • Leaver: ปิดบัญชีทันทีเมื่อออกจากงาน

กระบวนการนี้ควรเชื่อมกับ HR เพื่อไม่ตกหล่น

4) Identity Governance – ตรวจสอบสิทธิ์เป็นรอบ ๆ

  • Access review รายไตรมาส

  • Owner ของแต่ละระบบยืนยันสิทธิ์

  • บัญชีที่ไม่เคยใช้งานต้อง disable

5) Service Account Security – จุดอ่อนที่หลายองค์กรไม่รู้

  • ห้ามใช้รหัสผ่านร่วมกัน

  • ห้ามใช้ login แบบ interactive

  • กำหนด owner ของบัญชี

  • หมุนรหัสเป็นรอบ

🔹 วิธีเริ่มต้น IAM แบบง่ายที่สุด สำหรับ SME

✔ 1) เปิด MFA ทุกบัญชี (สำคัญที่สุด)

ลดโอกาสโดนยึดบัญชีได้มากกว่า 90%

✔ 2) ลิสต์ระบบทั้งหมด + เจ้าของระบบ

เพื่อรู้ว่าใครต้องอนุมัติสิทธิ์ของใคร

✔ 3) ทำ Access Matrix แบบง่าย ๆ

กำหนดว่าแต่ละตำแหน่งควรมีสิทธิ์อะไร

✔ 4) ปิดบัญชีพนักงานลาออกให้เร็วที่สุด

ควรเชื่อมกับ HR หรือมี Checklist ที่บังคับใช้ได้จริง

✔ 5) รวมระบบ Login ไปยังศูนย์กลาง (SSO)

Azure AD / Google Workspace ช่วยลด Shadow IT ได้มาก

🔹 สรุป EP4

IAM ไม่ใช่งานไอทีเล็ก ๆ
แต่เป็น แกนกลาง ของความปลอดภัยทั้งหมด

“คุณป้องกันระบบไม่ได้ทุกอย่าง
แต่คุณควบคุมได้ว่าใครเข้าถึงมันได้”

EP4 จึงเป็นตอนสำคัญที่สุดตอนหนึ่งของซีรีส์
เพราะเป็นพื้นฐานของ Zero Trust และ Security Framework ทั้งหมด