TOP>企業情報>コラム>技術情報>その特権ID管理は本当にセキュアと言えるか~特権ID管理から特権アクセス管理へのシフトチェンジ~

その特権ID管理は本当にセキュアと言えるか~特権ID管理から特権アクセス管理へのシフトチェンジ~

その特権ID管理は本当にセキュアと言えるか~特権ID管理から特権アクセス管理へのシフトチェンジ~



「特権ID」は、企業システムの設定を変えたりデータを修正できる高い権限を有する特別なIDです。そのため、悪用されるとシステムが使えなくなったり情報漏えいで信頼が失墜するなど、企業に大きな打撃と損失を与えます。今回は特権ID管理の重要性とそれを簡単に管理できる「特権ID管理製品」のご紹介に加え、海外では既に主流となっており今後日本でも広がっていくであろう「特権アクセス管理」という概念、それを実現する製品についてもご紹介します。

特権ID管理の必要性


特権IDとは、OSやデータベースなどにおいて高権限の特殊な操作が行えるシステムアカウントです。イメージしやすいものとしては、WindowsであればAdministrator、LinuxやUNIXであればrootユーザーであり、これらのIDに準ずる権限を有する特別なIDを指します。

特権IDは高権限であるが故に、マルウェアや内部不正の標的となります。悪意ある外部からの攻撃は手口が年々巧妙化しており、最近では、Active Directoryの脆弱性を狙ってドメイン管理者を標的とし悪用するケース(ゴールデンチケットなど)が増えています。社内で重要なデータにアクセスできるのは社員に限らず、開発や運用を担う協力会社の方、委託先の方々なども含まれます。万一、特権IDが悪用されてしまうと、システムの破壊やデータ改ざん、情報漏えいなどの様々な被害をもたらし、企業の信頼失墜や賠償責任など大きな問題に発展することもあります。そのため、サーバセキュリティにおいては、特権IDを厳格に管理することが重要なポイントになっているだけでなく、法令順守や監査指摘への対応、内部不正/標的型攻撃から重要データを守る目的でも、企業にとって必要な考え方として定着しつつあります。

特権IDをいかに管理するか


特権IDは、IT全般統制、個人情報保護法などの法令では管理すべき対象として記載されており、経済産業省の情報セキュリティ管理基準、PCI DSSなどのガイドラインには、具体的な管理基準などが記載されています。以下に、セキュリティガイドラインなどに記載されている特権IDの管理手法をまとめました。

  • 特権IDの権限を制限する
  • 申請/承認による認可処理を行う
  • 利用者を識別できるようにする
  • パスワードを定期的に変更する
  • 作業内容を記録し保管する
  • 権限、不正、証跡などを定期的に確認する


しかし、これらを実運用に当てはめようとすると、管理負荷が増大し、運用に耐えられなくなることから、「特権ID管理製品」を導入して対応するケースが増えています。特権ID管理製品の主な機能は、次に示すように、(1)申請・承認管理、(2)パスワード管理、(3)ログ管理を軸に考えられており、特権ID管理をシンプルに管理しやすくするだけでなく、ワークフローを利用してサーバへのログイン制御を行っているため、万一情報漏えいなどが発生した場合には、誰が不正行為を行ったのかを後から発見できるようになっています。

(1)申請・承認管理
特権IDであればいつでもシステムにログインできる環境を排除し、申請・承認ワークフローを経由して初めてシステム利用できる仕組みを構築する。それにより、不正アクセスを防ぎ、作業者を特定する。

(2)パスワード管理
特権IDのパスワードを厳格に管理する。システムの利用時にのみワンタイム化されたパスワードを付与することで、パスワードが漏えいしても利用できない状態とする。あるいは、利用者にパスワードを開示せずシステムに自動ログインできる機能を提供する。

(3)ログ管理
いつ、誰が、どの特権IDを利用し、どのような操作を行ったかを確実にログに残し、後から確認可能な状態にする。

このような機能を持つ特権ID管理製品の代表的なものとしてiDoperation(NTTテクノクロス社)、Access Check(NRIセキュアテクノロジーズ社)、Password Manager Pro(ゾーホージャパン社)などがあります。

従来の特権ID管理製品の課題とシステム多様化に伴い発生する新たなリスク


特権ID管理製品を導入することによって、工数のかかる管理がシンプルになるという大きなメリットはあるのですが、従来の特権ID管理製品では以下のような課題になかなか追従できませんでした。

  • サーバログイン後のアクセス制御
    承認ベースで許可されていれば、あらゆる操作が行えてしまう。
  • 特権IDへの昇格規制
    suコマンドなどで別ユーザーに成り代わりされてしまう。
  • プログラム内のパスワード管理
    プログラムやスクリプト埋め込み型のパスワードを管理できない。
  • 不正ログインに気付けない
    万一、不正な手段でログインされた場合に、不正に気付くまでに時間がかかってしまう。


また、上記に加え、技術の進歩によって生じた新たなリスクや問題点への対応も必要となってきました。ここ十数年の間で定着しつつある技術としては、仮想化、クラウド、IoT、AI 、RPA(Robotic Process Automation)/RBA(Run Book Automation)などが挙げられますが、システム環境の多様化によって、従来とは異なるコントロールポイントが増加しています。ここでは、特権ID管理に関し考慮しなければならない新たな問題点、リスクについて説明します。

図1:特権IDを取り巻く環境変化


1.仮想環境/プライベートクラウド


仮想環境やプライベートクラウドは、ハイパーバイザや仮想OSを管理するための管理者(特権ID)に多大な管理権限が与えられているケースが多く、仮想環境の各種リソース、仮想ネットワークやストレージなど様々な設定を変更できます。

そのため、この仮想環境の特権IDを厳格に管理し、かつ操作内容をロギングしておく必要があります。

ハイパーバイザ側で管理者の職務分掌を明確にする機能が存在する場合もありますが、管理が煩雑となり、実際には全権限を与えてしまっているケースもよく耳にしますし、専用のGUIを利用した操作内容のログが保存されないケースや容易に改ざんできてしまうなどの問題があるのが現状です。

2.パブリッククラウド(IaaS/PaaS/SaaS)


IaaSの構造は、プライベートクラウドと似通ったものになります。したがって、考慮すべきリスクも同様です。

PaaS/SaaSはWebアプリケーションのGUIを経由した管理構造となっており、管理者といえども利用できる範囲はアプリケーション層やミドルウェアに限られます。ただし、それらアプリケーションやミドルウェアの設定や権限定義、ユーザー管理などの機能は備わっているので、これらを悪用されるリスクは残ります。したがって、WebGUIを経由したPaaS/SaaSの特権IDも適切に管理すべき対象となります。

PaaS/SaaSサービス側で管理アカウントの職務分掌を行えるサービスもありますが、各企業の管理基準に合ったサービスを見い出すことは困難であり、管理操作をロギングできるようなサービスも少ないのが現実です。

3.RPA/RBA


RPAやRBA技術によって業務プロセスの自動化を進める企業が増えています。

RPA導入時に課題となるものとして、ロボットが各種システムにアクセスして作業を実施するために利用するIDの管理が挙げられます。比較的高権限を持つアカウントとなり、人に紐付くものでもないため、パスワードの管理などにリスクが伴います。RPAツールによっては、システムアクセス用のスクリプトを起動して接続するタイプもあり、スクリプト内に存在するID/パスワード情報を盗用されるリスクが存在します。

4.IoT/AI


IoTやAI技術は発展途上の技術ですが、ニュースで度々騒がれるのが「IDDoS」攻撃です。インターネット上に多数存在するルーターやWebカメラ、デジタルビデオレコーダーといったIoT機器を踏み台にして、攻撃対象のWebサイトなどに大量のパケットを送信し、サービスを提供できないようにするDDoS攻撃を指しています。この攻撃はパスワードが平文でパケット送信されるTelnetの脆弱性を突いたものといわれており、パスワード管理のリスクが存在することを示唆しています。


このように、従来の特権ID管理製品では実現できていない機能や、環境やニーズの変化によって対応すべき対象範囲が拡大しており、特権ID管理についてもこれらに対する機能拡張が求められるようになってきました。

特権ID管理から特権アクセス管理へ


まず、情報漏えいなどが発生した場合に、従来の特権ID管理製品では、誰が不正行為を行ったのかを後から発見できるようになっていますが、本来のあるべき姿としては、未然に防ぐことが重要です。そのためには、特権IDを利用してサーバにログインした後のアクセスを制御したり、他の特権IDへの成り代わりや昇格を規制するアクセス制御が必要になります。また、不正にログインされた場合にリアルタイムで検知する仕組みも望まれます。これらの課題をクリアするには、従来型の特権ID管理の基本である「発見的統制」から情報漏えいを未然に防ぐ「予防的統制」へのシフトが必要です。この考え方が「特権アクセス管理」と呼ばれる概念です。

特権アクセス管理は、新たなテクノロジーとして、IT運用の自動化に対応する「埋め込みパスワード管理機能」をはじめ、対象システムに存在するアカウントを自動検出する「アカウント自動検出機能」、さらにはサーバログイン後に実行できるコマンドを制御したり、特権昇格を制御するアクセス制御の仕組みを考慮に入れた考え方です。

図2:特権ID管理と特権アクセス管理のカバー範囲


この特権アクセス管理製品の代表的なものとして、CA Privileged Access Manager(CA Technologies社)、CyberArk(CyberArk社)などがあります。CA Privileged Access Managerでは、特権ID管理の基本機能に加え、「特権IDへの昇格規制」、「プログラム内のパスワード管理」、「アカウント自動検出」などの機能を持っており、従来の特権ID管理製品の課題に対しても対応できるようになっています。管理対象の特権IDもサーバやデータベースだけではなく、「AWS」や「Office365」といったクラウドサービス、ネットワーク機器など様々な特権IDに対して管理を行うことが可能です。

「特権アクセス管理」は、既に海外では主要な考え方になっており、今後は日本でも浸透していくと考えられます。我々を取り巻く環境は今後も変化、発展していくことでしょう。特権IDの管理もその時代に合った最適な手法を用いることが重要です。

執筆者紹介

笹沼 武士

笹沼 武士(Takeshi Sasanuma)

株式会社アシスト 東日本技術本部

セキュリティ分野、特にIAM(Identity and Access Management)関連ソフトウェアのプリセールス、設計、構築、サポートなどに従事。ここ数年は、特権ID管理の提案に力を入れた活動を行っている。

6歳と0歳の息子の成長を生きがいに、家庭でも(家庭では?)高パフォーマンスを発揮する日々。

※本稿は弊社が信頼できると判断した情報源に基づいて執筆していますが、その情報の正確性、完全性を保証する
 ものではありません。また本稿に記載された、弊社意見、予測などは本稿作成時点における弊社の判断であり
 今後予告なく変更されることがあります。

※記載した製品名および社名は、各社の商標または登録商標です。


関連製品/サービス


Facebookで情報をお届けしています

Facebookでは、アシストの「今」をお届けしています。「めげない、逃げない、あまり儲けない」を合言葉に日々頑張っておりますので、応援よろしくお願いします。



ページの先頭へ戻る