【特権ID管理】広がる適用範囲、新たな課題
IT基盤の変化と特権IDの課題
ハイブリッドクラウドの普及、自動化の波
|
|
従来、組織のIT基盤はオンプレミス型が主流でした。 |
このようにセキュリティ対策の範囲がますます広がる中、最も重要な課題の1つが、多様化する環境に分散し、増え続ける「特権ID」の管理です。
新たな課題、迫られる多様化への対応
|
「root」や「Administrator」といった特権IDは、非常に高い権限を持ちます。そのため、故意、不注意に関わらず、不正利用されることでシステムへのダメージが大きくなります。 |
|
<特権IDに関する課題> ※アシスト調査
| 監査対応 | 1 | 特権IDの利用状況が把握できない | 内部不正アクセス | 9 | 共通ID利用時に犯人特定できない |
| 2 | 不正なIDが残ったままになっている | 10 | 不正行為の操作内容が分からない | ||
| 3 | 不要なログインを把握できない | 11 | 重要サーバへアクセスできてしまう | ||
| 4 | 不要な権限が付与されてもわからない | 12 | 不正があったことに気付けない | ||
| 5 | 操作内容が把握できていない | 13 | 不正発覚後の詳細調査ができない | ||
| 6 | パスワードが定期変更されていない | 14 | パスワードが周知され自由にログインされる | ||
| 7 | 共通IDの利用者が特定できない | 15 | 存在すべきでない不正IDが利用される | ||
| 8 | 過去の情報を参照できない | 16 | ユーザに権限を与え過ぎている | ||
| 標的型攻撃 | 17 | サーバに直接アクセスされる | 環境・ニーズ変化 | 25 | 仮想環境、IoT機器、クラウド環境の特権IDに対する管理ができない |
| 18 | 操作内容を改ざんされる | ||||
| 19 | 攻撃があったことに気付けない | 26 | 自動化を推進するにあたって、プログラム内のパスワード参照リスクが拡大 | ||
| 20 | 申請がないのにログインされてしまう | ||||
| 21 | キャッシュしたパスワードを利用される | 27 | 自宅や社外から接続できるようになり、アクセス制御の重要性が増している | ||
| 22 | マルウェアに不正IDを作成される | ||||
| 23 | マルウェア感染が拡大してしまう | 28 | 集中管理を行うため、アクセスできる人の厳密な本人確認が必要とされる | ||
| 24 | 機密情報へアクセスされる |
特権ID管理から特権アクセス管理へ
|
このように、環境・ニーズ変化による新たな課題に対応するためには、幅広い環境に対応し、なるべく機能が豊富であり、それが目的に応じて選択できなければなりません。 |
|
アシストでは数あるソフトウェアから、従来の特権ID管理では解決できなかった課題も含めた新しいソリューションを選定しました。これを従来の特権ID管理を拡張した特権アクセス管理ソリューションと呼び、以下に挙げた特権IDに関する課題すべてに対し有効な解決策を提供します。
<特権IDに関する課題 >(リンク先:特権アクセス管理ソリューションによる解決方法)
| 監査対応 | 1 | 特権IDの利用状況が把握できない | 内部不正アクセス | 9 | 共通ID利用時に犯人特定できない |
| 2 | 不正なIDが残ったままになっている | 10 | 不正行為の操作内容が分からない | ||
| 3 | 不要なログインを把握できない | 11 | 重要サーバへアクセスできてしまう | ||
| 4 | 不要な権限が付与されてもわからない | 12 | 不正があったことに気付けない | ||
| 5 | 操作内容が把握できていない | 13 | 不正発覚後の詳細調査ができない | ||
| 6 | パスワードが定期変更されていない | 14 | パスワードが周知され自由にログインされる | ||
| 7 | 共通IDの利用者が特定できない | 15 | 存在すべきでない不正IDが利用される | ||
| 8 | 過去の情報を参照できない | 16 | ユーザに権限を与え過ぎている | ||
| 標的型攻撃 | 17 | サーバに直接アクセスされる | 環境・ニーズ変化 | 25 | 仮想環境、IoT機器、クラウド環境の特権IDに対する管理ができない |
| 18 | 操作内容を改ざんされる | ||||
| 19 | 攻撃があったことに気付けない | 26 | 自動化を推進するにあたって、プログラム内のパスワード参照リスクが拡大 | ||
| 20 | 申請がないのにログインされてしまう | ||||
| 21 | キャッシュしたパスワードを利用される | 27 | 自宅や社外から接続できるようになり、アクセス制御の重要性が増している | ||
| 22 | マルウェアに不正IDを作成される | ||||
| 23 | マルウェア感染が拡大してしまう | 28 | 集中管理を行うため、アクセスできる人の厳密な本人確認が必要とされる | ||
| 24 | 機密情報へアクセスされる |
4つの解決策と特権アクセス管理のメリット
1.認証情報の一元管理とワークフロー
特権アクセス管理の強固な基盤
以下5つの対策で、あらゆるデバイスに存在する特権IDの認証情報を一元管理するとともに、ワークフローによるログイン強化を実装します。
|
|
1-1:人による不正行為、マルウェアによる特権ID窃取への対策
特権IDのパスワード管理をワークフローによる申請/承認でワンタイムかつ自動化し、パスワードを隠ぺいした状態で自動ログインすることで、特権IDによる不正ログインのリスクを排除します。
(解決できる課題)
| 監査対応 | 1 | 特権IDの利用状況が把握できない |
| 6 | パスワードが定期変更されていない | |
| 7 | 共通IDの利用者が特定できない | |
| 内部不正アクセス | 9 | 共通ID利用時に犯人特定できない |
| 14 | パスワードが周知され自由にログインされる | |
| 標的型攻撃 | 20 | 申請がないのにログインされてしまう |
| 21 | キャッシュしたパスワードを利用される |
1-2:利用者の不正抑止
各業務サーバへのアクセス経路を1本化し、誰が見てもわかりやすい動画ログ機能により、特権IDの操作内容を記録します。
(解決できる課題)
| 監査対応 | 5 | 操作内容が把握できていない |
| 内部不正アクセス | 10 | 不正行為の操作内容が分からない |
| 13 | 不正発覚後の詳細調査ができない | |
| 標的型攻撃 | 17 | サーバに直接アクセスされる |
1-3:プログラム内の埋め込みパスワードリスクに対処
(解決できる課題)
| 環境・ニーズ変化 | 26 | 自動化を推進するにあたって、プログラム内のパスワード参照リスクが拡大 |
業務自動化処理のために作成されたプログラムに埋め込まれていたパスワードを隠ぺいします。
1-4:仮想環境、クラウド、IoT機器などの管理
仮想OSだけでなく、クラウドの管理コンソール、IoT機器などIPアドレスを持つあらゆるデバイスの特権IDを一元管理します。
(解決できる課題)
| 環境・ニーズ変化 | 25 | 仮想環境、IoT機器、クラウド環境の特権IDに対する管理ができない |
1-5:不正IDの早期発見
ID自動検知機能で、特権IDのアカウントを定期的に収集し、不正・不要なIDの存在を発見します。
(解決できる課題)
| 監査対応 | 2 | 不正なIDが残ったままになっている |
| 内部不正アクセス | 15 | 存在すべきでない不正IDが利用される |
| 16 | ユーザに権限を与え過ぎている | |
| 標的型攻撃 | 22 | マルウェアに不正IDを作成される |
2.サーバログイン後のアクセス制御
情報漏洩を未然に防止する強力な保護基盤を構築
エージェントを導入することで、 OSでは満たせない特権アカウント単位での細かなサーバのアクセス制御、通信制御による制限、および全ての操作に関して改ざんできないログを取得します。
root,Administratorに対しても制御を行うことで、監査対応、内部不正アクセス、標的型攻撃、環境・ニーズ変化で起こる様々な課題に対応することができます。
|
|
(解決できる課題)
| 監査対応 | 4 | 不要な権限が付与されてもわからない |
| 5 | 操作内容が把握できていない | |
| 内部不正アクセス | 10 | 不正行為の操作内容が分からない |
| 11 | 重要サーバへアクセスできてしまう | |
| 16 | ユーザに権限を与え過ぎている | |
| 標的型攻撃 | 18 | 申請がないのにログインされてしまう |
| 23 | マルウェア感染が拡大してしまう | |
| 24 | 機密情報へアクセスされる | |
| 環境・ニーズ変化 | 27 | 自宅や社外から接続できるようになり、アクセス制御の重要性が増している |
3.不正ログインのリアルタイム検知
インシデント対応、監査対応を効率化
各種サーバからのOSのログイン/ログアウトのログを収集し、不正ログインを検知してリアルタイムに管理者に通知します(※)。またログ管理サーバにて保管したログイン/ログアウト/OS操作ログは、改ざんできないログとして長期保管し、いつでも調査・分析ができるようにします。
不正ログインのレポートを作成すれば、インシデント対応や監査対応の効率化にもつながります。
|
|
-
※不正ログイン検知は、仮想環境のログインに対しては検知ができません。また、リアルタイム検知の可否は、ログインログを収集する環境に依存しますので、あらかじめご了承ください。
(解決できる課題)
|
監査対応
|
3 | 不要なログインを把握できない |
| 8 | 過去の情報を参照できない | |
| 内部不正アクセス | 12 | 不正があったことに気付けない |
| 標的型攻撃 | 19 | 攻撃があったことに気付けない |
4.多要素認証、二経路認証
厳格な本人認証を実現
多要素認証、二経路認証で認証強化を行うことで、特権アクセス管理サーバにログインするユーザのなりすましを防止することができます。
認証経路を二経路とする、パスコード+指紋認証などの二要素とするなど、厳格な本人確認を可能にします。
|
|
(解決できる課題)
| 環境・ニーズ変化 | 28 | 集中管理を行うため、アクセスできる人の厳密な本人確認が必要とされる |
「仮想セキュリティルーム」として利用可能
|
|
以上のように、特権アクセス管理を実装することで、特権IDを厳格に管理でき、不正アクセスや情報漏洩の可能性を最小化し、監査にも有効な証跡を取得できます。これにより物理的なセキュリティルームを用意しなくても、監視カメラや入退出管理をしっかりと備えたセキュリティルームのように、サーバデータの持ち出しを厳格に防止します。 |
◎価格、構成を知りたい方へ
|
|---|
-
お問い合わせ内容をご入力ください。
折り返し担当者よりご連絡を差し上げます。
セキュリティに関するその他の課題
- CA Privileged Identity Manager移行を検討されている方へ
- 自治体情報セキュリティポリシーの新ガイドライン(令和3年版)のポイント
- 最適なタイプを自己診断!テレワークセキュリティ対策の3つの解決策
- リモート業務の急拡大で見直したいセキュリティ対策
- ハイブリッドクラウド環境もカバーできる、認証・ID管理の解決策
- 【ID管理】不要、不適切なIDの棚卸は、自動化で工数削減
- 【特権ID管理】不正利用につながる24の要因と5つの対策
- 【マルウェア対策】ゲートウェイで防御不能な3つの侵入ケース
- DX(デジタルトランスフォーメーション)推進を阻むセキュリティ課題と対策の全体像
- 【情報漏洩対策】USB、CDだけじゃない!Bluetooth、テザリング…社員の「スマホ」が企業の情報漏洩の原因になる3つの盲点
- 【ログ活用】AWSのログが活用できない!?AWSの運用担当が抱える5つの問題
- 仮想ブラウザによるインターネット・Web分離とファイル無害化
- 【標的型(サイバー)攻撃】対策のポイント
- 情報漏洩対策の全体像
- 【情報漏洩対策】企業におけるマイナンバーの取り扱い:特定個人情報を守るには
- 【情報漏洩対策】ファイルサーバの情報漏洩対策 2つの方法
- PCI DSSへの対応
- 【情報漏洩対策】ネットワーク分離環境のデータ保護対策
- 【情報漏洩対策】社外ネットワーク接続による情報持ち出しリスク
- 【情報漏洩対策】Wi-Fiテザリングによる情報持ち出しリスク
- 【情報漏洩対策】USBメモリ等による情報持ち出しリスク
- 【ID管理】不要なアカウントの確実な削除による不正アクセス防止
- 【ID管理】Active DirectoryのID管理対策
- 【ID管理】アカウント変更履歴を取得
- 【ID管理】アカウント利用時におけるワークフローの仕組みを改善
- シングルサインオン(SSO)の選び方と仕組みの解説
- 【ID管理】ID情報の収集作業の自動化
- 【ID管理】ID情報の突き合せ作業の自動化
- 【ログ活用】標的型攻撃対策に不可欠なログ分析
- 【ログ活用】個人情報保護対策のためのログ分析
- 【ログ活用】ログ監査、ログモニタリングの効率化
