【特権ID管理】広がる適用範囲、新たな課題
IT基盤の変化と特権IDの課題
ハイブリッドクラウドの普及、自動化の波
|
従来、組織のIT基盤はオンプレミス型が主流でした。 |
このようにセキュリティ対策の範囲がますます広がる中、最も重要な課題の1つが、多様化する環境に分散し、増え続ける「特権ID」の管理です。
新たな課題、迫られる多様化への対応
「root」や「Administrator」といった特権IDは、非常に高い権限を持ちます。そのため、故意、不注意に関わらず、不正利用されることでシステムへのダメージが大きくなります。 |
|
<特権IDに関する課題> ※アシスト調査
監査対応 | 1 | 特権IDの利用状況が把握できない | 内部不正アクセス | 9 | 共通ID利用時に犯人特定できない |
2 | 不正なIDが残ったままになっている | 10 | 不正行為の操作内容が分からない | ||
3 | 不要なログインを把握できない | 11 | 重要サーバへアクセスできてしまう | ||
4 | 不要な権限が付与されてもわからない | 12 | 不正があったことに気付けない | ||
5 | 操作内容が把握できていない | 13 | 不正発覚後の詳細調査ができない | ||
6 | パスワードが定期変更されていない | 14 | パスワードが周知され自由にログインされる | ||
7 | 共通IDの利用者が特定できない | 15 | 存在すべきでない不正IDが利用される | ||
8 | 過去の情報を参照できない | 16 | ユーザに権限を与え過ぎている | ||
標的型攻撃 | 17 | サーバに直接アクセスされる | 環境・ニーズ変化 | 25 | 仮想環境、IoT機器、クラウド環境の特権IDに対する管理ができない |
18 | 操作内容を改ざんされる | ||||
19 | 攻撃があったことに気付けない | 26 | 自動化を推進するにあたって、プログラム内のパスワード参照リスクが拡大 | ||
20 | 申請がないのにログインされてしまう | ||||
21 | キャッシュしたパスワードを利用される | 27 | 自宅や社外から接続できるようになり、アクセス制御の重要性が増している | ||
22 | マルウェアに不正IDを作成される | ||||
23 | マルウェア感染が拡大してしまう | 28 | 集中管理を行うため、アクセスできる人の厳密な本人確認が必要とされる | ||
24 | 機密情報へアクセスされる |
特権ID管理から特権アクセス管理へ
このように、環境・ニーズ変化による新たな課題に対応するためには、幅広い環境に対応し、なるべく機能が豊富であり、それが目的に応じて選択できなければなりません。 |
|
アシストでは数あるソフトウェアから、従来の特権ID管理では解決できなかった課題も含めた新しいソリューションを選定しました。これを従来の特権ID管理を拡張した特権アクセス管理ソリューションと呼び、以下に挙げた特権IDに関する課題すべてに対し有効な解決策を提供します。
<特権IDに関する課題 >(リンク先:特権アクセス管理ソリューションによる解決方法)
監査対応 | 1 | 特権IDの利用状況が把握できない | 内部不正アクセス | 9 | 共通ID利用時に犯人特定できない |
2 | 不正なIDが残ったままになっている | 10 | 不正行為の操作内容が分からない | ||
3 | 不要なログインを把握できない | 11 | 重要サーバへアクセスできてしまう | ||
4 | 不要な権限が付与されてもわからない | 12 | 不正があったことに気付けない | ||
5 | 操作内容が把握できていない | 13 | 不正発覚後の詳細調査ができない | ||
6 | パスワードが定期変更されていない | 14 | パスワードが周知され自由にログインされる | ||
7 | 共通IDの利用者が特定できない | 15 | 存在すべきでない不正IDが利用される | ||
8 | 過去の情報を参照できない | 16 | ユーザに権限を与え過ぎている | ||
標的型攻撃 | 17 | サーバに直接アクセスされる | 環境・ニーズ変化 | 25 | 仮想環境、IoT機器、クラウド環境の特権IDに対する管理ができない |
18 | 操作内容を改ざんされる | ||||
19 | 攻撃があったことに気付けない | 26 | 自動化を推進するにあたって、プログラム内のパスワード参照リスクが拡大 | ||
20 | 申請がないのにログインされてしまう | ||||
21 | キャッシュしたパスワードを利用される | 27 | 自宅や社外から接続できるようになり、アクセス制御の重要性が増している | ||
22 | マルウェアに不正IDを作成される | ||||
23 | マルウェア感染が拡大してしまう | 28 | 集中管理を行うため、アクセスできる人の厳密な本人確認が必要とされる | ||
24 | 機密情報へアクセスされる |
4つの解決策と特権アクセス管理のメリット
1.認証情報の一元管理とワークフロー
特権アクセス管理の強固な基盤
以下5つの対策で、あらゆるデバイスに存在する特権IDの認証情報を一元管理するとともに、ワークフローによるログイン強化を実装します。
|
1-1:人による不正行為、マルウェアによる特権ID窃取への対策
特権IDのパスワード管理をワークフローによる申請/承認でワンタイムかつ自動化し、パスワードを隠ぺいした状態で自動ログインすることで、特権IDによる不正ログインのリスクを排除します。
(解決できる課題)
監査対応 | 1 | 特権IDの利用状況が把握できない |
6 | パスワードが定期変更されていない | |
7 | 共通IDの利用者が特定できない | |
内部不正アクセス | 9 | 共通ID利用時に犯人特定できない |
14 | パスワードが周知され自由にログインされる | |
標的型攻撃 | 20 | 申請がないのにログインされてしまう |
21 | キャッシュしたパスワードを利用される |
1-2:利用者の不正抑止
各業務サーバへのアクセス経路を1本化し、誰が見てもわかりやすい動画ログ機能により、特権IDの操作内容を記録します。
(解決できる課題)
監査対応 | 5 | 操作内容が把握できていない |
内部不正アクセス | 10 | 不正行為の操作内容が分からない |
13 | 不正発覚後の詳細調査ができない | |
標的型攻撃 | 17 | サーバに直接アクセスされる |
1-3:プログラム内の埋め込みパスワードリスクに対処
(解決できる課題)
環境・ニーズ変化 | 26 | 自動化を推進するにあたって、プログラム内のパスワード参照リスクが拡大 |
業務自動化処理のために作成されたプログラムに埋め込まれていたパスワードを隠ぺいします。
1-4:仮想環境、クラウド、IoT機器などの管理
仮想OSだけでなく、クラウドの管理コンソール、IoT機器などIPアドレスを持つあらゆるデバイスの特権IDを一元管理します。
(解決できる課題)
環境・ニーズ変化 | 25 | 仮想環境、IoT機器、クラウド環境の特権IDに対する管理ができない |
1-5:不正IDの早期発見
ID自動検知機能で、特権IDのアカウントを定期的に収集し、不正・不要なIDの存在を発見します。
(解決できる課題)
監査対応 | 2 | 不正なIDが残ったままになっている |
内部不正アクセス | 15 | 存在すべきでない不正IDが利用される |
16 | ユーザに権限を与え過ぎている | |
標的型攻撃 | 22 | マルウェアに不正IDを作成される |
2.サーバログイン後のアクセス制御
情報漏洩を未然に防止する強力な保護基盤を構築
エージェントを導入することで、 OSでは満たせない特権アカウント単位での細かなサーバのアクセス制御、通信制御による制限、および全ての操作に関して改ざんできないログを取得します。
root,Administratorに対しても制御を行うことで、監査対応、内部不正アクセス、標的型攻撃、環境・ニーズ変化で起こる様々な課題に対応することができます。
|
(解決できる課題)
監査対応 | 4 | 不要な権限が付与されてもわからない |
5 | 操作内容が把握できていない | |
内部不正アクセス | 10 | 不正行為の操作内容が分からない |
11 | 重要サーバへアクセスできてしまう | |
16 | ユーザに権限を与え過ぎている | |
標的型攻撃 | 18 | 申請がないのにログインされてしまう |
23 | マルウェア感染が拡大してしまう | |
24 | 機密情報へアクセスされる | |
環境・ニーズ変化 | 27 | 自宅や社外から接続できるようになり、アクセス制御の重要性が増している |
3.不正ログインのリアルタイム検知
インシデント対応、監査対応を効率化
各種サーバからのOSのログイン/ログアウトのログを収集し、不正ログインを検知してリアルタイムに管理者に通知します(※)。またログ管理サーバにて保管したログイン/ログアウト/OS操作ログは、改ざんできないログとして長期保管し、いつでも調査・分析ができるようにします。
不正ログインのレポートを作成すれば、インシデント対応や監査対応の効率化にもつながります。
|
-
※不正ログイン検知は、仮想環境のログインに対しては検知ができません。また、リアルタイム検知の可否は、ログインログを収集する環境に依存しますので、あらかじめご了承ください。
(解決できる課題)
監査対応
|
3 | 不要なログインを把握できない |
8 | 過去の情報を参照できない | |
内部不正アクセス | 12 | 不正があったことに気付けない |
標的型攻撃 | 19 | 攻撃があったことに気付けない |
4.多要素認証、二経路認証
厳格な本人認証を実現
多要素認証、二経路認証で認証強化を行うことで、特権アクセス管理サーバにログインするユーザのなりすましを防止することができます。
認証経路を二経路とする、パスコード+指紋認証などの二要素とするなど、厳格な本人確認を可能にします。
|
(解決できる課題)
環境・ニーズ変化 | 28 | 集中管理を行うため、アクセスできる人の厳密な本人確認が必要とされる |
(まとめ)特権アクセス管理のメリット、詳しい資料のダウンロードとお問い合わせ
「仮想セキュリティルーム」として利用可能
|
以上、特権アクセス管理ソリューションをご紹介しました。 |
なお、この記事ではご覧いただけていない特権アクセス管理の全体像がわかるシステム構成図を、以下から無料でダウンロードいただけますので、ぜひご利用ください。
- ※登録済みの方は以下からログイン、新規の方はお客様情報のご登録のみお願いします。
◎特権アクセス管理ソリューション システム構成図をダウンロードする
セキュリティに関するその他の課題
- IDが増えても困らない!強い認証基盤を作る4つの方法
- 【ID管理】不要、不適切なIDの棚卸は、自動化で工数削減
- 【特権ID管理】不正利用につながる24の要因と5つの対策
- 【マルウェア対策】ゲートウェイで防御不能な3つの侵入ケース
- 【情報漏洩対策】企業の情報漏洩はUSB、CDだけじゃない!社員の「スマホ」が情報漏洩の原因になる、見落としがちな3つの盲点
- 【ログ活用】AWSのログが活用できない!?AWSの運用担当が抱える5つの問題
- セキュリティ対策の考え方
- 1週間で自社の現状を可視化する情報セキュリティ現状診断サービス
- 【標的型(サイバー)攻撃】対策のポイント
- 情報漏洩対策の全体像
- 【情報漏洩対策】マイナンバー法施行:特定個人情報を守るには
- 【情報漏洩対策】ファイルサーバの情報漏洩対策 2つの方法
- PCI DSSへの対応
- 【情報漏洩対策】ネットワーク分離環境のデータ保護対策
- 【情報漏洩対策】社外ネットワーク接続による情報持ち出しリスク
- 【情報漏洩対策】Wi-Fiテザリングによる情報持ち出しリスク
- 【情報漏洩対策】スマートフォンやタブレットの情報漏洩対策
- 【情報漏洩対策】スマートフォンやタブレットから利用するデータをどこに置くか
- 【情報漏洩対策】ノートPC、スマートフォン、タブレットの紛失、盗難に備える3つの対策
- 【情報漏洩対策】クラウド(オンライン)ストレージ利用に潜むリスク
- 【情報漏洩対策】Bluetoothによる情報持ち出しリスク
- 【情報漏洩対策】アプリケーションを利用した情報持ち出しリスク
- 【情報漏洩対策】USBメモリ等による情報持ち出しリスク
- 【特権ID管理】特権ユーザに対するアクセス制御
- 【特権ID管理】特権IDの貸出制御と情報漏洩対策を強化する3つの方法
- 【特権ID管理】特権ID管理、3つのシステム構成のメリット、デメリット
- 【サーバアクセス管理】自社セキュリティポリシーに基づく適切な運用のために
- 【サーバアクセス管理】ファイルサーバのアクセス制御
- 【サーバアクセス管理】ユーザなりかわりに対する制御
- 【サーバアクセス管理】リモート接続のログイン制御
- 【サーバアクセス管理】アクセスログの取得
- 【ID管理】不要なアカウントの確実な削除による不正アクセス防止
- 【ID管理】Active DirectoryのID管理対策
- 【ID管理】アカウント変更履歴を取得
- 【ID管理】アカウント利用時におけるワークフローの仕組みを改善
- 【ID管理】シングルサインオンによる利便性向上
- 【ID管理】ID情報の収集作業の自動化
- 【ID管理】ID情報の突き合せ作業の自動化
- 【ログ活用】統合ログ管理システムの構築
- 【ログ活用】標的型攻撃対策に不可欠なログ分析
- 【ログ活用】標的型攻撃対策:組織内のマルウェア発見と挙動の可視化
- 【ログ活用】個人情報保護対策のためのログ分析
- 【ログ活用】ログ監査、ログモニタリングの効率化