自社で最も脅威となる事象はなんでしょうか。弊社の調査結果によると、多くの日本企業にとって標的型攻撃や内部不正による情報漏えい被害が、最も脅威と感じる事象だと報告されています。
これらの脅威から身を守るためには、様々なセキュリティ対策を組み合わせた多層防御でリスクを低減していく必要があります。
そのなかの重要な対策の一つとして、「特権IDの利用を適切に管理すること」があります。そこで、本記事では”特権ID管理”の重要性とアプローチ方法をわかりやすく解説します。
■「特権ID管理ツールを検討するときに確認するべき50のチェックリスト」をダウンロードする
https://www.nri-secure.co.jp/download/privileged_id_50check
■「新任システム管理者のための特権ID管理入門書」をダウンロードする
https://www.nri-secure.co.jp/download/privileged-account-management-for-beginner
特権IDとは
特権IDとは特別な権限を有しているIDを指すものであり、システムのシャットダウンやユーザー権限の管理ができる権限をもつIDが該当します。
日本ネットワークセキュリティ協会発行の『エンタープライズにおける特権ID管理解説書』(第1版)によれば、
システムの維持・管理のために用意され、起動や停止をはじめとするシステムに大きな影響を与えることができる権限
と定義されています。
具体的な例を挙げると、Windowsにおける"Administrator"やLinuxにおける"root"が特権IDに該当します。特別な権限がついていることが特権IDとしての要件であるため、たとえWindowsにおいて
"Administrator"ではなくても、同等の権限が付与されている(例えばAdministratorグループに所属している)IDも特権IDであるといえます。
特権IDの不適切な管理に潜むリスクとは
特権IDは前述の通りシステムに対して大きな影響を与える操作が可能であり、例えばファイルの削除や設定の変更といった操作を行うための権限を有しています。一方で、多くのシステムにビルトインで特権IDが作成されているため、IDが既知であることが多いという特徴を持ちます。
表.広く知られているシステムと特権ID名の組み合わせ
高権限でありIDが既知であることから特権IDは攻撃対象とされやすく、代表的なリスクとして3点挙げられます。
risk1: 特権ID利用者の特定が困難であること
特にビルトインされている特権ID(rootなど)は利便性が高いが故に複数のユーザーで使いまわされるケースが多くあります。
個人IDであれば、操作ログなどから不正操作を行ったIDを特定することで実際の操作者を紐づけることができますが、共用されている特権IDでは不正操作を行ったことはわかっても、誰がその操作を行ったのかを判別することができません。
また、共用である・誰が操作を行ったのかわからないという点から悪意のある操作を行う際の心理的ハードルが下がるとも言われています。
risk2: 特権IDを利用した作業内容を把握できないこと
特権IDは高権限であることから、様々なファイルに対してアクセスすることができます。
システムのログに対してもアクセスが可能であり、不正操作を実施した後に操作の痕跡を消すことも容易となります。
そのため、たとえ不正な操作を行ったとしても正常な操作に見せかけることが可能であったり、問題が発生した際の影響調査が困難になったりする恐れがあります。
risk3: 不必要な権限での操作が可能になること
本来の権限管理の考え方では、最小権限の原則という考え方があり、ユーザーごとに必要最小限な権限を付与することが望ましいとされています。
しかしながら、その利便性がゆえにあらゆる作業で特権IDを利用してしまい、本来ユーザーが行ってはいけない操作が行うことができたり、見ることができないファイルを閲覧することができたりします。
そのため、操作ミスによる影響範囲が広くなってしまう、内部不正による情報漏洩の経路に利用される、などの脅威が増すこととなります。
特権IDの管理不備によるインシデント事例
特権IDならびにリスクの説明をいたしましたが、ここからは特権ID管理に起因するインシデントの事例を紹介します。
case: 大手通信教育会社の事例
某大手通信教育会社では内部不正により数千万件の個人情報が流出するというインシデントが発生しています。
顧客情報にアクセスが可能であった悪意のある内部犯が、顧客データベースへ接続して外部記憶媒体へ顧客情報を保存して持ち去り、後日名簿業者に販売を行ったというものです。
※当時の報道発表よりとりまとめ(弊社推測を含む)
図.インシデント発生事例(NRIセキュア作成)
企業側は、データベースへのアクセスを限られたユーザーにすることやアクセスログの取得を行うといった特権ID管理を一部行っていたそうですが、本インシデントにおいては、正しいユーザーに正しい権限が付与されていたのかといった点や、ログを取得するだけではなく分析が行えていたかといった点で問題があったのではないかと考えています。
報道によると、犯人はデータベースへアクセスする業務上の必要はなかったものの、開発担当という理由だけで特権IDを有していたといわれています。特権IDを利用する際には専用の端末を利用するなどの管理は行われていたそうですが、特権IDを誰に付与するかという点で問題があり、結果的に特権IDの悪用によるリスクを高めてしまっていました。(前述のrisk3が顕在化してしまったといえます。)
また、データベースへのアクセス形跡はログに取られていましたが、問題のあったアクセスは気づかれることなく、1年後に情報漏洩というインシデントが発生することで初めて発覚することとなりました。日々多くの業務が行われている中ですべてのログを分析することは難しい点もありますが、例えば大容量のデータが授受されているなど、普段の業務と異なる振る舞いに関して監査が行われていれば、早期の発見が行えていたのではないでしょうか。
本事例より、悪意のある内部犯行というものが現実の危機であることが広く認知されることとなりました。内部犯行の予防・発見のためにもしっかりとしたアクセスコントロールが重要であることが言えます。
特権ID管理のベストプラクティス
特権ID管理の大切さや実際のインシデント事例を説明しましたが、特権IDをきちんと管理するためにはどのようなことをすればよいでしょうか。
最終的には各社のリスクとそれに対する受容度のバランスとなってしましますが、一つの目安としてセキュリティ対策のフレームワークを参考にしてみるのは良いアイデアです。
代表的なフレームワークとして、ISO 27000シリーズが挙げられます。
ISO 27000シリーズとは情報セキュリティマネジメントシステム(ISMS)の要求事項と実践規範を記載したものであり、国際規格として日本においても広く使われているものです。
そのなかで特権ID管理に求められていることを要約すると、以下のようになります。
- 特権IDを割り当てる/利用する際には以下の点に留意し、管理を行うことが大切である
- ・利用者が特定できること
- ・利用者の能力や利用の必要性に応じた最小限の権限割り当てを行うこと
- ・利用を行う前に、組織ごとに定められた手続きを踏み、認可が行われること
- ・利用時の作業が記録されていること
- ・代替手段があるなど、不必要な時には利用しない/させないこと
- ・共有する場合、認証情報(パスワードなど)の機密性を維持すること
また、フレームワークを意識した特権ID管理専用の製品も販売されています。
フレームワークの適用をする際には、自前でやるだけでなく、それら専用の製品を導入し、人手に頼らない(運用負荷のかかからない)仕組みを作ることも検討するとよいでしょう。
最後に
特権ID管理の大切さや実際のインシデント事例を説明しましたが、特権IDをきちんと管理するためにはどのようなことをすればよいでしょうか。
本記事で説明をしたように、特権IDとはシステムにおいて強力な権限です。
それ故に、内部・外部ともに悪意を持ったユーザーに利用されやすく、インシデントが発生した際には大規模な被害が発生しやすいといえます。
重要情報を扱うようなシステムを運用する場合は、ISO 27000シリーズをはじめとするセキュリティ対策のフレームワークや特権ID管理ソリューションなどを活用することで、必要な人が必要な時だけに特権IDを利用できるように、適切な特権ID管理を実現する必要があります。
NRIセキュアでは、特権IDに対するアクセス制御とログ監査、申請・承認・証跡確認を短期間・低コストで実現できる特権ID管理ソリューション「SecureCube Access Check」を提供しています。
金融機関をはじめ、流通業、製造業など多くなお客様に導入いただいており、自社開発製品ならではの、きめ細かい保守・サポート体制やお客様の声を反映した機能拡張へも高い評価をいただいております。
SecureCube Access Checkの特長
- ・特権ID管理に必要なすべての機能を一つのソリューションで提供
- ・作業申請情報と作業ログを一元管理し、相互の照合が容易
- ・エージェントレスであるため、既存システムへの影響が極小
- ・数台から数万台の幅広い規模での豊富な利用実績