近年クラウドサービスが急速に普及し、今や多くの企業が利用しています。多種多様なサービスがあり、自社や自部門に適したものを短期間で手軽に導入することが可能です。
ただし、クラウドサービスは、利便性が高い反面、しっかりセキュリティ対策をしないと大きな事件や事故につながるリスクがあります。利用の増加に伴い、数々の管理者アカウントを統制する必要がある中、特にパスワードの管理がセキュリティ上の大きな課題になるのです。実際に苦慮されている方も多いのではないでしょうか。
本記事では、クラウドサービスの利用にあたり、どうしたらセキュリティと運用効率化を両立できるのか、管理者アカウントのパスワード管理に焦点を当てて詳しく解説します。
【お役立ち資料ダウンロード】サイバー攻撃・内部不正による情報漏えいを効果的に防ぐ手段とは?インシデント事例から見えてくる解決のカギは「特権ID管理」
クラウドサービスの利用拡大に伴うリスク
企業のクラウド活用は年々加速しています。総務省の「令和4年通信利用動向調査」によると、クラウドサービスについて、「全社的に利用している」と答えた企業は44.8%、「一部の事業者又は部門で利用している」と答えた企業は27.3%に上りました(2022年、グラフ参照)。つまり、この時点で、7割以上の企業がクラウドサービスを利用していることが分かります。
クラウドサービスの利用状況
クラウドサービスは、種類も多岐にわたります。中でも「ファイル保管・データ共有」「社内情報共有・ポータル」「電子メール」がよく利用されているのが分かります(グラフ参照)。これらは、社内のデータを管理・共有するものであり、機密情報を扱う可能性が高いサービスです。以前なら機密情報をインターネットに置くことを想定していなかった企業も、今ではクラウドでやり取りするようになってきていると言えるでしょう。
利用しているクラウドサービス
クラウドサービスは、最低限の設定で容易に利用できるため、非常に便利です。一方で、しっかりセキュリティ対策をしないと、大きな事件や事故につながるリスクがあります。
例えば、2023年6月には、クラウドストレージの設定ミスが原因で、215万人におよぶ顧客情報の一部が一般に公開されていたという事故がありました。また、2023年12月にも、設定ミスにより、93万件の個人情報が公開されていた事故が起きています。
オンプレミスでは、ネットワークの分離やファイヤーウォールでの通信制御など、厳密な境界防御が行われています。一方、クラウドサービスはインターネット上に公開されているため、内外の攻撃者から狙われやすい側面があるのです。
インシデントを防ぐためにも、自社のセキュリティポリシーに従った設定がされているか、確実にチェックしましょう。
ただし、設定が正しかったとしても、攻撃者に管理者アカウントのIDやパスワード(以下、管理者パスワード)を盗まれてしまうと、不正に設定を変更されたり、情報を盗まれたりする危険性があります。その場合、大きな事件につながりかねません。
管理者アカウントは、セキュリティの設定や利用者アカウントの制御ができる高い権限を持っています。そのため、攻撃の恰好の的になるのです。
では、クラウドサービスを安全に利用するために、管理者パスワードをどのように統制すれば良いのでしょうか。次章からは、パスワード管理におけるリスクを概観した上で、有効な対策について解説します。
クラウドサービスのパスワード管理におけるリスク
近年、新しいクラウドサービスが、さまざまなニーズに応えて次々にリリースされています。今後も企業のクラウド活用が一層進んでいくことでしょう。
ただし、利用サービスが増えると、それだけ統制すべきアカウントやパスワードも増えます。すでにクラウドサービスを複数導入していて、パスワード管理に苦労している方が多いのではないでしょうか。その場合、つい次のようなことをしていないか、確認する必要があります。
- セキュリティ強度が低いパスワードを使う
・覚えやすいパスワードを設定
・初期パスワードをそのまま利用
⇒第三者が把握しやすいため、容易に解読される危険があります - 同じパスワードを多用する
・複数のサービスで一つのパスワードを流用
・長期間同じパスワードを利用(定期的なパスワード変更をしない)
・パスワードだけで認証(多要素認証をしない)
⇒パスワードが漏えいすると、他のサービスまで危険にさらされます - 手近なツールでパスワードを管理する
・メモ帳ツールなどに記録
・セキュリティ強度の低い無料のパスワード管理ツールを利用
⇒ツールが攻撃されると、すべてのパスワードが漏えいする可能性があります
こうした行為をしていると、管理者パスワードが外部の攻撃者や悪意のある従業員に盗まれ、インシデントにつながる危険性が増します。では、そうした事態を防ぐには、どのように対策すれば良いでしょうか。次章から見ていきましょう。
リスクへの対策と注意点
管理者パスワードを安全に統制するには、前章で挙げたリスクをすべて回避する必要があります。代表的な対策と注意点は次のとおりです。
- パスワードのセキュリティ強度を上げる
パスワードは複数の文字を組み合わせ、なるべく長くします。複雑なパスワードを生成するツールを利用することも有効です。
【注意点】
パスワードの強度を上げると、どうしても覚えにくいパスワードになります。複数のサービスで、強度の高い異なるパスワードを設定する場合、覚えることは困難です。パスワードの管理方法を併せて検討する必要があります。 - 特定のパスワードに依存しない
パスワードを定期的に変更した上で、さらに追加の認証手段(多要素認証)を利用します。
【注意点】
クラウドサービスの中には、パスワードを定期変更する設定がないものがあります。さらに、多要素認証に対応していないもの、希望する多要素認証が利用できないものもあります。それぞれ利用開始前に必ず確認しましょう。 - 信頼性の高いパスワード管理方法を選ぶ
高度なセキュリティ対策が施されているパスワード管理ツールを利用します。
【注意点】
セキュリティ情報を開示していないツールが多く、事前にセキュリティ強度を見極めるのは非常に困難です。一方で、ツールのセキュリティ対策が十分ではない場合、ツールからパスワードが漏えいしてしまう危険性があります。例えば、2022年に、パスワード管理ツールが攻撃され、顧客データが盗まれるという事件が起こりました。実績はもちろん、暗号化やデータ保護の方針、第三者機関の評価等、複数の情報からツールを選定しましょう。
以上のような対策を行い、管理者パスワードを安全に管理することが、大きなセキュリティインシデントを防ぐ手立てとなります。
ただし、事件や事故を回避するだけでなく、万が一起こってしまった場合に備えることも大変重要です。迅速に影響範囲の特定や原因究明を行うには、監査ログを取得して、誰が・いつ・どのような操作をしたのかを予め記録しておく必要があります。
もちろん、監査ログの取得だけではなく、定期的なモニタリングも欠かせません。そうすれば、管理者アカウントの不正利用をいち早く検知し、被害を最小限に食い止めることができます。
監査ログを取っていることについて、アカウントの利用者に周知することも大切です。「見られている」「不正をしたら見つかる」という意識が働き、内部不正の強力な抑止力になります。
では、以上の対策を行うには、具体的に何を行えば良いのでしょうか。次章で詳しく見ていきましょう。
安全に管理者アカウントやパスワードを統制するには
前章では、管理者パスワードを安全に統制するために必要な対策と注意点を述べました。ただし、クラウドサービスの利用が増える中、これらをサービスごとに検討するのは大きな負担です。さらに、サービスによっては困難な対策もあります。
そこで、次の方法をお勧めします。
- ①管理者パスワードの秘匿化と自動入力
- 秘匿化とは、暗号化などにより非正規の方法では特定不能な状態にすることで、パスワードを保護する方法を指します。そのために、人の手ではなく、ツールを利用してパスワードの発行・管理を行います。
- この方法なら、パスワードを覚えたり記録したりする必要がありません。そのため、強度の高いパスワードを設定でき、セキュリティを大幅に強化することが可能です。さらに、自動入力が可能なツールなら、利用者にパスワードの中身も変更したこと自体も知られることはありません。パスワードを定期的に変更する機能があれば、より安全です。
- ただし、前述したとおり、パスワード管理ツールの場合、セキュリティ対策が十分ではないものもあります。その場合、大きなインシデントにつながる可能性があることを留意する必要があります。
- ②監査ログの取得
- 管理者アカウントを使った操作のログを取得します。こちらもツールの導入が欠かせません。
- 監査ログの取得とパスワードの管理(①)を別のツールで行うことは可能です。ただし、運用面で考えると、負荷がどうしても高くなってしまいます。予めどちらもできるツールを選ぶようにしましょう。
- その効果は、運用負荷の軽減だけではありません。セキュリティ対策の形骸化を食い止め、パスワードの利用履歴とログの突き合わせが容易になるなど、より安全に管理者パスワードを統制できます。
- 以上を踏まえて、①と②を高レベルのセキュリティで行えるツールとしてお勧めなのは、特権ID管理ツールです。
- ③特権ID管理ツールの利用
- 特権ID管理ツールは、重要サーバの起動停止制御や機密情報の取り扱いなどが可能な、高い権限を持つID向けに開発されています。そのため、高レベルのセキュリティを担保しており、ログ取得の機能を兼ね備えたものが大半です。監査ログの取得(②)とパスワードの管理(①)が両方できるだけでなく、セキュリティ面でも安心して任せられます。
- 前述したとおり、クラウドサービスには大きな事件や事故につながるリスクがあります。その利用にあたり、管理者向けのアカウントとパスワードを安全に統制するのに適したものだと言えるでしょう。
では、特権ID管理ツールを使った場合、具体的にどのような手順で監査ログの取得とパスワードの管理を行うのでしょうか。
次章では、実際の利用イメージについて、弊社が提供する特権ID管理ツール「SecureCube Access Check(以下Access Check)」を使った例をご紹介します。
特権ID管理ツールの利用イメージ
Access Checkは、クラウドサービスの管理者パスワードを秘匿化することで、パスワードを知らない状態で利用者に自動ログインさせることが可能です。パスワードを覚える必要がないため、漏えいするリスクがなくなると同時に、複雑なパスワードの設定も可能になります。
ここでは、AWS(Amazon Web Services)マネジメントコンソールに対する活用例を見ていきましょう。
まず、自動ログインをしたいクラウドサービスのネットワークの手前に、Access Checkをゲートウェイ(認証サーバ)として設置します。
システム構成
パスワードを秘匿化して自動ログインさせるために、管理者はAccess Checkに対象クラウドサービスのURL・管理者アカウント・現在のパスワードを登録します。
設定画面
実際にクラウドサービスへアクセスする際、作業者はAccess CheckからクラウドサービスのURL・アカウントを選択し、中継開始ボタンを押します(図参照)。すると、Access Checkがパスワードを自動で入力し、作業者が自動ログインできるようになります。
ツールの選択画面
自動ログインされた後の画面
Access Checkを利用することのメリットは自動ログインだけではありません。誰が・いつ・どのクラウドサービスにログインしたのか、どういった作業をしたのかについて記録した監査ログを取得することもできます。このログは、アクセス申請に紐づいて取得されます。そのため、有事の際には、各作業者の操作内容をトレースし、内部不正をしていなかったのかを確認するのに役立ちます。
監査ログの取得画面
その他にも、Access Checkは、パスワードを任意の期間で定期的に自動変更したり、緊急時に手動で変更したりできます。パスワードは暗号化して保存されているため、第三者が盗み見ることはできず、万が一パスワードが漏えいしたとしても、被害を最小限にできるのです。
まとめ
クラウドサービスは導入期間が短く、手軽に始められるため、利用する企業が年々増えています。さらに、種類も豊富なため、複数のサービスを利用し、クラウド上にさまざまな重要情報を保管している企業も多いことでしょう。
利便性がある一方で、クラウドサービスの管理者アカウントは非常に狙われやすいアカウントです。そのパスワードをずさんに管理していると、重要情報の漏えいリスクが高まってしまいます。
本記事では、高セキュリティの維持と運用負荷の低減を両立しながら、管理者パスワードを統制する方法について解説しました。クラウドサービスを安全に利用するためにも、いま一度、自社の管理方法について見直してみてはいかがでしょうか。
NRIセキュアでは、今後も、高セキュリティと業務の効率化を両立するソリューションの提供に尽力していきます。