近年クラウドサービスが急速に普及し、今や多くの企業が利用しています。多種多様なサービスがあり、自社や自部門に適したものを短期間で手軽に導入することが可能です。
ただし、クラウドサービスは、利便性が高い反面、しっかりセキュリティ対策をしないと大きな事件や事故につながるリスクがあります。利用の増加に伴い、数々の管理者アカウントを統制する必要がある中、特にパスワードの管理がセキュリティ上の大きな課題になるのです。実際に苦慮されている方も多いのではないでしょうか。
本記事では、クラウドサービスの利用にあたり、どうしたらセキュリティと運用効率化を両立できるのか、管理者アカウントのパスワード管理に焦点を当てて詳しく解説します。
企業のクラウド活用は年々加速しています。総務省の「令和4年通信利用動向調査」によると、クラウドサービスについて、「全社的に利用している」と答えた企業は44.8%、「一部の事業者又は部門で利用している」と答えた企業は27.3%に上りました(2022年、グラフ参照)。つまり、この時点で、7割以上の企業がクラウドサービスを利用していることが分かります。
クラウドサービスは、種類も多岐にわたります。中でも「ファイル保管・データ共有」「社内情報共有・ポータル」「電子メール」がよく利用されているのが分かります(グラフ参照)。これらは、社内のデータを管理・共有するものであり、機密情報を扱う可能性が高いサービスです。以前なら機密情報をインターネットに置くことを想定していなかった企業も、今ではクラウドでやり取りするようになってきていると言えるでしょう。
クラウドサービスは、最低限の設定で容易に利用できるため、非常に便利です。一方で、しっかりセキュリティ対策をしないと、大きな事件や事故につながるリスクがあります。
例えば、2023年6月には、クラウドストレージの設定ミスが原因で、215万人におよぶ顧客情報の一部が一般に公開されていたという事故がありました。また、2023年12月にも、設定ミスにより、93万件の個人情報が公開されていた事故が起きています。
オンプレミスでは、ネットワークの分離やファイヤーウォールでの通信制御など、厳密な境界防御が行われています。一方、クラウドサービスはインターネット上に公開されているため、内外の攻撃者から狙われやすい側面があるのです。
インシデントを防ぐためにも、自社のセキュリティポリシーに従った設定がされているか、確実にチェックしましょう。
ただし、設定が正しかったとしても、攻撃者に管理者アカウントのIDやパスワード(以下、管理者パスワード)を盗まれてしまうと、不正に設定を変更されたり、情報を盗まれたりする危険性があります。その場合、大きな事件につながりかねません。
管理者アカウントは、セキュリティの設定や利用者アカウントの制御ができる高い権限を持っています。そのため、攻撃の恰好の的になるのです。
では、クラウドサービスを安全に利用するために、管理者パスワードをどのように統制すれば良いのでしょうか。次章からは、パスワード管理におけるリスクを概観した上で、有効な対策について解説します。
近年、新しいクラウドサービスが、さまざまなニーズに応えて次々にリリースされています。今後も企業のクラウド活用が一層進んでいくことでしょう。
ただし、利用サービスが増えると、それだけ統制すべきアカウントやパスワードも増えます。すでにクラウドサービスを複数導入していて、パスワード管理に苦労している方が多いのではないでしょうか。その場合、つい次のようなことをしていないか、確認する必要があります。
こうした行為をしていると、管理者パスワードが外部の攻撃者や悪意のある従業員に盗まれ、インシデントにつながる危険性が増します。では、そうした事態を防ぐには、どのように対策すれば良いでしょうか。次章から見ていきましょう。
管理者パスワードを安全に統制するには、前章で挙げたリスクをすべて回避する必要があります。代表的な対策と注意点は次のとおりです。
以上のような対策を行い、管理者パスワードを安全に管理することが、大きなセキュリティインシデントを防ぐ手立てとなります。
ただし、事件や事故を回避するだけでなく、万が一起こってしまった場合に備えることも大変重要です。迅速に影響範囲の特定や原因究明を行うには、監査ログを取得して、誰が・いつ・どのような操作をしたのかを予め記録しておく必要があります。
もちろん、監査ログの取得だけではなく、定期的なモニタリングも欠かせません。そうすれば、管理者アカウントの不正利用をいち早く検知し、被害を最小限に食い止めることができます。
監査ログを取っていることについて、アカウントの利用者に周知することも大切です。「見られている」「不正をしたら見つかる」という意識が働き、内部不正の強力な抑止力になります。
では、以上の対策を行うには、具体的に何を行えば良いのでしょうか。次章で詳しく見ていきましょう。
前章では、管理者パスワードを安全に統制するために必要な対策と注意点を述べました。ただし、クラウドサービスの利用が増える中、これらをサービスごとに検討するのは大きな負担です。さらに、サービスによっては困難な対策もあります。
そこで、次の方法をお勧めします。
では、特権ID管理ツールを使った場合、具体的にどのような手順で監査ログの取得とパスワードの管理を行うのでしょうか。
次章では、実際の利用イメージについて、弊社が提供する特権ID管理ツール「SecureCube Access Check(以下Access Check)」を使った例をご紹介します。
Access Checkは、クラウドサービスの管理者パスワードを秘匿化することで、パスワードを知らない状態で利用者に自動ログインさせることが可能です。パスワードを覚える必要がないため、漏えいするリスクがなくなると同時に、複雑なパスワードの設定も可能になります。
ここでは、AWS(Amazon Web Services)マネジメントコンソールに対する活用例を見ていきましょう。
まず、自動ログインをしたいクラウドサービスのネットワークの手前に、Access Checkをゲートウェイ(認証サーバ)として設置します。
パスワードを秘匿化して自動ログインさせるために、管理者はAccess Checkに対象クラウドサービスのURL・管理者アカウント・現在のパスワードを登録します。
実際にクラウドサービスへアクセスする際、作業者はAccess CheckからクラウドサービスのURL・アカウントを選択し、中継開始ボタンを押します(図参照)。すると、Access Checkがパスワードを自動で入力し、作業者が自動ログインできるようになります。
Access Checkを利用することのメリットは自動ログインだけではありません。誰が・いつ・どのクラウドサービスにログインしたのか、どういった作業をしたのかについて記録した監査ログを取得することもできます。このログは、アクセス申請に紐づいて取得されます。そのため、有事の際には、各作業者の操作内容をトレースし、内部不正をしていなかったのかを確認するのに役立ちます。
その他にも、Access Checkは、パスワードを任意の期間で定期的に自動変更したり、緊急時に手動で変更したりできます。パスワードは暗号化して保存されているため、第三者が盗み見ることはできず、万が一パスワードが漏えいしたとしても、被害を最小限にできるのです。
クラウドサービスは導入期間が短く、手軽に始められるため、利用する企業が年々増えています。さらに、種類も豊富なため、複数のサービスを利用し、クラウド上にさまざまな重要情報を保管している企業も多いことでしょう。
利便性がある一方で、クラウドサービスの管理者アカウントは非常に狙われやすいアカウントです。そのパスワードをずさんに管理していると、重要情報の漏えいリスクが高まってしまいます。
本記事では、高セキュリティの維持と運用負荷の低減を両立しながら、管理者パスワードを統制する方法について解説しました。クラウドサービスを安全に利用するためにも、いま一度、自社の管理方法について見直してみてはいかがでしょうか。
NRIセキュアでは、今後も、高セキュリティと業務の効率化を両立するソリューションの提供に尽力していきます。