情報システムに対して最も強い権限を持つ「特権ID」の管理は、IT全般統制等の各種基準への対策として重要なのはもちろんのこと、標的型攻撃や内部不正による情報漏洩防止のためにも重要です。特権IDの濫用は、企業に重大な損失を与え、社会的な信頼を失墜させる要因にもなります。

    しかし、特権ID管理の対策を検討すると、コストや導入期間の長さ、本番環境への影響、運用負荷増大といった壁に直面し、対応が遅れがちになるのではないでしょうか。SecureCube / Access Checkは、IT統制とシステム運用の現場を知り尽くしたNRIセキュアが提供する、ゲートウェイ型の特権ID管理ソリューションです。システムを安全に運用しながら迅速に対応でき、増え続けるサーバ群に対しても費用対効果が高い解決策が期待できます。

特権IDとは~特権IDの特長と課題~

◆特権IDの特長

特権IDはLinuxでは「root」、Windowsでは「Administrator」が代表的な例ですが、一般的なIDとは異なり【非常に強い権限を有する】【 OS1つに対して1つのみ】という大きな特徴があります。

【特権IDの特長1】非常に強い権限を有する

システムの停止/起動、個人情報等の重要情報へのアクセスなどに必要な強い権限を持つIDを「特権ID」と呼びます。特権IDは、利用するとシステムに対してどのような操作でもできてしまうため、標的型攻撃や、内部不正など悪意のあるユーザから真っ先に狙われるIDです。

【特権IDの特長2】OS1つに対して1つのみ

特権IDは、OS1つに対して基本的に1つしか存在しません。しかし、システム停止/起動などの特権IDを利用した重要な作業を1名のみで実施するということはまれです。そのため、1つの特権IDとそのパスワードを複数名で共有されることが多いのが現状です。複数名で共有されるが故に、重要な権限にも関わらず容易に想像可能なパスワードにされていることもしばしばあります。

ac01.png

◆特権IDの課題

特権IDが共有されていると様々な課題が発生し、事件・事故が起きるリスク、また起きた際に被害が広がる危険性が高くなります。

【課題1】特権IDを利用する際の心理的ハードルが低くなりがち

特権IDを利用するユーザが多ければ多いほど、特権IDを利用することによる心理的ハードルが低くなりがちです。悪意がない場合でも、本来は特権IDを利用する必要がない操作に利用したために、重大な障害を引き起こすこともあり得ます。また、万が一特権ID・パスワードの管理がきちんとされていない場合は、退職者など、関係者以外がパスワードを知っているという状況も発生し、パスワードを知っている人が増えれば増えるほど、内部不正の防止が難しくなり、外部からパスワードを搾取される危険性も高まります。もちろん情報漏洩がひとたび起きれば、その被害は計り知れません。

【課題2】問題が起きた場合に、利用者個人を特定できない

一般的なIDでは利用者個人のユーザ名などを利用することが多く、問題が起きてもユーザ名から個人を特定することが可能ですが、特権IDのように共有されているIDの場合、その特定は困難になりがちです。特に、大規模システムで、複数名が特権IDを同時に利用するような場合、その特定は極めて困難です。

【課題3】問題が起きた場合に、利用時の作業内容(影響範囲)を把握できない

利用者の特定だけではなく、作業内容の特定も難しくなります。作業内容の特定に時間がかかればかかるほど、問題の影響範囲が把握できず、その間に被害が広まるケースがあります。大規模システムでは、利用者の特定と同様に最悪の場合、影響範囲がわからないということにもなりかねません。

ac02.png

「特権ID管理」に必要なこと

特権ID管理では、IDを利用する作業開始前から作業中、作業終了後まで【一貫して】管理することが重要です。つまり、申請・承認のプロセスで承認された作業を、しかるべき権限に基づいてアクセス・作業し、その正当性(ログ)を監査・モニタリングすることが必要です。

◆申請・承認のプロセス

所定の書式で申請し、権限のあるユーザが承認するプロセスを経る必要があります。申請情報は保管・管理し、監査・モニタリングで照合します。

◆ID・パスワードの管理

パスワードの複雑化や定期変更はもちろん、必要に応じてパスワードを周知しない等の運用も重要です。

◆ アクセスの制御

承認されたサーバに、承認された時間帯のみアクセス可能にするなどのアクセス制御が必要です。

◆ ログの取得/定期モニタリング

作業した全操作のログを取得する必要があります。また、申請内容と作業内容が合致するか、許可されていない操作を行っていないかなどのモニタリングが重要です。

これらのプロセスを、ツールを利用せずに実施することも可能ですが、かなりのコストと労力が必要です。また、ツールを導入した場合でも、運用・管理が複雑化したり、導入・構築に手間がかかるため、躊躇されるケースが散見されます。

特権ID管理に必要なプロセス

ac03.png

SecureCube / Access Checkとは

SecureCube / Access Checkは、IT統制とシステム運用の現場を知り尽くしたNRIセキュアが自社で開発・提供する、完全エージェントレスの特権ID管理ソリューションです。特権ID管理に必要なすべての機能を1つのソリューションで提供します。ソフトウェア等のインストールが不要であるため、既存のシステムや端末への影響を最小限にして、短期間かつコストを抑えて導入することが可能です。

金融機関をはじめ、流通業、製造業など業種問わず様々なお客様に導入いただいており、シェアNo.1(※)です。自社開発製品ならではの、きめ細かい保守・サポート体制や、お客様の声を反映した機能拡張へも高い評価を頂いております。

※出所:
・ITR「ITR Market View : アイデンティティ/アクセス管理市場2018」特権ID管理市場:ベンダー別売上金額シェア(2017年度)SecureCube / Access Check, Cloud Auditor by Access Check が対象
・ミック経済研究所「個人認証・アクセス管理型セキュリティソリューション市場の現状と将来展望 2018 年度版」特権ID 管理パッケージ

多くの企業に選ばれてトップシェア

ac_fig_share2017.png

SecureCube / Access Checkが選ばれる理由

  • 特権ID管理に必要なすべての機能を1つのソリューションで提供しているため、システム構成がシンプルで導入・構築の労力とコストを削減できます。
  • 作業申請情報とログを一括して管理するため、相互の照合が容易で、監査業務を大幅に効率化できます。
  • エージェントレスのため、本番サーバへの影響がなく、低コスト・短期間で導入できます。
    ※要件によっては最短1ヶ月の構築も可能。
  • 利用クライアント、管理対象サーバ、ネットワーク機器、プロトコルなどの制約が少なく、多様な環境で利用可能です。
  • 数台から数万台の幅広い規模に対応できます。
ac04.png

SecureCube / Access Check 紹介動画

SecureCube / Access Checkの利用イメージ

SecureCube / Access Checkは作業用端末と対象システムとの間にゲートウェイ(プロキシ)として設置します。

ac05.png

利用者は、まずアクセス申請をSecureCube / Access CheckのWeb画面上で登録します。
承認者は、申請された内容をSecureCube / Access CheckのWeb画面上で確認し、問題がなければ承認します。

ac_point2.PNG 

SecureCube / Access Check がゲートウェイとしてアクセス制御を実施します。はじめに、SecureCube / Access Checkへアクセスしてユーザ認証を行います。その後、アクセスしたい本番サーバを指定し、従来通りrootやAdministratorなどの特権IDで本番サーバへログインします。申請が却下された場合は、該当のアクセスは切断され、本番サーバへはログインできません。また、事前に不正とみなす操作を登録しておけば、その操作が行われた場合に、アクセスを強制的に即時遮断することも可能です。

ac06.png

SecureCube / Access Checkでアクセス申請内容と実操作ログの突合せを行います。またレポーティング機能もあり、監視・監査業務を効率化します。

ac07.png

SecureCube / Access Checkの利用ケース

◆内部統制対策の効率化

特権ID管理における「申請・承認~ログ取得~事後確認」の監査業務は、システム化することによって、より正確に、効率的に行うことができます。紙ベースでの申請と承認、エクセルによる台帳管理、申請内容とログの突き合わせなど、手作業で行っていた業務を、SecureCube / Access Check上で実施することにより大幅な効率化が可能となります。利用の都度作業が必要な特権IDの払い出し管理と比較して、特権ID管理・運用工数を約1/4に削減できた実績もあります。

ac08.png

◆サイバー攻撃(標的型攻撃)への対策

重要システムの前に設置し、SecureCube / Access Checkを監査ゲートウェイとして配置します。日時指定のアクセス申請/承認機能と連携し、ゲートウェイポートの開閉をコントロールするため、万が一マルウェアに感染しても被害拡大防止に大きな効果が期待できます。

ac09.png

◆クラウドとオンプレミスのアクセス統制を一元化

オンプレミス環境に設置したSecureCube / Access Checkを、WAN内の各拠点にあるサーバ、クラウド上のサーバへのアクセス分岐点として配置することで、すべてのサーバ群へのアクセス制御、ログ取得を一元管理する構成にできます。複数クラウドにも対応でき、さまざまな環境にあるサーバへのアクセスを一元管理できます。

ac10.png

パンフレット

導入事例

関連情報