クラウドのパスワードを安全に管理する方法|管理者アカウントの効率的な統制
2024.06.04
特権ID管理は大変?
基礎知識から運用負荷を軽減する効果的な管理方法まで解説します。
デジタルトランスフォーメーション(DX)の加速により、企業のIT環境は急激に変化しています。オンプレミスシステムに加えてクラウドサービスの利用が進み、管理が必要な特権IDは増加の一途をたどっています。これまで以上に、特権IDの厳格かつ効率的な運用管理が求められているのです。
ここでは、特権ID管理の重要性と、セキュリティと利便性を両立する方法について分かりやすく解説します。
特権IDとは、システムの設定変更やユーザー権限の付与など、システム全体に影響を与える操作ができる、特別な権限を持つIDのことです。代表的なもので、Windowsの「Administrator」、Linuxの「root」、Oracleデータベースの「sys」が挙げられます。また、同等の権限を付与されているアカウントIDも特権IDとみなされます。
昨今では、AWSやAzureといったIaaS(Infrastructure as a Service)、およびMicrosoft 365などのSaaS(Software as a Service)の管理者アカウントも特権IDとして管理すべき対象です。
特権IDは高い権限を持つため、内外の攻撃者から常に狙われています。ひとたび特権IDが悪用されると、データの改ざん、情報漏えい、システム破壊、さらには他の攻撃の踏み台にされるなどの危険性があります。組織全体に甚大な被害を与える恐れがあるのです。
さらに、特権IDを利用した不正行為の場合、操作の痕跡を消去できるため、発見や対策が遅れるリスクが高くなります。そのため、J-SOX法(内部統制報告制度)における監査やPCI DSS※1など、さまざまなガイドラインで厳格な管理が求められています。
※1:Payment Card Industry Data Security Standard。クレジットカード業界の国際セキュリティ基準。
特権ID管理とは、この特別な権限を持つIDの安全な管理・利用を促し、不正利用を防ぐためのセキュリティ対策です。特権IDを利用する個人を特定して認証と認可を行う「予防的統制」と、特権IDを利用した作業を記録して不正がないかモニタリングを行う「発見的統制」が重要です。
具体的には、次の4つのステップにまとめられます。
「誰が」特権IDを利用するのか、明確にします。利用者を特定できないと、悪意のある操作が行われた際に調査が困難になるためです。また、特権IDを利用できるユーザーを最小限に絞り、許可されていない人が利用できないよう、ID・パスワードなどのアカウント情報は厳格に管理することも重要です。
特権IDを「いつ」「何のために」利用するのかを明確にした申請を行い、然るべき責任者に承認されて初めて特権IDを利用できるよう制御します。申請と承認の手続きは、システムで行う、紙やメールを利用する、などいくつかの方法があります。
特権IDを利用した作業は、必ず「誰が」「いつ」「何をしたか」の記録を残しましょう。サーバやアプリケーション上に記録されるログで代用するケースもありますが、予め申請した通りに作業が行われたのかを確認できるよう、すべての操作内容がわかるものを記録しておくことが重要です。
申請内容と作業記録を突き合わせて、「申請通りの目的で作業が行われたか」「申請していない作業が行われていないか」妥当性を確認します。申請内容を理解したうえで作業記録を確認する必要があり、負荷が高い業務です。
法令や業界基準の遵守にあたり、特権ID管理の適切な運用を求められるケースは多くあります。
例えば、J-SOX法(内部統制報告制度)では、内部統制を強化し、システム管理者などの高い権限を持つユーザーのアクセスを監視・管理することが求められています。不正アクセスや財務報告の改ざんを防ぐには、特権IDの厳格な管理が重要です。
また、PCI DSSでは、クレジットカード情報を扱うシステムに対して、特権IDによるアクセスを制限し、作業の記録・監視を行うことが義務付けられています。これにより、システムの不正利用や情報漏えいのリスクを低減できます。
サイバー攻撃が高度化する中で、攻撃者が最も狙うターゲットの一つが特権IDです。特権IDはシステムやデータに対して強力なアクセス権限を持つため、不正に取得されると、攻撃者によって重要システムの制御を完全に奪われる危険性があります。
例えばランサムウェア攻撃の場合、攻撃者はまず特権IDの奪取を狙います。次に、その権限を悪用してシステム全体にアクセスを拡大させ、最終的にファイルの暗号化やデータの搾取を行い、身代金を要求します。特権IDの管理が不十分な場合、被害の範囲や規模がさらに大きくなる恐れがあるのです。
クラウドサービスの利用拡大により、システムやデータがインターネットを介してアクセスする機会が増えています。外部からの攻撃リスクが高まる中、特権ID管理の重要性も増していると言えるでしょう。
内部不正はサイバー攻撃に匹敵する高いリスクがあります。特権IDを利用する内部関係者は、正当な権限を持っているため、不正行為を隠蔽しやすく、発覚までに長い時間がかかる恐れがあるのです。特に、システムに精通したシステム管理者は、アクセス履歴の改ざんやログの削除などを簡単に行えます。
近年、システムの不正操作による情報漏えいや金銭の横領などの事件・事故が後を絶ちません。こうした事件では、特権ID管理の甘さを指摘されるケースが散見されます。従業員が特権IDを悪用して機密情報を不正に持ち出したり、許可されていない操作を行ったりした事例が報告されています。
IT環境の変化に伴い、特権ID管理を手動で行うのは今や困難です。管理対象が以前よりも広範で複雑なため、アクセス権限の付与や取り消し、作業記録の監視に多くの時間と労力がかかるだけでなく、手作業では人的ミスのリスクも高まります。その結果、特権ID管理の仕組みが十分に機能しなくなる危険性があるのです。
そこで、特権ID管理ソリューションを導入し、運用を自動化・効率化することが解決の糸口になります。期待される効果は次の3つです。
特権ID管理ソリューションを利用すると、申請・承認プロセスのシステム化が可能なため、特権IDの払い出しや権限付与を効率的に行えます。さらに、申請と作業記録の紐づけも自動で行えるため、管理者は確認する工数を大幅に削減可能です。これにより、管理者はより重要なセキュリティ対策や戦略的な業務に集中できます。
特権ID管理ソリューションは、アクセス制御や作業記録のプロセスもシステム化することができます。そうすることで、誤った権限の付与や作業記録の紛失などの人的ミスが発生するリスクを低減できます。また、作業記録の暗号化・保護もできるため、改ざん・消去を難しくすることが可能です。
中には、特権IDのパスワードを作業者に知らせることなく利用できるソリューションもあります。その場合、パスワードを個人に管理させる必要がないため、情報漏えいのリスクが低減できます。さらに、複雑なパスワードポリシーの適用を強制できるため、セキュリティの強化が可能です。
クラウドサービスの管理者アカウントなど、管理すべき特権IDは多様化しています。また、リモート接続の需要が高まるなど、アクセス環境も変化しています。それに伴い、脅威の変化や法令基準・業界のガイドラインのアップデートなどにも対応しなくてはなりません。特権ID管理ソリューションでは新しい脅威や法令基準・ガイドラインに応じて機能強化を行っているため、これらの課題に迅速かつ的確に対応することが可能です。
特権ID管理の重要性が高まっている昨今、多くの特権ID管理ソリューションが提供されています。自組織にあったソリューションを選ぶには、どうしたらよいでしょうか。
本章では、「制御方式」「提供形態」「費用体系」の3つのポイントについて解説します。
特権ID管理ソリューションの選定に重要な要素の一つが「制御方式」です。特権IDをどのように管理・制御するかは、セキュリティレベルや運用のしやすさに大きく影響を及ぼします。
代表的な制御方式として、「ゲートウェイ方式」「エージェント方式」「ID・パスワード貸出方式」の3つが挙げられます。各方式の特徴を踏まえたうえで、自組織の要件に最適なものを選択しましょう。
ゲートウェイ方式は、利用者と特権IDを利用する機器の間にゲートウェイ(関所)を設置して、一元管理する方式です。この方式の最大の特長は、個人IDの管理、アクセス制御、および操作の記録をゲートウェイ上ですべて行えることです。
シンプルな構成なため、導入・運用が比較的容易という利点があります。大規模なシステム環境や、既存環境への影響を最小限に抑えたい場合に最適な方式です。一方でゲートウェイを迂回されると、アクセス制御や操作の記録ができないため、ネットワーク機器での制御や特権IDのパスワード秘匿化など、対策が必要です。
エージェント方式は、エージェントと呼ばれる専用ソフトウェアを接続先のシステムか利用者の端末にインストールして、特権IDのアクセスや利用を監視する方式です。細やかな操作の記録を取れるという利点があります。
一方で、エージェントをシステムごと・端末ごとにインストールする手間や管理コストが発生することに留意が必要です。システム数や端末数が少なく、詳細な操作記録を取得したい場合に最適な方式です。
ID・パスワード貸出方式は、特権IDとパスワードを利用時に貸し出し、使用後に返却する方式です。この方式では、特権IDの使用状況は記録されますが、操作内容が記録できないため、端末用のエージェントや、システムやアプリケーションで取得したログを収集・管理するサーバを必要とします。すべての特権IDを把握して管理する必要があるため、特権IDが少ない場合や、統合ID管理システムを導入済みの場合に適しています。
特権ID管理ソリューションの提供形態は、「パッケージソフト提供」とクラウドをはじめとする「サービス提供」の2つに大別されます。導入・運用のしやすさ、コスト、セキュリティ要件への適合性の観点で比較することが重要です。
パッケージソフト提供の形態は、特権ID管理ソリューションのソフトウェアを提供します。
ソフトウェアを自組織のインフラに導入し、運用や保守を自ら行うため、機能設定やセキュリティ設定の自由度が高いという特長があります。汎用的なサービス提供モデルでは対応できない厳格な特権ID管理を求められる組織に適しています。
ただし、自組織でインフラを用意する必要があるため、導入時の初期投資が高額になる傾向があります。さらに、特権ID管理ソリューション自体の維持・運用も自組織で行う必要があるため、リソースや管理体制の整備が必須です。
サービス提供の形態は、主にクラウドを基盤とする特権ID管理サービスを提供します。
ソフトウェアやシステムの管理は外部のサービス提供会社が行うため、自組織側の負担を軽減し、スピーディかつ比較的安価に導入できるほか、運用の手間も大幅に削減されます。クラウド基盤のサービスの場合、ディスク容量の拡張などが容易なため、スケーラビリティに優れているという利点もあります。
ただし、特権IDやログを含むデータを外部のクラウドに保存することになるため、データセキュリティや運用について慎重に評価したうえで利用する必要があります。
特権ID管理ソリューションの費用体系は、主に「ライセンス費+保守費」と「サブスクリプション」に大別されます。ここでは、特権ID管理ソリューション特有の価格設定と、そのメリット・デメリットについて解説します。
主に、パッケージソフトの提供形態に採用されている費用体系です。初期費用としてライセンス費を支払い、利用を継続する期間の保守費用を一定間隔で支払う形式です。特権ID管理ソリューションでは、代表的なものとして以下の基準に従って価格が設定されます。
特権IDを利用するユーザーの総数を基準とする設定です。ユーザー数が少ない場合は費用を軽減できます。ただし、小規模環境でもユーザー数が多い場合は、コストが高額になりやすいため注意が必要です。
特権IDの利用を承認する責任者の人数を基準とする設定です。比較的少ない人数の承認者で運用する場合、コストを抑えられる可能性があります。
管理対象となるサーバやネットワーク機器の数を基準とする設定です。機器数の多い環境ではコスト効率が良く、ユーザー数や承認者数を基準とした製品よりも費用を抑えられる傾向があります。
必要な機能に応じて価格が決まる設定です。特定の目的に絞ることで、初期費用が抑えられます。ただし、機能ごとに別のシステムやモジュールで提供される場合は、それらの運用が必要となるため、管理負荷が増加するリスクがあります。
サービスの提供形態(クラウド型)に多く採用されている費用体系です。保守費やアップデート費も含めた利用料金を、月額または年額で支払います。利用期間だけに定額の費用が発生するため、運用コストの予測がしやすいというメリットがあります。
ただし、長期的に利用する場合、ライセンス費+保守費の費用体系よりも累積コストが高くなる傾向にあるため、導入目的と利用期間を明確にして選ぶことが重要です。
サイバー攻撃や内部不正のリスクが高まる中、特権ID管理は情報セキュリティの面でも不可欠な対策です。その重要性が増す一方で、管理対象はオンプレミスのシステムからクラウドサービスへと拡がっています。このような状況から、セキュリティと利便性を両立した効率的な管理方法が求められているのです。
この課題を解決するには、特権ID管理ソリューションの活用が効果的です。ソリューションで特権ID管理を自動化・効率化することで、運用負荷を軽減しながら、管理を徹底し、変化する脅威にも迅速に対応できます。
ただし、その効果を最大限に発揮するためには、自組織の環境に最適なソリューションを選ぶ必要があります。本コラムで解説したポイントをご参照いただけますと幸いです。
NRIセキュアでは、特権ID管理ソリューション「SecureCube Access Check」を長年にわたり提供しています。その経験と情報セキュリティ専門会社としての知見に基づき、機能強化を行い、高度なセキュリティが求められる金融機関をはじめ、さまざまな業種・業態の企業にご利用いただいています。
本製品は、特権ID管理の課題を解決するゲートウェイ型のソリューションです。パッケージソフト提供、サービス提供のどちらも可能で、多様な環境に柔軟に対応しています。ぜひお気軽にご相談ください。
企業のクラウドセキュリティ対策ガイド:管理者アカウントを守るベストプラクティス
2024.10.02
アクセス制御・ログ管理でPCI DSS準拠を効率化する方法とは
2023.10.06
サイバー攻撃・内部不正による情報漏えいを効果的に防ぐ手段とは?
2023.08.16
2023.01.16
ゲートウェイ型アクセス制御・証跡取得ソリューション Access Check Essential パ...
2022.06.28
特権ID管理ツールを検討するときに確認するべき50のチェックリスト
2021.10.22