重大事件の発端に!放置できない「特権ID」

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

重大事件の発端に!放置できない「特権ID」

2013/12/17


 運用管理に不可欠なのが、システム管理者権限でシステムにフルアクセスできる「特権ID」。いわば万能の権限が得られる特権IDだが、もし不正行為を働こうとしている人間に奪われたら、企業システムと業務、そして企業ブランドまでもが重大な危機に瀕することになる。ところがその事実に無自覚なユーザがグループで特権IDを共有していたり、本来はシステム管理者自身が行わなければならない操作を、多忙なために一時的にユーザ部門の担当者に代行してもらおうと特権IDを貸与した後、パスワード変更をしていなかったというような事例はよく聞くところだ。大きな情報漏洩やシステム破壊などが起きる前に、そんな危険な状態は改善しておきたい。今回はそのための方法を考えてみる。

特権ID

「幽霊管理者」が情報横流し? 特権ID管理不備が引き起こす重大事件

 2009年に起きた国内金融機関の大規模な個人情報漏洩事件を覚えておいでだろうか。情報システム部門の管理者が会社の個人情報をCD-Rにコピーし、約5万人分の情報を名簿業者に売り渡した事件だ。情報が流出した人数は約150万人にのぼり、約5万人分の情報は回収できなかった。この事件への対応で同社は70億円を損失したという。
 情報漏洩は1月に起きたが、発覚したのは3月だった。同社の多くの顧客が未公開株購入や不動産投資などの強引な勧誘を受けるなどのクレームが発生したのが不正行為発覚の発端で、それまで同社は内部不正に気がつくことがなかった。
 この事件が示したのは、情報システムの管理者がもつ特権的なシステムアクセス権限を使えば、たとえ厳重なセキュリティ対策を施した社内情報であっても、いつでも欲しいままにでき、その気になればシステム改変や破壊も難しくない、そして被害が起きる前に管理者の不正操作を突き止めることが極めて難しいという事実だった。

【今も続く管理者権限で行う不正】
 この大事件はシステム管理で利用する「特権ID」の運用を厳しくしなければならないという教訓を残したのだが、現実には国内システムでその後も管理者による不祥事がいくつも明らかになっている。例えばいわゆる「ひとり情シス」の会社でシステム管理者が社長のPCの設定を変更してメールを自分のメールアカウントに転送して読んでいた事例。これは管理者の行動監視ができる社員がおらず、内部不正を行ってもわからない環境であり、管理者本人に規範意識が十分でなかった。
 またシステム管理者の操作を監視するポリシーを作成した企業でも事件は起きた。ルールは作っても監視担当者が確認を怠っていたために、システム管理者が繰り返し機密情報を持ち出していることに気づけなかった。最初は恐る恐るの持ち出しだったが、繰り返すうちにだんだん大胆になっていったようだ。この会社も権限の分掌が行われておらず、1人に集中する体制にあったとされている。
 さらに退職管理者のIDが削除されずにシステムに残っていたため、リモートから社内システムに接続した退職管理者が情報窃取を行った事例もある。このような「幽霊ID」は、誰にも知られずひっそりと存在するため、特に意識されることがなく、セキュリティの弱点になりがちだ。

【今こそ必要な特権ID管理の課題解決】
 こうした事件は、企業システム管理者に改めて「特権ID」をどう運用すればよいかという、実はできれば直面を避けたいと思ってきた課題の解決を鋭く迫っている。日々の業務に多忙なシステム管理者が少しでも負荷が減らせるよう、一部システムではユーザ部門の業務担当者に管理操作を代行してもらったり、管理業務を複数のユーザで担当してもらうのはよく目にするところだ。特権IDはそのほかにも多数の関係者に割り振られている。そうした特権ID運用の現状は、図1のようなイメージで捉えられるだろう。

図1 特権ID管理体制が整備されていない企業システムでの特権ID運用イメージ
図1 特権ID管理体制が整備されていない企業システムでの特権ID運用イメージ

 このように特権IDが社内と協力会社に分散し、特権IDの所在や運用について管理していない状態では、いつ、どのように情報が漏洩するかわからない。システムへのアクセス権限やネットワーク設定も故意に、あるいは過失で変更されてしまうと、これまで営々と築きあげてきたセキュリティも意味をなくすことにもなりかねない。特権IDをいったいどのように管理していけばよいのか、真剣に考えるべき時だ。


1

見て見ぬふりも?特権ID運用の“難しさ”とは

 Windowsの「Administrator」、UNIX系の「root」権限のような特権IDを得た人は、事実上システムのすべてを握る「万能者」として、情報を引き出し、コピーし、改変・削除し、各種設定を変えることができてしまう。時には保護されていない操作ログを消し、自分の操作を人に知られぬよう隠蔽することも可能だ。その特権を持つ人が規範を守る常識人であり、十分にITリテラシを持っていて、しかも職業倫理を堅持しているならよい。しかしそんな人でもさまざまな個人的理由から心が揺れる時がないとは言えない。シマンテックが今年春に発表したプレスリリースによれば「従業員の56%が競合他社の取引機密情報(その会社の元従業員が持ちだしたもの)の使用を犯罪とは考えていない」(海外での意識調査)という。また経済産業省「営業秘密の管理実態に関するアンケート調査」(2012年)によれば、日本で営業秘密の漏洩があった企業での漏洩経路が“中途退職者”によるものだったケースが50.3%にのぼるという。会社の機密情報は社外でこそ価値が高いのではと考える根拠はいくらでもある。会社への不満を抱いたとき、競合会社の喜ぶ情報を持ち出して有利な転職や売却を考えることもないとは言えないだろう。
 こんなことは今になって初めてわかったわけではない。システム管理者はほぼ知っているが、たいていはトラブル対応など急を要する仕事に忙殺されており、今以上の責任を負い作業負荷がさらに集中することはできるだけ避けたいのが管理者の本音。ある意味ユーザ部門と負荷を分かち合ってきた特権IDの運用を厳しくすることが自分自身の首を締めることにつながりかねないため、対策に腰がひけていた一面があるかもしれない。
 また特権IDはOSだけでなく、ミドルウェアやアプリケーション、ネットワーク機器の運用管理にもあり、同様の問題がある。特にデータベース管理システムの特権IDが奪われると深刻な情報漏洩につながりかねない。また最近増加している無線LANアクセスポイントの設定が変更されてセキュリティがおろそかになると外部からの侵入を招きやすくなり、LAN全体のセキュリティが低下してしまう。システムが内包する管理対象が増加の一途をたどるなか、特権ID管理はますます複雑化し難度が高まっていきそうだ。そのなかで、管理者の負荷を低減できる方向で、特権ID運用のリスクも低減していく方策が望まれている。

セキュリティ情報局にご登録頂いた方限定で「重大事件の発端に!放置できない「特権ID」」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


特権ID/重大事件の発端に!放置できない「特権ID」」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「特権ID」関連情報をランダムに表示しています。

特権ID」関連の製品

特権ID管理 iDoperation(アイディーオペレーション) 【NTTテクノクロス】 ITシステム変更管理ソフトウェア Netwrix Auditor 【ラネクシー】 「コンテナ環境でマイクロサービスを実現したい」環境整備はどうする? 【日本アイ・ビー・エム】
ID管理 統合ログ管理 IaaS/PaaS
申請と承認に基づく特権IDの貸し出しと、利用状況の点検・監査(申請とログの突合せ)に対応する特権ID管理製品。監査対応、特権ID管理の効率化、セキュリティ強化を実現。 ネットワーク上に蓄積されたActive Directoryやファイルサーバなどのさまざまな変更ログを一元管理し、セキュリティ情報や稼働情報などのレポートを自動生成。 企業がデータやアプリケーションをクラウド化したいと思いながらも動き出せない理由にはある共通点があった。その共有の課題を解決する新しいクラウドサービスを紹介する。

特権ID」関連の特集


相次ぐ大規模情報漏洩事故…、ここ最近企業のセキュリティ対策を取り巻く状況は慌ただしさを増している。そ…



“内部からの情報漏洩対策”連載第2弾は「アクセス制御」に注目。システムやワークフロー上でポリシー外の…



88もの仮想サーバが“数分”で削除、しかも遠隔地から攻撃された例も?仮想化環境で拡大する外部/内部の…


特権ID」関連のセミナー

事例から学ぶ特権ID管理セミナー:製品選定のポイントと活用事例 【NTTテクノクロス】  

開催日 1月24日(水),2月15日(木)   開催地 東京都   参加費 無料

IT統制の取り組みがスタートし、IT全般統制などの法令監査において特権IDの管理に関する監査が、年々厳しさを増しています。また、マイナンバーやPCI DSSなど…

半年後に迫ったGDPRの施行に対するIT部門の備え 【マクニカネットワークス/KPMGコンサルティング/CyberArk Japan】 締切間近 

開催日 12月20日(水)   開催地 東京都   参加費 無料

2018年5月にEUにおいてGDPR(一般データ保護規制)が施行され、EUとビジネスを行う日本企業にも適用されます。GDPRは、EU域外への個人データ移転に必要…

標的型攻撃対策の見直しポイント発見セミナー 【主催:アシスト 】  

開催日 1月16日(火)   開催地 東京都   参加費 無料

巧妙化する標的型攻撃には、マルウェア侵入を前提とした多層防御が必要です。多層防御には、何を実施し何を実施しないかの取捨選択が常に必要となります。本セミナーでは、…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006334


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ