重大事件の発端に!放置できない「特権ID」

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

重大事件の発端に!放置できない「特権ID」

2013/12/17


 運用管理に不可欠なのが、システム管理者権限でシステムにフルアクセスできる「特権ID」。いわば万能の権限が得られる特権IDだが、もし不正行為を働こうとしている人間に奪われたら、企業システムと業務、そして企業ブランドまでもが重大な危機に瀕することになる。ところがその事実に無自覚なユーザがグループで特権IDを共有していたり、本来はシステム管理者自身が行わなければならない操作を、多忙なために一時的にユーザ部門の担当者に代行してもらおうと特権IDを貸与した後、パスワード変更をしていなかったというような事例はよく聞くところだ。大きな情報漏洩やシステム破壊などが起きる前に、そんな危険な状態は改善しておきたい。今回はそのための方法を考えてみる。

特権ID

「幽霊管理者」が情報横流し? 特権ID管理不備が引き起こす重大事件

 2009年に起きた国内金融機関の大規模な個人情報漏洩事件を覚えておいでだろうか。情報システム部門の管理者が会社の個人情報をCD-Rにコピーし、約5万人分の情報を名簿業者に売り渡した事件だ。情報が流出した人数は約150万人にのぼり、約5万人分の情報は回収できなかった。この事件への対応で同社は70億円を損失したという。
 情報漏洩は1月に起きたが、発覚したのは3月だった。同社の多くの顧客が未公開株購入や不動産投資などの強引な勧誘を受けるなどのクレームが発生したのが不正行為発覚の発端で、それまで同社は内部不正に気がつくことがなかった。
 この事件が示したのは、情報システムの管理者がもつ特権的なシステムアクセス権限を使えば、たとえ厳重なセキュリティ対策を施した社内情報であっても、いつでも欲しいままにでき、その気になればシステム改変や破壊も難しくない、そして被害が起きる前に管理者の不正操作を突き止めることが極めて難しいという事実だった。

【今も続く管理者権限で行う不正】
 この大事件はシステム管理で利用する「特権ID」の運用を厳しくしなければならないという教訓を残したのだが、現実には国内システムでその後も管理者による不祥事がいくつも明らかになっている。例えばいわゆる「ひとり情シス」の会社でシステム管理者が社長のPCの設定を変更してメールを自分のメールアカウントに転送して読んでいた事例。これは管理者の行動監視ができる社員がおらず、内部不正を行ってもわからない環境であり、管理者本人に規範意識が十分でなかった。
 またシステム管理者の操作を監視するポリシーを作成した企業でも事件は起きた。ルールは作っても監視担当者が確認を怠っていたために、システム管理者が繰り返し機密情報を持ち出していることに気づけなかった。最初は恐る恐るの持ち出しだったが、繰り返すうちにだんだん大胆になっていったようだ。この会社も権限の分掌が行われておらず、1人に集中する体制にあったとされている。
 さらに退職管理者のIDが削除されずにシステムに残っていたため、リモートから社内システムに接続した退職管理者が情報窃取を行った事例もある。このような「幽霊ID」は、誰にも知られずひっそりと存在するため、特に意識されることがなく、セキュリティの弱点になりがちだ。

【今こそ必要な特権ID管理の課題解決】
 こうした事件は、企業システム管理者に改めて「特権ID」をどう運用すればよいかという、実はできれば直面を避けたいと思ってきた課題の解決を鋭く迫っている。日々の業務に多忙なシステム管理者が少しでも負荷が減らせるよう、一部システムではユーザ部門の業務担当者に管理操作を代行してもらったり、管理業務を複数のユーザで担当してもらうのはよく目にするところだ。特権IDはそのほかにも多数の関係者に割り振られている。そうした特権ID運用の現状は、図1のようなイメージで捉えられるだろう。

図1 特権ID管理体制が整備されていない企業システムでの特権ID運用イメージ
図1 特権ID管理体制が整備されていない企業システムでの特権ID運用イメージ

 このように特権IDが社内と協力会社に分散し、特権IDの所在や運用について管理していない状態では、いつ、どのように情報が漏洩するかわからない。システムへのアクセス権限やネットワーク設定も故意に、あるいは過失で変更されてしまうと、これまで営々と築きあげてきたセキュリティも意味をなくすことにもなりかねない。特権IDをいったいどのように管理していけばよいのか、真剣に考えるべき時だ。


1

見て見ぬふりも?特権ID運用の“難しさ”とは

 Windowsの「Administrator」、UNIX系の「root」権限のような特権IDを得た人は、事実上システムのすべてを握る「万能者」として、情報を引き出し、コピーし、改変・削除し、各種設定を変えることができてしまう。時には保護されていない操作ログを消し、自分の操作を人に知られぬよう隠蔽することも可能だ。その特権を持つ人が規範を守る常識人であり、十分にITリテラシを持っていて、しかも職業倫理を堅持しているならよい。しかしそんな人でもさまざまな個人的理由から心が揺れる時がないとは言えない。シマンテックが今年春に発表したプレスリリースによれば「従業員の56%が競合他社の取引機密情報(その会社の元従業員が持ちだしたもの)の使用を犯罪とは考えていない」(海外での意識調査)という。また経済産業省「営業秘密の管理実態に関するアンケート調査」(2012年)によれば、日本で営業秘密の漏洩があった企業での漏洩経路が“中途退職者”によるものだったケースが50.3%にのぼるという。会社の機密情報は社外でこそ価値が高いのではと考える根拠はいくらでもある。会社への不満を抱いたとき、競合会社の喜ぶ情報を持ち出して有利な転職や売却を考えることもないとは言えないだろう。
 こんなことは今になって初めてわかったわけではない。システム管理者はほぼ知っているが、たいていはトラブル対応など急を要する仕事に忙殺されており、今以上の責任を負い作業負荷がさらに集中することはできるだけ避けたいのが管理者の本音。ある意味ユーザ部門と負荷を分かち合ってきた特権IDの運用を厳しくすることが自分自身の首を締めることにつながりかねないため、対策に腰がひけていた一面があるかもしれない。
 また特権IDはOSだけでなく、ミドルウェアやアプリケーション、ネットワーク機器の運用管理にもあり、同様の問題がある。特にデータベース管理システムの特権IDが奪われると深刻な情報漏洩につながりかねない。また最近増加している無線LANアクセスポイントの設定が変更されてセキュリティがおろそかになると外部からの侵入を招きやすくなり、LAN全体のセキュリティが低下してしまう。システムが内包する管理対象が増加の一途をたどるなか、特権ID管理はますます複雑化し難度が高まっていきそうだ。そのなかで、管理者の負荷を低減できる方向で、特権ID運用のリスクも低減していく方策が望まれている。

セキュリティ情報局にご登録頂いた方限定で「重大事件の発端に!放置できない「特権ID」」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


特権ID/重大事件の発端に!放置できない「特権ID」」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「特権ID」関連情報をランダムに表示しています。

特権ID」関連の製品

特権ユーザ管理ソリューション 【CA Privileged Identity Manager】 【CA Technologies】 特権ID管理 iDoperation(アイディーオペレーション) 【NTTソフトウェア】 特権ID管理 CA Privileged Identity Manager 【アシスト】
ID管理 ID管理 ID管理
特権ID管理ソリューション。ゲートウェイ型/サーバー制御型の2つのアプローチにより厳格な管理を実現する。PCI DSSなどの要件に対応し、監査対応にも有効。 今求められるIT統制に対応でき、管理(ID貸出、パスワード変更、ログつきあわせ、ID棚卸等)を自動化できる特権ID管理製品。人手作業は利用申請・承認、点検結果確認となる 「OSでは満たせないあらゆるイベントのアクセス制御」と「特権/共有アカウントのパスワード貸出制御」を実現できる特権ID管理製品。

特権ID」関連の特集


大企業や中堅企業に加え、中小企業でも利用され始めている「アイデンティティ管理」。企業ITのクラウドへ…



外部からの攻撃よりもはるかに怖い内部犯行。今回は組織内部関係者による業務妨害や情報漏洩について、傾向…



 会社の規模、サーバ台数に関わらず、重要なデータが格納されているサーバのアカウント管理、権限管理は非…


特権ID」関連のセミナー

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】 締切間近 

開催日 10月14日(金),11月10日(木),12月7日(水)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

事例から学ぶ特権ID管理セミナー:製品選定のポイントと活用事例 【エヌ・ティ・ティ・ソフトウェア】  

開催日 11月17日(木),12月15日(木),1月19日(木),2月16日(木),3月9日(木)   開催地 東京都   参加費 無料

IT統制の取り組みがスタートし、IT全般統制などの法令監査において特権IDの管理に関する監査が、年々厳しさを増しています。また、マイナンバーやPCI DSSなど…

事例から学ぶ特権ID・監査ログ管理実践セミナー 【NRIセキュアテクノロジーズ】  

開催日 1月12日(木),2月10日(金),3月9日(木)   開催地 東京都   参加費 無料

IT全般統制の不備に対する監査法人からの指摘への対応、PCI DSS認定時のアクセス管理要件への適応、リモート作業時のアクセス制御・ログ取得など、現在様々な要件…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006334


IT・IT製品TOP > エンドポイントセキュリティ > ID管理 > ID管理のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ